¡Esta es una revisión vieja del documento!

Tabla de Contenidos

Fundamentos de Seguridad Informática

Fundamentos de Seguridad Informática

Seguridad informática y seguridad de la información

Seguridad informática

Rama de la seguridad de la información que trata de proteger la información que utiliza una infraestructura informática y de telecomunicaciones para ser almacenada o transmitida. Diferenciamos los siguientes tipos:

Seguridad física y lógica: en función de lo que se quiere proteger.
Seguridad activa y pasiva: en función del momento en que tiene lugar la prevención.

Seguridad de la información

Conjunto de medidas y procedimientos, tanto humanos como técnicos, que permiten proteger la integridad, confidencialidad y disponibilidad de la información:

Seguridad de la Información:

Integridad
Confidencialidad
Disponibilidad
No repudio
Autenticación

Normas ISO/IEC 27000¹⁾: Es un conjunto internacional de estándares de la International Organization for Standarization y del International Electrotechnical Comission que definen el Sistema de Gestión de la Seguridad de la Información.

Elementos principales en materia de seguridad

Terminología específica de ámbito se la seguridad de la información y de la informática:

Activos

Recurso del sistema necesario para una organización, es decir todo lo que tenga que ser protegido ante un eventual percance: Trabajadores, software, datos, archivos, hardware, sistemas de comunicación, etc.

Desde el punto de vista de Informática , los principales activos de una empresa son:

Información: datos almacenados en cualquier tipo de soporte.
Software: programas o aplicaciones que utiliza una emprea.
Físicos: infraestructura tecnológica y física utilizada para almacenar procesar, gestionar o transmitir la información.
Personal: usuarios que utilizan la estructura tecnológica y de comunicación para el manejo de la información.

Vulnerabilidades

Cualquier debilidad de un activo que pueda repercutir en el correcto funcionamiento del sistema informático. Pueden estar asociados a fallos en propia aplicación, en la configuración de un sistema operativo, en errores humanos, etc.

Por ejemplo, no utilizar ningún tipo de protección frente a ataques informáticos, como antivirus o firewalls, supone una vulnerabilidad.

Amenazas

Cualquier entidad o circunstancia que atente contra el buen funcionamiento de un sistema informático. En algunos casos serán involuntarias, y en la mayor parte de los casos serán intencionadas.

Se puede clasificar en:

Amenazas pasivas: Su objetivo es obtener información relativa a la comunicación. Ej. sniffers: programas para monitorizar el tráfico de una red Wifi.
Amenazas activas: Tratan de realizar algún cambio no autorizado en el estado del sistema.

MAGERIT es una metodología de análisis de riesgos, desarrollada por el Gobierno de España. Esta metodología hace otra clasificación de las amenazas:

Grupos de Amenazas	Ejemplos
Desastres naturales	Fuego, daños por agua, desastres naturales
Desastres industriales	Fuego, daños por agua, desastres industriales, contaminación mecánica, contaminación electromagnética,etc
Errores y fallos no intencionados	Errores de usuario, errores de configuración,etc
Ataques deliberados	Manipulación de la configuracion, suplantación de identidad, difusión de software dañino,etc

Ataques

Es una acción que trata de aprovechar una vulnerabilidad de un sistema informático para provocar un impacto sobre él o tomar el control del mismo. MAGERIT distingue entre ataques (acciones intencionadas) y errores (ataques fortuitos).

Normalmente un ataque informático sigue este patrón:

Reconocimiento: Obtener toda la información necesaria de la víctima, persona u organización
Exploración: Conseguir información necesaria del sistema a atacar. Por ejemplo: direcciones IP, nombres de host, datos de autenticación, etc.
Obtención de acceso: Usar la información anterior para intentar explotar alguna vulnerabilidad.
Mantener el acceso: Mantener una forma de acceso para futuros ataques.
Borrar huellas: Eliminar pruebas de la intrusión.

