1 introducción a la seguridad informática_v6
DESCRIPTION
Introducción a la seguridad informáticaTRANSCRIPT
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 2
ÍNDICE
Objetivos de la Unidad Didáctica:◦ Valorar la importancia de asegurar la
privacidad, coherencia y disponibilidad de la información en los sistemas informáticos
◦ Describir las diferencias entre seguridad física y lógica
◦ Clasificar las principales vulnerabilidades de un sistema informático
INTRODUCCIÓN
Introducción a la seguridad informática 3
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 4
ÍNDICE
Seguridad: ◦ "Característica que indica que un sistema está
libre de todo peligro, daño o riesgo." (Villalón) Seguridad de la información:
◦ Conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información
SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 5
Antes de aparecer los sistemas informáticos…◦ Situación: la información importante para las
organizaciones se guardaba en papel y ocupaba mucho espacio
◦ Problemas: almacenaje, transporte, acceso y procesado
SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 6
Después de aparecer los sistemas informáticos…◦ Situación: se ganó en espacio, acceso,
procesado y presentación de la información◦ Problemas:
Aumenta la probabilidad de que la información desaparezca al ser transportada
Aumenta la probabilidad de que la información sea modificada cuando se accede a la misma
SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 7
Después de aparecer los sistemas en red…◦ Situación:
Los problemas derivados de la seguridad de la información cambian y evolucionan
Las soluciones a los problemas se han ido adaptando a los nuevos requerimientos técnicos
Aumenta la sofisticación en los ataques Aumenta la complejidad en la solución a los
problemas de seguridad de la información
SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 8
• Seguridad informática:• Consiste en la implantación de un conjunto de
medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio (ISO/IEC 27001, estándar para la seguridad de la información)
• Es un término amplio, ya que engloba aspectos no sólo tecnológicos
SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 9
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 10
ÍNDICE
Como la seguridad de la información es importante para las organizaciones, éstas se plantean un SGSI (Sistema de Gestión de la Seguridad de la Información)
Objetivo de un SGSI: proteger la información
Para proteger la información:◦ 1º: Identificar los “activos de información” que
deben ser protegidos y en qué grado◦ 2º: Aplicar el plan PDCA (Plan – Do – Check – Act)
de forma cíclica
MODELO PDCA
Introducción a la seguridad informática 11
Es un ciclo de mejora continua que puede aplicarse, entre otros, a la gestión de la seguridad de la información de las organizaciones
Pasos del modelo:◦ Planificar: Plan◦ Hacer: Do◦ Revisar: Check◦ Actuar: Act
Al ser un ciclo de mejora continua, nunca termina
MODELO PDCA
Introducción a la seguridad informática 12
MODELO PDCA
El proceso de seguridad nunca termina ,ya que los riesgos nunca se eliminan
Introducción a la seguridad informática 13
PLANIFICAR (Plan) – Consiste en: • Establecer el contexto en el se crean las políticas
de seguridad• Hacer el análisis de riesgos• Seleccionar los controles y su estado de
aplicabilidad HACER (Do) - Consiste en: • Implementar el sistema de gestión de seguridad
de la información• Implementar el plan de riesgos • Implementar los controles
MODELO PDCA
Introducción a la seguridad informática 14
VERIFICAR (Check) - Consiste en: • Monitorizar las actividades • Hacer auditorías internas
ACTUAR (Act) – Consiste en: • Llevar a cabo tareas de mantenimiento• Llevar a cabo las propuestas de mejora• Llevar a cabo las acciones preventivas • Llevar a cabo las acciones correctivas
MODELO PDCA
Introducción a la seguridad informática 15
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 16
ÍNDICE
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 17
FIABILIDAD CONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
FIABILIDAD◦ Frase famosa: “El único sistema seguro es aquel
que está apagado y desconectado, enterrado en un refugio de cemento, rodeado de gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él” (Eugene Spafford)
◦ Como hablar de seguridad informática en términos absolutos es imposible, se usa un término más relajado: fiabilidad
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 18
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
FIABILIDAD◦ Definición: probabilidad de que un sistema se
comporte tal y como se espera de él◦ Un sistema será fiable si se puede garantizar:
