INÍCIATE EN SEGURIDAD INFORMÁTICA.
¿Qué es la seguridad informática?
La seguridad de tecnologías de la información o seguridad informática es el área relacionada con la telemática y la informática, la seguridad se enfoca a la protección de la información que circula a lo largo de una red, un sistema informático o de telecomunicaciones. Para hacer esto posible se han creado unos estándares,unas normas, leyes entre otras medidas para ayudar con este proceso de protección.
Los principios de la seguridad informática son mantener la integridad, la confidencialidad y la disponibilidad, es importante proteger las vulnerabilidades de los activos, prevenir el impacto de los desastres para ello la seguridad informática dicta una serie de normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.Cualquier compañía con una red debe tener política de seguridad y un buen plan de contingencia para cuando falle.
Es importante recalcar que ningún sistema es cien por cien seguro, cada día surgen nuevas amenazas que superan la barrera antiviral por esta razón debemos estar al día.
Los activos
La infraestructura computacional: Imprescindible para el almacenamiento y gestión de la información y para el funcionamiento de la empresa. La seguridad por tanto se encarga de que los equipos funcionen correctamente y anticiparse en caso de fallo en la seguridad: incendios, robo de información, modificaciones, intercepciones e interrupciones en las comunicaciones.
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Es importante que el personal de la organización sea formado, concienciado y preparado sobre todo los que trabajan administrando el sistema informático.
La información : Hoy en día es el principal activo, reside en la estructura computacional. La pérdida, manipulación o violación de la confidencialidad de la información puede ocasionar grandes pérdidas e incluso el cese de la actividad económica.
Las amenazas
Una amenaza es cualquier entidad o circunstancia que atenta contra el buen funcionamiento de un sistema informático, ya sea voluntaria o involuntariamente.
Muchas son imprevisibles o inevitables como protecciones posibles tenemos la redundancia y la descentralización. Ej- estructuras de redes, servidores clúster(disponibilidad).
Las amenazas pueden ser causadas por:
Usuarios : Tienen permisos sobredimensionados, no se les han restringido acciones innecesarias,etc.
Programas malicioso: Destinado a perjudicar o hacer uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o modificando los datos. Ej- Virus informático, gusano, troyano, bomba lógica, programa espía=(Malware)
Errores de programación: Son considerados una amenaza por su condición de poder usarse como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, una amenaza. Para evitarlos podemos utilizar la actualización de parches en sistemas operativos y aplicaciones.
-
Siniestro: Una mala manipulación o mala intención derivan en la pérdida del material o de los archivos. (Robo, incendio, inundación..)
Personal técnico interno:Técnicos de sistemas, administradores bases de datos, técnicos de desarrollos, etc. Los motivos que se encuentran entre los habituales: Disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: Rayos, terremotos, inundaciones, rayos cósmicos,etc.
Amenazas por el origen: Aunque la red no esté conectada a un entorno externo, como Internet, no nos garantiza su seguridad. Según el CSI (Computer Security Institute) (San Francisco) entre el 60% y el 80% de incidentes de red son causados desde dentro. Basándonos en origen 2 TIPOS:
Amenazas internas:
Personal o usuarios que conocen la red también es posible que tengan algún nivel de acceso, su funcionamiento, la ubicación de la información,etc.
Vulnerabilidades que permiten acceder a la red directamente. No tiene por qué proceder de personas ajenas a la red. Los IPS (Sistemas de prevención de intrusos) y los firewall no son efectivos en amenazas internas, no orientados al tráfico interno.
Amenazas externas: Se originan fuera de la red, no tienen información certera de esta, atacante debe realizar un reconocimiento para poder encontrar vulnerabilidades, una manera de atacar. En este caso el administrador de la red puede prevenir la mayor parte de los ataques.
Amenazas por el efecto: Según el efecto que causan:
Robo de información.
Destrucción de información.
Anulación del funcionamiento de sistemas o efectos.
