TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

Transcripción

1 Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES SOBRE SEGURIDAD 2 3 LA CONFIDENCIALIDAD El control del acceso al sistema informático Autentificación Autorización Datos externos al SI 4 4 INTEGRIDAD 4 5 DISPONIBILIDAD Causas accidentales Causas intencionadas 6 6 TRAZABILIDAD 7 1 Introducción La seguridad informática engloba todos los mecanismos empleados para garantizar el correcto funcionamiento de los sistemas informáticos y la confidencialidad e integridad de la información que almacenan. El objetivo de la seguridad informática es conseguir que el funcionamiento de una organización no se vea afectado por los incidentes que pueden surgir entorno a los sistemas de información que le dan servicio. Los incidentes que pueden afectar a un sistema de información pueden ser: Accidentales, como la avería de un componente de un ordenador, o una operación negligente de un usuario, o Maliciosos, como el ataque de un virus, o un intento de intrusión dentro del sistema, etc. Los mecanismos de seguridad pueden clasificarse según su momento de actuación en: Activos, o pro-activos, buscan evitar o reducir la probabilidad de que ocurra un incidente, por ejemplo el uso de un firewall en la conexión a Internet, o Pasivos, o reactivos, cuya función es minimizar los daños causados por el incidente, por ejemplo las copias de Backup. La seguridad de los sistemas de información no sólo es necesaria para el correcto funcionamiento de una organización, sino que en el caso de la gestión de datos de carácter personal es una obligación legal (Ley 15/1999 Ley Orgánica de Protección de Datos de carácter personal). Página 1 de 7

2 2 Conceptos generales sobre seguridad A continuación explicaré los conceptos generales que se aplican en el campo de la seguridad informática, algunos de los cuales trataré más extensamente posteriormente. Disponibilidad: Es el indicador utilizado para determinar el grado por el cual, un sistema informático -SI- es capaz de dar servicio sin interrupciones durante un periodo de tiempo establecido. Se define matemáticamente como la probabilidad de que el sistema esté funcionando durante un intervalo de tiempo. Confidencialidad: se define como la seguridad que la información es accesible sólo por los usuarios autorizados. Integridad: Es la condición por la que los datos se mantienen sin alteración durante su transmisión, operación y almacenamiento. Autentificación: Es el mecanismo por el cual un SI confirma la identidad del usuario que quiere conectarse. La autentificación es un mecanismo imprescindible para garantizar la confidencialidad de la información dentro de un SI. Trazabilidad: es un conjunto de procedimientos que permiten registrar e identificar las acciones realizadas sobre los datos o aplicaciones de un sistema informático. 3 La confidencialidad Es la garantía que sólo los usuarios autorizados tienen acceso a la información y recursos de un sistema de información. La confidencialidad se garantiza mediante dos mecanismos: 1. Control de acceso a los SI 2. La autentificación de los usuarios 3. La autorización de sus acciones. Es decir, controlar sus actividades para que sólo realicen lo que tengan autorizado. 3.1 El control del acceso al sistema informático El control del acceso al sistema informático, se realiza en tres niveles: Control del área de sistemas: El acceso normal a la ubicación de los servidores principales de la organización sólo debe tenerla quienes trabajen habitualmente en ella. Cualquier otra persona debe acceder sólo con autorización. El acceso físico a las máquinas debe estar restringido. Control de terminales: También deben controlarse los equipos que se conectan a los servidores de la organización. Su control físico es difícil a nivel de LAN e imposible a nivel de WAN. Es por ello, que hay que imponer restricciones a las conexiones. Por ejemplo: 1. Límite de tentativas para la verificación de los usuarios. 2. Determinar los periodos válidos para la conexión Página 2 de 7

