======Fundamentos de Seguridad Informática ====== ===== Seguridad informática y seguridad de la información===== ===Seguridad informática=== Rama de la seguridad de la información que trata de proteger la información que utiliza una infraestructura informática y de telecomunicaciones para ser almacenada o transmitida. Diferenciamos los siguientes tipos: * Seguridad física y lógica: en función de lo que se quiere proteger. * Seguridad activa y pasiva: en función del momento en que tiene lugar la prevención. ===Seguridad de la información === {{:unidad1:principios-seguridad.png?250 |}} Conjunto de medidas y procedimientos, tanto humanos como técnicos, que permiten proteger la integridad, confidencialidad y disponibilidad de la información: Seguridad de la Información: * Integridad * Confidencialidad * Disponibilidad * No repudio * Autenticación **Normas ISO/IEC 27000**((https://es.wikipedia.org/wiki/ISO/IEC_27000-series)): Es un conjunto internacional de estándares de la //International Organization for Standarization// y del //International Electrotechnical Comission// que definen el Sistema de Gestión de la Seguridad de la Información. ===== Elementos principales en materia de seguridad===== Terminología específica de ámbito se la seguridad de la información y de la informática: {{ :unidad1:elementos-seguridad.jpg?400 |}} ====Activos==== Recurso del sistema necesario para una organización, es decir todo lo que tenga que ser protegido ante un eventual percance: Trabajadores, software, datos, archivos, hardware, sistemas de comunicación, etc. Desde el punto de vista de Informática , los principales activos de una empresa son: * **Información**: datos almacenados en cualquier tipo de soporte. * **Software**: programas o aplicaciones que utiliza una emprea. * **Físicos**: infraestructura tecnológica y física utilizada para almacenar procesar, gestionar o transmitir la información. * **Personal**: usuarios que utilizan la estructura tecnológica y de comunicación para el manejo de la información. ====Vulnerabilidades==== Cualquier **debilidad de un activo** que pueda repercutir en el correcto funcionamiento del sistema informático. Pueden estar asociados a fallos en propia aplicación, en la configuración de un sistema operativo, en errores humanos, etc. //Por ejemplo, no utilizar ningún tipo de protección frente a ataques informáticos, como antivirus o firewalls, supone una vulnerabilidad.// ====Amenazas==== Cualquier entidad o circunstancia que atente contra el buen funcionamiento de un sistema informático. En algunos casos serán involuntarias, y en la mayor parte de los casos serán intencionadas. Se puede clasificar en: * **Amenazas pasivas**: Su objetivo es obtener información relativa a la comunicación. Ej. sniffers: programas para monitorizar el tráfico de una red Wifi. * **Amenazas activas**: Tratan de realizar algún cambio no autorizado en el estado del sistema. [[https://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)|MAGERIT]] es una metodología de análisis de riesgos, desarrollada por el Gobierno de España. Esta metodología hace otra clasificación de las amenazas: ^Grupos de Amenazas^Ejemplos^ |Desastres naturales|Fuego, daños por agua, desastres naturales| |Desastres industriales|Fuego, daños por agua, desastres industriales, contaminación mecánica, contaminación electromagnética,etc| |Errores y fallos no intencionados|Errores de usuario, errores de configuración,etc| |Ataques deliberados|Manipulación de la configuracion, suplantación de identidad, difusión de software dañino,etc| ====Ataques==== Es una acción que trata de aprovechar una vulnerabilidad de un sistema informático para provocar un impacto sobre él o tomar el control del mismo. //MAGERIT// distingue entre ataques (acciones intencionadas) y errores (ataques fortuitos). Normalmente un ataque informático sigue este patrón: - **Reconocimiento**: Obtener toda la información necesaria de la víctima, persona u organización - **Exploración**: Conseguir información necesaria del sistema a atacar. Por ejemplo: direcciones IP, nombres de //host//, datos de autenticación, etc. - **Obtención de acceso**: Usar la información anterior para intentar explotar alguna vulnerabilidad. - **Mantener el acceso**: Mantener una forma de acceso para futuros ataques. - **Borrar huellas**: Eliminar pruebas de la intrusión. //Existen una gran variedad de herramientas para mantener un nivél óptimo de seguridad, pero también hay estrategias que anulan estas herramientas, como es la **ingeniería social**.