Seguridad Informática

Seguridad Informática

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos,archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

Principios fundamentales de la seguridad informática

• Del menor privilegio: Cualquier objeto de un sistema debe tener solamente aquellos privilegios necesarios para poder desarrollar sus tareas y ninguna más. 
• La seguridad no se obtiene de la oscuridad: Nos e puede obtener seguridad a base de esconder vulnerabilidades, estas se protegen con contramedidas no con secretos. 
• El eslabón más débil: La robustez del sistema de seguridad corresponderá a la medida de protección más débil. 
• Punto de control centralizado: Cualquier acceso al sistema informático debe pasar por un punto de control. 
• Partición universal: En la seguridad se requiere la participación de todos los usuarios.
• Defensa en profundidad: Consiste en establecer mecanismos de seguridad en cadena para prevenir la posibilidad del fallo de algunos de ellos. 
• Simplicidad: Las cosas contra más simples mejor. Ejemplo: Si un programa se puede hacer en 2 lineas mejor que si se hace en 100 porque a la larga causará problemas. 

Tipos de seguridad informática

• Seguridad física: Habitualmente nos centramos en protegernos de posibles hackers, virus y, nos olvidamos de un aspecto muy importante en la seguridad informática, la seguridad física. La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el cableado...) de los posibles desastres naturales terremotos, de incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más.
• Seguridad lógica: La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos informáticos, es decir, las aplicaciones y los datos de usuario, de robos, de pérdida de datos, entrada de virus informáticos, modificaciones no autorizadas de los datos, ataques desde la red, etc. 
• Seguridad ambiental: Es un sistema de prevención de riesgos ambientales en hardware, (el cual contiene información de todo tipo) estos riesgos ambientales son el conjunto de factores externos que de alguna forma pueden hacer interferencia y/o daño al conjunto de hardware ordenado que permita la fluidez de la información*, mediante el uso de mecanismos de seguridad. Estos factores de riesgo pueden ser factores climáticos, geográficos, reacciones químicas y elementos del entorno.
• Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los sistemas informáticos. 
• Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un usuario o malware.

Características

La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas, sean utilizados de la manera más apropiada y que el acceso a la información allí contenida así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Para que un sistema sea considerado seguro debe cumplir con las siguientes características:

• Integridad: La información producida es de calidad porque no puede ser modificada por quien no está autorizado.
• Confidencialidad: La información solo debe ser legible para los autorizados, la misma debe llegar a destino con la cantidad y calidad con que fue prevista.
• Disponibilidad: la información debe estar disponible cuando se la necesita.
• Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría de quien provee de dicha información.

Objetivos

La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

• La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
• Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
• La información: Esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

¿Para qué nos sirve la seguridad informática?

Garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no esten dañados o alterados por circunstancias o factores externos.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

La seguridad informática debe vigilar las siguientes propiedades:

• Privacidad: La información debe ser vista y manipulada solo por quien o quienes tengan el derecho de hacerlo. Un ejemplo de ataque a la Privacidad es la Divulgación de Información Confidencial o personal.
• Integridad: La información deber ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataques a la integridad es la modificación NO autorizada de los saldos en un sistema bancario, es decir, la modificación de números en un banco que provoca un caos en el ente financiero.
• Disponibilidad: La información debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negación de servicio ,(Denial of Service o DoS), que es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.

Ventajas

1. Se encarga de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios.
2. Crean buenas medidas de seguridad que evitan daños y problemas que pueden ocasionar intrusos.
3. Crea barreras de seguridad que no son más que técnicas, aplicaciones y dispositivos de seguridad que utilizando aplicaciones de protección: cortafuegos, antivirus, antiespias y usos de contraseñas.Protege la información y los equipos de los usuarios.
4. Capacita a la población general sobre las nuevas tecnologías y las amenazas que pueden traer.     

