Seguridad Informática

Este curso está basado en el módulo de Seguridad Informática que se estudia en el ciclo formativo de grado medio de Formación Profesional.

Hoy en día las tecnologías nos ayudan a digitalizar toda la información ya sea a nivel: personal, empresarial y gubernamental. La era de la información, con Internet como principal exponente, ha hecho que los datos circulen por todo el mundo y puesto que la información es poder, tenemos que hacer todo lo posible por protegerla.

06-Jul-2016

¿Qué proteger?

  1. Almacenamiento: Equipos y elementos físicos del SI (Sistema Informático)
  2. Procesamiento: Aplicaciones y Datos
  3. Transmisión: Comunicaciones
  1. Sustracción/Robos de equipos, Cifrar los contenidos críticos, Controlar la conexión de equipos no autorizados, Realizar mantenimientos preventivos del SI (limpieza interna de equipos)
  2. Maquetar los equipos (realizar las instalaciones mínimas iniciales), Homogeneizar el software instalado en los equipos (que no nos encontremos con configuraciones muy dispares entre los equipos del SI), Realizar las instalaciones mínimas necesarias, Estudiar la concesión de privilegios, Deshabilitar componentes que supongan entrada o salida de información no autorizada (CD, USB), Utilizar software de fuentes de confianza, Mantener la política de actualizaciones, Proteger los equipos contra software malicioso, Mantener un almacenamiento redundante de datos, El almacenamiento tiene que estar cifrado.
  3. Utilizar canales cifrados de comunicación, Realizar un control de las conexiones, Impedir las conexiones no autorizadas a nuestro SI, Controlar el spam para liberar parte de la conexión a internet, Intentar migrar nuestros sistemas de almacenamiento al Cloud Computing (almacenamiento en web).

Definiciones

Seguridad

Física: Equipos / Lógica: Aplicaciones y Datos Activa: Ataques  / Pasiva: sistemas de recuperación

Física: Desastres naturales, Ubicación de los CPD (Centro de Procesamiento de Datos), Duplicación de los CPD, Robos protegiendo el acceso a los CPD, uso de vigilantes, tarjetas identificativas, Controlar los posibles fallos en el suministro eléctrico o de comunicaciones.

Lógica: Protegerse de virus, troyanos, etc., Controlar la posible pérdida de información al utilizar aplicaciones, Protegerse de los ataques a los servidores

Pasiva: Sistemas de recuperación como los SAI o Grupos Electrógenos, Restauración automática de copias de seguridad.

Activa: Protegernos de ataques y protección de los activos de la empresa: equipos, aplicaciones, datos y comunicaciones.

Confidencialidad, Disponibilidad, Integridad y No Repudio

Confidencialidad. Controlar que los datos sólo se utilicen por personal debidamente autorizado.

Autenticación: Uso de usuarios y claves.

Autorización: Permisos o privilegios generalmente de lectura o lectura/escritura.

Cifrado: Encriptación de datos para que los usuarios no autorizados les sea imposible interpretar la información contenida en los discos o comunicaciones.
Una vez realizada la autenticación se aplica una autorización sobre los datos que a ser posible tienen que estar cifrados.

Disponibilidad. Acceso a los datos con normalidad dentro de los horarios establecidos. Uso de sobredimensionamiento de recursos disponiendo de duplicación de recursos para prestar los servicios.

Integridad de datos. La información obtenida sea la esperada y no sufra o haya sufrido alteraciones.

No repudio. Las partes implicadas en la transacción (emisor – receptor) tienen que aceptar los datos de la relación creada.

Sabes – Tienes – Eres

Esquemas para analizar la autenticación de equipos y/o usuarios.

Sabes: Usuario, Clave, PIN.

Tienes: Elementos materiales de autenticación como tarjetas, DNIe, Certificados, etc.

Eres: Reconocimientos físicos del individuo (biométrica)

AAA (Autenticación, Autorización, Accounting)

Accounting: informes internos que los sistemas generan sobre eventos, actuaciones, usos, etc de si mismos. Siguiendo y analizando la información generada en estos informes se puede localizar por donde se ha producido un error o ataque e intentar resolverlo. Son los llamados logs del sistema.

e2e

Control extremo a extremo comprobando que los medios no hayan sido manipulados.

Vulnerabilidades

Vulnerabilidades

Hacen mención generalmente a los defectos de una aplicación. Su pueden intentar solucionar por medio de la utilización de software de fuentes fiables y manteniendo una buena política de actualizaciones.

Hay tres tipos:

Reconocidas y solucionadas/parcheadas por el suministrador.

Reconocidas y en proceso de solución/parcheo por el suministrador, recibiendo el nombre de workarround

No reconocidas por el suministrador.

Malware

Consiste en el aprovechamiento de las vulnerabilidades de los sistemas o aplicaciones para generar un nuevo software malicioso con el que conseguir en algunos casos el control (exploit) del sistema o realizar operaciones no autorizadas.

Tipos

  • Virus: Dejar inservible el equipo por medio de la eliminación de datos o corrupción de servicios.
  • Gusanos. Acaparar los recursos del sistema para dejarlo bloqueado.
  • Troyanos: BackDoors o puertas traseras que permiten el control remoto del equipo o el acceso de otros malwares convirtiéndolo en un ordenador zombi

Ataques

  • Interrupción: cortar el servicio e impedir el acceso al recurso. Servidor web no disponible, unidad de red inaccesible, etc.
  • Interceptación: obtener la información que se transmite.
  • Modificación: interceptar y alterar los datos antes de llegar al destino.
  • Fabricación: suplantar el destino, para conocer el objeto de nuestra comunicación.