Suplantación de identidad(phishing)
Robo de dinero, estafas…
Virus informático: malware, su objetivo es alterar el normal funcionamiento del ordenador, sin permiso del usuario. Virus suelen reemplazar los ejecutables por otros infectados con su código. Pueden destruir los datos almacenados.
-
-
-
Spoofing: de DNS, de IP, DHCP… (falsificación de la comunicación, usurpación de identidades…)
Amenaza informática del futuro:Tradicionalmente el objetivo era cambiar las plataformas tecnológicas, área semántica reservada para los humanos, con la evolución a la web 3.0 la nueva modalidad es manipular los certificados que contienen la información digital. El área semántica se convierte en núcleo de los ataques.
La web 3.0 otorga contenidos y significados que pueden ser comprendidos por las computadoras, estas emplean técnicas de inteligencia artificial, pueden emular y mejorar la obtención de conocimiento.
Dotar de significado a las páginas web-web semántica o Sociedad de conocimiento-evolución de la pasada Sociedad de la Información(web2.0).
Es decir, las amenazas informáticas futuras no sera la inclusión de un troyano(software spías) sino que manipulan el significado de contenido virtual.
Web 3.0 “elaborar, compartir y significar” Hackers optan por modificar el significado del contenido digital, provocando la confusión y permitiendo la intrusión en los sistemas. La amenaza ya no solicita la clave de homebanking sino que modifica el balance de la cuenta, asustando al internauta y luego robandole.
Conocer el perfil de los usuarios por sus búsquedas realizadas, historial de navegación, geoposicionamiento , análisis del contenido subido.
Recomendaciones:
Mantener las soluciones activadas y actualizadas.
Evitar operaciones comerciales en computadoras de uso público o en redes abiertas.
Archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
DMS en el Data Center
Ejemplos de ataques informáticos
Según Valdivia 2014, ataques informáticos más usuales:
1)Ataques por repetición: Pirata copia secuencia de mensajes entre dos usuarios y la envía a uno o a más usuarios. Sistema atacado procesa este comportamiento como mensajes legítimos y producen respuestas cómo pedidos redundantes.
2)Ataque de modificación de bits: se basan en las respuestas predecibles de las estaciones receptoras. Pirata modifica bits de un mensaje para enviar un mensaje cifrado erróneo a la estación receptora y éste se puede comparar entonces contra la respuesta predecible para obtener la clave a través de múltiples repeticiones.
3)Ataque de denegación de servicio (DOS, Denial Of Service): Colapsar un servidor total o parcialmente para que no pueda dar respuesta a los comandos (no se pueda sacar información de él). En internet esto puede lograrse saturando un solo servidor con múltiples solicitudes de múltiples ordenadores. Servidor incapaz de responder a todas las solicitudes, colapsa. En redes inalámbricas esto se logra también provocando ruido: Se coloca un teléfono a 2,4 GHz cerca del punto de acceso e inicia una llamada. La energía de radiofrecuencia provocada es suficiente para bloquear de manera efectiva gran parte del tráfico de datos en el punto de acceso.
4) Ataques de diccionario: en algunos modelos de autenticación de datos, para ingresar el sistema de la contraseña se mantiene en secreto, mientras que el nombre de usuario es enviado en forma de texto simple, fácilmente interpretable. El pirata informático obtiene distintos nombres de usuarios y con ellos, desde un ordenador, empieza a adivinar las contraseñas con base en palabras de diccionarios en distintos idiomas. Exitoso debido a la poca creatividad de los usuarios.
La ingeniería social
Consiste en la obtención de información confidencial y/o sensible de un usuario mediante métodos propios de la condición humana. Este tipo de ataque no afecta directamente a los sistemas informáticos, afecta al eslabón más débil, el usuario. Capaz de conseguir resultados similares a un ataque a través de la red, saltándose toda la infraestructura creada para combatir programas maliciosos. Es un ataque imprevisible y más eficiente. Se pueden utilizar influencias psicológicas para lograr que los ataques sean lo más sencillo posible.