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 19
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
CONFIDENCIALIDAD◦ Definición genérica:
Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas
◦ Definición adecuada a la seguridad de la información Necesidad de ocultar o mantener secreto
determinada información o recursos◦ Objetivo:
Prevenir la divulgación no autorizada de la información
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 20
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
CONFIDENCIALIDAD◦ Ejemplos:
La información del ejército de un país Los diseños que una empresa necesita proteger
frente a sus competidores◦ Mecanismo para garantizar la
confidencialidad: Criptografía:
Tiene como objetivo cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 21
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
INTEGRIDAD◦ Definición genérica:
Relativo a las cosas: “Que no carece de ninguna de sus partes”
Relativo a las personas: “Recta, proba, intachable”◦ Definición adecuada a la seguridad de la
información Fidelidad de la información o recursos Normalmente se expresa en lo referente a prevenir
modificaciones no autorizadas de la información
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 22
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
INTEGRIDAD◦ Objetivo:
Prevenir modificaciones no autorizadas de la información
◦ Debe darse en dos aspectos: La integridad de los datos: volumen de la
información La integridad del origen: fuente de datos, llamada
autenticación
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 23
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
DISPONIBILIDAD◦ Definición genérica:
“Que se puede disponer libremente de ella o que está lista para usarse o utilizarse”
◦ Definición adecuada a la seguridad de la información Que la información del sistema debe permanecer
accesible a elementos autorizados◦ Objetivo:
Prevenir interrupciones no autorizadas/controladas de los recursos informáticos
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 24
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
DISPONIBILIDAD◦ En términos de seguridad informática:
Un sistema está disponible cuando su diseño e implementación permiten deliberadamente negar el acceso a datos o servicios determinados
O lo que es lo mismo: “Un sistema está disponible si permite no estar disponible”
Tener un “sistema no disponible” es tan malo como no tener sistema: no sirve
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 25
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
CONCLUSIONES◦ Es necesario mantener el equilibrio entre
confidencialidad, integridad y disponibilidad◦ Dependiendo del tipo de organización, se
priorizan más unos aspectos de la seguridad que otros
◦ Ejemplos de organizaciones que priorizan: Confidencialidad: ¿¿¿??? Integridad: ¿¿¿??? Disponibilidad: ¿¿¿???
BASES SEGURIDAD INFORMÁTICA
Introducción a la seguridad informática 26
FIABILIDADCONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 27
ÍNDICE
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 28
AUTENTICACIÓN AUTORIZACIÓN ADMINISTRACIÓN
AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
AUTENTICACIÓN◦ Definición: verificación de la identidad del
usuario, generalmente cuando entra en el sistema o en la red, o accede a una base de datos
◦ Técnicas: Por lo que uno sabe: una contraseña Por lo que uno tiene: una tarjeta magnética Por lo que uno es: huellas digitales
◦ Técnicas usadas por las organizaciones: una o varias, en función del valor de la información que quieren/necesitan proteger
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 29
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
AUTENTICACIÓN◦ Técnica más usual:
La contraseña: cuanto más grande y compleja, más difícil de ser adivinada
Requisitos para las contraseñas: Deben ser confidenciales Debe tener un conjunto de caracteres amplio y variado
(minúsculas, mayúsculas, números y caracteres especiales)
Lo habitual con las contraseñas: Se usan valores previsibles (nombre, apellido, nombre
del usuario, fecha nacimiento,…)
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 30
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
AUTORIZACIÓN◦ Definición: proceso por el cual se determina
qué, cómo y cuándo un usuario autenticado puede utilizar los recursos de la organización
• ¿Cómo organizar los recursos de la organización? Por niveles
• ¿Qué hacer con las autorizaciones? Registrarlas para su posterior control
• ¿Qué debe asegurar en el caso de los datos? La confidencialidad y la integridad