Desventajas

1. En los equipos más desactualizados,un antivirus realmente efectivo puede ser muy pesado, puede hacerlo más lenta, y ocupar mucho espacio en memoria.                                     
2. Los requisitos para su creación de contraseñas son cada vez mas complejos la mayoría de los sitios web requieren inicios de sesión  y el cambio de contraseñas con frecuencia se ha vuelto obligatorio en muchos lugares de trabajo.

Vulnerabilidades

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí mismos sin tratarse de un ataque intencionado.

A las vulnerabilidades se les consideran un elemento interno del sistema,  por lo que es tarea de los administradores y usuarios  el detectarlos, valorarlos y reducirlos. 

Las vulnerabilidades de los sistemas informáticos (SI) las podemos agrupar en función de:

Diseño

• Debilidad en el diseño de protocolos utilizados en las redes.
• Políticas de seguridad deficientes e inexistentes.

Implementación

• Errores de programación.
• Existencia de “puertas traseras” en los sistemas informáticos.
• Descuido de los fabricantes.

Uso

• Configuración inadecuada de los sistemas informáticos.
• Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
• Disponibilidad de herramientas que facilitan los ataques.
• Limitación gubernamental de tecnologías de seguridad.

Vulnerabilidad del día cero

• Cuando no exista una solución “conocida” para una vulnerabilidad, pero si se conoce como explotarla, entonces se le conoce como “vulnerabilidad 0 days”.

Tipos de Vulnerabilidades

Las vulnerabilidades son el resultado de errores de programación (bugs), fallos en el diseño del sistema, incluso las limitaciones tecnológicas pueden ser aprovechadas por los atacantes.

Para esta investigación, se clasifican las vulnerabilidades en seis tipos: Físicas, naturales, de hardware, de software, de red y de factor humano.

• Física: Está relacionada con el acceso físico al sistema. Es todo lo referente al acceso y de las instalaciones donde se tienen los equipos de cómputo que contienen la información o forman partes de los procesos esenciales del sistema. Las vulnerabilidades de este tipo se pueden presentar en forma de malas prácticas de las políticas de acceso de personal a los sistemas y uso de medios físicos de almacenamiento de información que permitan extraer datos del sistema de manera no autorizada.
• Natural: Recordemos que las amenazas naturales son todo tipo de desastres causados por fuerzas  naturales que causan daño a un sistema, por el lado de las amenazas naturales, estas se refieren al grado en que el sistema se puede ver afectado por este tipo de eventos. Las vulnerabilidades de tipo natural se presentan principalmente en deficiencias de las medidas tomadas para afrontar los desastres, por ejemplo no disponer de reguladores, no-breaks, mal sistema de ventilación o calefacción, etc.
• Hardware: Las vulnerabilidades de hardware representan la probabilidad de que las piezas físicas del sistema fallen (ya sea por mal uso, descuido, mal diseño etc.) dejando al sistema desprotegido o inoperable. También trata sobre las formas en que el hardware puede ser usado por personas para atacar la seguridad del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.
• Software: Cada programa (ya sea de paquetería o de sistema operativo) puede ser usado como medio para atacar a un sistema más grande, esto se da debido a errores de programación, o porque en el diseño no fueron considerados ciertos aspectos (por ejemplo controles de acceso, seguridad, implantación, etc.).
• Red: Las redes pueden llegar a ser sistemas muy vulnerables, al tratarse de una serie de equipos conectados entre si compartiendo recursos, es posible atacar a toda la red penetrando primero en uno de los equipos y posteriormente expandirse al resto.
• Factor humano: Los elementos humanos de un sistema son los mas difíciles de controlar lo que los convierte en constantes amenazas y al mismo tiempo una de las partes mas vulnerables del sistema. Las vulnerabilidades de origen humano mas comunes son la falta de capacitación y concienciación, lo que puede dar lugar a la negligencia en el seguimiento de las políticas de seguridad, y mal uso del equipo de cómputo.

¿Cómo evitarlas?

Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemos operando en nuestro sistema cortafuegos, antispam, antivirus, y detectores de código maligno.