Análisis de riesgos informáticos
Proceso que comprende la identificación de activos informáticos, vulnerabilidades y amenazas a los que se encuentran expuestos, su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
La explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud de impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Elementos de un análisis de riesgo
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. El análisis de riesgos es indispensable para lograr una correcta administración del riesgo=gestión de los recursos de la organización. Diferentes tipos de riesgos como:
Riesgo residual
Riesgo total
Tratamiento del riesgo
Evaluación del riesgo
Gestión del riesgo
RT(Riesgo Total)= Probabilidad x Impacto Promedio.
Con esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Análisis de impacto al negocio
El reto es asignar estratégicamente los recursos para cada equipo de seguridad y bienes que intervengan, basándose en el impacto potencial para el negocio, respecto a los diversos incidentes que se deben resolver.
Para determinar el establecimiento de prioridades, el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. Puede ser que alguien asigne un valor monetario a cada equipo y un archivo en la red o asignar un archivo a cada sistema y la información sobre ella. Dentro de valores para el sistema se pueden distinguir: confidencialidad, integridad y disponibilidad. EJ.- servidor web público pueden poseer la característica de confidencialidad baja (ya que toda la información es pública) pero necesita alta disponibilidad e integridad, para poder ser confiable. En contraste, un sistema de planificación de recursos empresariales (ERP) es, habitualmente, un sistema que posee alto puntaje en las tres variables.
Poner en marcha una política de seguridad
Legislaciones nacionales de los Estados, obligan a las empresas, instituciones públicas a implantar políticas de seguridad determinadas. EJ.- España LOPD Ley Orgánica de Protección de Datos de carácter personal. Estipula una serie de medidas y necesidades básicas que impiden la pérdida de calidad o robo de información.
Y el Esquema Nacional de Seguridad establece medidas tecnológicas para permitir que los sistemas informáticos que prestan servicios a los ciudadanos cumplan con unos requerimientos de seguridad acordes al tipo de disponibilidad de los servicios que se prestan.
Generalmente se ocupa de asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Este tipo de mecanismos permiten saber que los operadores tienen únicamente los permisos que se les administró.
No debe impedir el trabajo de operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza.
En cuanto a elaborar una política de seguridad debemos:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Los derechos de acceso deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los responsables deben conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida.
El administrador suele ser el único en conocer perfectamente el sistema, debe derivar a la directiva cualquier problema e información relevante con la seguridad, eventualmente deberán aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones.
Barreras y procedimientos
El activo más importante hoy en día es la información.
Más allá de la seguridad física deben existir técnicas que la aseguren.
Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas.
Dependiendo del sistema requerirá un medio de protección o la combinación de varios de ellos.
Medidas básicas para asegurar el sistema:
Utilizar técnicas de desarrollo que cumplan los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estándares y de personal suficientemente capacitado y comprometido con la seguridad.
Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas contra apagones y sobretensiones, sistemas de control de accesos…
Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger. EJ-.los datos de una base muy confidencial se han protegido con dos niveles de cortafuegos, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red, tendríamos un punto de vulnerabilidad.
Contraseñas difíciles y complejas para que no puedan deducirlas a partir de datos personales o con un diccionario. Además deberán ser cambiadas periódicamente. Uso de certificados digitales mejora la seguridad frente a usar solo contraseñas.
Vigilancia de red: Las redes transportan toda la información y son el medio habitual de acceso de los atacantes y por el cual se obtiene información como: ficheros informáticos, correo, VoIP teléfono, mensajería instantánea, navegación por internet, lecturas y escrituras bases de datos… Proteger bien la red puede evitar el robo de la información. Medidas de seguridad física de los puntos de entrada hasta el control de equipos conectados, ejemplo: 802.1x. Las redes inalámbricas son mucho más vulnerables y hay que tomar medidas adicionales.
Redes perimetrales de seguridad o DMZ, permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados. Las reglas más débiles sólo permiten el acceso a ciertos equipos y nunca a los datos, estos quedarán tras dos niveles de seguridad.
Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos(antispyware), antivirus, llaves para protección de software, etc.
Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona.
Controlar el acceso a la información por medio de permisos centralizados y mantenidos (en plan Active Directory, LDAP, listas de control de acceso...). Los medios para su obtención son:
Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro y que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los entornos actuales, conocidos habitualmente como gestores de identidad.
Redundancia y descentralización.
Candado Inteligente: USB inalámbrico utilizado para brindarle seguridad a la computadora. La misma se bloquea cuando el usuario que tiene este aparato se aleja más de tres metros. El kit contiene un USB inalámbrico y un software para instalar que detecta cuando el usuario está lejos y cuando está más cerca de los tres metros, habilitando nuevamente la computadora.
Respalda el activo más importante de tu empresa
La información es el activo más importante, puede ser afectada por muchos factores: hurtos, incendios, fallos, virus…
Problema: Proteger la información crítica permanentemente, es importante determinar una buena política de copias de seguridad o backup, debe ser completa en un primer momento y seguir con copias de seguridad incrementales(cambios realizados desde la última copia)
Características de un buen sistema de respaldo:
Continuo: Debe ser automático, contínuo y funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.
Seguro: Cifrado de datos local antes del envío de la información
Remoto: Los datos deben quedar alojados en otra localización diferente.
Mantenimiento de versiones anteriores de los datos: Sistema que permita la recuperación, versiones diarias, semanales, mensuales de los datos.
La nube, sistemas de almacenamiento online ganan terreno en empresas y sistemas gubernamentales, ya que cuentan con medidas máximas de seguridad y disponibilidad de datos. Permiten a las empresas crecer en volumen de información, derivando la necesidad del crecimiento de la copia de respaldo a proveedor del servicio.
Protección contra virus
Control de software instalado:
Instalar únicamente el software necesario reduce riesgos, controlar la procedencia del software, inventario actualizado, software de rápida instalación.
Control de la red:
Puntos de entrada a la red como el correo, páginas web, entrada de ficheros desde discos o portátiles. Recursos de la red en sólo lectura, impide que ordenadores infectados propaguen virus, reducir permisos de usuarios al mínimo.
Protección física de acceso a las redes:
Medidas que impidan que usuarios no autorizados entren en la red, todo depende del medio físico al que proteger.
Redes cableadas:
Las rosetas deben estar protegidas y vigiladas, evitar tener puntos de red conectados a los switches. Siempre puede ser sustituido un equipo por otro no autorizado, hacen falta medidas adicionales: norma de acceso 802.1x, lista de control de acceso por MAC, DHCP server...
Redes inalámbricas:
Es posible tomar medidas de contención de la emisión electromagnética para circunscribirla a aquellos lugares “seguros”. Uso de cifrado WPA, WPAv.2, certificados digitales, etc. Contraseñas compartidas, filtros de direcciones MAC, varias medidas habituales que aumentan conjuntamente la seguridad.
Sanitización
Proceso físico y/o lógico mediante el cual se elimina información considerada sensible o confidencial de un medio físico o magnético, con el objetivo de desclasificarlo, reutilizar el medio o destruir el medio en el que se encuentra.
Uso de hardware confiable
Hardware confiable: todo dispositivo diseñado para ofrecer una serie de facilidades que permiten manejar de manera segura información crítica. Disponen de mecanismos de seguridad y tienen sus limitaciones.
El Trusted Computing Group es un conjunto de empresas que definen especificaciones de hardware con objetivo de tener plataformas más seguras.
Organismos oficiales de seguridad informática
España:
Unión Europea:
Alemania:
NCAZ: Centro nacional de defensa Cibernética.
BSI: Oficina Federal para la seguridad de la información.
BKA: Oficina Federal de investigación Criminal.
BND: Servicio Federal de Inteligencia.
MAD: Servicio Federal de inteligencia.
Estados Unidos:
México:
UNAMCERT:Grupo de profesionales que se encarga de evaluar las vulnerabilidades.