• ¿A quién dar autorización a los recursos? Sólo a quien los necesite para hacer su trabajo
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 31
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
ADMINISTRACIÓN◦ Definición: la que establece, mantiene y elimina:
las autorizaciones de los usuarios del sistema los recursos del sistema las relaciones usuarios-recursos del sistema
• ¿Qué responsabilidad tienen los administradores?• Transformar las políticas de la organización y las
autorizaciones otorgadas a un formato que pueda ser usado por el sistema
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 32
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
ADMINISTRACIÓN◦ ¿Cómo es la tarea de la administración de la
seguridad informática en las organizaciones? Tarea en continuo cambio, por la evolución de las
tecnologías• Los sistemas operativos• Normalmente disponen de módulos específicos de
administración de la seguridad
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 33
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
AUDITORÍA Y REGISTRO◦ Definición de la auditoría:
Continua vigilancia de los servicios en producción, para lo que se recaba y analiza la información
• Objetivo de la auditoría:• Verificar que las técnicas de autenticación y
autorización usadas se realizan según lo establecido• Verificar que las técnicas de autenticación y
autorización usadas cumplen los objetivos fijados por la organización
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 34
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
AUDITORÍA Y REGISTRO◦ Definición de registro:
Mecanismo mediante por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos que se analiza con posterioridad
• ¿Cuándo es útil la auditoría y registro?• Si van acompañados de un estudio posterior en el
que se analice la información recabada• Formas de auditar y registrar:• Manual• Automática
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 35
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
MANTENIMIENTO DE LA INTEGRIDAD◦ Definición :
Conjunto de procedimientos establecidos para evitar o controlar que los archivos sufran cambios no autorizados y que la información enviada desde un punto llegue al destino inalterada
• Algunas técnicas• Uso de antivirus• Encriptación• Funciones hash
MECANISMOS BÁSICOS SEGURIDAD
Introducción a la seguridad informática 36
AUTENTICACIÓN AUTORIZACIÓN
ADMINISTRACIÓN AUDITORÍA Y REGISTRO
MANTENIMIENTO DE LA
INTEGRIDAD
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 37
ÍNDICE
¿Qué activos hay que proteger?◦ Hardware: elementos físicos del sistema
informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs)
◦ Software: elementos lógicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como si son las aplicaciones
◦ Datos: informaciones estructuradas en bases de datos o paquetes de información que viajan por la red
◦ Otros: personas, infraestructuras, aquellos que se “usan y gastan”, como puede ser la tinta y papel en las impresoras, etc
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 38
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 39
Orden de criticidad de los activos◦ 1 Datos: son los más críticos de todos los activos◦ 2 Hardware: en él se almacenan los datos◦ 2 Software: en él se procesan los datos
DATOS
Hardware
Software
VULNERABILIDAD◦ Definición: debilidad de cualquier tipo que
compromete la seguridad del sistema informático
◦ Clasificación:
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 40
TIPO DE VULNERABILIDAD
DISEÑO IMPLEMENTACIÓN USO
Vulnerabilidades en el DISEÑO◦ Debilidad en el diseño de protocolos utilizados
en las redes◦ Políticas de seguridad deficientes o
inexistentes Vulnerabilidades en la IMPLEMENTACIÓN◦Errores de programación◦Existencia de “puertas traseras” en los
sistemas informáticos◦Descuido de los fabricantes
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 41
Vulnerabilidades en el USO◦ Mala configuración de los sistemas
informáticos◦ Desconocimiento y falta de sensibilización de
los usuarios y de los responsables de informática
◦ Disponibilidad de herramientas que facilitan los ataques
◦ Limitación gubernamental de tecnologías de la seguridad
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 42
Vulnerabilidades conocidas◦ De desbordamiento de buffer:
Si un programa no controla la cantidad de datos que se copian en el buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenen en zonas de memoria adyacentes
◦ De condición de carrera (race condition): Cuando varios procesos acceden al mismo
tiempo a un recurso compartido Ejemplo: variable que cambia de estado y puede
adoptar un valor no esperado
