Académique Documents
Professionnel Documents
Culture Documents
Seguridad de la Informacin
1. Introducci
Introduccin
2. Conceptos Fundamentales
Confidencialidad
Integridad
Disponibilidad
Otros aspectos relacionados
3. Pol
Polticas de Seguridad
4. An
Anlisis y Gesti
Gestin de Riesgos
4.1. Valor de un SI
4.2. Vulnerabilidad, Amenazas y Contramedidas
4.3. Planes de Contingencia
5. Principios Fundamentales de la Seguridad Inform
Informtica
6. El Papel de la Criptograf
Criptografa en la Seguridad de la Informaci
Informacin
1. Introduccin
(s. XXI) Sociedades de la Informaci
Informacin: El volumen de datos
(informacin) que es procesado, almacenado y transmitido es muy
superior al de otra poca.
Crece MUCHSIMO la importancia de la informacin.
Recursos clsicos: Recursos Humanos, Materiales y Dinero
El conocimiento es poder.
Disponer de determinadas informaciones permite usarlas y
manipularlas en beneficio propio.
Si la informacin puede proporcionar beneficios, siempre existir
alguien que ponga todos los medios a su alcance para obtenerla,
manteniendo una proporcionalidad entre los medios y el beneficio.
Los nuevos medios para transmitir y utilizar la informacin han
aumentado su inseguridad.
El auge de las redes y de Internet ha sido el factor que ha hecho que
la Seguridad Informtica cobre importancia.
Seguridad de los Sistemas de Informacin (SSI) = Seguridad de la
Informacin, Seguridad de los Ordenadores, Seguridad de Datos,
Proteccin de la Informacin.
2
1
2. Conceptos Fundamentales
Definiciones
Informaci
Informacin: Conjunto de datos que sirven para tomar una decisin.
Sistema Inform
Informtico (SI):
(SI) Conjunto de recursos tcnicos, financieros
y humanos cuyo objetivo es el almacenamiento, procesamiento y
transmisin de la informacin.
Protecci
Proteccin: Accin y efecto de proteger. Proteger:
Proteger Resguardar a una
persona, animal o cosa de un perjuicio o peligro, ponindole algo
encima, rodendolo, etc.
Seguridad:
Seguridad Se aplica a ciertos mecanismos que aseguran algn buen
funcionamiento, precaviendo que ste falle, se frustre o se violente.
Ordenador Seguro:
Seguro Si podemos contar con que su hardware y su
software se comporten como se espera de ellos.
Protecci
Proteccin y Seguridad de la Informaci
Informacin (PSI):
(PSI) Este trmino surge
de la idea de que hay que proteger la informacin para proporcionar
acceso a ella.
3
2. Conceptos Fundamentales
Vulnerabilidad y Riesgos
Tecnolog
Tecnologas de la Informaci
Informacin Las organizaciones se exponen a
riesgos por una proteccin inadecuada de la informacin (o de los
sistemas de tratamiento).
2
2. Conceptos Fundamentales
PSI (I): Objetivo
Objetivo de la seguridad:
seguridad Preservar las caractersticas de
confidencialidad, integridad y disponibilidad que debe cubrir un SI
seguro.
2. Conceptos Fundamentales
PSI (II): Confidencialidad
Confidencialidad:
Confidencialidad Servicio de seguridad o condicin
que asegura que la informacin no pueda estar
disponible o ser descubierta por o para personas,
entidades o procesos no autorizados. Tambin
puede verse como la capacidad del sistema para
evitar que personas no autorizadas puedan acceder
a la informacin almacenada en l.
Privacidad: Cuando nos referimos a datos de carcter personal.
Seguridad Gubernamental: Los usuarios pueden acceder a la
informacin que les est permitida en base a su grado o nivel de
autoridad (disposiciones legales o administrativas) MULTINIVEL .
Entornos de Negocios: La confidencialidad asegura la proteccin en
base a disposiciones legales o criterios estratgicos de informacin
privada.
Mecanismos para salvaguardar la confidencialidad de los datos:
El uso de tcnicas de control de acceso a los sistemas.
El cifrado de la informacin confidencial o de las comunicaciones.
6
3
2. Conceptos Fundamentales
PSI (III): Integridad
Integridad:
Integridad Servicio de seguridad que garantiza
que la informacin es modificada, incluyendo su
creacin y borrado, slo por el personal autorizado.
Se unen varios conceptos: precisi
precisin, integridad,
integridad autenticidad.
autenticidad
El sistema no debe modificar o corromper la informacin que
almacene, o permitir que alguien no autorizado lo haga.
