1.1. Seguridad Física/Lógica, Activa/Pasiva
La Seguridad Física: Cubre todo lo referido a los equipos informáticos: ordenadores de propósitos general, servidores especializados y equipados de red.
La seguridad Lógica: Se refiere a las distintas aplicaciones que ejecutan en cada uno de los equipos.
Las amenazas contra la seguridad física son:
- Desastres naturales: (Incendio, inundaciones, hundimientos, terremotos.) Los tenemos en cuenta a la hora de ubicar el emplazamiento del centro de proceso de datos (CPD), donde alojamos los principales servidores de la empresa; pero,aunque tengamos el mejor sistema extinción de incendios o la sala este perfectamente sellada, siempre deberíamos tener un segundo CPD para que la actividad no pare.
- Robos: Nuestros equipos, y sobre todo la información que contienen, resultan valiosas para otros individuos u organizaciones. Debemos proteger el acceso a la sala del CPD mediante múltiples medidas de seguridad: vigilantes, tarjetas de acceso, identificación mediante usuarios y contraseñas, etc.
Fallos de suministro: Los ordenadores utilizan corrientes eléctricas para funcionar y necesitan redes externas para comunicar con otras empresas y con los clientes. Debemos estar preparados para las ocasiones en que no puedan proporcionar: unas baterías o un grupo electrógeno por si falla la corriente.
Las amenazas contra la seguridad lógica son:
- Virus, troyamos y malware: Como ocurre con el spam en el correo electrónico, el malware es software no deseado y que debemos eliminar.
- Pérdida de datos: Un defecto en el código fuente de una aplicación, o una configuración defectuosa de la misma, puede ocasionar modificaciones inexplicables en la información almacenada, incluso la perdida de datos. Para reducir este riesgo, las empresas prueban la aplicación antes de decidir utilizarla.
- Ataques a las aplicaciones de los servidores: Los hackers intentarán entrar a por los daros aprovechados cualquier vulnerabilidad del sistema operativo o de las aplicaciones que ejecutan en esa máquina.
Por otro lado, podemos hablar de seguridad activa y seguridad pasiva.
- Seguridad pasiva: Son todos los mecanismos que, cuando sufrimos un ataque, nos permiten recuperarnos razonablemente bien.
- Seguridad activa: Intenta protegernos de los ataques mediante la adopción de medidas que protejan as activos de la empresa, como vimos en el epígrafe antes: equipos, aplicaciones, datos y comunicaciones.
1.2. Confidencialidad, disponibilidad, integridad y no repudio.
La Confidencialidad intenta que la información solo sea utilizada por las personas o máquinas debidamente autorizadas. Para garantizar la confidencialidad necesitamos disponer de tres tipos de mecanismo:
- Autenticación: La autenticación intenta confirmar que una persona o máquina es quien dice ser, que no estamos hablando con un impostor.
- Autorización: Una vez autenticado, los distintos usuarios de la información tendrán distintos privilegios sobre ella. Básicamente dos: solo lectura, o lectura y modificación.
- Cifrado: La información estará cifrada para que sea inútil para cualquiera que no supere la autenticación.
1.3. Sabes-Tienes-Eres
Debemos estar muy seguros de la identidad de la persona o sistema que solicita acceder a nuestra información. Un esquema muy utilizado para analizar la autenticación es clasificar las medidas adoptadas según tres criterios:
- Algo que sabes: Para acceder al sistema necesitas conocer alguna palabra secreta: la típica contraseña.
- Algo que tienes: En este caso es imprescindible aportar algún elemento material: generalmente una tarjeta.
- Algo que eres: El sistema solicira reconocer alguna caracteristicas física del individuo (biometría): huella dactilar, escáner de retina, reconocimiento de voz, etc.
1.4. AAA
La sigla AAA se refiere a auntenticación, autorización y accounting. Las dos primeras ya las hemos visto con anterioridad; la tercera se refiere a la información interna que los sistemas generan acerca de sí mismos. Concretamente, el uso que se hace de sus servicios. Esta información sirve para revisar el dimensionado de los equipos y, debidamente asociada a cada departamento de la empresa, permite establecer limitaciones y personalizaciones.