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 43
Vulnerabilidades conocidas◦ Cross Site Scripting (XSS):
◦ Aparece en aplicaciones web en las que se permite inyectar código VBScript o JavaScript en páginas web visitadas por el usuario
◦ Ejemplo: phishing. La víctima cree que está accediendo a una URL, pero en realidad lo está haciendo a un sitio diferente
◦ De denegación de servicio: ◦ Hace que un servicio o recurso no esté disponible
para los usuarios que pueden usarlo◦ Suele provocar la pérdida de la conectividad de la
red por el consumo del ancho de banda de la red de la víctima
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 44
Vulnerabilidades conocidas◦ Vulnerabilidad de ventanas engañosas
(Window Spoofing): ◦ Este tipo de ventanas son las que dicen que eres
el ganador de tal o cual cosa, lo cual es mentira ◦ En otro tipo de ventanas, si las sigues el
atacante obtiene datos del ordenador para luego atacar
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 45
Herramientas◦ Sistemas Linux/Unix: el programa Nessus
◦ Es de arquitectura cliente-servidor OpenSource◦ Dispone de una BBDD de patrones de ataques
para lanzar contra una máquina o conjunto de ellas, con el objetivo de localizar sus vulnerabilidades
◦ Sistemas Windows: el programa MBSA (Microsoft Baseline Security Analyzer)
◦ Permite verificar la configuración de seguridad, detectando los posibles problemas en el sistema operativo y los diversos componentes instalados
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 46
¿De qué queremos proteger el sistema informático?◦ Amenaza: escenario en el que una acción o
suceso, sea o no deliberado, compromete la seguridad de un elemento del sistema informático
◦ Riesgo: cuando un sistema es vulnerable y existe una amenaza asociada a la vulnerabilidad
◦ Impacto: cuando el riesgo que era probable ahora es real y además ha provocado daños en el sistema
◦ Resumiendo: un evento producido en el sistema informático que constituye una amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre él
VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
Introducción a la seguridad informática 47
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 48
ÍNDICE
¿Cómo proteger el sistema informático?◦ Primero, hacer un análisis que incluya:
Las amenazas que pueda sufrir el sistema Una estimación de las pérdidas que provocarían
las amenazas Las probabilidades que hay de que las amenazas
se materialicen◦ Segundo, diseñar una política de seguridad:
◦ En la que se establezcan las responsabilidades a seguir para:◦ Evitar las amenazas, o◦ Minimizar los efectos, si se produjeran
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 49
¿Cómo proteger el sistema informático?◦ ¿Qué es la política de seguridad?:
“Documento sencillo que define las directrices organizativas en materia de seguridad” (Villalón)
◦ ¿Cómo se implementa la política de seguridad?◦ Mediante una serie de mecanismos de seguridad◦ Dichos mecanismos constituyen las herramientas
para la protección del sistema◦ Los mecanismos se suelen apoyar en normativas
especializadas en áreas específicas
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 50
¿Cómo proteger el sistema informático?◦Resumiendo:
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 51
POLÍTICA DE SEGURIDAD
NORMATIVAS
IMPLANTACIÓN
MECANISMOS DE
SEGURIDAD
Mecanismos de seguridad:
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 52
DE PREVENCIÓN
DE DETECCIÓN
DE RECUPERACIÓ
N
Mecanismos de seguridad de PREVENCIÓN: Objetivo: evitar desviaciones con respecto a la
política de seguridad Ejemplo: cifrar las transmisiones para evitar
capturas de información por parte de atacantes Tipos:
De identificación e autenticación: Permiten identificar “entidades del sistema” Luego pasan a autenticar, es decir, comprobar que la
entidad es quien dice ser A continuación, la entidad accede a un objeto del sistema Ejemplo: sistemas de identificación y autenticación de los
usuarios
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 53
DE PREVENCIÓN DE DETECCIÓN DE
RECUPERACIÓN
Mecanismos de seguridad de PREVENCIÓN: Tipos:
De control de acceso: Los objetos del sistema deben estar protegidos
mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad
De separación: Descripción: el sistema dispone de diferentes
niveles de seguridad que separan los objetos dentro de cada nivel
Tipos de separación: física, temporal, lógica, criptográfica y fragmentación
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 54
DE PREVENCIÓN DE DETECCIÓN DE
RECUPERACIÓN
Mecanismos de seguridad de PREVENCIÓN: Tipos:
De seguridad en las comunicaciones: La protección de la información cuando viaja por la
red es especialmente importante Se usan protocolos seguros que cifran el tráfico
por la red Ejemplos de protocolos: SSH o Kerberos
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 55
DE PREVENCIÓN DE DETECCIÓN DE
RECUPERACIÓN
Mecanismos de seguridad de DETECCIÓN: Objetivo: detectar las desviaciones, si se
producen, violaciones o intentos de violación de la seguridad del sistema
Ejemplo: herramienta Tripwire Mecanismos de seguridad
RECUPERACIÓN: Se aplican cuando se ha detectado una
violación de la seguridad del sistema, para recuperar su normal funcionamiento
Ejemplo: copias de seguridad
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 56
DE PREVENCIÓN DE DETECCIÓN DE
RECUPERACIÓN
Políticas de seguridad: Definición: documento de referencia que define los
objetivos de seguridad y las medidas a implementarse para poder alcanzar dichos objetivos
Objetivos: Mostrar el posicionamiento de la organización con
relación a la seguridad Servir de base para desarrollar los procedimientos
concretos de seguridad Requerimiento para la organización:
Disponer de un documento formalmente elaborado sobre el tema y divulgarlo a todos los empleados
El documento no tiene por qué ser muy extenso
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 57
Políticas de seguridad: Las políticas deben:
Definir claramente qué es seguridad de la información
Mostrar el compromiso de sus altos cargos con ellas
Establecer responsabilidades inherentes al tema Establecer la base para poder diseñar normas y
procedimientos Ser revisadas y actualizadas periódicamente
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 58
Políticas de seguridad: Esquema:
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 59
POLÍTICAS
NORMA 1
PROCEDIMIENTO 1.1
PROCEDIMIENTO 1.2
…
PROCEDIMIENTO 1.n
NORMA 2
PROCEDIMIENTO 2.1
PROCEDIMIENTO 2.2
…
PROCEDIMIENTO 2.m
Políticas de seguridad: Ejemplos de normas y procedimientos a
desarrollar: Organización de la seguridad Clasificación y control de los datos Seguridad de las personas Seguridad física y ambiental Plan de contingencia Prevención y detección de virus Administración de los equipos …
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 60
Políticas de seguridad:◦ Áreas que deberían cubrir:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación tras los incidentes Un sistema documentado actualizado
POLÍTICAS DE SEGURIDAD
Introducción a la seguridad informática 61
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 62
ÍNDICE
Clasificación de las amenazas◦ Clasificación general:
Físicas Lógicas
◦ Otras clasificaciones: Origen de las amenazas Intencionalidad de las amenazas
◦ Materializadas por: Personas Programas específicos Catástrofes naturales
AMENAZAS
Introducción a la seguridad informática 63
Clasificación de las amenazas◦ Origen de las amenazas:
Naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc
De agentes externos: virus informáticos, ataques de organizaciones criminales, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc
De agentes internos: empleados descuidados, empleados indispuestos con la empresa, errores en la utilización de las herramientas y recursos del sistema, etc
AMENAZAS
Introducción a la seguridad informática 64
Clasificación de las amenazas◦ Intencionalidad de las amenazas:
Accidentes: averías del hardware, fallos del software, incendio, inundación, etc
Errores: errores de utilización, de explotación, de ejecución de procedimientos, etc
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc
AMENAZAS
Introducción a la seguridad informática 65
Naturaleza de las amenazas◦ En función el factor de seguridad al que
comprometen, se pueden clasificar en: Amenazas de interceptación Amenazas de modificación Amenazas de interrupción Amenazas de fabricación
◦ Los factores de seguridad comprometidos son: Confidencialidad: nadie no autorizado accede a la
información Integridad: los datos enviados no se modifican en
el camino Disponibilidad: la recepción y acceso es correcto
AMENAZAS
Introducción a la seguridad informática 66
Interceptación
AMENAZAS
Detección difícilSe garantiza:• Integridad• DisponibilidadNo se garantiza• Confidencialidad
Copias ilícitas de programasEscucha en línea de datos
Introducción a la seguridad informática 67
Modificación
AMENAZAS
Modificación de bases de datosModificación de elementos del HW
Detección difícilSe garantiza:• DisponibilidadNo se garantiza• Integridad• Confidencialidad
Introducción a la seguridad informática 68
Interrupción
AMENAZAS
Destrucción del HWBorrado de programas y/o datos
Fallos en el S.O.