// ====Riesgos==== Podemos entender por **riesgo** en el ámbito de la seguridad informática: * UNE-71504:2008: evaluación del grado de exposición a que una amenaza se materialice sobre uno o más activos. * Centro Criptológico Nacional: probabilidad de que una amenaza se materialice aprovechando una vulnerabilidad y causando un daño (impacto). //El riesgo es, por tanto, una Medida de la probabilidad de que se materialice una amenaza.// Además, existen diferentes niveles de riesgo a los que se expone un activo. El nivel dependerá de la __probabilidad__ de que se materialice la amenaza, y el grado de __impacto__ producido: ^Nivel^Tipo de Riesgo^ |Alto|Robo de información, Robo de Hardware| |Medio|Accesos no autorizados| |Bajo|Inundaciones| //En conclussión, para realizar un **Análisis de Riesgos** se ha de tener en cuenta:// - //Activos que se desea proteger// - //Vulnerabilidades y amenazas sobre esos activos// - //Probabilidad de que estas amenazas se produzcan// - //Impacto de dicha amenazas// ====Impacto==== El alcance producido o daño causado en caso de que una amenaza se materialice. Dos organizaciones se verán afectadas en diferente medida ante la misma amenaza dependiendo de las medidas adoptadas. Puede ser: * **Impacto leve**: no afecta prácticamente al funcionamiento de la empresa. Se da cuando se han identificado las amenazan y existen medidas de protección en caso de que se materialicen. * **Impacto grave**: afecta seriamente a la empresa pudiendo ocasionar su quiebra. Se dan cuando no se han considerado las consecuencias que supone la materialización de una amenaza. //El impacto depende de la importancia del activo y de las medidas adoptadas. Identificar los impactos es uno de los objetivos del Análisis de riesgos// ====Desastres==== Un desastre es cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización (ISO 270001). Por ejemplo, la caida de un servidor debido a una subida de tensión o un ataque. Un evento de este tipo puede destruir los activos de una empresa. Originalmente se planteaba la destrucción de activos físicos. A día de hoy la principal forma de desastre afecta a los recursos lógicos: __la información__. Un desasttre de este tipo puede llegar a generar el cese de la actividad económica. //Estar preparado para cualquier tipo de desastre de modo que se reduzca el impacto ocasionado; deben desarrollar un Plan de Contingencia.// =====Principios de la seguridad de la información===== Para que un sistema se pueda considerar seguro se debe garantizar que cumpla los principios básicos de la seguridad informática: {{ :unidad1:principios-seguridad.jpg?600 |}} ====Integridad==== Garantizar que la información solo pueda ser alterada por las personas autorizadas, independientemente de si es de manera accidental o intencionada. Por ejemplo, si un usuario con permisos borra por accidente un registro de una base de datos, no se considera una violación de la integridad, ya que tiene permisos para ello. La vulneración de la integridad tiene distinto significado dependiendo de dónde se produzca: * **Equipo de trabajo (ordenador)**: Existe violación de la integridad cuando un usuario no legítimo modifica información del sistema sin tener autorización para ello. * **Red de comunicaciones**: Existe violación de la integridad cuando un atacante actúa como intermediario en una comunicación, modificandola y enviandosela al receptor (man-in-the-middle). Se puede proteger mediante una firma electrónica. {{ :unidad1:violacion-integridad.jpg?300 |}} ====Confidencialidad==== Garantizar que la información solo es accesible e interpretada por personas o sistemas autorizados. La vulneración de este principio afecta de forma diferente a equipos y redes: * **Equipo de trabajo (ordenador)**: Se produce una violación cuando un atacante consigue acceso a un equipo sin autorización, controlando sus recursos. Por ejemplo, obtención de claves de acceso o dejar el puesto de trabajo sin bloquear el equipo, permitiendo visualizar información confidencial. * **Red de comunicaciones**: Se produce una violación cuando un atacante accede a los mensajes que circulan por ella sin tener autorización. Se puede proteger mediante el cifrado de la información. {{ :unidad1:violacion-confidencialidad.jpg?300 |}} ====Disponibilidad==== Asegurar que la información es accesible