1.5. E2E
e2e significa extremo a extremo: la seguridad debe controlarse enel origen de los datos, en el destino de los datos y e el canal de comunicación utilizado entre origen y destino:
- En el origen y en el destino intentaremos que el equipo y las aplicaciones no hayan sido modificados. Si alguno no está bajo nuestro control, debemos desconfiar.
- En el canal intentaremos limitar quién accede y, sobre todo, cifraremos, porque nuestros datos atravesarán las redes de otras compañías. Sobre sus equipos y el personal que opera con ellos no tenemos ningún control, luego debemos desconfiar.
1.6. Vulnerabilidad, malware, exploit
El software está hecho por humanos, luego debeos estar preparados para sufrir los errores introducidos durante su programación. Pueden ser leves (algún mensaje mal traducido), grave(corrupción de datos) y críticos (un agujero de seguridad da acceso libre a datos confidenciales).
Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechado por un ataque. Si lo descubres, el atacante programará un software (llamado maalware) que utiliza esa vulnerabilidad para tomar el control de la máquina (exploit) o realizar cualquier operación no autorizada.
Hay tres tipos de vulnerabilidades:
- Vulnerabilidades recocidas: Por el suministrador de la aplicación y para las cuales ya tiene un parche que las corrige. Si nuestra empresa utiliza esa aplicación, debemos aplicar en parche inmediatamente.
- Vulnerabilidades reconocidas: Por el suministrador, pero todavía no hay un parche. En algunos casos sí se proporciona una solución temporal (warkaround), pero, generalmente, lo mejor es desactivar el servicio hasta haber aplicado el parche.
- Vulnerabilidades no reconocidas: Por el suministro, Es el peor caso, porque podemos estar expuestos a un ataque durante un tiempo largo sin saberlo.
Los fabricantes de software intentan reaccionar rápidamente ante cualquier informe que demuestre una vulnerabilidad en sus programas gracias a internet.
Hay muchos tipos de malware:
- Virus: Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoria mente o esperar una fecha concreta
- Gusanos: Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar.
- Troyanos: Suelen habilitar puertos traseros en los equipos: desde otros ordenadores podemos conectar con el troyano para ejecutar programas en el ordenador infectado.
2. Tipos de ataques
Una vez que alguien está decidió a atacarnos, puede elegir alguna de estar formas:
- Interrupción: El ataque consigue provocar un corte en la prestación de un servicio: el servidor web no está disponible, el disco en red no aparece o solo podemos leer.
- Interceptación: El ataque ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo.
- Modificación: Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando para que llegue alterada hasta el destino y provoque alguna reacción anormal.
- Fabricación: El atacante se hace pasar por el destino de la transmisión, por lo que puede tranquilamente conocer el objeto de nuestra comunicación, engañarnos para obtener información valiosa.
Para conseguir su objetivo puede aplicar una o varias de estas técnicas:
- Ingeniería Social: A la hora de poner una contraseña, los usuarios no suelen utilizar combinaciones aleatorias de caracteres. En cambio, recurren a una palabras conocidas para ellos: el mes de su cumpleaños, el nombre de su calle, su mascota, su futbolista favorito, etc
- Phishing: El atacante se pone en contacto con la víctima (generalmente, un correo electrónico) haciéndose pasar por una empresa con la que tenga alguna relación (su banco, su empresa de telefonía, etc)
- Keyloggers: Un troyano en nuestra máquina puede tomar nota de todas las teclas que pulsemos, buscando el momento en que introducimos un usuario y contraseña. Si lo consigue, los envía al atacante.
- Fuerza Bruta: Las contraseñas son un número limitado de caracteres (letras, números y signos de puntuación). Una aplicación malware puede ir generando todas las combinaciones posibles y probarlas una a una; tarde o temprano, acertará. Incluso puede ahorar tiempo si utiliza un diccionario de palabras comunes y aplica combinaciones de edad palabras con número y signos de puntuación.
- Spoofing: Alteramos algun elemento de la máquina para hacernos pasar por otra máquina.
- Sniffing: El atacante consigue conectarse en el mismo tramo de ed que el equipo catacado. De esta manera tiene acceso directo a todas sus conversaciones,
- DoS: (Denial of service, deneación de servicio). Consiste en tumbar un servidor saludándolo con falsas peticiones de conexión. Es decir, intenta simular el efecto de una carga de trabajo varias veces superior a la normal.
