ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

Transcripción

1 ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 1

2 ÍNDICE SEGURIDAD INFORMÁTICA Y MECANISMOS PARA LA PROTECCIÓN Y RESPALDO DE LA INFORMACIÓN... 3 INTRODUCCIÓN... 3 APRENDIZAJES ESPERADOS CONCEPTOS DE SEGURIDAD ELEMENTOS DE UN SISTEMA SEGURO HERRAMIENTAS DE SEGURIDAD HERRAMIENTAS DE SEGURIDAD ELEMENTOS DE SEGURIDAD PARA CONTROL DE TRÁFICO ELEMENTOS DE SEGURIDAD PARA CONTROL DE NAVEGACIÓN POLÍTICA DE SEGURIDAD RESPALDOS COMENTARIOS FINALES BIBLIOGRAFÍA

3 SEGURIDAD INFORMÁTICA Y MECANISMOS PARA LA PROTECCIÓN Y RESPALDO DE LA INFORMACIÓN INTRODUCCIÓN En el transcurso de esta asignatura hemos abarcado diferentes temáticas de ejecución y planificación de procesos que deben ser implementados por el área de Soporte de TI en una determinada organización. Sin duda alguna, hoy todos los sistemas trabajan bajo arquitectura WEB, todo interconectado, por lo tanto, el tema SEGURIDAD es uno de los tópicos centrales en las empresas producto de su alto nivel de dependencia de la tecnología para su funcionamiento. En esta última semana conoceremos los componentes de un sistema seguro y algunos de los elementos tecnológicos que pueden ser aplicados por el área de soporte de TI para mantener un nivel de seguridad adecuada en la empresa. Todos los elementos a proteger, las herramientas asociadas a la protección y la relación de estos elementos con el personal de la empresa se conjugan en un plan de la empresa denominado Política de Seguridad, bajo la cual se realizan todas las acciones del área tecnológica y cuya ejecución de manera correcta debe ser resguardada por todas las áreas de tecnología de la empresa incluyendo el área de soporte TI. APRENDIZAJES ESPERADOS Se espera que, una vez finalizados los contenidos de esta semana, los alumnos sean capaces de aplicar estrategias de seguridad informática y respaldo de la información. Asimismo, se espera que los alumnos logren analizar y construir planes y políticas de seguridad en organizaciones. 3

4 1. CONCEPTOS DE SEGURIDAD En la actualidad, Internet es usada por las personas y las empresas para realizar un conjunto de operaciones que permiten la interacción a nivel mundial y la obtención de información en tiempo real de cualquier noticia o evento que se esté desarrollando en otro punto de nuestro planeta. Figura 1. Interacción a nivel mundial. Fuente: En general, se puede establecer que las operaciones realizadas en Internet son las mostradas en la siguiente figura. Figura 2. Operaciones en internet. Fuente: Irigoyen, Lorena (2011). IACC. Como se observa en la figura, existen tres grandes funciones para las cuales se utiliza internet, estas son: como instrumento de comunicación, para búsqueda de información y como canal de gestión. 4

5 Sea cual sea la función en la que esté posicionada la empresa requiere del uso de los servicios antes especificados, es por este motivo que el estudio de los elementos a proteger es puesto en el contexto de uso de internet. La seguridad debe ser implementada debido a la existencia de amenazas del medio a nuestros sistemas. Una amenaza es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en su información, ante esta posibilidad es posible dimensionar el impacto o consecuencia al materializarse una amenaza. En este sentido, se habla de Vulnerabilidad, o sea, qué tan probable es la ocurrencia de la materialización de una amenaza. Podemos definir, entonces, que un ataque es un evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Si dicho ataque produce un desastre nos veremos enfrentados a una interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Figura 3. Seguridad Informática. Fuente: Se puede establecer que la seguridad es un concepto que debe ser implementado en cualquier punto que pueda estar sometido a amenazas dentro de la organización. Al respecto, existen 3 tipos de seguridad, estas son: Seguridad física Seguridad ambiental Seguridad lógica 5

6 A continuación examinaremos los elementos que deben ser protegidos en cada uno de los niveles antes expuestos. 2. ELEMENTOS DE UN SISTEMA SEGURO El primer y más importante elemento a proteger es la información, su importancia radica en el hecho de que es el elemento central de funcionamiento de la empresa, es el objeto de mayor valor para una organización. El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico. El segundo elemento a proteger es el o los equipos que soportan o almacenan la información. Sin estos equipos la información no puede ser recuperada. En este punto nos referimos a los servidores que realizan el procesamiento de la información. La siguiente figura muestra los diferentes tipos de servidores que interactúan para poder acceder a los distintos servicios de internet y a los sistemas internos de la organización. 6

7 Figura 4. Tipos de servidores. Fuente: Irigoyen, Lorena (2011). IACC. El tercer elemento a proteger es el software de la organización, es decir, los programas que permiten el funcionamiento de los servidores antes mencionados y que hacen posible acceder a la información de la empresa. 7