en todo momento para los usuarios legítimos. La violación de la disponibilidad también se da de forma distinta: * **Equipo de trabajo (ordenador)**: Cuando los usuarios que deben tener acceso a él, no pueden usarlo. Por ejemplo un //Ransomware// encriptando la información. * **Redes de comunicaciones**: Se consigue que un recurso deje de estar disponible para otros usuarios que acceden a él desde la red. Ejemplo: un Ataque de Denegación de Servicio que bloquea un servidor web. {{ :unidad1:violacion-disponibilidad.jpg?300 |}} ====No Repudio==== Garantizar la participación de ambas partes en una comunicación, tanto en origen como en destino. Este principio esta estándarizado en la ISO-7498-2 * En el origen: protege al receptor, garantizando que la persona que envía el mensaje no puede negar que es el emisor del mismo. * En el destino: protege al emisor, ya que el receptor no puede negar que recibió el mensaje. ====Autenticación==== Comprobar la identidad de los participantes en una comunicación y garantizar que son quienes dicen ser. Una violación de este principio es la suplantación de identidad o el robo de contraseñas. {{ :unidad1:violacion-autenticacionborrar.jpg?300 |}} {{ :unidad1:pilares_seguridad.gif?600 |}} =====Clasificaciónes de Seguridad Informática===== ====Seguridad física y lógica==== Podemos clasificar la seguridad dependiendo de los activos que queremos proteger, es decir, de los recursos del sistema de información necesario para el funcionamiento de la activadad. ===Seguridad física=== Trata de proteger el hardware de los posibles desastres naturales (terremotos, inundaciones, incendios, sobrecargas) y humanos (robos, ataques). ^Amenaza^Prevención^ |Incendios|Mobiliario ignífugo, sistemas antiincendios, detectores de humo, rociadores de gas, extintores| |Inundaciones|Evitar situar los centros de cálculo en las plantas bajas, impermeabilizar paredes y sellar puertas.| |Robos|Utilizar medidas biométricas, cámaras de seguridad, vigilantes| |Ondas electromagnéticas|Evitar situar los centros de cálculo proximos a lugares de gran radiación, utilizar filtros y cableado especial, o fibra óptica.| |Apagones|Usar Sistemas de Alimentacion Ininterrumpida| |Sobrecargas|SAIs con filtros de picos de tensión| |Desastres naturales|Mantener contacto con el Instituto Geográfico Nacional y la Agencia Estatal de Meteorología| ===Seguridad lógica=== Complementa a la seguridad física, protegiendo el software de los equipos informáticos, aplicaciones y datos, frente a robos, pérdida de datos, virus, modificaciones no autorizadas, ataques desde la red, etc. ^Amenaza^Prevención^ |Robos|Cifrar la información almacenada, Uso de contraseñas para el acceso a la información, Sistemas biométricos (huella, tarjeta id, etc)| |Pérdida de Información|Copias de Seguridad, Sistemas de ficheros trolerantes a fallos, RAIDs| |Malware|Sistemas software de protección contra malware| |Ataques desde la red|Firewalls, Software de monitorización, Servidores proxys que autoricen y auditen las conexiones entrantes| |Modificaciones no autorizadas|Contraseñas para el acceso a la información, Listas de control de acceso, Cifrar información| ====Seguridad activa y pasiva==== Depende del momento preciso de actuación: antes de producirse el percance, de manera que se eviten daños en el sistema, o después de producirse el percance, minimizando el impacto ocasionado. ===Seguridad activa=== Se define como el conjunto de medidas que previenen e intentar evitar los daños en los sistemas informáticos. ^Técnica^Prevención^ |Uso de contraseñas|Previene acceso a recursos por personas no autorizadas| |Lista de Control de Acceso|Previene acceso a recursos sin autorización| |Encriptación|Evita que personas sin autorización lean la información| |Software de seguridad|Previene de virus o de entradas no deseadas al sistema| |Firmas y certificados digitales|Permite comprobar la procedencia y el destino, asi como la autenticidad de los mensajes| |Cuotas de disco|Previene de que usuarios hagan uso indebido de la capacidad de disco| ===Seguridad pasiva=== Complementa a la seguridad activa, y se encarga de minimizar el impacto que haya ocasionado algún percance. ^Técnica^Reduce impacto^ |Discos en RAID|Podemos restaurar la información| |SAI|Mantienen la alimentación eléctrica en caso de apagón| |Copia de Seguridad|Restaura información en caso de pérdida de datos| ---- (c) {{date> %Y}} Fernando Valdeón