El problema de la integridad no slo se refiere a modificaciones
intencionadas, sino tambin a cambios accidentales.
Redes y comunicaciones Autenticidad: Se trata de proporcionar los
medios para verificar que el origen de los datos es el correcto, quin
los envi y cundo fueron enviados y recibidos.
Entornos financieros o bancarios: Al realizar transacciones es ms
importante mantener la integridad y precisin de los datos que estos
sean interceptados o conocidos (confidencialidad).
Criptografa: Hay mtodos para mantener y asegurar la autenticidad
de los mensajes y la precisin de los datos. Se usan cdigos o firmas
aadidos a los mensajes, asegurando integridad y autenticidad. 7
2. Conceptos Fundamentales
PSI (IV): Disponibilidad
Denegaci
Denegacin de servicio:
servicio Los usuarios no pueden obtener los recursos
deseados. Motivos:
El ordenador puede estar estropeado o el SO cado.
No hay suficiente memoria para ejecutar los programas.
Los discos, impresoras o cualquier otro recurso no estn disponibles.
No se puede acceder a la informacin
8
4
2. Conceptos Fundamentales
PSI (V): Definicin
Confiden- Integridad
cialidad
Informacin
Disponibilidad
2. Conceptos Fundamentales
Otros aspectos relacionados
Autenticidad:
Autenticidad Propiedad que asegura el origen de la informacin. La
identidad del emisor puede ser validada, de modo que se puede
demostrar que es quien dice ser.
Imposibilidad de rechazo (no repudio):
repudio) Propiedad que asegura que
cualquier entidad que enva o recibe informacin no puede alegar
ante terceros que no la envi o no la recibi.
Consistencia:
Consistencia Asegura que el sistema se comporta como se supone
que debe hacerlo con los usuarios autorizados.
Aislamiento:
Aislamiento Regula el acceso al sistema, impidiendo que personas no
autorizadas entren en l.
Auditor
Auditora: Capacidad de determinar qu acciones o procesos se han
llevado a cabo en el sistema y quin y cundo los ha llevado a cabo.
Para ello se mantiene un registro de las actividades del sistema (log),
altamente protegido contra modificacin.
10
5
3. Polticas de Seguridad
Concepto
Pol
Poltica de Seguridad (PS):
(PS) Es una declaracin de intenciones de alto
nivel que cubre la seguridad de los SI y que proporciona las bases
para definir y delimitar responsabilidades para las diversas
actuaciones tcnicas y organizativas que se requerirn.
11
3. Polticas de Seguridad
Reglas bsicas para establecer una Poltica
6
3. Polticas de Seguridad
Pasos bsicos
7
4. Anlisis y Gestin de Riesgos
Valor de un SI
Valor intr
intrnseco.
Fcil de valorar: Valores objetivos y mensurables (recursos e
informacin).
Ejemplo: Servidor de un departamento con varios grupos de
investigacin:
Valor del hardware.
Valor del software.
Valor de los resultados de investigacin almacenados.
Coste del esfuerzo y material invertido para obtener los datos.
Valor de la informacin personal que contiene.
Costes derivados.
Ms difciles de enumerar y cuantificar.
Dependen del tipo de SI; su valor e importancia pueden variar.
Conceptos:
Valor de sustituir el hardware. Prestigio
Valor de sustituir el software. Planificacin
Valor de los resultados. Etc.
Valor de reproducir los experimentos significativos.
Coste de regenerar la informacin personal. 15
Vulnerabilidad:
Vulnerabilidad Aspecto del sistema que es susceptible de ser atacado
o de daar la seguridad del mismo.
La seguridad total es difcil de lograr. Esto implicara describir todos
los riesgos y amenazas a que puede verse sometido el sistema.
No se puede hablar de SI totalmente seguro, sino de uno en el que no
se conocen tipos de ataques que puedan vulnerarlo.
Tipos de vulnerabilidades:
vulnerabilidades
Vulnerabilidad fsica: Nivel de edificio o entorno fsico. Cmo se
soluciona?
Vulnerabilidad natural: Desastres naturales/ambientales.
Vulnerabilidad del hardware y del software: Ciertos tipos de dispositivos
pueden ser ms vulnerables que otros. Bugs de los SO.
Vulnerabilidad de los medios o dispositivos: robos, daos, etc.
Vulnerabilidad por emanacin: Radiaciones electromagnticas.
Vulnerabilidad de las comunicaciones: (1) penetrar en el sistema a travs
de la red, (2) interceptar informacin en la transmisin.