8 Un último elemento que debe ser objeto de protección son los usuarios, individuos que utilizan la estructura tecnológica y de comunicaciones, que manejan la información. Ahora bien, una vez identificados los elementos a proteger, es necesario establecer bajo qué criterios debe realizarse dicha protección. Los criterios a usar son los mostrados en la siguiente figura. Figura 5. Criterios de protección. Fuente: Irigoyen, Lorena (2011). IACC. Los 4 criterios mostrados en la figura anterior deben estar presentes en la implementación de cualquier política de seguridad en una empresa y en cualquier herramienta a incorporar en la red de datos para efectos de protección de la misma. 3. HERRAMIENTAS DE SEGURIDAD Con el objetivo de incorporar elementos de seguridad en la empresa se detallan, a continuación, algunos elementos que deben estar presentes como mínimo en la organización HERRAMIENTAS DE SEGURIDAD Cuando se realiza el desarrollo de un software para la empresa, este software debe contar con algunos elementos de seguridad mínimo que deben ser parte de las políticas de la empresa, estos son: TESTING DE DESARROLLO: en esta fase, los programadores realizan pruebas al sistema con datos ficticios para minimizar los errores posteriores. PRUEBAS DE LIBERACIÓN EN AMBIENTE DE QA: en esta fase, los programadores realizan pruebas con una copia de datos reales entregados por el usuario, a esto se le llama ambiente de QA o Control de Calidad de SW. 8

9 PRUEBAS DE USUARIO EN AMBIENTE DE QA: en esta fase, el usuario final prueba el sistema con la copia de los datos reales. Si el usuario está conforme, da la autorización para que el sistema sea instalado en producción y se comience a utilizar. Al exigir la realización de todos estos niveles de prueba nos aseguramos que el software construido no entre en operación con errores que puedan causar en el futuro bajas en el servicio. Otro elemento importante de asegurar es cómo se realiza el acceso a los datos, para estos efectos se deben considerar los siguientes aspectos: Los datos utilizados por cada sistema son almacenados en una Base de Datos, la cual es administrada por un Software de Administración de Base de Datos, por ejemplo ORACLE o SQL Server, entre los más conocidos. Por lo tanto, el acceso a los datos es realizado por la aplicación por medio de instrucciones de programación, para esto cada aplicación debe tener permiso para conectarse a una determinada Base de Datos y estos permisos deben ser tan específicos que definen, además, qué transacciones puede o no realizar la aplicación. Las transacciones a realizar son: Consultar Datos, Insertar Datos, Actualizar Datos o Eliminar Datos. En función de los factores antes descritos, la forma de acceder a los datos también debe estar definida en la política de seguridad de la empresa y cada sistema debe ser construido bajo estos estándares. Sin duda alguna, el punto de ingreso de cualquier amenaza a los sistemas de la empresa es la Red, por este motivo existe una serie de elementos de seguridad que deben ser incorporados en la red. Estos elementos se clasifican en dos categorías, estas son: Elementos de seguridad para control de tráfico. Elementos de seguridad para control de navegación ELEMENTOS DE SEGURIDAD PARA CONTROL DE TRÁFICO Como se muestra en la siguiente figura, en toda red existe una DMZ o zona desmilitarizada o expuesta a internet para la interacción con la red, desde esta zona hacia el interior de la red, se establece todo tipo de controles del tráfico con elementos como Firewall, IPS, IDS y, a nivel de software, los antivirus son los encargados de detectar en el tráfico de la red códigos maliciosos como los virus. 9

10 Figura 6. Elementos de seguridad para control de tráfico. Fuente: FIREWALL Firewall es un filtro que controla la comunicación entrante y saliente (guardia) de una red. Básicamente está compuesto por HW y SW. Entre las ventajas que se pueden mencionar de un firewall están las siguientes: Protege de intrusiones. Protección de información privada. Optimización de acceso. Sin embargo, existen algunas limitaciones de un firewall entre las que se encuentran las siguientes: Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación. El firewall no puede protegerse de las amenazas a que está sometido por traidores o usuarios inconscientes. No puede proteger contra los ataques de la ingeniería social. No puede protegerse contra los ataques posibles a la red interna por virus informáticos. El firewall no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. 10

11 Existen diferentes tipos de firewall, siendo uno de los más conocidos el PROXY, cuyas ventajas de uso son mostradas en la siguiente figura. Figura 7. Ventajas del uso de Proxy. Fuente: Irigoyen, Lorena (2011). IACC. ANTIVIRUS Los antivirus son programas cuya función es detectar y eliminar virus informáticos y otros programas maliciosos. Los daños que los virus provocan en los sistemas informáticos son: Pérdida de información Horas de contención Pérdida de imagen Entre los antivirus más conocidos están los que se muestran en las siguientes figuras. Las diferencias entre los distintos antivirus están basadas principalmente en el método de detección de virus, la mayoría utiliza una base de datos en la cual almacenan los virus existentes y en los más avanzados clasifican los sitios como maliciosos, de esta manera impiden el tráfico desde estos sitios sin importar qué es lo que se está transfiriendo. 11