Detección inmediataSe garantiza:• Confidencialidad• IntegridadNo se garantiza:• Disponibilidad
Introducción a la seguridad informática 69
Fabricación
AMENAZAS
Añadir transacciones en redAñadir registros en base de datos
Detección difícil. Delitos de falsificación.Se garantiza:• Confidencialidad• Integridad• DisponibilidadNo se garantiza:• Autenticidad
Introducción a la seguridad informática 70
Amenazas provocadas por personas:◦ La mayoría de los ataques a los sistemas los
llevan a cabo las personas◦ Tipos de personas atacantes:
Activos: su objetivo es hacer daño de alguna forma Pasivos: su objetivo es curiosear en el sistema
◦ Tipos de personas que pueden ser una amenaza: Personal de la propia organización Ex-empleados Curiosos Crackers Terroristas Intrusos remunerados
AMENAZAS
Introducción a la seguridad informática 71
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 72
ÍNDICE
Introducción◦ Alcance: error o daño en el hardware que se
puede presentar en cualquier momento◦ Impacto: hacen que la información o no esté
accesible o no sea fiable◦ Catástrofes naturales: ciertas partes del
planeta están más dispuestas que otras◦ Catástrofes de riesgo poco probable: ataques
nucleares, impactos de meteoritos, etc
AMENAZAS FÍSICAS
Introducción a la seguridad informática 73
Tipos◦ Acceso físico
Cuando existe acceso físico a un recurso, ya no hay seguridad sobre él
Ejemplo: tomas de red fuera de control (libres)◦ Radiaciones electromagnéticas
Cualquier aparato eléctrico emite radiaciones y éstas pueden ser capturadas y reproducidas
Ejemplo: redes wifi desprotegidas
AMENAZAS FÍSICAS
Introducción a la seguridad informática 74
Tipos◦ Desastres naturales
Los terremotos no son habituales en el entorno de España
Cuando se producen, tienen un gran impacto Siempre hay que tener en cuenta las características
de cada zona en particular◦ Desastres del entorno
Son sucesos que, sin llegar a ser desastres naturales, pueden tener un impacto considerable
Ejemplos: incendios, apagones, etc
AMENAZAS FÍSICAS
Introducción a la seguridad informática 75
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 76
ÍNDICE
Definición◦ Software o código que de alguna forma u otra
puede afectar o dañar al sistema, creado de forma intencionada (malware) o por error (bug)
AMENAZAS LÓGICAS
Introducción a la seguridad informática 77
Las personas◦ Punto más débil de los sistemas
informáticos: Las personas relacionadas con ellos
◦ Hacker Experto o gurú en aspectos técnicos relacionados
con la informática Apasionados por conocer, descubrir/aprender nuevas
cosas y entender su funcionamiento Tipos:
Hackers: sus acciones son de carácter constructivo, informativo o sólo intrusivo
Crackers: sus acciones son de carácter destructivo
AMENAZAS LÓGICAS
Introducción a la seguridad informática 78
Algunos ataques potenciales de las personas◦ Ingeniería social: manipular a las personas para
que voluntariamente realicen actos que normalmente no harían
◦ Shoulder surfing: espiar físicamente a los usuarios para obtener claves de acceso al sistema
◦ Masquerading: suplantar la identidad de cierto usuario autorizado en un sistema informático
◦ Basureo: obtener información dejada en o alrededor de un sistema informático
AMENAZAS LÓGICAS
Introducción a la seguridad informática 79
Tipología de ataques potenciales de las personas◦ Actos delictivos: actos tipificados claramente
como delitos por las leyes (chantaje, soborno, amenaza)
◦ Atacante interno: la mayor amenaza procede de personas que han trabajado o trabajan con los sistemas
◦ Atacante externo: suplanta la identidad de un usuario legítimo
AMENAZAS LÓGICAS
Introducción a la seguridad informática 80
Algunas amenazas lógicas◦ Software incorrecto: error de programación
(bug)◦ Exploits: programas que aprovechan las
vulnerabilidades de los sistemas◦ Herramientas de seguridad: detectan y
solucionan fallos en los sistemas, pero también se se pueden utilizar para detectar esos mismos fallos y aprovechar para atacarlos
◦ Puertas traseras (backdoors): son “atajos” de acceso o administración que dejan por olvido los desarrolladores de software, a veces con poco nivel de seguridad
AMENAZAS LÓGICAS
Introducción a la seguridad informática 81
Algunas amenazas lógicas◦ Bombas lógicas: código que sólo se ejecuta
cuando se produce una determinada condición; al activarse, su función no está relacionada con el programa
◦ Virus: secuencia de código incluido en un archivo ejecutable, de forma que cuando el archivo se ejecuta, el virus también lo hace
◦ Gusano (Worm): programa capaz de ejecutarse y propagarse por si mismo a través de redes
AMENAZAS LÓGICAS
Introducción a la seguridad informática 82
Algunas amenazas lógicas◦ Troyanos o Caballos de Troya: instrucciones