Vulnerabilidad humana: El 50% de los problemas son debidos a los
usuarios. 16
8
4. Anlisis y Gestin de Riesgos
Amenazas (I)
Amenaza:
Amenaza Posible peligro del sistema o atacante que aprovecha las
debilidades (vulnerabilidades) del sistema.
Persona.
Programa.
Suceso natural o de otra ndole.
17
Clasificaci
Clasificacin de las amenazas :
Hardware: Sistema.
Software: programas de usuario, aplicaciones, bases de datos, SO, etc.
Datos.
18
9
4. Anlisis y Gestin de Riesgos
Amenazas (III)
Clasificaci
Clasificacin de las amenazas de acuerdo al origen:
origen
Amenazas naturales o fsicas: Desastres naturales y condiciones
medioambientales.
Amenazas involuntarias: Relacionadas con el uso descuidado del equipo
por falta de entrenamiento o concienciacin sobre la seguridad.
Borrar sin querer parte de la informacin.
Dejar sin proteccin determinados ficheros bsicos del sistema.
Dejar pegado a la pantalla un post-it con la clave u olvidarse de salir del
sistema.
Amenazas intencionadas: Procedentes de personas que pretenden
acceder al sistema para borrar, modificar o robar la informacin; para
bloquearlo o por simple diversin.
Causantes del da
dao:
Internos: (1) empleados despedidos/descontentos, (2) empleados
coaccionados, (3) empleados que obtienen beneficios personales.
Externos: Penetran en el sistema de mltiples formas:
Entrando al edificio o accediendo fsicamente al ordenador.
Entrando al sistema a travs de la red explotando las vulnerabilidades software.
Consiguiendo acceder a travs de personas que estn autorizadas. 19
Contramedida:
Contramedida Tcnica de proteccin del sistema contra las
amenazas.
SSI se encarga de:
Identificacin de las vulnerabilidades del sistema.
Establecimiento de contramedidas que eviten que las distintas amenazas
posibles exploten las vulnerabilidades.
Criterios de diseo de SI: economa, eficiencia, eficacia, etc.
Diseo mediante criterios de seguridad: Ms complejo.
Amenazas poco cuantificables y variadas.
La aplicacin de medidas para proteccin del sistema implica:
Anlisis y cuantificacin previa de los riesgos y vulnerabilidades.
Definicin de una poltica de seguridad y su implementacin mediante medidas.
Las medidas de seguridad llevan un coste asociado:
asociado
A mayores y ms restrictivas medidas, menos funcional es el sistema.
El sistema es menos cmodo para los usuarios: Limita su actuacin y
establece unas reglas ms estrictas que dificultan el manejo del sistema.
Una posible reduccin del rendimiento (Ej. Chequeo antivirus)
20
10
4. Anlisis y Gestin de Riesgos
Contramedidas (II)
Tipos de medidas:
medidas
Lgicas.
Fsicas.
Administrativas.
Medidas Legales
Legales.
Medidas Administrativas
Medidas Fsicas
Medidas Lgicas
Sistema Informtico
21
Medidas l
lgicas:
gicas
Incluyen las medidas de acceso a los recursos y a la informacin y al uso
correcto de los mismos, as como la distribucin de las responsabilidades.
Se refiere a la proteccin de la informacin almacenada y transportada.
Controles lgicos de una PS:
1) Establecimiento de una poltica de control de accesos.
2) Definicin de una poltica de instalacin y copia de software.
3) Uso de la criptografa para proteger los datos y las comunicaciones.
4) Uso de cortafuegos para proteger una red local de Internet.
5) Definicin de una poltica de copias de seguridad.
6) Definicin de una poltica de monitorizacin (logging) y auditoria (auditing)
del sistema.
Tambin se incluyen las medidas humanas: Se trata de definir las
funciones, relaciones y responsabilidades de distintos usuarios
potenciales del sistema (quin puede acceder, a qu recursos, etc.).
Hay cuatro tipos de usuarios: (1) administrador del sistema
(administrador de seguridad), (2) usuarios, (3) personas relacionadas con
el sistema pero sin necesidad de usarlo, (4) personas ajenas al sistema.
22
11
4. Anlisis y Gestin de Riesgos
Contramedidas (IV)
Medidas f
fsicas:
sicas
Aplican mecanismos para impedir el acceso directo o fsico no autorizado
al sistema.
Protegen al sistema de desastres naturales o condiciones
medioambientales adversas.
Se trata de establecer un permetro de seguridad en nuestro sistema.
