TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos y transacciones es un paradigma destacado en la actualidad, dada la rápida expansión de las redes de computadoras y la emergente economía de Internet. Los desafíos inherentes de los aspectos de seguridad ha llegado a ser una prioridad importante en muchas de las organizaciones que hacen uso de tecnologías de información. Víctor Valenzuela R. Auditoría Computacional 2

7.1 Introducción (2/2) Los datos de los sistemas informáticos están en constante amenaza por varias causas: errores de los usuarios o ataques malintencionados o fortuitos. Pueden producirse accidentes y ciertas personas con intención de atacar el sistema, pueden tener acceso al mismo e interrumpir los servicios, inutilizar los sistemas o alterar, suprimir o robar información. El poder disponer de una Estrategia de Seguridad Computacional se hace necesario e imprescindible en organizaciones que deseen mantener Buenas Prácticas de Seguridad Corporativa. Víctor Valenzuela R. Auditoría Computacional 3 7.2 Definición Seguridad Informática: El término Seguridad Computacional es la generalización de una colección de tecnologías que ejecutan tareas específicas relacionadas con la seguridad de datos. Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información (T.I.) Víctor Valenzuela R. Auditoría Computacional 4

7.3 Objetivos Protección de redes de datos y de informática (T.I.) frente a muchos tipos de amenazas. Asegurar que determinados recursos del sistema, desde el equipo individual que contiene datos y programas hasta toda la red, estén disponibles sólo para los usuario autorizados. Víctor Valenzuela R. Auditoría Computacional 5 7.4 Justificación de la Seguridad Los sistemas informáticos pueden necesitar servicios de protección en algunos de los siguientes aspectos de información: Confidencialidad. Protección contra la divulgación no autorizada. Autenticación. Garantizar el origen de los datos y la identidad de los datos. La autenticación generalmente suele ser mediante contraseñas. Integridad. Protegerse de modificaciones no autorizadas, imprevistas o accidentales. Disponibilidad. Asegurar que la información estén disponibles puntualmente y en todo momento, para satisfacer requisitos o evitar pérdidas importantes. Víctor Valenzuela R. Auditoría Computacional 6

7.5 Tipos de la Seguridad La seguridad informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Víctor Valenzuela R. Auditoría Computacional 7 7.6 Ataques (o Amenazas) Los servicios de seguridad tienen por finalidad no sólo proteger los recursos, sino también de impedir que los usuarios dañen el sistema involuntariamente, proporcionándoles así confianza al usarlos. Se suelen agrupar en dos categorías: Humanos (Ataques Malintencionados y Ataques No Intencionados) Desastres Naturales Víctor Valenzuela R. Auditoría Computacional 8

7.6.1 Ataques Malintencionados Suelen ser actos encubiertos por individuos que desean dañar el sistema o impedir que otros usuarios los utilicen normalmente. Algunos ejemplos: Denegación de servicio Virus Ataques perpetrados por piratas informáticos Ataques por beneficio personal Víctor Valenzuela R. Auditoría Computacional 9 7.6.2 Ataques No Intencionados El usuario que accidentalmente elimina archivos importantes del sistema operativo es el tipo de individuo que realiza ataques no intencionados. Se deben tomar más precauciones para los usuarios que tienen acceso a datos confidenciales. Es una buena práctica habitual, por ejemplo, que cada administrador tenga como mínimo dos cuentas, y sólo use la cuenta administrativa con dispositivos de mayor seguridad para ejecutar tareas administrativas, con el fin de prevenir accidentes. Víctor Valenzuela R. Auditoría Computacional 10

7.6.3 Desastres Naturales Inundaciones Incendios Rayos Terremotos Huracanes Aluviones Víctor Valenzuela R. Auditoría Computacional 11 Cuadro Resumen Víctor Valenzuela R. Auditoría Computacional 12

7.7 Quién Amenaza Sin quitar importancia a los Hackers y Crackers, el peligro está en los usuarios autorizados, y en el desconocimiento de las vulnerabilidades de nuestro sistema de información. Al incrementarse la presencia empresarial en-línea, las amenazas potenciales aumentan. Por esto, se han desarrollado sistemas de seguridad, conocidos como muros contrafuegos o firewalls, para proteger la red interna de ataques externos. Víctor Valenzuela R. Auditoría Computacional 13 7.8 Mecanismos de Seguridad Para garantizar los servicios de seguridad en una red, es necesario incorporar al modelo de referencia OSI los siguientes mecanismos de seguridad : Cifrado Firma Digital Control de Acceso Integridad de Datos Intercambio de Autenticación Víctor Valenzuela R. Auditoría Computacional 14

7.8.1 Cifrado El cifrado puede hacerse utilizando sistemas criptográficos, y se puede aplicar extremo a extremo o individualmente a cada enlace del sistema de comunicaciones. El mecanismo de cifrado soporta el servicio de confidencialidad de datos al tiempo que actúa como complemento de otros mecanismos de seguridad. Víctor Valenzuela R. Auditoría Computacional 15 7.8.2 Firma Digital (1/3) Se puede definir la firma digital como el conjunto de datos que se añaden a una unidad de datos para protegerlos contra la falsificación, permitiendo al receptor probar la fuente y la integridad de los mismos. La firma digital supone el cifrado, con una componente secreta del firmante, de la unidad de datos y la elaboración de un valor de control criptográfico. Víctor Valenzuela R. Auditoría Computacional 16

7.8.2 Firma Digital (2/3) Para verificar la firma, el receptor descifra la firma con la clave pública del emisor, comprime con una función hash al texto original recibido y compara el resultado de la parte descifrada con la parte comprimida. Si ambas coinciden el emisor tiene la garantía de que el texto no ha sido modificado. Como el emisor utiliza su clave secreta para cifrar la parte comprimida del mensaje, puede probarse ante una tercera parte, que la firma sólo ha podido ser generada por el usuario que guarda la componente secreta. Víctor Valenzuela R. Auditoría Computacional 17 7.8.2 Firma Digital (3/3) Víctor Valenzuela R. Auditoría Computacional 18

7.8.3 Control de Acceso Este mecanismo se utiliza para autenticar las capacidades de una entidad, con el fin de asegurar los derechos de acceso a recursos que posee. El control de acceso se puede realizar en el origeno en un punto intermedio, y se encarga de asegurar si el enviante está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. Si una entidad intenta acceder a un recurso no autorizado, o intenta elacceso de forma impropia a un recurso autorizado, entonces la función de control de acceso rechazará el intento, al tiempo que puede informar del incidente, con el propósito de generar una alarma y/o registrarlo. Víctor Valenzuela R. Auditoría Computacional 19 7.8.4 Integridad de Datos Para proporcionar la integridad de una unidad de datos la entidad emisora añade una cantidad que se calcula en función de los datos. Esta cantidad, probablemente encriptada, puede ser una información suplementaria compuesta por un código de control de bloque, o un valor de control criptográfico. La entidad receptora genera la misma cantidad a partir deltexto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión. Para proporcionar integridad a una secuencia de unidades de datos se requiere, adicionalmente, alguna forma de ordenación explícita, tal como la numeración de secuencia, un sello de tiempo o un encadenamiento criptográfico. Víctor Valenzuela R. Auditoría Computacional 20

7.8.5 Intercambio de Autenticación (1/2) Existen dos grados en el mecanismo de autenticación: Autenticaciónsimple. El emisor envía su nombre distintivo y una contraseña al receptor, elcual los comprueba. Autenticación fuerte. Utiliza las propiedades de los criptosistemas de clave pública. Cada usuario se identifica por un nombre distintivo y por su clave secreta. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesiónde suclave secreta, para lo cual deberá obtener suclave pública. Víctor Valenzuela R. Auditoría Computacional 21 7.8.5 Intercambio de Autenticación (2/2) Para que un usuario confíe en el procedimiento de autenticación, la clave pública de su interlocutor se tiene que obtener de una fuente de confianza, a la que se denomina Autoridad de Certificación. La Autoridad de Certificación utiliza un algoritmo de clave pública para certificar la clave pública de un usuario produciendo así un certificado. Un certificado es un documento firmado por una Autoridad de Certificación, válido dunte el período de tiempo indicado, que asocia una clave pública a un usuario. Víctor Valenzuela R. Auditoría Computacional 22

7.9 Estrategia de Seguridad (1/3) La presente metodología está diseñada para ayudar a responsables de la seguridad a desarrollar estrategias que proteger la disponibilidad, integridad y confidencialidad de los datos de los sistemas informáticos de las organizaciones. Una estrategia de seguridad debe permitir implementar directivas y controles de seguridad con el objeto de aminorar los posibles ataques y amenazas. Víctor Valenzuela R. Auditoría Computacional 23 7.9 Estrategia de Seguridad (2/3) 1. Determinar puntos vulnerables (debilidades) y amenazas. 2. Revisar las directivas y controles actuales. 3. Identificar métodos, herramientas y técnicas de ataques probables. 4. Establecer estrategias proactivas y reactivas. 5. Pruebas y estudio de resultados. 6. Equipos de respuestas a incidentes. 7. Revisiones y ajustes periódicos. Víctor Valenzuela R. Auditoría Computacional 24

7.9 Estrategia de Seguridad (3/3) Predecir ataques/evaluar riesgos Para cada tipo de amenaza (por ej.: atacante malintencionado) Para cada tipo de método de ataque (por ej.: virus) Estrategia proactiva Estrategia reactiva Examinar resultados/hacer simulación Predecir posibles daños Determinar vulnerabilidades Minimizar vulnerabilidades Elaborar planes de contingencia Evaluar daños Determinar la causa del daño Reparar daños Documentar y aprender Implementar plan de contingencia Examinar eficacia de directiva Ajustar directiva en consecuencia Víctor Valenzuela R. Auditoría Computacional 25 7.10 Planes de Contingencia (1/10) El Plan de Contingencia es un plan hecho para permitir a una instalación de cómputo reestablecer sus operaciones en el caso de un desastre, tales como: terremotos, incendios, sabotajes, fallas de hardware, errores humanos, etc. El propósito principal es mantener a la empresa y sus actividades operando aún en una situación de desastre. Es decir, habilitar a la organización para responder y sobrevivir a problemas críticos o catastróficos, de modo que permita una pronta recuperación de la operación normal. Es muy importante el poder desarrollar un plan que resulte práctico y eficaz, y poder probarlo para asegurar que éste funcionará cuando se requiera. Víctor Valenzuela R. Auditoría Computacional 26

7.10 Planes de Contingencia (2/10) Se debe considerar que la pérdida parcial o total de las facilidades del procesamiento de datos, puede causar, entre otras cosas: Pérdidas financieras directas e indirectas Pérdidas de producción Pérdida de clientes Costos de compensación Pérdidas de control Información errónea o incompleta Base pobre para la toma de decisiones Víctor Valenzuela R. Auditoría Computacional 27 7.10 Planes de Contingencia (3/10) Existen, al menos, cuatro opciones para Desarrollar un Plan de Contingencia: Desarrollo en casa. Esta opción es barata, pero puede tomar mucho tiempo para su implementación por falta de experiencia, así como la necesidad de diseñarlos desde cero. Tiene la ventaja que lo podemos ajustar a las necesidades específicas de la organización. Comprar un paquete de software. Existen en el mercado este tipo de programas con opciones y menús para guiar al usuario en el desarrollo del plan. Esta opción es más sencilla y más rápida que la anterior, pero generalmente, más cara. Contratar consultores. Aunque esta opción es la más cara de todas, un consultor experto nos puede ahorrar mucho tiempo debido a su experiencia con otros clientes del ramo. Combinación de las anteriores. El plan puede ser diseñado desde cero o usando un paquete de software, y luego puede ser revisado por un consultor, el cual podría incluso proveer el equipo de respaldo y soporte necesarios. El consultor puede entonces evaluar si el plan es adecuado o no. El plan de contingencia va a depender del tipo de actividad que realiza la organización (naturaleza y efecto que pueda producir). Víctor Valenzuela R. Auditoría Computacional 28

7.10 Planes de Contingencia (4/10) En una empresa el Plan de Contingencia debe considerar dos aspectos: operacional y administrativo. Aspecto Operacional: en el nivel operacional, cada usuario debe saber qué hacer cuando aparezca un problema. Además debe conocer la respuesta a la pregunta: a quién hay que llamar?. Es muy importante que el plan de contingencia determine quién debe tomar todas decisiones durante la recuperación del desastre y establezca la disponibilidad y entrenamiento del personal debidamente experimentado. Aspecto Administrativo : en el nivel administrativo se debe asegurar la implantación de un plan adecuado y la debida actualización del mismo, conforme van cambiando las situaciones en la empresa. Dicho en otras palabras, conviene estar actualizando el plan, debido a factores tales como, rotación de personal, cambios de tecnología en equipos, comunicación, aplicaciones o sistemas, apertura de nuevos negocios o locales de venta, etc. Víctor Valenzuela R. Auditoría Computacional 29 7.10 Planes de Contingencia (5/10) Ciclo de Vida de los Desastres En la decisión de qué es lo que se debería incluir en el Plan de Contingencia, conocer el ciclo de vida de un desastre ayudará con este propósito. El ciclo de vida de un desastre consta de cuatro fases o períodos de tiempo: 1. Operaciones Normales 2. Respuestas de Emergencia 3. Procesamiento Interno 4. Restauración Víctor Valenzuela R. Auditoría Computacional 30

7.10 Planes de Contingencia (6/10) 1. Operaciones Normales Indican el período de tiempo antes de que ocurra un desastre. Esta fase del Plan debe incluir la práctica de la operaciones que pretenden prevenir un desastre desde que comienza y de aquellas que ayudan a mitigar el impacto del mismo y prever lo que podrá ocurrir. 2. Respuestas de Emergencia Las respuestas derivadas de una situación de emergencia ocurren durante las pocas horas que siguen inmediatamente a un desastre. Esta fase del plan identifica las actividades que puedan necesitar mayor atención durante este período con la finalidad de asegurar una respuesta a la organización y proporcionar una lista de verificación (checklist) de las omisiones importantes que puedan pasar inadvertidas durante la confusión que acompañan a los desastres. Víctor Valenzuela R. Auditoría Computacional 31 7.10 Planes de Contingencia (7/10) 3. Procesamiento Interno Es un procesamiento alternativo que representa el tiempo de duración de la contingencia en relación con el soporte de las funciones esenciales de la empresa hasta que la capacidad de procesamiento normal sea restaurada. 4. Restauración Indica el período de tiempo destinado a aquellas actividades que se necesita realizar para recuperar una condición o capacidad de procesamiento en su operación normal. La restauración involucra necesariamente pasos de planeación, organización y control de tales actividades. Cuando un servicio falla, la tarea principal del servidor debe ser la recuperación mientras que la responsabilidad principal del usuario es la de dar continuidad a las operaciones. Víctor Valenzuela R. Auditoría Computacional 32

7.10 Planes de Contingencia (8/10) Elementos de un Plan de Contingencia Algunos de los elementos que se deben incluir son los siguientes: 1. Lista de Personal Clave de la empresa y teléfonos de contacto 2. Lista de distribución de equipamiento computacional 3. Lista de proveedores (contactos y números de teléfonos) 4. Ubicación del Plan de Contingencia y revisión periódica 5. Procedimientos de recuperación post-desastre y normalización de los servicios 6. Funciones del Comité de Recuperación y responsabilidades individuales 7. Acuerdos contractuales con las locaciones de respaldo y su vigencia 8. Descripción del hardware, software, arquitectura del equipo y red LAN 9. Hardware del centro de cómputo primario, equipo periférico y configuración del software 10. Lista de trabajos y procesos prioritarios y sus agendas 11. Procedimientos manuales alternativos, tales como preparación de nóminas y facturación, etc. 12. Ubicación y disponibilidad de archivos de datos, diccionarios de datos, procedimientos de control de trabajos, programas, documentación y manuales. Víctor Valenzuela R. Auditoría Computacional 33 7.10 Planes de Contingencia (9/10) Planeación de un Plan de Contingencia El objetivo de un Plan de Contingencia es permitir que una organización sobreviva a un desastre y continúe las operaciones del negocio normalmente. Algunos problemas más importantes que deben incluirse son: Entrenamiento del personal responsable de algunos procesos o actividades críticas. Reducir las operaciones y resultados de procesos Reducir inmediatamente el daño y pérdidas. Establecer sucesiones de la dirección y fuerza de emergencia Facilitar la efectiva coordinación de tareas de recuperación Identificar líneas críticas de los negocios y funciones de soporte. Víctor Valenzuela R. Auditoría Computacional 34

7.10 Planes de Contingencia (10/10) Una Metodología de Desarrollo de un Plan de Contingencia FASE 1: Descubrir y Analizar Información FASE 2: Identificar Alternativas de Procedimientos FASE 3: Identificar y Documentar FASE 4: Identificar Información Adicional FASE 5: Finalizar y Revisar Plan Víctor Valenzuela R. Auditoría Computacional 35 7.11 Discusión y Análisis La información de los sistemas de informáticos están en constante peligro. La implementación de una solución de seguridad es siempre un equilibrio entre la seguridad y la facilidad de uso. La creación de un entorno informático seguro es responsabilidad de toda la organización. El éxito de una estrategia de seguridad dependerá de la planeación y tecnologías utilizadas. Víctor Valenzuela R. Auditoría Computacional 36