SEGURIDAD INFORMATICA

I. QUE ES LA SEGURIDAD INFORMATICA La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. Podemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Objetivos: Los activos son los elementos que la seguridad informtica tiene como objetivo proteger. Son tres elementos que conforman los activos: Informacin Es el objeto de mayor valor para una organizacin, el objetivo es el resguardo de la informacin, independientemente del lugar en donde se encuentre registrada, en algn medio electrnico o fsico. Equipos que la soportan. Software, hardware y organizacin. Usuarios Individuos que utilizan la estructura tecnolgica y de comunicaciones que manejan la informacin. Adems, Generar condiciones significa la decisin por parte del Nivel Estratgico, de establecer la funcin de seguridad informtica en la empresa, y definir claramente trminos de referencia para su gestin. Las amenazas al patrimonio se refieren al patrimonio de la empresa en general, y en particular de los recursos informticos. Las amenazas al logro de los objetivos de la empresa, por problemas informticos, atentan contra el sentido mismo de la informtica, cuyo exclusivo rol es el de apoyar el logro de dichos objetivos. Tampoco es nico el objetivo de la seguridad. Son muy diversos tipos de amenazas contra los que debemos protegernos. Desde amenazas fsicas, como los cortes elctricos, hasta errores no intencionados de los usuarios, pasando por los virus informticos o el robo, destruccin o modificacin de la informacin. No obstante s hay tres aspectos fundamentales que definen la seguridad informtica: la confidencialidad, la integridad y la disponibilidad. Dependiendo del tipo de sistema informtico con el que tratemos (militar, comercial, bancario, ...), el orden de

importancia de estos tres factores es diferente, e incluso entran en juego otros elementos como la autenticidad o el no repudio. El enfoque de la poltica de seguridad y de los mecanismos utilizados para su implementacin est influido por el ms importante de los tres aspectos. Estos aspectos tambin pueden entenderse como metas u objetivos. Definicin operacional: Una computadora es seguro si podemos contar con que su hardware y su software se comporten como se espera de ellos. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas:

Integridad: La informacin slo puede ser modificada por quien est autorizado. Confidencialidad: La informacin slo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lgica y seguridad fsica. En estos momentos la seguridad informtica es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su informacin sea robada.

Trminos relacionados con la seguridad informtica

Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un Activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio.

Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podran englobar un mismo concepto, una definicin ms informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad est ligada a una Amenaza y el Riesgo a un Impacto.

II. ANLISIS DE RIESGOS El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar prohibido" y sta debe ser la meta perseguida. Los medios para conseguirlo son: 1. Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. 2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). 3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. 4. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. 6. Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. 7. Actualizar constantemente las contraseas de accesos a los sistemas de cmputo. Puesta en marcha de una poltica de seguridad Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los operadores tienen slo los permisos que se les dio. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a elaborar una poltica de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como

ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad. III. LAS AMENAZAS Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento (o transmisin) de la informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias "no informticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica proteccin posible es la redundancia (en el caso de los datos) y la descentralizacin -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema informtico (porque no le importa, no se da cuenta o a propsito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informtico, un gusano informtico, un troyano, una bomba lgica o un programa espa o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, script kiddie o Script boy, viruxer, etc.). Un siniestro (robo, incendio, por agua): una mala manipulacin o una malintencin derivan a la prdida del material o de los archivos. El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informtica.

Tcnicas de aseguramiento del sistema

Codificar la informacin: Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar a partir de datos personales del individuo. Vigilancia de red. Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de intrusos - antispyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad.

Consideraciones de software
Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantas aumenta los riesgos). En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de contingencia.

Existe software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las mquinas. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus.

Algunas afirmaciones errneas comunes acerca de la seguridad

Mi sistema no es importante para un cracker. Esta afirmacin se basa en la idea de que no introducir contraseas seguras en una empresa no entraa riesgos pues quin va a querer obtener informacin ma?. Sin embargo, dado que los mtodos de contagio se realizan por medio de programas automticos, desde unas mquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen mltiples formas de contagio, adems los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas. Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicacin, adems los antivirus son vulnerables a desbordamientos de bfer que hacen que la seguridad del sistema operativo se vea ms afectada an. Como dispongo de un firewall no me contagio. Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entraar riesgos, adems los firewalls de aplicacin (los ms usados) no brindan proteccin suficiente contra el spoofing. Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede que este protegdo contra ataques directamente hacia el ncleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un

ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix.