Lo que si es posible es tratar de evitarlas al máximo posible. tengamos presente que las comunicaciones en la red constan de 7 capas según el modelo OSI, y las vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del nucleo de nuestro sistema operativo. No debemos imaginar que con un buen antivirus podemos estar libres de vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que estén radicando en nuestra computadora sino que también pueden llegar a ser mediante ejecución de código mientras visitemos alguna pagina web, o cuando el atacante tiene privilegios de acceso a nivel administrativo a nuestra computadora

Asi que se debe tener presente que para evitar las vulnerabilidades no solamente basta con tener un antivirus y ejecutarlo de manera periódica.

Lista de recomendaciones para tener nuestra computadora libre de virus:

1. Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permite casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad.
2. Activar Firewall.
3. Programar escaneos completos del Antivirus mensuales. 
4. No caer en trampas obvias como correos spam diciéndote que ganaste la lotería en un país que ni siquiera conoces.
5. Si vas a descargar música, libros, programas ejecutables, etc. procura hacerlo solo de fuentes confiables.
6. Vacunar unidades externas. (Genaro aportation).

Ataques y amenazas al sistema

Amenazas: Las amenazas son eventos que pueden causar alteraciones a la información de la organización ocasionándole pérdidas materiales, económicas, de información, y de prestigio.

Las amenazas se consideran como exteriores a cualquier sistema, es posible establecer medidas para protegerse de las amenazas, pero prácticamente imposible controlarlas y menos aún eliminarlas.

Causas de las amenazas

• Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.
• Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
• Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
• Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
• Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
• Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
• Fallos electrónicos o lógicos de los sistemas informáticos en general.
• Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.

Tipos de amenaza

Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una clasificación. Por ejemplo, un caso de phishing puede llegar a robar la contraseña de un usuario de una red social y con ella realizar una suplantación de la identidad para un posterior acoso, o el robo de la contraseña puede usarse simplemente para cambiar la foto del perfil y dejarlo todo en una broma (sin que deje de ser delito en ambos casos, al menos en países con legislación para el caso, como lo es España).

Amenazas por el origen.

• Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son:

1. Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, etc. Además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite unos mínimos de movimientos.
2. Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas por, habitualmente, no estar orientados al tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.

• Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

Amenazas por el efecto.

• Robo de información.

• Destrucción de información.

• Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.

• Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc.

• Robo de dinero, estafas...

Amenazas por el medio utilizado.

Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto para un mismo tipo de ataque:

• Virus informático: malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazanarchivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.
• Phishing.
• Ingeniería social.
• Denegación de servicio.
• Spoofing: de DNS, de IP, de DHCP, etc.

Ataques: Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).

Tipos de ataques

• Ataque de denegación de servicio, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
• Man in the middle, a veces abreviado MitM, es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas.
• Ataques de REPLAY, una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.
• Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente.

Consecuencias de los ataques

• Daños menores: En este tipo de daños se tiene que tener en cuenta el VIRUS Jerusalén. Este virus los viernes 13, borra todos los programas que una trate de usar después de que el virus haya infectado la memoria. Lo peor que puede suceder es que tocara volver a INSTALAR los programas ya borrados por el virus.
• Daños moderados: Este daño sucede cuando un virus formatea el DISCO DURO, y mezcla los componentes del FAT (File Allocation Table por su sigla en inglés o Tabla de Ubicación de Archivos por sus siglas en español, TUA), o también puede que sobrescriba el disco duro. Sabiendo esto se puede reinstalar el sistema operativo y usar el último backup. Esto llevara 1 hora aproximadamente.
• Daños mayores: Algunos VIRUS pueden pasar desapercibidos y pueden lograr que ni utilizando el backup se pueda llegar a los archivos. Un ejemplo es el virus Dark Avanger que infecta los archivos acumulando. Cuando llega a 16, el virus escoge un sector del disco duro al azar y en ella escribe: "Eddie lives... somewhere in time (Eddie vive... en algún lugar del tiempo) Cuando el usuario se percata de la existencia del virus ya será demasiado tarde pues los archivos más recientes estarán infectados con el virus.
• Daños severos: Los daños severos son hechos cuando los VIRUS hacen cambios mínimos y progresivos. El usuario no sabe cuando los datos son correctos o han cambiado, pues no se ve fácilmente, como en el caso del VIRUS Dark Avanger. También hay casos de virus que infectan aplicaciones que al ser descontaminadas estas aplicaciones pueden presentar problemas o perder funcionalidad.
• Daños ilimitados: Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema. En el caso de CHEEBAS, crea un nuevo usuario con el privilegio máximo poniendo el nombre del usuario y la clave. El daño lo causa la tercera persona, que ingresa al sistema y podría hacer lo que quisiera.