3 3.2 Autentificación 3. Autorización de acceso por terminal-usuario. Un usuario sólo puede tener acceso a los servidores desde el terminal de su puesto de trabajo. 4. Desconexión automática tras un periodo de inactividad. La autentificación consiste en la identificación del usuario. Es decir, controlar que es quien dice ser. Para ello hay tres métodos: 1. Basados en algo que el usuario sabe: Sistemas de usuario-contraseña. 2. Basados en algo que tiene el usuario: Tarjetas identificativas, llaves electrónicas Basados en una características del usuario: Lectores de huellas digitales, sistemas biométricos... Los sistemas de autentificación mediante el par de valores usuario-contraseñas, son los más comunes. Cada identificador de usuario tiene una contraseña asociada que sirve para validar al usuario. Para asegurar este método de autentificación, hay que tomar una serie de medidas para que el usuario no autorizado suplante identidad de otro. Ejemplo: 1. Establecer un tamaño mínimo de contraseña, 2. Establecer un periodo de vigencia máximo de las contraseñas o 3. Prohibir las contraseñas frecuentes... La autentificación en comunicaciones remotas a través de redes conlleva más dificultad, pues también es necesario autentificar las máquinas que se comunican. Para ello, se utilizan los certificados digitales, donde una tercera parte de confianza valida a cada máquina. Para ello, se utilizan tecnologías de clave pública/privada. El emisor del certificado envía el certificado con la clave pública de uno de los equipos cifrada con su clave privada, de esta forma el receptor sabe que el certificado es autentico. En entornos LAN, se utilizan sistemas de autentificación donde se autentifica tanto al cliente como al servidor, por ejemplo Kerberos. En Internet, sólo se suele autentificar al servidor. 3.3 Autorización La autorización consiste en que el sistema, una vez identificados los usuarios, controla las actividades estos. El control se realiza otorgando permisos diferentes a los elementos del sistema para cada usuario o grupo de usuarios. Los SO profesionales, como Linux o Windows XP, realizan el control asignando permisos de acceso a los elementos del sistema (Archivos, programas, directorios, etc). Permiten dar permisos de lectura, escritura, borrado o ejecución a cada elemento individual. El SO antes de ejecutar una orden dada por un usuario, comprueba que tenga todos los permisos necesarios. El resto del software de un sistema informático (sistemas de gestión de bases de datos, servidores de aplicaciones, aplicaciones finales...) también suelen permitir definir permisos de acceso a los elementos que manejan. Por ejemplo, los servidores J2EE permiten establecer un control de acceso a las páginas web y a los EJB que componen una aplicación J2EE. Con este control de acceso a la información, se asegura su confidencialidad y su integridad. Página 3 de 7

4 3.4 Datos externos al SI También hay que controlar la información externa al sistema informático. Las fugas habituales de información son: 1. Documentos impresos: Es habitual imprimir informes y otra documentación de trabajo con datos confidenciales. Estos documentos también deben controlarse y destruirse cuando no se necesitan. 2. Copias de seguridad: Las copias de los datos confidenciales también deben ser protegidos. Su acceso debe ser controlado y su información encriptada. 3. Datos en los entornos de desarrollo/prueba. Es habitual utilizar los datos reales en el entorno de desarrollo. Lo mejor es utilizar datos ficticios, pero si no es posible, hay que adoptar las mismas medidas de seguridad que en el entorno operativo. 4. Transmisión de los datos por redes de comunicaciones: Las comunicaciones de datos confidenciales deben ir cifradas para evitar que sean interceptadas. Por ejemplo, con el uso de los protocolos SSL o TSL. 4 Integridad La finalidad de la integridad es garantizar que los datos mantienen correctos y completos durante su almacenamiento, procesamiento y transmisión. Las integridad de la información que almacena un sistema informático puede verse comprometida por las mismas amenazas que afectan a la disponibilidad del mismo: averías en el hardware, virus, accidentes de tipo catastrófico: incendios, inundaciones... Estas amenazas se pueden clasificar en dos tipos: 1. Amenazas que pueden provocar la perdida de datos. Por ejemplo: Un virus que elimina unos ficheros. 2. La modificación de los datos que haga que pierdan su correctitud y, por tanto, su valor. Ejemplo: La introducción en un registro de una base de datos, un campo que identifique un producto inexistente. Existen diferentes métodos para asegurar la integridad de los datos : Una política de copias de seguridad. Es el principal método para evitar la perdida de información. Los datos que almacena el sistema son guardados en dispositivos externos, generalmente cintas, con la finalidad de poder recuperar la información en caso de pérdida. Las copias de seguridad se realizan de forma periódica y se conservan durante un tiempo determinado. Por ejemplo, se almacenan los datos diarios durante una semana, excepto los viernes que se guardan un mes. La planificación del proceso de copias de seguridad dependerá del coste que supondría la perdida de los datos frente al coste del almacenamiento. Las copias de seguridad deben almacenarse en una ubicación diferente a la de los sistemas que explotan los datos, para evitar que un accidente catastrófico afecte a ambos a la vez. Es conveniente que ambos estén geográficamente alejados. El tipo de copia de seguridad (incremental o completa) que se elija hacer, está determinada por las necesidades de disponibilidad del sistema. Las copias incrementales Página 4 de 7