IV. CREACIN DE UN PLAN DE SEGURIDAD EN LA ORGANIZACIN Siempre que se desea asegurar la informacin en una organizacin se debe empezar por la creacin de un plan que permita tener un norte en las acciones a llevar a cabo para lograr el objetivo final propuesto, en este articulo se comentan las bases para la creacin de un plan de seguridad, el que se debe implementar con la idea de facilitar la vida a los usuarios del sistema as como asegurar la informacin al mximo posible. Uno de los primeros pasos que se deben tomar para la creacin de un plan de seguridad en la organizacin es declara el objetivo del plan, el porque se pretende implementar una poltica de seguridad. Adems de lo anterior otra de las caractersticas que debe tener el plan es trazar las responsabilidades y comportamientos que se esperan de las personas que tienen acceso al sistema. Definiendo cargos y roles para los involucrados en el mismo. ROLES EN EL SISTEMA Existen una serie de trminos que debemos clarificar antes de proceder en el desarrollo del tema estos son: Dueo del sistema: tpicamente es la persona encargada de coordinar los esfuerzos de administradores de sistema, administradores de seguridad y dueos de informacin. Administrador del sistema: es la persona encargada del sistema y sus da a da coordina el correcto funcionamiento de servidores y medios de almacenamiento, Dueo de la informacin: es la persona que se encarga de definir cuales son las formas de uso de informacin y los comportamientos que se esperan de las personas que tiene acceso a la misma. Incluso cuando otras organizaciones tienen acceso a la informacin. Usuario final: personas que reciben y manipulan la informacin para producir un resultado esperado o no, tiene acceso tanto a la informacin como a los sistemas que la procesan. Administrador de seguridad del sistema: encargados de fijar las polticas que permiten al sistema manejar la informacin de manera adecuada y conceder o negar acceso a la informacin a personal especfico de acuerdo a su posicin en la organizacin.

Habiendo definido los roles, cabe aclarar que en muchas organizaciones no es necesario esta divisin tan marcada y tpicamente una o dos personas realizan todas las tareas anteriores, la siguiente etapa es definir hasta donde llega el sistema de la empresa,

FRONTERAS DEL SISTEMA Las fronteras del sistema abarcan por lo regular las siguientes caractersticas: Debe estar dentro del mismo control administrativo. Deben tener una misin comn (misin entendido como objetivo administrativo) Deben tener las mismas caractersticas operativas y necesidades de seguridad. Deben residir en el mismo entorno operativo.

Dadas esas cuatro caractersticas lo ltimo que se debe decir es que no todos los sistemas deben estar conectados en la misma red, es decir, no todos deben pertenecer a una red, pueden existir equipos desconectados (standalone) que pertenezcan al mismo grupo. CLASIFICACIN DE LOS SISTEMAS Los sistemas en general se deben clasificar en gripos que indique su importancia o relevancia para el negocio existen tres niveles de clasificacin: 1. sistemas crticos: son aquellos sistemas sin los que la organizacin no puede continuar su funcionamiento, por ejemplo un proveedor de acceso a Internet no puede continuar prestando su servicio si el servidor de autenticacin se bloquea. 2. sistemas de esenciales: son aquellos sistemas que permiten una marcha mas cmoda del negocio, los que si en algn momento fallan puede continuar el funcionamiento del negocio pero no por un periodo muy largo o con la eficiencia requerida. 3. sistemas rutinarios o del da a da. Son sistemas que funciona para los usuarios finales son los menos crticos, pueden no funcionar por periodos mas prolongados sin afectarla operacin normal del negocio. Para los dos primeros sistemas depende de la organizacin que se este tratando, para la clasificacin. Una vez clasificados los sistemas deben ser claramente identificados y documentados para de esta manera poder tener una referencia clara de las funciones particulares del mismo, la documentacin del sistema debe contener las siguientes caractersticas como mnimo:

ubicacin del sistema fsicamente y de manera lgica: esta ubicacin debe describir en que seccin y sitios especifico en que opera el sistema. Caractersticas de operacin del sistema: incluyen rangos de temperatura humedad, voltaje, conexin a redes protocolos que usa direcciones en la red nombre si los usa, sistema operativo.

Encargados de la operacin del sistema o responsable: incluye nombre completo del encargado, posicin a cargo, extensin o contacto telefnico, direccin fsica de contacto. Encargado de seguridad del sistema o la seccin: incluye nombre completo del encargado, posicin a cargo, extensin o contacto telefnico, direccin fsica de contacto. rea responsable del sistema: incluye nombre completo del encargado de rea, posicin a cargo, extensin o contacto telefnico, direccin fsica de contacto. Estado del sistema: en funcionamiento, mantenimiento o implementacin segn sea el caso. Funciones del sistema: que presta el sistema en la organizacin, pida informacin a los dueos de las respectivas aplicaciones. Informacin de interconexin: lista de sistemas interconectados, protocolos que soporta el sistema, identificadores nicos de red, sistema de nombres, consideraciones de interconexin (riesgos posibilidades etc.), nivel de sensibilidad de la informacin almacenada, interaccin entre sistemas, reglas aplicadas para proteger el sistema.

SENSIBILIDAD DE LA INFORMACIN El principal activo que tiene todo el sistema que desea proteger es la informacin, la cual debe ser clasificada segn una serie de requisitos para as dar el grado de proteccin adecuada para no incurrir en costos econmicos de sobreproteccin o costos legales y de imagen por subproteccin, dependiendo de tres factores se puede clasificar la informacin: Confidencialidad: indica que la informacin no puede ser vista por personal no autorizado. Integridad: la informacin debe ser protegida por cambios no autorizados, no previstos o accidentales. Disponibilidad: la informacin debe estar disponible en el momento que sea requerida para su consulta

Para cada uno de los anteriores parmetros existe una escala de acuerdo con la importancia del factor a analizar dicho factor puede ser alto medio o bajo