Ataques y contramedidas

Contramedidas: Técnicas de protección especificas contra amenazas. Para que todo funcione bien hay que determinar las vulnerabilidades y amenazas al sistema informático para aplicar las contramedidas. Las amenazas aprovechan las vulnerabilidades y las contramedidas eliminan las amenazas. 

Clasificación de las contramedidas

• Físicas: Todos aquellos mecanismos que protejan al sistema informático de entradas no deseables o de robos. Ejemplo: políticas o copias de seguridad en distintos edificios. 
• Lógicas: Para controlar accesos a los recursos (criptografía, copias de seguridad...)
• Administrativas: Medidas tomadas por las personas responsables de la seguridad. 
• Legales: Medidas que se aplican después de ocurrir un suceso. 

Contramedidas de seguridad.

Prevención.

• Evitar que se pueda comprometer una o mas de las propiedades que hay que asegurar. 
• Diseño seguro del sistema 
• Tecnologías de prevención:

1. Confidencialidad → Cifrado. 
2. Integridad → Permisos de acceso. 
3. Disponibilidad → Filtrar tráfico.  
4. Autenticación → Certificado digital. 

• La prevención es la contramedida más importante. 

Detección.

• Si alguien intenta comprometer una de las propiedades, hay que asegurarse de detectar dicho intento, para poder contrarrestarlo o restablecer el sistema. 
• Muy importante en seguridad informática, ya que la  deteccion de un “robo de datos” no implica la falta de dichos datos. 
• Tecnologías de detección:

1. Logs. 
2. Checksum (codigo hash para detectar alteracion de ficheros). 
3. Intrusion detection system (IDS).

Reacción.
 

• Si se ha detectado un fallo de seguridad, hay que tener un plan para corregir el fallo o restablecer la integridad el sistema.

1. Backups. 
2. Informar las partes implicadas. 
3. Informar las autoridades.

Técnicas para asegurar el sistema

• Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
• Vigilancia de red. Zona desmilitarizada
• Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad. Sistema de Respaldo Remoto. Servicio de backup remoto

Respaldo de Información.

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.

Un buen sistema de respaldo debe contar con ciertas características indispensables:

• Continuo: El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.
• Seguro: Muchos softwares de respaldo incluyen cifrado de datos (128-448 bits), lo cual debe ser hecho localmente en el equipo antes del envío de la información.
• Remoto: Los datos deben quedar alojados en dependencias alejadas de la empresa.
• Mantención de versiones anteriores de los datos: Se debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales de los datos.

Protección contra virus.

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los medios de acceso a ellos, principalmente la red.

Consideraciones de software.

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.

Consideraciones de una red.

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

Políticas de seguridad

El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales’, aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y qué lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica.
 
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
 
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos. 

Surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. 

Características 

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una política de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe: 

• Ser holística (cubrir todos los aspectos relacionados con la misma). 
• Adecuarse a las necesidades y recursos. 
• Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. 
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas. 
• Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. 
• Deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc. 

Elementos de una Política de Seguridad

 

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. 