-DDoS: (Distributed Denial of Service, Denegación de Servicio Distribuida). Es el mismo ataque DoS, pero ahora no es una única máquina la que genera las peticiones falsas (que es fácilmente localizable y permite actuar contra ella), sino muchas máquinas repartidas por distintos puntos dela planeta. Esto es posible porque todas esas máquinas han sido infectadas por un troyano que las ha convertirlo en ordenadores zombis.
2.1. Tipos de Atacantes
Se suele hablar de hacker de manera genérica para referirse a un individuo que se salta las protecciones de un sistema. A partir de ahí podemos distinguir entre:
-Hacker: Ataca la defensa informática de un sistema solo por el reto que supone hacerlo. Si tienes éxito, moralmente debería avisar a los administradores sobre los agujeros de seguridad que ha utilizado, porque están disponibles para cualquiera.
- Cracker: También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos, desactivar servicios, alternar información, etc.
- Script kiddie: Son aprendices de hacker y cracker que encuentran en internet cualquier ataque y lo lanzan sin conocer muy bien qué están haciendo y, sobre todo, las consecuencias derivadas de si actuación.
- Programadores de malware: Expertos en programación de sistemas operativos y aplicaciones capaces de aprovechar las vulnerabilidades de alguna versión concreta de
un software conocido para generar un programa que les permita ataca.
- Sniffers: Expertos en protocolos de comunicaciones capaces de procesar una captura
de tráfico de red para localizar la información interesante.
de tráfico de red para localizar la información interesante.
- Ciberterrorista: Craker con intereses políticos y económicos a gran escala.
3. Buenas Prácticas
Es muy dura la tarea del responsable de seguridad informática en una empresa grande:
hay mucha información que proteger y múltiples puertas por donde sufrir intrusiones.
Sus funciones son:
hay mucha información que proteger y múltiples puertas por donde sufrir intrusiones.
Sus funciones son:
- Localizar los activos que hay que proteger: equipos, aplicaciones, datos y comunicaciones. Sobre todo, revisar la política de copias de seguridad: qué copiamos, cuándo copiamos, dónde lo copiamos, dónde guardamos de manera segura los dispositivos de copia, cómo verificamos que la copia se ha hecho bien, cuándo hacemos una prueba de recuperación de una copia, etc.
- Redactar y revisar regularmente los planes de actuación ante catástrofes, contemplando todas las posibilidades: ataque intencionado, desastre natural, arranque parcial de servicios (pocos servicios o todos los servicios pero con menor capacidad).
- No instalar nada que no sea estrictamente necesario, y revisar la configuración de los sistemas y aplicaciones por si estamos otorgando más permisos de los imprescindibles.
- Estar al día de todos los informes de seguridad que aparezcan. Para ello hay que registrarse en listas de correo sobre seguridad y, además, en las listas de nuestros proveedores (tanto de hardware como de software) para recibir sus noticias directamente.
- Activar los mecanismos de actualización automática de las aplicaciones que tenemos instaladas. Salvo sistemas delicados (tenemos que probar muy bien cada actualización antes de aplicarla), en general los fabricantes liberan actualizaciones que no dan problemas.
- Dar formación a los usuarios para que utilicen la seguridad y la vean como una ayuda, no como un estorbo.
- Revisar los log del sistema (el accounting que hemos visto antes). Algunas herramientas nos ayudan porque recogen los ficheros de log y aplican fácilmente muchos patrones conocidos (buscar la palabra error o warning, etc.).
- Considerar la opción de contratar una auditoría externa, porque si hemos cometido un error de concepto, es muy difícil que lo encontremos por nosotros mismos.
- Revisar la lista de equipos conectados: pueden haber introducido equipos no autorizados.
- Revisar la lista de usuarios activos: puede que algún empleado ya no esté en la empresa pero su usuario y todos los privilegios asociados siguen disponibles para él o para alguien de su confianza.
- En aquellos sistemas que lo permitan, configurar el aviso por SMS o correo electró-nico para que nos enteremos los primeros de cualquier problema. Por ejemplo, los sistemas de baterías (SAI [sistema de alimentación ininterrumpida]) suelen tener esta funcionalidad.
