martes, 4 de octubre de 2016

Conceptos Básicos Seguridad

Conceptos Básicos de Seguridad

1. Definiciones.

En este apartado definiremos diversos conceptos importantes con respecto a la seguridad informática.

1.1. Seguridad física/lógica, activa/pasiva.

Seguridad física: Cubre todo lo referido a equipos informáticos (ordenadores, servidores y red). Las distintas amenazas son:
  • Desastres naturales (incendios, inundaciones): Debemos de disponer de extintores específicos, sellar salas..
  • Robos: Debemos proteger el acceso a la sala de ordenadores (vigilantes, puertas con tarjeta de acceso)
  • Fallos de suministro: Las empresas disponen de baterías por si la corriente eléctrica falla, automáticamente se realizan copias de seguridad para no perder ningún dato.
Seguridad lógica: Se refiere a las aplicaciones que se ejecutan en los diversos dispositivos.

  • Virus, troyanos, malware: Debemos de eliminar todo tipo de virus.
  • Pérdida de datos: Cada empresa revisa la diversa aplicación determinada e incluso realizan copias de seguridad.
  • Ataques a las aplicaciones de los servidores: Debemos de tener un software mínimo instalado.
Seguridad pasiva: Cuando sufrimos un ataque, nos permite recuperare los distintos datos perdidos.

Seguridad activa:  Protegen los activos de la empresa.

1.2. Confidencialidad, disponibilidad, integridad y no repudio.

Confidencialidad: La información solo es utilizada por el personal autorizado.  Disponemos de tres tipos de mecanismos:
  • Autenticación: Confirmación de dicha persona.
  • Autorización: El peronsal autorizado dispone de distintos privilegios.
  • Cifrado: Cierta información será cifrada.
Integridad: Los datos quedan almacenados como espera el usuario.

Disponibilidad: Los usuarios pueden acceder a los servicios con normalidad.

No repudio: Antes una relación de dos partes, se intenta evitar que cualquiera pueda negar que participe en dicha relación.

1.3. Sabes-tienes-eres.

Clasificaremos los medios según tres criterios:
  • Algo que sabes: Nos referimos a contraseñas.
  • Algo que tienes: Nos referimos a un a tarjeta.
  • Algo que eres: Nos referimos a la huella dactilar, escáner de retina..
1.4. AAA.

Autenticación, autorización, accouting. Como podemos comprobar ya definimos las dos primeras, cuando hablamos de acoouting  nos referimos a la información interna que los sistemas generan en sí mismos. Lo podemos comprobar mediante un análisis forense.

1.5. e2e.

Extremo a extremo: La seguridad debe de controlarse en el origen de los datos, en el destino de los datos y en el canal de comunicación, veamos más a fondo:
  • En el origen y destino intentaremos que las aplicaciones no han podido ser modificadas.
  • En el canal debemos limitar quién accede y sobre todo cifrar nuestros datos que atravesarán las redes de otra compañía.
1.6. Vulnerabilidad, malware, exploit.

Tenemos los siguientes tipos de software, veamos su definición:
  • Vulnerabilidad: Es el defecto de una aplicación en la que el atacante aprovecha este tipo de defecto. Existen tres tipos:
    • Reconocidas: Las aplicaciones disponen de un parche que las corrige.
    • Reconocidas 2: Todavía no existe un parche, normalmente se soluciona temporalmente. En general lo más común es desactivar dicho servicio.
    • No reconocidas: De los siguientes tipos, es el peor caso ya que podemos estar expuestos al ataque durante un determinado periodo de tiempo.
Veamos los tres tipos de malware:
  • Virus: El ordenador queda infectado.
  • Gusanos: Acaparan todos los recursos del ordenador (disco duro, memoria..).
  • Troyanos: Desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.


2. Tipos de ataques.

Existen diferentes tipos de ataques, veamos los más comunes:
  • Interrupción: El atacante impide que podamos utilizar ciertos recursos (red).
  • Modificación: El atacante modifica la información.
  • Fabricación: El atacante se hace pasar por el destino de transmisión.
Veamos las diferentes técnicas que utilizan:

  • Ingeniería social: A la hora de poner contraseñas recurrimos a la más fácil (fecha de nacimiento, nombre de nuestra calle).
  • Phising: El atacante contacta con el usuario, haciéndose pasar por una empresa.
  • Keyloggers: El atacante toma nota de nuestro usuario y contraseña.
  • Fuerza bruta: Una aplicación malware podrá descifrar nuestra contraseña entera. Podemos evitarlo de las siguientes formas:
    • Utilizar contraseñas no triviales.
    • Cambiar la contraseña con frecuencia.
    • Impedir ráfagas de intentos repetidos.
    • Establecer un máximo de fallos y después bloquear el acceso.
  • Spoofing: Una máquina se hace pasar por otra alterando algún elemento.
  • Sniffing: El atacante consigue entrar en el mismo tramo de red que el usuario.
  • DoS: El atacante tumba un servidor saturando falsas redes.
  • DDoS: Es el mismo ataque que DoS, solo que muchas máquinas tumban los servidores por todo el mundo.
2.1. Tipos de atacantes.
  • Hacker: Ataca a un sistema. Si tiene éxito estará dispondrá de todo.
  • Craker: Intenta robar datos, desactivar servicios y alterar información.
  • Script kiddie: Son aprendices de hacker y craker que encuentran cualquier ataque y lo lanzan.
  • Programas de malware: Expertos en programar sistemas operativos y aplicaciones.
  • Sniffers: Expertos en protocolos de comunicaciones.
  • Ciberterrorista: Craker con gran interés político y económico.
3. Buenas prácticas.

 Es una responsable y dura tarea la seguridad informática la de una empresa grande. Las principales funciones son:

  • Localizar los servicios activos que hay que proteger (equipos, aplicaciones, datos..). Sobre todo revisar la política de copias de seguridad (que copiamos, cuando, donde..).
  • Redactar y revisar los planes de actuación ante catástrofes (ataque intencionado, desastre natural..).
  • Solo instalar aplicaciones necesarias y revisar su configuración por si estamos atorgando más permisos de los necesarios.
  • Estar al día de todos los informes de seguridad. Para ello es necesario registrarse en listas de correo electrónico.
  • Activar los mecanismos de actualización automática de las aplicaciones instaladas.
  • Dar información para que utilicen la seguridad.
  • Revisar los log del sistema (accouting).
  • Utilizar la auditoría externa, por si hemos cometido un error es muy difícil encontrarlo por nosotros mismos.
  • Revisar los equipos conectados, puede haber algún intruso.
  • Revisar los usuarios activos, ya que puede haber algún empleado que no esté trabajando en la empresa y todos sus datos quedan disponibles para él o alguien de confianza.
  • Configurar el aviso por sms o correo electrónico para que nos enteremos de los problemas.
4. Legislación.
4.1. LOPD.

Su función es proteger el tratamiento de los datos de carácter personal de las personas físicas. Vamos a definir tres tipos de medidas:
  • Nivel básico: Ficheros de datos de carácter personal. Las medidas de seguridad pueden ser:
    • Identificar los usuarios.
    • Llevar un registro de ficheros.
    • Realizar copia de seguridad.
  • Nivel medio: Los datos incluyen la información sobre infracciones administrativas. LA más básicas suelen ser:
    • Una vez al año se realizará un procedimiento de seguridad.
    • Acceso físico a los medios de almacenamiento.
  • Nivel alto: Datos protegidos (vida sexual, origen racial..). Veamos las siguientes medidas:
    • Cifrado de las comunicaciones.
    • Operaciones sobre el fichero.
4.2. LSSI-CE.

Las empresas intentan cubrir el hueco legal con las empresas que se prestan con servicios de formación:
  • Comunicaciones por vía electrónica.
  • Información previa de contratos electrónicos.
  • Condiciones relativas en cuanto a validez y eficacia.
  • Régimen a los prestadores de servicios de la sociedad, será sancionador.
4.3. LPI.

Establece los derechos de autor en entornos digitales. Incluye una copia privada para el dueño del contenido. La copia no se puede utilizar de manera colectiva. Para compensar a los autores, se establece un canon sobre los dispositivos, éste revierte en las sociedades de los autores.

4.4. Administración electrónica.

Hace referencia a los estamentos públicos para adoptar nuevas tecnologías. Tiene múltiples ventajas, veamos cuales son:
  • Disponible 24h al día.
  • Facilidad de acceso.
  • Ahorro de tiempo.
  • Fiabilidad.

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)