5 ocupan menos espacio de almacenamiento y son más rápidas, pero su recuperación es más lenta. Las copias completas viceversa. Control de acceso a los datos: Los mecanismos que aseguran la confidencialidad de los datos de un sistema informáticos, también sirven para garantizar su integridad contra ataques maliciosos o errores de los usuarios. Una buena gestión de los permisos otorgados a los usuarios o grupos de usuarios reduce los riesgos contra la integridad de los datos. Por ejemplo, los usuarios que consultan los datos de una base de datos, no deben tener permisos para modificarlos. Esto evita riesgos como los ataques del tipo injección SQL. Diseño de interfaces de usuario: El correcto diseño de los interfaces de las aplicaciones con los usuarios, mejora la calidad de los datos introducidos, reduciendo los errores de los usuarios. Por ejemplo: las listas de selección aseguran que los datos introducidos sean válidos. En el diseño de las interfaces hay que tener en cuenta también el comportamiento malévolo de los usuarios, e implementar las medidas de seguridad necesarias. Esto es especialmente necesario en Internet, al ser las aplicaciones de acceso público. Uso de métodos de detección y corrección de errores en la transmisión de datos. Consiste en la inserción de información extra para que el receptor de la transmisión pueda validar la correctitud de los datos recibidos. Para ello se utilizan códigos como el de Hamming. Actualmente, los métodos de detección de errores se combinan con métodos de cifrado de las comunicaciones. 5 Disponibilidad La disponibilidad es la probabilidad de que un sistema informático esté en funcionamiento correctamente durante un periodo de tiempo determinado. Por ejemplo: 150 horas activo / 168 horas semanales = 89% Existen sistemas informáticos clasificados como de alta disponibilidad, que tienen que estar funcionando correctamente 24 horas al día, los 365 días al año. Estos sistemas tienen una disponibilidad del 99 9%. La disponibilidad está amenazada principalmente por dos tipos de incidentes: 1. Averías del hardware, que provocan que el servicio se detenga o no se preste con el nivel de calidad necesario. 2. Ataques mal intencionados, como virus o ataques externos. 5.1 Causas accidentales Los mecanismos para minimizar los riesgos por los incidentes con el hardware son reactivos, pues pocas veces se puede detectar una avería antes que se produzca. La principal solución es replicar los componentes más vulnerables a las averías, e incluso el sistema entero.un ejemplo de replica serían los sistemas RAID. La replica de un sistema entero de ordenadores sería los cluster de ordenadores orientados a la disponibilidad. Cuando uno de los ordenadores deja de funcionar, el resto lo detectan y otro ordenador realiza su trabajo. Página 5 de 7