12 Figura 8. Figura 9. Figura 10. Fuente Fig. 8: Fuente Fig. 9: Fuente Fig. 10: IDS (INTRUSION DETECTION SYSTEM) Un IDS es un sistema de detección de intrusos que se integra con un firewall dado que es un software. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento de ataque. Figura 11. Detectores de Intrusión. Fuente: 12

13 IPS (INTRUSION PREVENTION SYSTEM) Es un sistema de prevención de intrusos, que nació como una evolución de los IDS. La tecnología IPS permite a las organizaciones proteger los activos críticos de forma proactiva, que no se limita a emitir alertas en una consola luego que los ataques han sucedido, sino cuando detecta peligro de ocurrencia de un ataque. Para que el IPS sea efectivo, debe estar ubicado en lugares estratégicos de la red como lo muestra la siguiente figura. Figura 12. Ubicación del IPS. Fuente: ELEMENTOS DE SEGURIDAD PARA CONTROL DE NAVEGACIÓN Software de Control de Navegación permite bloquear cierto tipo de sitios y aplicaciones para que el usuario no pueda acceder a ellos a pesar de tener acceso a internet. Por ejemplo, en la mayoría de las empresas Facebook y Messenger están bloqueados, al igual que sitios del tipo XXX. Existen dos categorías de software, estas son: Control de URL Control de Contenidos 13

14 Las siguientes imágenes muestran software que cumplen esa función. Figura 13. Figura 14. Figura 15. Figura 16. Fig. 13: Fig. 14: Fig. 15: lyqcd4hdh&t=1 Fig. 16: 14

15 4. POLÍTICA DE SEGURIDAD Una política de seguridad es un conjunto de reglas y procedimientos relacionados con todos los objetos que deben ser protegidos, la cual establece la manera de protegerlos y los responsables de esa protección. Figura 17. Política de seguridad. Fuente: La política de seguridad de una empresa debe incluir procedimientos para la tecnología, los procesos y las personas que trabajan en la empresa. En el caso de la tecnología deben estar definidos, por ejemplo, los Estándares, la Encriptación, Protección, Características de Seguridad en los Productos, Herramientas y Productos de Seguridad que son empleados en la empresa. Con respecto a los procesos, se debe establecer: la Planificación de la Seguridad, la Prevención, la Detección y la Reacción ante ataques. En el caso de las personas, debe estar claramente establecido el Personal dedicado, la Formación de dicho personal y la Seguridad y mentalización y prioridad respecto a la seguridad de la empresa. En resumen, una política de seguridad debe contar con procedimientos definidos en todos los niveles mostrados en la siguiente figura. 15

16 Figura 18. Niveles de aplicación de la política de seguridad. Fuente: Para crear una política de seguridad se deben realizar las actividades mostradas en la siguiente figura. Figura 19. Etapas en el desarrollo de una política de seguridad. Fuente: 16

17 4.1. RESPALDOS Hasta ahora hemos hablado de la política de seguridad, que tiene relación con el acceso a las aplicaciones de usuarios autorizados y el bloqueo a quienes no tienen autorización. Pero la seguridad también debe considerar las posibilidades de falla de los dispositivos involucrados en un sistema, o sea, el Hardware. En este punto, podríamos tener eventuales fallas de servidores, discos duros y dispositivos de almacenamiento externo. Las políticas de respaldo de datos deben considerar las siguientes variables: Respaldos frecuentes de las bases de datos en dispositivos externos. Resguardo de los respaldos en instalaciones diferentes al lugar donde opera normalmente Políticas de Recuperación de los datos en caso de ser necesaria la utilización de los respaldos. COMENTARIOS FINALES En esta última clase hemos abordado los diferentes tópicos relacionados con la seguridad, desde los elementos de un sistema que deben ser protegidos, las herramientas útiles para realizar esta protección, hasta cómo se deben organizar en torno a procedimientos todas las definiciones de seguridad de una empresa. Este último tópico de seguridad es el complemento de todos aquellos aspectos revisados en las clases anteriores, que entregan los conceptos y herramientas para una efectiva administración del área de soporte de TI. Cualquiera de las variables revisadas clase a clase que no sea eficientemente administrada hará que el área de soporte no entregue un buen servicio a su empresa. 17

18 BIBLIOGRAFÍA Introducción a la Seguridad Informática (s. f.). Recuperado 26 de junio de 2011 de kzi0zyarqm3r9kwqq1vunquryffxqa9der7gpdaa-c1cna/libro_parte1.pdf 18