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: 

• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. 
• Objetivos de la política y descripción clara de los elementos involucrados en su definición. 
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. 
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. 
• Definición de violaciones y sanciones por no cumplir con las políticas. 
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. 
• Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica. 
• Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función. 
• Integridad: la información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado. 
• Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema. 
• Confidencialidad: la información sólo ha de estar disponible para agentes autorizados, especialmente su propietario. 
• Posesión: los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios. 

Normativas 

Para cubrir de forma adecuada los elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una política se suele dividir en puntos más concretos a veces llamados normativas. Ellas definen las siguientes líneas de actuación:

• Seguridad organizacional. Aspectos relativos a la gestión de la seguridad dentro de la organización (cooperación con elementos externos, outsourcing, estructura del área de seguridad…). 
• Clasificación y control de activos. Inventario de activos y definición de sus mecanismos de control, así como etiquetado y clasificación de la información corporativa. 
• Seguridad del personal. Formación en materias de seguridad, cláusulas de confidencialidad, reporte de incidentes, monitorización de personal. 
• Seguridad física y del entorno. Bajo este punto se engloban aspectos relativos a la seguridad física de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organización y de los sistemas en sí, así como la definición de controles genéricos de seguridad. 
• Gestión de comunicaciones y operaciones. Este es uno de los puntos más interesantes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la seguridad relativos a la operación de los sistemas y telecomunicaciones, como los controles de red, la protección frente a malware, la gestión de copias de seguridad o el intercambio de software dentro de la organización. 
• Controles de acceso. Definición y gestión de puntos de control de acceso a los recursos informáticos de la organización: contraseñas, seguridad perimetral, monitorización de acceso. 
• Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software. 
• Gestión de continuidad de negocio. Definición de planes de continuidad, análisis de impacto, simulacros de catástrofes. 
• Requisitos legales. 

Parámetros para Establecer Políticas de Seguridad 

Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: 

• Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. 
• Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. 
• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. 
• También es necesario identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. 
• Además monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. 
• Como así también, detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas. 

Niveles de Seguridad Informática

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

• Nivel D
  Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
  Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
• Nivel C1: Protección Discrecional
  Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
  Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.
• Nivel C2: Protección de Acceso Controlado
  Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
  Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
  Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.
  La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
  Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.
  Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
• Nivel B1: Seguridad Etiquetada
  Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.
  A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).
  Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
  También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos.
• Nivel B2: Protección Estructurada
  Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
  La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.
  Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.
  El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
• Nivel B3: Dominios de Seguridad
  Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.
  Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.
  Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones.
  Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.
  Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
• Nivel A: Protección Verificada
  Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
  Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

Cortafuegos

Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets.

Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados.

Es importante recordar que un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales para tu ordenador o red.

Tipos de cortafuegos

• Nivel de aplicación de pasarela: Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.
• Circuito a nivel de pasarela: Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.
• Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.
• Cortafuegos de capa de aplicación: Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder, e incluso puede aplicar reglas en función de los propios valores de los parámetros que aparezcan en un formulario web.
• Cortafuegos personal: Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal.

Tipos de técnicas de cortafuegos

• Packet filter: mira cada paquete que entra o sale de la red y lo acepta o rechaza basándose en reglas definidas por el usario. La filtración del paquete es bastante eficaz y transparente a los usuarios, pero es difícil de configurar. Además, es susceptible al IP spoofing.
• Application gateway: Aplica mecanismos de seguridad a ciertas aplicaciones, tales como servidores ftp y servidores telnet. Esto es muy eficaz, pero puede producir una disminución de las prestaciones.
• Circuit-level gateway: Aplica mecanismos de seguridad cuando se establece una conexión TCP o UDP. Una vez que se haya hecho la conexión, los paquetes pueden fluir entre los anfitriones sin más comprobaciones.
• Proxy server: Intercepta todos los mensajes que entran y salen de la red. El servidor proxy oculta con eficacia las direcciones de red verdaderas.

Uso del cortafuego

  Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Una intranet es una red informática que utiliza la tecnología del Protocolo de Internet para compartir información, sistemas operativos o servicios de computación dentro de una organización. 

Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.