dilluns, 13 de juny del 2011

Introducción a la seguridad informática (I) - conceptos


Hay que tener en cuenta la seguridad como un proceso global, y por lo tanto debe cumplir toda la normativa establecida al nivel de la organización y en materia legal, además de las políticas de funcionamiento y seguridad del SI.

Qué queremos proteger?

  • Hardware
  • Software
  • Datos
La seguridad informática no es un concepto estático consecuencia de una aplicación mecánica de métodos, sino que es un proceso que se puede ver comprometido en cualquier momento de la forma más insospechada posible. Debido a que es imposible garantizar la seguridad o inviolabilidad absoluta de un sistema informático se utiliza el término fiabilidad. Un sistema es fiable cuando cumple:
  • Confidencialidad: los recursos que integran el sistema sólo pueden ser accedidos por los elementos autorizados a hacerlo
  • Integridad: los recursos del sistema solo pueden ser modificados por los elementos autorizados a hacerlo
  • Disponibilidad: los recursos del sistema deben permanecer accesibles a los elementos autorizados

De qué nos queremos proteger?

La protección de un sistema informático debe dirigirse al hw, sw y a los datos, y los ataques que pueden sufrir se clasifican en:
  • Interrupción: ataque contra la disponibilidad en el que se destruye o queda no disponible un recurso del sistema
  • Interceptación: ataque contra la confidencialidad en el que un elemento no autorizado consigue el acceso a un recurso
  • Modificación: ataque contra la integridad y la confidencialidad, que además de obtener acceso no autorizado a un recurso lo elimina o modifica
  • Fabricación: ataque contra la integridad en el que un elemento consigue crear objetos falsificados al sistema.
Ataques cuyo origen son las personas:
  • Ataques pasivos: eaveesdropping. El atacante simplemente observa el SI, normalmente con la finalidad de obtener alguna información confidencial
  • Ataques activos: el atacante altera o destruye algun recurso del sistema
    • Suplantación de identidad
    • Reactuación
    • Degradación fraudulenta del servicio
    • Modificación de mensajes
  • Posibles atacantes:
    • Personal de la propia organización
    • Antiguos trabajadores
    • Hackers (script kiddie, ingeniería social…)
    • Intrusos remunerados

Mecanismos de seguridad

  • Medidas de prevención: aumentan la seguridad del sistema durante su funcionamiento
  • Medidas de detección: se usan para detectar violaciones en la seguridad
  • Medidas de recuperación: permiten la recuperación del funcionamiento correcto del sistema una vez se ha producido el ataque.

Como podemos proteger la información?

Pensando como un proceso siempre deberemos tener en cuenta la gestión (en la implantación de seguridad y en el control y mantenimiento de toda la seguridad que ponemos en marcha), la tecnología, y los aspectos legales.

El valor de la información

Debemos saber qué información es valiosa y cuán valiosa es. Todo recurso de la información debe ser protegido por la organización de acorde a su valor. El valor de la información está relacionado con alguno de estos aspectos:
  • El valor intrínseco de la información
  • La creación de la información
  • El almacenaje de la información
  • La retención y administración de la información

Sistemas de Gestión de Seguridad de información (SGSI)

  • Activo: recurso del SI necesario para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección
  • Amenaza: evento que puede desencadenar un incidente produciendo daños o pérdidas materiales o inmateriales
  • Riesgo: posibilidad que una amenaza se materialice
  • Impacto: consecuencia sobre un activo de la materialización de una amenaza
  • Control: práctica, procedimiento o mecanismo que reduce el nivel de riesgo
Los riesgos no se eliminan, se gestionan à PDCA
  • Modelo Fisico-logico:
    • Seguridad lógica
    • Seguridad física
  • Modelo basado en SI
    • BBDD
    • SO
    • HW/red
  • Modelo basado en planes de prevención de riesgos laborales
    • Prevención: saber que se desea proteger
      • Realizaremos un análisis de riesgos, basado en el cálculo de la probabilidad que ocurran sucesos problemáticos, obtener una valoración económica del impacto de estos eventos negativos y contrastar el coste de la protección en relación a a volver a crear la información.
    • Seguridad: cómo vamos a proteger
      • Proponemos la manera de llevar a cabo las soluciones: mecanismos, protocolos, herramientas, tecnología, asignación de responsabilidades…
    • Contingencia: que hacer cuando falla la seguridad.
      • El plan de contingencias incluye un plan de recuperación de desastres, que tendrá como objetivo restaurar el SI lo antes posible, minimizando el coste y las pérdidas que pueda ocasionar.
  • Norma ISO

Seguridad y usuarios

La seguridad es el proyecto de todos, para el bien de todos

Auditorias de seguridad

  • Auditorías internas
  • Auditorías externas
Los análisis independientes y las pruebas de penetración son dos formas muy efectivas de identificar nuestros puntos débiles antes de que sean aprovechados por atacantes, lo que nos permite prevenir y hacer ajustes a la tecnología y a las normas de seguridad.



 
Publicat per Jaume a 12:24
Etiquetes de comentaris:

Cap comentari:

Publica un comentari a l'entrada

Subscriure's a: Comentaris del missatge (Atom)