Técnicas

  • Ingeniería Social: uso indebido de claves, uso de claves débiles o el uso de las autorizaciones de otras personas.
  • Phising: utilización de correos o similares para obtener las claves de los usuarios. (mensajes de bancos o grandes organizaciones solicitando claves de los usuarios).
  • Keyloggers: interceptar las pulsaciones del teclado de los usuarios para intentar obtener sus claves o información crítica.
  • Fuerza Bruta: generando todas las combinaciones posibles hasta obtener la información deseada, utilizando en ocasiones diccionarios de palabras comunes.
  • Spoofing: suplantar las identidades de las máquinas. Correos con direcciones alteradas.
  • Sniffing: conectarse al mismo tramo de red para capturar el tráfico de datos.
  • DoS: denegación de servicios de un servidor, simulando falsas peticiones de conexión hasta conseguir saturarlo, dejarlo bloqueados y fuera de servicio.
  • DDoS: DoS distribuido. El ataque se realiza por múltiples máquinas repartidas por todo el planeta.

Atacantes

  • Hacker: busca vulnerabilidades en los sistemas y las comunica a los administradores del sistema.
  • Cracker: hacker que intenta sacar partido de las vulnerabilidades detectadas.
  • Script Kiddie: aprendiz de hacker o cracker que utiliza información ya publicada sin tener en cuenta o saber las consecuencias del ataque, por lo que se consideran más peligrosos.
  • Programador de Malware: programador experto en Sistemas Operativos que aprovechan las vulnerabilidades para crear aplicaciones malware.
  • Sniffer: experto en protocolos de comunicación que intentar localizar datos interesantes.
  • Ciberterrorista: cracker con intereses políticos y económicos a gran escala.

Recomendaciones

Llevar un control de los activos que hay que proteger: que equipos, aplicaciones, datos y comunicaciones se han de proteger y hacer hincapié en los sistemas de copias de seguridad (qué copiar, cuando, cómo y dónde).

  • Planes de actuación: contemplando todas las posibilidades como ataques, desastres naturales, arranques parciales de los sistemas, etc.
  • Instalaciones mínimas y revisión periódica de las configuraciones.
  • Listas de correo: suscribirse a listas de correo sobre seguridad y hardware instalado en el SI.
  • Formación de usuarios: formar en el tema de la seguridad informática y uso correcto de los recursos en busca de los beneficios.
  • Revisión de logs: accounting.
  • Auditorías externas: cada cierto tiempo contratar los servicios de empresas especializadas en la seguridad informática para que realicen auditorías sobre nuestros niveles y estado de la seguridad en SI (tiger teams).
  • Listas de equipos conectados: tener constancia en todo momento de los equipos conectados a nuestro SI con el fin de controlar los equipos no autorizados.
  • Listas de usuarios activos: sólo tener activos los usuarios de los empleados que realmente existan en ese momento.
  • Avisos SMS: ser los primeros en estar informados sobre incidencias, análisis sistemas de copia, fallos de suministro.

Legislación

LOPD: Ley Orgánica de Protección de Datos (1999)

Tratamiento de los datos de carácter personal de las personas físicas almacenados en cualquier tipo de soporte.
En el caso de los ficheros informatizados se contemplan tres niveles:
Nivel bajo: datos de carácter personal.

  • Identificar y autenticar a los usuarios que pueden trabajar con los datos.
  • Llevar un registro de incidencias.
  • Copia de seguridad como mínimo semanalmente.

Nivel medio: bajo + información sobre infracciones administrativas o penales, datos bancarios, gestión tributaria, etc.

  • Al menos una vez cada dos años realizar un auditoría externa.
  • Control de acceso físico a los medios de almacenamiento de los datos.

Nivel alto: son los más protegidos ya que incluyen datos sobre: ideología, vida sexual, origen racial, afiliaciones políticas, historial médico, etc.

  • Cifrado de las comunicaciones.
  • Registro detallado de todas las operaciones sobre el fichero, incluyendo usuarios, fecha, hora, tipo de operación y resultado de la autenticación y autorización.

LSSI-CE Ley de Servicios de La Sociedad de la Información y Comercio Electrónico (2002)

Recoge las obligaciones de los prestadores, comunicaciones comerciales, información previa y posterior a la transacción o prestación del servicio, condiciones y sanciones aplicables.

LPI Ley de Protección Intelectual (1996)

Recoge los derechos de los autores en los entornos digitales.
Se permiten las copias privadas para uso personal del dueño de ese contenido legalmente adquirido.
Se establece un canon digital sobre los distintos dispositivos de almacenamiento, el cual revierte en las sociedades de autores.
Administración Electrónica.
Hace referencia a los esfuerzos de los estamentos públicos para adaptarse a las nuevas tecnologías.

  • Disponibilidad 24h 365d.
  • Facilitar el acceso a todos los usuarios.
  • Ahorro de tiempo. Ya no hace falta desplazarse físicamente para realizar algunas de las gestiones.
  • Fiabilidad. Los procedimientos ya no dependen de personas, sino de sistemas.