6 El control del entorno físico donde se ubica el hardware también minimiza el riesgo de problemas por accidentes. Hay que estudiar el emplazamiento de los sistemas y acondicionar la ubicación para prevenir los accidentes causados por inundaciones, incendios, vandalismos, interferencias electromagnéticas... También se suelen dotar de servicios para evitar los problemas por cortes de corriente eléctrica (SAIs Servicios de Alimentación Ininterrumpida-, generadores eléctricos...), fallos del aire acondicionado 5.2 Causas intencionadas Respecto a los ataques malintencionados, hay que implementar las medidas oportunas para controlar el acceso a cada ordenador y a los recursos del mismo. Es decir, asegurar la confidencialidad de cada equipo. Los sistemas informáticos actuales se encuentran interconectados a través de redes de comunicaciones. Estas conexiones, sobretodo a redes públicas, son una amenaza. Se tiene que tomar las medidas de seguridad de red necesarias, como cortafuegos, servidores intermedios... Actualmente, muchas aplicaciones se acceden remotamente a través de las redes de comunicaciones. El malfuncionamiento de la red provoca que las aplicaciones no estén disponibles. Por ello, es necesario implementar los mecanismos de seguridad necesarios para proteger los equipos de red (routers, conmutadores ) Otro riesgo es el software malintencionado, como virus y gusanos. El mejor remedio es la prevención. Disponer de los programas antivirus en cada ordenador, actualizados frecuentemente, así como actualizar los programas y el SO con los parches que suministran los fabricantes. Una buena gestión de los permisos de control de acceso de los usuarios, minimiza los riesgos y los daños por el software malintencionado. Los fallos por errores del software tienen una incidencia menor. Las aplicaciones y sistemas operativos empresariales son muy fiables si están bien administrados y actualizados. Las aplicaciones desarrolladas a medida pueden ser tan fiables como ellos, si se diseñan teniendo en cuenta la disponibilidad como requisito de la aplicación y se verifica en las fases de pruebas y validación. Página 6 de 7

7 6 Trazabilidad Otro de los métodos a la hora de obtener la seguridad de los sistemas de información es guardar información de las acciones realizadas por los usuarios (trazas) para su posterior análisis. Por ejemplo, los servidores suelen mantener logs de conexión al sistema, donde se registra cuándo y quién se conecta al sistema y los intentos de conexión fallidos. El objetivo es disponer de la información necesaria para poder auditar la seguridad de los sistemas. La finalidad es: Detectar las amenazas a la seguridad del sistema. Evaluar las causas de las amenazas detectadas: i. No se tiene en cuenta la posible amenaza, ii. iii. Los procedimientos de seguridad no son adecuados para la amenaza, o No se cumplen los procedimientos de seguridad establecidos. Proporcionar una solución que elimine o minimice las amenazas. El disponer de la trazas de las actividades de los usuarios es un método proactivo, pues no minimiza los daños causados por un ataque o accidente informático sino que sirve para prevenir otros ataques o accidentes similares. Uno de los problemas que supone el almacenamiento de las trazas es el overhead que producen sobre el sistema y su influencia en su rendimiento. También hay que tener en cuenta, en ciertos casos, el volumen de datos que se almacenarán. Es por ello, que el administrador de un sistema informático debe regular el nivel de trazabilidad del sistema conforme a las necesidades de auditoría requeridas y el grado de influencia en el rendimiento. La primera cuestión a responder es qué se debe recoger, cuándo y de quién. La información que se almacena debe ser relevante, su análisis debe aportar valor. Cuándo recoger la información también es importante, hay que tener en cuenta la frecuencia de acceso a los datos / aplicaciones controlados. A la hora de almacenar las trazas hay que tener en cuenta las mismas medidas de seguridad que el resto del sistema. Se tiene que garantizar la confidencialidad e integridad de las mismas. Hay que tener en cuenta que en un ataque intencionado a un sistema, se intentará borrar las huellas del mismo. Las trazas se suelen almacenar en ficheros o tablas de una base de datos. Los sistemas de acceso y control de acciones sobre los datos de las trazas deben ser diferentes a la de los elementos confidenciales sobre los que se guarda información. El motivo es impedir que si los sistemas de seguridad sobre los elementos confidenciales fallan, no comprometan también la seguridad de las trazas sobre los mismos. Página 7 de 7