4. Legislación
Como en el mundo real, romper la seguridad informática de una empresa para robar
sus datos es un delito perseguido por la ley. También el desarrollo de Internet ha impulsado la aparición de leyes completamente nuevas, como la que regula el comercio
electrónico
4.1. LOPD
sus datos es un delito perseguido por la ley. También el desarrollo de Internet ha impulsado la aparición de leyes completamente nuevas, como la que regula el comercio
electrónico
4.1. LOPD
La Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de diciembre) establece las bases para proteger el tratamiento de los datos de carácter personal de las personas físicas. Estos datos pueden estar en cualquier tipo de soporte, digitalizado o no. La ley establece cómo se pueden tomar los datos, qué tipo de almacenamiento protegido necesitan y qué derecho y obligaciones tiene el ciudadano sobre esos datos suyos en manos de terceros. El Real Decreto 1720/2007, de 21 de diciembre, desarrolla la LOPD para ficheros (automatizados y no automatizados). Define tres tipos de medidas en función de la sensibilidad de los datos tratados:
- Nivel básico: Cualquier fichero de datos de carácter personal. Las medidas de seguridad con estos datos son:
- Identificar y autenticar a los usuarios que pueden trabajar con esos datos.
- Llevar un registro de incidencias acontecidas en el fichero.
- Realizar copia de seguridad como mínimo semanalmente.
- Llevar un registro de incidencias acontecidas en el fichero.
- Realizar copia de seguridad como mínimo semanalmente.
- Nivel medio: Cuando los datos incluyen información sobre infracciones administrativas o penales, informes financieros y de gestión tributaria y datos sobre la personalidad del sujeto. Las medidas de seguridad incluyen las del nivel básico más:
- Al menos una vez cada dos años una auditoría externa verificará los procedimientos de seguridad.
- Debe existir control de acceso físico a los medios de almacenamiento de los datos.
- Nivel alto: Son los datos especialmente protegidos: ideología, vida sexual, origen racial,
afiliación sindical o política, historial médico, etc. Las medidas de seguridad amplían las
de nivel medio:
- Cifrado de las comunicaciones.
- Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario,fecha y hora, tipo de operación y resultado de la autenticación y autorización
La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE 34/2002, de 11 de julio) intenta cubrir el hueco legal que había con las empresas que prestan servicios de la sociedad de la información:
- Las obligaciones de los prestadores de servicio, incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones.
- Las comunicaciones comerciales por vía electrónica.
- La información previa y posterior a la celebración de contratos electrónicos.
- Las condiciones relativas a su validez y eficacia.
- El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información
4.3 LPI
La Ley de Propiedad Intelectual (LPI) establece los derechos de autor en los entornos
digitales. Considera la digitalización de un contenido como un acto de reproducción,
luego se necesita autorización expresa del titular del contenido.
digitales. Considera la digitalización de un contenido como un acto de reproducción,
luego se necesita autorización expresa del titular del contenido.
Como excepción incluye la copia privada, que es para uso personal del dueño de ese
contenido legalmente adquirido. La copia, al igual que el original, no se puede utilizar
de manera colectiva ni lucrativa.
Para compensar a los autores por estas copias no controladas, se establece un canon
sobre los distintos dispositivos de almacenamiento. Este canon revierte en las sociedades
de autores.
4.4 Administración Electrónica
La Administración electrónica hace referencia al esfuerzo de todos los estamentos públicos para adaptar sus procedimientos a las nuevas tecnologías. Así evitan seguir manejando papeles, y los ciudadanos y empresas pueden relacionarse con la Administración
de manera telemática.
Poder resolver los trámites por Internet tiene múltiples ventajas:
de manera telemática.
Poder resolver los trámites por Internet tiene múltiples ventajas:
- Disponibilidad las 24 horas del día: No hace falta pedir permiso en el trabajo; incluso
podemos hacerlo en días festivos y fines de semana.
- Facilidad de acceso: Los portales de la Administración incorporan múltiples asistentes
que proporcionan toda la ayuda necesaria.
- Ahorro de tiempo: No hay que desplazarse hasta una oficina y esperar turno para
ser atendido.
- Fiabilidad: Los procedimientos ya no dependen de personas, sino de sistemas
Vídeo de Resumen de Seguridad Informática: