Professional Documents
Culture Documents
Seguridad
Seguridad
Informtica
Lgica
y
Fsica.
Ciberseguridad
Objetivos de la seguridad
El objetivo principal de la seguridad informtica es garantizar que los recursos y
la informacin estn protegidos y para protegerlo son necesarios conseguir los
siguientes aspectos:
- Integridad: slo los usuarios autorizados podrn modificar la informacin.
- Confidencialidad: slo los usuarios autorizados tendrn acceso a los
recursos
y
a
la
informacin
que
utilicen.
- Disponibilidad: la informacin debe estar disponible cuando se necesite.
- Irrefutabilidad: el usuario no puede refutar o negar una operacin realizada.
Sistemas de Seguridad Informtica
Hoy en da es imposible hablar de un sistema cien por cien seguro, ya que el
costo de la seguridad total suele ser considerado muy alto. En ciertos casos no
se le concede la debida importancia, por lo que se descuidan aspectos bsicos.
Sin
embargo,
es
posible
controlar
una
gran
parte
de
la vulnerabilidades acotando aspectos relativos a procedimientos y estrategias.
Organizaciones gubernamentales y no gubernamentales internacionales han
desarrollado una serie de directrices y recomendaciones sobre el uso
adecuado de las TIC, evitando el uso indebido de las mismas y obteniendo el
mximo aprovechamiento.
Surgen as, las llamadas Polticas de Seguridad Informtica (PSI) como una
herramienta para concienciar a cada uno de los miembros de una organizacin
sobre la importancia y sensibilidad de la informacin y su seguridad. Hacen
referencia tambin a los equipos que la soportan, incluyendo hardware y
software, y a los usuarios que la manejan.
Polticas de Seguridad
La poltica de seguridad define una serie de reglas, procedimientos y prcticas
ptimas que aseguren un nivel de seguridad que est a la altura de las
necesidades del sistema.
Se basa, por tanto, en la minimizacin del riesgo, el cual viene definido por la
siguiente ecuacin:
RIESGO = (AMENAZA x VULNERABILIDAD) / CONTRAMEDIDAS.
En esta ecuacin, la amenaza representa el tipo de accin maliciosa, la
vulnerabilidad es el grado de exposicin a dicha accin y la contramedida es el
conjunto de acciones que se implementan para prevenir o evitar la amenaza.
La determinacin de estos componentes indica el riesgo del sistema.
Etapas
La poltica de seguridad de un sistema informtico se define en cuatro etapas:
1- La definicin de las necesidades de seguridad y de los riesgos
informticos del sistema as como sus posibles consecuencias, es el primer
escaln a la hora de establecer una poltica de seguridad. El objetivo de esta
etapa es determinar las necesidades mediante la elaboracin de un inventario
del sistema, el estudio de los diferentes riesgos y de las posibles amenazas.
2- La implementacin de una poltica de seguridad consiste en establecer
los mtodos y mecanismos diseados para que el sistema de informacin sea
seguro, y aplicar las reglas definidas en la poltica de seguridad. Los
mecanismos ms utilizados son los sistemas firewall, los algoritmos
criptogrficos y la configuracin de redes virtuales privadas (VPN).
3- Realizar una auditora de seguridad para validar las medidas de
proteccin adoptadas en el diseo de la poltica de seguridad. Cuando se trata
de compaas, organismos oficiales o grandes redes, suelen realizarlas
empresas externas especializadas. Tambin se llama etapa de deteccin de
incidentes,
ya
que
ste
es
su
fin
ltimo.
4- La definicin de las acciones a realizar en caso de detectar una
amenaza es el resultado final de la poltica de seguridad. Se trata de pever y
planificar una las medidas que han de tomarse cuando surga algn problema.
Esta etapa tambin es conocida como etapa de reaccin puesto que es la
respuesta a la amenaza producida.
Mtodos
Para definir una poltica de seguridad informtica se han desarrollado distintos
mtodos, diferencindose especialmente por la forma de analizar los riesgos.
Algunos de ellos son:
Medios de proteccin
Chip no entiende cmo ha podido coger la gripe: est vacunado contra un
montn de virus, siempre va bien abrigado y tiene una buena higiene. Tantas
medidas de proteccin y no se ha escapado. Es cierto, nunca estamos
protegidos al cien por cien de las enfermedades. Lo mismo ocurre con los
sistemas informticos, por muchos medios de proteccin que se utilicen, nunca
se conseguir una seguridad total. Por tanto, es de vital importancia
concienciarse
de
que
no
existe
la
ciberseguridad
100%.
Ya hemos visto en los puntos anteriores que muchas de las vulnerabilidades de
un sistema son debidas a la falta de polticas de seguridad y a problemas
ocasionados por los usuarios. A continuacin vamos a verlos medios ms
utilizados para evitar o eliminar estas vulnerabilidades.
Antivirus
Son programas que detectan cdigos maliciosos, evitan su activacin y
propagacin y, si es posible, incluso eliminan el dao producido.
Se llaman antivirus porque surgieron para eliminar este tipo de malware, pero
hoy en da han evolucionado y detectan otros tipos de malware como troyanos,
Criptografa
La criptografa es una ciencia utilizada desde la antigedad que consiste en
transformar un mensaje inteligible en otro que no lo es utilizando claves que
slo el emisor y el destinatario conocen, para despus devolverlo a su forma
original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.
La criptografa simtrica permite establecer una comunicacin segura entre
las partes siempre y cuando anteriormente se hayan intercambiado una clave
llamada "clave simtrica" que se utiliza para cifrar y para descifrar.
La criptografa tiene en la actualidad multitud de aplicaciones en informtica,
entre las cuales destacan las siguientes:
- Seguridad de las comunicaciones: permite establecer canales seguros
sobre redes que no lo son:
- Identificacin y autentificacin: se emplean las firmas digitales y otras
tcnicas criptogrficas para garantizar la autenticidad del remitente y verificar la
integridad
del
mensaje
recibido.
- Certificacin: se basa en la validacin por agentes fiables (como una entidad
certificadora)
de
la
identidad
de
agentes
desconocidos.
- Comercio electrnico: es un sistema muy utilizado ya que reduce el riesgo
de fraudes, estafas y robos en operaciones realizadas a travs de internet.
Antiespas
Son programas diseados para detectar, detener y eliminar los cdigos
maliciosos de programas espas (spyware). A veces, vienen incluidos en los
antivirus, pero son ms efectivos los diseados especficamente para eliminar
este tipo de malware. Algunas versiones recomendables son Malwarebyte,
Spybot o Ad-Aware para monopuestos.
Al igual que los antivirus, es necesario que el mdulo residente est activado
para detectar el cdigo malicioso antes de que se instale en el sistema.
Tambin es importante mantener actualizadas las bases de cdigos.
Siguiendo las pautas del libro Holistic Management, podramos definir la
seguridad ( figura 1 ), al igual que una organizacin, como un sistema viable,
muy complejo, con un propsito, probabilstico y con posibilidades (esta ltima
caracterstica no es parte de lo propuesto por el libro mencionado).
Viable , hace referencia a la capacidad de continuar existiendo en su entorno
por s mismo independiente del medio. La seguridad es viable en s misma
gracias a su dual, la inseguridad que vive permanentemente en el entorno, que
le permite desarrollar la capacidad para manifestarse ante situaciones fortuitas,
inesperadas
y
desconocidas.
En este orden de ideas, no es posible pensar en la seguridad, sin considerar su
dual, como el motivador clave para repensar el mismo.
Muy complejo , entendida esta caracterstica como las mltiples operaciones
que realiza el sistema, que bajo la coordinacin de todos sus miembros y
basado en un cuidadoso diseo de estructuras de manejo y flujo de
informacin, procura la viabilidad del mismo y el logro de sus objetivos.
En el contexto de la seguridad, hablamos de las consideraciones de gestin del
sistema de proteccin, basado en un reconocimiento y entendimiento de los
riesgos como un elemento fundamental de la dinmica de la organizacin. Este
sistema permanentemente se ve expuesto a las condiciones de la inseguridad,
razn por la cual la complejidad propia del sistema, se debe mantener bajo
observacin y administracin para lograr los objetivos propios del mismo.
Con un propsito es una caracterstica que nos habla de la capacidad de
lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa
aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es
otra cosa que el reconocimiento de la inseguridad propia del entorno y del
como aquello que es necesario para actuar y animar las actividades humanas
en todos los escenarios de la vida.
Jamming,
Proteccin
fsica
ciberseguridad:
Caracterizacin
Acciones Hostiles
Utilizacin de Guardia
disminuir siniestros
Las distintas alternativas vistas son suficientes para conocer en todo momento
el estado del medio en el que nos desempeamos; y as tomar decisiones
sobre la base de la informacin brindada por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la reas que recorren
ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
Controles
de
Acceso
- Nivel D : Este nivel contiene slo una divisin y est reservada para sistemas
que han sido evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema
operativo es inestable y no hay autentificacin con respecto a los usuarios y
sus derechos en el acceso a la informacin. Los sistemas operativos que
responden a este nivel son MS-DOS y System 7.0 de Macintosh.
- Nivel C1: Proteccin Discrecional. Se requiere identificacin de usuarios
que
permite
el
acceso
a
distinta
informacin.
Cada usuario puede manejar su informacin privada y se hace la distincin
entre los usuarios y el administrador del sistema, quien tiene control total de
acceso. Muchas de las tareas cotidianas de administracin del sistema slo
pueden ser realizadas por este "super usuario" quien tiene gran
responsabilidad en la seguridad del mismo. Con la actual descentralizacin de
los sistemas de cmputos, no es raro que en una organizacin encontremos
dos
o
tres
personas
cumpliendo
este
rol.
Esto es un problema, pues no hay forma de distinguir entre los cambios que
hizo cada usuario. A continuacin se enumeran los requerimientos mnimos que
debe cumplir la clase C1:
*-. Acceso de control discrecional: distincin entre usuarios y recursos. Se
podrn definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o
grupos
de
ellos.
*-. Identificacin y Autentificacin: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario
no podr ser accedido por un usuario sin autorizacin o identificacin.
- Nivel C2: Proteccin de Acceso Controlado. Este subnivel fue diseado
para solucionar las debilidades del C1. Cuenta con caractersticas adicionales
que crean un ambiente de acceso controlado. Se debe llevar una auditoria de
accesos
e
intentos
fallidos
de
acceso
a
objetos.
Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no slo en los permisos, sino tambin en los
niveles
de
autorizacin.
Requiere que se audite el sistema. Esta auditora es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
Proteccin Electrnica
Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la
utilizacin de sensores conectados a centrales de alarmas. Estas centrales
tienen conectadas los elementos de sealizacin que son los encargados de
hacerles saber al personal de una situacin de emergencia. Cuando uno de los
elementos sensores detectan una situacin de riesgo, stos transmiten
inmediatamente el aviso a la central; sta procesa la informacin recibida y
ordena en respuesta la emisin de seales sonoras o luminosas alertando de la
situacin.
Barreras Infrarrojas y de Micro-Ondas
Transmiten y reciben haces de luces infrarrojas y de micro-ondas
respectivamente. Se codifican por medio de pulsos con el fin de evadir los
intentos de sabotaje. Estas barreras estn compuestas por un transmisor y un
receptor
de
igual
tamao
y
apariencia
externa.
Permiten el control de todo lo que sucede en la planta segn lo captado por las
cmaras estratgicamente colocadas. Los monitores de estos circuitos deben
estar
ubicados
en
un
sector
de
alta
seguridad.
Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva)
u ocultas (para evitar que el intruso sepa que est siendo captado por el
personal
de
seguridad).
Todos los elementos anteriormente descriptos poseen un control contra
sabotaje, de manera que si en algn momento se corta la alimentacin o se
produce la rotura de alguno de sus componentes, se enviar una seal a la
central de alarma para que sta accione los elementos de sealizacin
correspondientes.
Edificios Inteligentes
La infraestructura inmobiliaria no poda quedarse rezagada en lo que se refiere
a
avances
tecnolgicos.
El Edificio Inteligente (surgido hace unos 10 aos) se define como una
estructura que facilita a usuarios y administradores, herramientas y servicios
integrados a la administracin y comunicacin. Este concepto propone la
integracin de todos los sistemas existentes dentro del edificio, tales como
telfonos, comunicaciones por computadora, seguridad, control de todos los
subsistemas del edificio (gas, calefaccin, ventilacin y aire acondicionado,
etc.)
y
todas
las
formas
de
administracin
de
energa.
Sistemas Biomtricos
Definimos a la Biometra como "la parte de la biologa que estudia en forma
cuantitativa la variabilidad individual de los seres vivos utilizando mtodos
estadsticos".
La Biometra es una tecnologa que realiza mediciones en forma electrnica,
guarda y compara caractersticas nicas para la identificacin de personas.
La forma de identificacin consiste en la comparacin de caractersticas fsicas
de cada persona con un patrn conocido y almacenado en una base de datos.
Los lectores biomtricos identifican a la persona por lo que es (manos, ojos,
huellas digitales y voz).
Los Beneficios de una Tecnologa Biomtrica
Pueden eliminar la necesidad de poseer una tarjeta para acceder. Aunque las
reducciones de precios han disminuido el costo inicial de las tarjetas en los
ltimos aos, el verdadero beneficio de eliminarlas consiste en la reduccin del
trabajo
concerniente
a
su
administracin.
Utilizando un dispositivo biomtrico los costos de administracin son ms
pequeos, se realiza el mantenimiento del lector, y una persona se encarga de
mantener la base de datos actualizada. Sumado a esto, las caractersticas
biomtricas
de
una
persona
son
intransferibles
a
otra.
Emisin de Calor: Se mide la emisin de calor del cuerpo (termograma),
realizando un mapa de valores sobre la forma de cada persona.
Huella Digital: Basado en el principio de que no existen dos huellas dactilares
iguales, este sistema viene siendo utilizado desde el siglo pasado con
excelentes
resultados.
Cada huella digital posee pequeos arcos, ngulos, bucles, remolinos, etc.
(llamados minucias) caractersticas y la posicin relativa de cada una de ellas
es lo analizado para establecer la identificacin de una persona.
Esta aceptado que dos personas no tienen ms de ocho minucias iguales y
cada una posee ms de 30, lo que hace al mtodo sumamente confiable.
pueden
verse
alteradas
robadas
por
personas
no
autorizadas.
Control de Vehculos
Para controlar el ingreso y egreso de vehculos, el personal de vigilancia debe
asentar en una planilla los datos personales de los ocupantes del vehculo, la
marca y patente del mismo, y la hora de ingreso y egreso de la empresa.
Desventajas de la Utilizacin de Guardias
La principal desventaja de la aplicacin de personal de guardia es que ste
puede llegar a ser sobornado por un tercero para lograr el acceso a sectores
donde no est habilitado, como as tambin para poder ingresar o egresar de la
planta con materiales no autorizados. Esta situacin de soborno es muy
frecuente, por lo que es recomendable la utilizacin de sistemas biomtricos
para el control de accesos.
.
Instalacin Elctrica
Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta
una de las principales reas a considerar en la seguridad fsica. Adems, es
una problemtica que abarca desde el usuario hogareo hasta la gran
empresa.
En la medida que los sistemas se vuelven ms complicados se hace ms
necesaria la presencia de un especialista para evaluar riesgos particulares y
aplicar soluciones que estn de acuerdo con una norma de seguridad
industrial.
Picos y Ruidos Electromagnticos: Las subidas (picos) y cadas de tensin
no son el nico problema elctrico al que se han de enfrentar los usuarios.
Tambin est el tema del ruido que interfiere en el funcionamiento de los
componentes electrnicos. El ruido interfiere en los datos, adems de favorecer
la
escucha
electrnica.
Cableado: Los cables que se suelen utilizar para construir las redes locales
van del cable telefnico normal al cable coaxil o la fibra ptica.
Algunos edificios de oficinas ya se construyen con los cables instalados para
evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un
corte,
rozadura
u
otro
dao
accidental.
traslado
de
sustancias
peligrosas.
extintores
manuales
(porttiles)
y/o
automticos
sistemas locales como en sistemas a los que deba acceder en forma remota.
Esto se denomina "single login" o sincronizacin de passwords.
Una de las posibles tcnicas para implementar esta nica identificacin de
usuarios sera la utilizacin de un servidor de autenticaciones sobre el cual los
usuarios se identifican, y que se encarga luego de autenticar al usuario sobre
los restantes equipos a los que ste pueda acceder. Este servidor de
autenticaciones no debe ser necesariamente un equipo independiente y puede
tener sus funciones distribuidas tanto geogrfica como lgicamente, de acuerdo
con
los
requerimientos
de
carga
de
tareas.
La Seguridad Informtica se basa, en gran medida, en la efectiva
administracin de los permisos de acceso a los recursos informticos, basados
en
la
identificacin,
autenticacin
y
autorizacin
de
accesos.
Esta administracin abarca:
- Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de
las cuentas de usuarios. Es necesario considerar que la solicitud de
habilitacin de un permiso de acceso para un usuario determinado, debe
provenir de su superior y, de acuerdo con sus requerimientos especficos de
acceso, debe generarse el perfil en el sistema de seguridad, en el sistema
operativo
o
en
la
aplicacin
segn
corresponda.
- Adems, la identificacin de los usuarios debe definirse de acuerdo con
una
norma
homognea
para
toda
la
organizacin.
- Revisiones peridicas sobre la administracin de las cuentas y los permisos
de acceso establecidos. Las mismas deben encararse desde el punto de vista
del sistema operativo, y aplicacin por aplicacin, pudiendo ser llevadas a cabo
por personal de auditora o por la gerencia propietaria del sistema; siempre
sobre la base de que cada usuario disponga del mnimo permiso que requiera
de
acuerdo
con
sus
funciones.
- Deteccin de actividades no autorizadas. Adems de realizar auditorias o
efectuar el seguimiento de los registros de transacciones (pistas), existen otras
medidas que ayudan a detectar la ocurrencia de actividades no autorizadas.
Algunas de ellas se basan en evitar la dependencia hacia personas
determinadas, estableciendo la obligatoriedad de tomar vacaciones o
efectuando rotaciones peridicas a las funciones asignadas a cada una.
- Nuevas consideraciones relacionadas con cambios en la asignacin de
funciones del empleado. Para implementar la rotacin de funciones, o en caso
pasar para que los usuarios puedan cambiar sus passwords, y un perodo
mximo que puede transcurrir para que stas caduquen.
Administracin de Seguridad
Una vez establecidos los controles de acceso sobre los sistemas y la
aplicacin, es necesario realizar una eficiente administracin de estas medidas
de seguridad lgica, lo que involucra la implementacin, seguimientos, pruebas
y modificaciones sobre los accesos de los usuarios de los sistemas.
La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe
guiar a las decisiones referidas a la determinacin de los controles de accesos
y especificando las consideraciones necesarias para el establecimiento de
perfiles
de
usuarios.
La definicin de los permisos de acceso requiere determinar cual ser el nivel
de seguridad necesario sobre los datos, por lo que es imprescindible clasificar
la informacin, determinando el riesgo que producira una eventual exposicin
de
la
misma
a
usuarios
no
autorizados.
As los diversos niveles de la informacin requerirn diferentes medidas y
niveles
de
seguridad.
Para empezar la implementacin, es conveniente comenzar definiendo las
medidas de seguridad sobre la informacin ms sensible o las aplicaciones
ms crticas, y avanzar de acuerdo a un orden de prioridad descendiente,
establecido
alrededor
de
las
aplicaciones.
Una vez clasificados los datos, debern establecerse las medidas de seguridad
para
cada
uno
de
los
niveles.
Un programa especfico para la administracin de los usuarios informticos
desarrollado sobre la base de las consideraciones expuestas, puede constituir
un compromiso vaco, si no existe una conciencia de la seguridad
organizacional por parte de todos los empleados. Esta conciencia de la
seguridad puede alcanzarse mediante el ejemplo del personal directivo en el
cumplimiento de las polticas y el establecimiento de compromisos firmados por
el personal, donde se especifique la responsabilidad de cada uno.
Pero adems de este compromiso debe existir una concientizacin por parte de
la administracin hacia el personal en donde se remarque la importancia de la
informacin y las consecuencias posibles de su prdida o apropiacin de la
misma
por
agentes
extraos
la
organizacin.