incluidas en un programa que simulan realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones ocultas sin el conocimiento del usuario
◦ Programas conejo o bacterias: no suelen hacer nada útil, sólo se reproducen rápidamente hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco, etc), produciendo una negación del servicio
AMENAZAS LÓGICAS
Introducción a la seguridad informática 83
Algunas técnicas de ataque◦ Malware: programas malintencionados (virus,
espías, gusanos, troyanos, etc) que afectan a los sistemas
◦ Ingeniería social: obtener información confidencial a través de la manipulación y confianza de usuarios legítimos
◦ Scam: estafa electrónica por medio del engaño (donaciones, transferencias, compra de productos fraudulentos)
◦ Spam: correo electrónico no solicitado, no deseado o de remitente desconocido, normalmente de tipo publicitario
AMENAZAS LÓGICAS
Introducción a la seguridad informática 84
Algunas técnicas de ataque◦ Sniffing: rastrear monitorizando el tráfico de una
red para hacerse con información confidencial◦ Spoofing: suplantación de identidad o
falsificación◦ Pharming: redirigir un nombre de dominio a otra
máquina distinta falsificada y fraudulenta◦ Phishing: estafa basada en la suplantación de
identidad y la ingeniería social para adquirir acceso a cuentas bancarias o a comercio electrónico ilícito
AMENAZAS LÓGICAS
Introducción a la seguridad informática 85
Algunas técnicas de ataque◦ Password cracking: descifrar contraseñas de
sistemas y comunicaciones◦ Botnet: conjunto de robots informáticos (bots),
que se ejecutan de manera autónoma y automática, en multitud de hosts, normalmente infectados, que buscan el control remoto de los equipos infectados
◦ Denegación de servicio (DoS): causar que un servicio o recurso sea inaccesible a los usuarios legítimos
AMENAZAS LÓGICAS
Introducción a la seguridad informática 86
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 87
ÍNDICE
Auditorías de seguridad◦ Definición: estudio que comprende el análisis y
gestión de sistemas para identificar y posteriormente corregir las posibles vulnerabilidades encontradas
◦ Objetivos: Revisar la seguridad de los entornos y sistemas Verificar el cumplimiento de la normativa y
legislación vigentes Elaborar un informe independiente
PROTECCIÓN
Introducción a la seguridad informática 88
Auditorías de seguridad◦ Estándares usados en su realización:
COBIT (Objetivos de Control para Información y Tecnologías Relacionadas)
ISO 27002◦ Fases:
Enumeración de sistemas operativos, servicios, aplicaciones, topologías y protocolos de red
Detección, comprobación y evaluación de vulnerabilidades
Medidas específicas de corrección Recomendaciones sobre implantación de medidas
preventivas
PROTECCIÓN
Introducción a la seguridad informática 89
Auditorías de seguridad◦ Tipos:
De seguridad interna: se contrasta el nivel de seguridad de las redes locales y corporativas internas
De seguridad perimetral: se estudia el perímetro de la red local o corporativa, conectado a redes públicas
Test de intrusión: se intenta entrar a los sistemas para comprobar el nivel de resistencia a la intrusión
Análisis forense: análisis posterior al incidente, mediante el cual se trata de reconstruir cómo se ha entrado en el sistema y qué daños se han ocasionado
Auditoría de código de aplicaciones: análisis del código, independientemente del lenguaje empleado
PROTECCIÓN
Introducción a la seguridad informática 90
Medidas de seguridad◦ Definición
Mecanismos usados para implementar la política de seguridad
Herramienta básica para garantizar la protección de los sistemas o de la propia red
PROTECCIÓN
Introducción a la seguridad informática 91
Medidas de seguridad◦ Según el recurso a proteger:
Seguridad física: trata de proteger el hardware, teniendo en cuenta aspectos tales como la ubicación y las amenazas de tipo físico
Seguridad lógica: trata de proteger el software, tanto a nivel de sistema operativo como de aplicación, sin perder nunca de vista el elemento fundamental a proteger: la información o datos de usuario
PROTECCIÓN
Introducción a la seguridad informática 92
Medidas de seguridad◦ Según el momento en que se ponen en
marcha las medidas de seguridad: Seguridad activa: son preventivas, evitan grandes
daños en los sistemas informáticos y se consideran previas a los ataques
Seguridad pasiva: son correctivas, minimizan el impacto y los efectos causados en los incidentes y se consideran posteriores a un ataque o incidente
PROTECCIÓN
Introducción a la seguridad informática 93
INTRODUCCIÓN SEGURIDAD DE LA INFORMACIÓN vs SEGURIDAD
INFORMÁTICA MODELO PDCA BASES DE LA SEGURIDAD INFORMÁTICA MECANISMOS BÁSICOS DE SEGURIDAD VULNERABILIDADES DE UN SISTEMA INFORMÁTICO POLÍTICAS DE SEGURIDAD AMENAZAS AMENAZAS FÍSICAS AMENAZAS LÓGICAS PROTECCIÓN
Introducción a la seguridad informática 94
ÍNDICE