Factores fundamentales a considerar:
1) Acceso fsico al sistema por parte de personas no autorizadas.
2) Daos fsicos por parte de agentes nocivos o contingencias.
3) Medidas de recuperacin en caso de fallo.
Tipos de controles:
1) Control de las condiciones medioambientales (temperatura, humedad, polvo...)
2) Prevencin de catstrofes (incendios, tormentas, sobrecargas, cortes del
suministro elctrico )
3) Vigilancia (cmaras, guardias, )
4) Sistemas de contingencia (extintores, fuentes de alimentacin ininterrumpida)
5) Sistemas de recuperacin (copias de seguridad, redundancia )
6) Control de la entrada y salida de material (elementos desechables, papeles,
consumibles, material anticuado )
23
Medidas administrativas:
administrativas
Son aquellas que deben ser tomadas por las personas encargadas de
definir la poltica de seguridad para ponerla en prctica, hacerla viable y
vigilar su correcto funcionamiento.
Medidas administrativas fundamentales.
1) Documentacin y publicacin de la poltica de seguridad y de las medidas
tomadas para ponerla en prctica.
2) Debe quedar claro quin fija la poltica de seguridad y quin la pone en
prctica.
3) Establecimiento de un plan de formacin del personal.
4) Los usuarios deben tener los conocimientos tcnicos necesarios para usar la
parte del sistema que les corresponda.
5) Los usuarios deben ser conscientes de los problemas de seguridad de la
informacin a la que tienen acceso.
6) Los usuarios deben conocer la poltica de seguridad de la empresa y las
medidas de seguridad tomadas para ponerla en prctica. Deben colaborar, a
ser posible voluntariamente, en la aplicacin de las medidas de seguridad.
7) Los usuarios deben conocer sus responsabilidades respecto al uso del SI, y
deben ser conscientes de las consecuencias de un mal uso del mismo.
24
12
4. Anlisis y Gestin de Riesgos
Contramedidas (VI)
Medidas legales:
legales
Se refiere ms a la aplicacin de medidas legales para disuadir al posible
atacante o para aplicarle algn tipo de castigo a posteriori.
Trascienden el mbito de la empresa y normalmente son fijadas por
instituciones gubernamentales e incluso instituciones internacionales.
LOPD: Ley Orgnica de Proteccin de Datos de Carcter Personal.
Vincula a todas las entidades que trabajen con datos de carcter personal.
Define las medidas de seguridad DE CARCTER TCNICO para su proteccin y
las penas a imponer en caso de incumplimiento.
Otras leyes o directivas importantes:
LSSI: Ley de Servicios de la Sociedad de la Informacin y de Comercio
Electrnico.
Directiva Europea de Proteccin de Datos.
25
13
4. Anlisis y Gestin de Riesgos
Planes de Contingencia (II)
27
28
14
5. Principios fundamentales de la Seguridad
Informtica
29
Defensa en profundidad.
La seguridad de nuestro sistema no debe depender de un solo
mecanismo por muy fuerte que este sea, sino que es necesario
establecer varios mecanismos sucesivos. De este modo cualquier
atacante tendr que superar varias barreras para acceder a nuestro
sistema.
30
15
5. Principios fundamentales de la Seguridad
Informtica
31
Participacin universal.
Para que cualquier sistema de seguridad funcione es necesaria la
participacin universal, o al menos la no oposicin activa de los usuarios
del sistema.
Simplicidad
La simplicidad es un principio de seguridad por dos razones. En primer
lugar, mantener las cosas lo ms simples posibles las hace ms fciles
de comprender. Si no se entiende algo difcilmente puede saberse si es
seguro. En segundo lugar, la complejidad permite esconder mltiples
fallos. Los programas ms largos y complejos son propensos a contener
mltiples fallos y puntos dbiles.
32
16
6. El papel de la Criptografa en la Seguridad de la
Informacin
Criptograf
Criptografa: Ciencia que estudia la escritura secreta, la forma de
escribir ocultando el significado.
Criptoan
Criptoanlisis:
lisis Ciencia que se ocupa de esclarecer el significado de la
escritura ininteligible.
Criptolog
Criptologa = Criptograf
Criptografa + Criptoan
Criptoanlisis.
Actualmente, la Criptografa es una herramienta muy poderosa para
proporcionar servicios de seguridad en los SI.
Es importante comprender los procedimientos criptogrficos en su
base terica, as como su forma de utilizacin (protocolos
criptogrficos), con el objetivo de entender la implantacin de
servicios de seguridad en los actuales SI.
33
17