Existen una gran variedad de herramientas para mantener un nivél óptimo de seguridad, pero también hay estrategias que anulan estas herramientas, como es la ingeniería social.

Riesgos

Podemos entender por riesgo en el ámbito de la seguridad informática:

UNE-71504:2008: evaluación del grado de exposición a que una amenaza se materialice sobre uno o más activos.
Centro Criptológico Nacional: probabilidad de que una amenaza se materialice aprovechando una vulnerabilidad y causando un daño (impacto).

El riesgo es, por tanto, una Medida de la probabilidad de que se materialice una amenaza.

Además, existen diferentes niveles de riesgo a los que se expone un activo. El nivel dependerá de la probabilidad de que se materialice la amenaza, y el grado de impacto producido:

Nivel	Tipo de Riesgo
Alto	Robo de información, Robo de Hardware
Medio	Accesos no autorizados
Bajo	Inundaciones

En conclussión, para realizar un Análisis de Riesgos se ha de tener en cuenta:

Activos que se desea proteger
Vulnerabilidades y amenazas sobre esos activos
Probabilidad de que estas amenazas se produzcan
Impacto de dicha amenazas

Impacto

El alcance producido o daño causado en caso de que una amenaza se materialice. Ante una misma amenaza el impacto puede diferir según las medidas adoptadas previamente o la relevancia del activo.

Puede ser:

Impacto leve: no afecta prácticamente al funcionamiento de la empresa. Suele ocurrir cuando se han establecido pautas ante las amenazas y riesgos.
Impacto grave: afecta seriamente a la empresa pudiendo llegar a la quiebra. O el ataque es imprevisto o no se han establecido pautas.

El estudio de los impactos debe de estar incluido en el Análisis de los riesgos.

El impacto depende de la importancia del activo y de las medidas adoptadas.

Desastres

Un desastre es cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización (ISO 270001). Por ejemplo, subida de tensión ó ataque DoS.

Un evento de este tipo puede destruir los activos de una empresa; es tanto o más difícil proteger los recursos lógicos que los físicos.

La seguridad debe pasar por la prevención, hasta la recuperación en caso de que se produzca un desastre.

Principios de la seguridad de la información

Para que un sistema se pueda considerar seguro se debe garantizar que cumpla los principios básicos de la seguridad informática:

Integridad

Garantizar que los datos no han sido modificados por individuos sin autorización desde su creación, sea de manera accidental o intencionada. Por ejemplo, si un usuario con permisos borra por accidente un registro de una base de datos, no se considera una violación de la integridad, ya que tiene permisos para ello.

La vulneración de la integridad tiene distinto significado dependiendo de dónde se produzca:

Equipo de trabajo (ordenador): Un usuario no legítimo modifica información del sistema sin tener autorización para ello.
Red de comunicaciones: Existe violación de la integridad cuando un atacante actúa como intermediario en una comunicación, modificandola y enviandosela al receptor (man-in-the-middle). Se puede proteger mediante una firma electrónica.

Confidencialidad

Garantizar que sólo personas autorizadas puedan a acceder a la información.

La vulneración de este principio afecta de forma diferente a equipos y redes:

Equipo de trabajo (ordenador): Se produce una violación cuando un atacante consigue acceso a un equipo sin autorización, controlando sus recursos. Por ejemplo, obtención de claves de acceso o dejar el puesto de trabajo sin bloquear el equipo, permitiendo visualizar información confidencial.
Red de comunicaciones: Se vulnera cuando un atacante accede a los mensajes que circulan por ella sin tener autorización. Se puede proteger mediante el cifrado de la información.

Es uno de los principales problemas a los que se enfrentan muchas empresas con la pérdida de información confidencial.

Disponibilidad

Garantizar que el sistema y los datos van a estar disponibles para el usuario autorizado en todo momento.

La violación de la disponibilidad también se da de forma distinta:

Equipo de trabajo (ordenador): Cuando el usuario legítimo no puede usarlo, por ejemplo por virus.
Redes de comunicaciones: Se consigue que un recursos deje de estar disponible a través de la red (Ataque DoS).

No Repudio

Garantizar la participación de ambas partes en una comunicación, tanto en origen como en destino. Este principio esta estándarizado en la ISO-7498-2

En el origen: protege al receptor, garantizando que la persona que envía el mensaje no puede negar que es el emisor del mismo.
En el destino: protege al emisor, ya que el receptor no puede negar que recibió el mensaje.

Autenticación

Comprobar la identidad de los participantes en una comunicación y garantizar que son quienes dicen ser. Una violación de este principio es la suplantación de identidad o el robo de contraseñas.

Clasificaciónes de Seguridad Informática

Seguridad física y lógica

Podemos clasificar la seguridad dependiendo de los activos que queremos proteger, es decir, de los recursos del sistema de información necesario para el funcionamiento de la activadad.

Seguridad física

Trata de proteger el hardware de los posibles desastres naturales (terremotos, inundaciones, incendios, sobrecargas) y humanos (robos, ataques).

Técnica	Prevención
Incendios	Mobiliario ignífugo, sistemas antiincendios, detectores de humo, rociadores de gas, extintores
Inundaciones	Evitar situar los centros de cálculo en las plantas bajas, impermeabilizar paredes y sellar puertas.
Robos	Utilizar medidas biométricas, cámaras de seguridad, vigilantes
Ondas electromagnéticas	Evitar situar los centros de cálculo proximos a lugares de gran radiación, utilizar filtros y cableado especial, o fibra óptica.
Apagones	Usar Sistemas de Alimentacion Ininterrumpida
Sobrecargas	SAIs con filtros de picos de tensión
Desastres naturales	Mantener contacto con el Instituto Geográfico Nacional y la Agencia Estatal de Meteorología

Seguridad lógica

Complementa a la seguridad física, protegiendo el software de los equipos informáticos, aplicaciones y datos, frente a robos, pérdida de datos, virus, modificaciones no autorizadas, ataques desde la red, etc.

Técnica	Prevención
Robos	Cifrar la información almacenada, Uso de contraseñas para el acceso a la información, Sistemas biométricos (huella, tarjeta id, etc)
Pérdida de Información	Copias de Seguridad, Sistemas de ficheros trolerantes a fallos, RAIDs
Malware	Sistemas software de protección contra malware
Ataques desde la red	Firewalls, Software de monitorización, Servidores proxys que autoricen y auditen las conexiones entrantes
Modificaciones no autorizadas	Contraseñas para el acceso a la información, Listas de control de acceso, Cifrar información

Seguridad activa y pasiva

Depende del momento preciso de actuación: antes de producirse el percance, de manera que se eviten daños en el sistema, o después de producirse el percance, minimizando el impacto ocasionado.

Seguridad activa

Se define como el conjunto de medidas que previenen e intentar evitar los daños en los sistemas informáticos.

Técnica	Prevención
Uso de contraseñas	Previene acceso a recursos por personas no autorizadas
Lista de Control de Acceso	Previene acceso a recursos sin autorización
Encriptación	Evita que personas sin autorización lean la información
Software de seguridad	Previene de virus o de entradas no deseadas al sistema
Firmas y certificados digitales	Permite comprobar la procedencia y el destino, asi como la autenticidad de los mensajes
Cuotas de disco	Previene de que usuarios hagan uso indebido de la capacidad de disco

Seguridad pasiva

Complementa a la seguridad activa, y se encarga de minimizar el impacto que haya ocasionado algún percance.

Técnica	Reduce impacto
Discos en RAID	Podemos restaurar la información
SAI	Mantienen la alimentación eléctrica en caso de apagón
Copia de Seguridad	Restaura información en caso de pérdida de datos

¹⁾

https://es.wikipedia.org/wiki/ISO/IEC_27000-series