Issuu on Google+

Seguridad Física y  Seguridad Lógica

César Farfán Masías famas8@hotmail.com http://cesarfamas.blogspot.com


La Seguridad depende de procesos Preguntas frecuentes 

¿Quién necesita accesos a mis datos / servicios?

¿Cómo reconoceré a esas personas?

¿ Que datos / servicios necesitarán? 

¿ Cuanta seguridad realmente necesito? 

¿ Que tan seguro es mi proceso existente?

¿Cómo puedo agrupar gente y definir roles para facilitar la  administración?


Seguridad Física y Seguridad Lógica 

El estudio de la seguridad informática podríamos  plantearlo desde dos enfoques distintos aunque  complementarios: – La Seguridad Física: puede asociarse a la protección  del sistema ante las amenazas físicas, incendios,  inundaciones, edificios, cables, control de accesos de  personas, etc.  – La Seguridad Lógica: protección de la información en  su propio medio, mediante el enmascaramiento de la  misma usando técnicas de criptografía. Este enfoque  de las aplicaciones criptográficas, es el que será  tratado a lo largo de los capítulos de este libro.


Seguridad Física y Seguridad Lógica La gestión de la seguridad está en medio de la dos:  los planes de contingencia, políticas de seguridad,  normativas, etc. Aunque muy brevemente, este  tema será tratado en un próximo capítulo. No obstante, tenga en cuenta que esta clasificación en la práctica no es tan rigurosa. En resumidas cuentas, podríamos decir que cada vez está menos claro dónde comienza una y dónde termina la otra.


Principios de la seguridad informática Veremos a continuación los tres principios básicos de  la seguridad informática: el del acceso más fácil, el de  la caducidad del secreto y el de la eficiencia de las  medidas tomadas.

• Tras los acontecimientos del 11/09/2001 en Nueva York, los del 11/03/2004 en Madrid y los del 07/07/2005 en Londres, que echaron por tierra todos los planes de contingencia, incluso los más paranoicos, comenzamos a tener muy en cuenta las debilidades de los sistemas y valorar en su justa medida el precio de la seguridad.

Es necesario aprender de los errores 


1er principio de la seguridad informática PREGUNTA: ¿Cuáles son los puntos débiles de un sistema informático?

sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque. Existirá una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultará el análisis de riesgo ya que el delincuente aplicará la filosofía del ataque hacia el punto más débil: el equipo o las personas.


2º principio de la seguridad informática  

P2: los datos confidenciales deben protegerse sólo  hasta que ese secreto pierda su valor como tal. Se habla, por tanto, de la caducidad del sistema de  protección: tiempo en el que debe mantenerse la  confidencialidad o secreto del dato. Esto nos llevará a la fortaleza del sistema de cifra.


3er principio de la seguridad informática 

P3: las medidas de control se implementan para que tengan un  comportamiento efectivo, eficiente, sean fáciles de usar y  apropiadas al medio. – Efectivo: que funcionen en el momento oportuno. – Eficiente: que optimicen los recursos del sistema. – Apropiadas: que pasen desapercibidas para el usuario.  Y lo más importante: ningún sistema de control  resulta efectivo hasta que debemos utilizarlo al  surgir la necesidad de aplicarlo. Junto con la  concienciación de los usuarios, éste será uno de  los grandes problemas de la Gestión de la  Seguridad Informática.


2º principio de la seguridad informática 

P3: las medidas de control se implementan para que tengan  un comportamiento efectivo, eficiente, sean fáciles de usar y  apropiadas al medio. – Efectivo: que funcionen en el momento oportuno. i – Eficiente: que optimicen los recursos del sistema. – Apropiadas: que pasen desapercibidas para el usuario. 

d ida a r u c g Se rmáti Info

Medidas de control

Y lo más importante: ningún sistema de  control resulta efectivo hasta que debemos  utilizarlo al surgir la necesidad de aplicarlo.  Junto con la concienciación de los  usuarios, éste será uno de los grandes  problemas de la Gestión de la Seguridad  Informática.


Amenazas del sistema 

Las amenazas afectan  principalmente al  hardware, al software y a  los datos. Éstas se deben  a fenómenos de: – Interrupción – Interceptación – Modificación – Generación

Flujo Normal

Interrupción

Interceptación

Modificación

Generación


Amenazas de interrupción Interrupción Intruso

Se daña, pierde o deja de funcionar un punto  del sistema.  Su detección es inmediata. 

Ejemplos:

Destrucción del hardware. Borrado de programas, datos. Fallos en el sistema operativo.


Amenazas del sistema 

Las amenazas afectan  principalmente al  hardware, al software y a  los datos. Éstas se deben  a fenómenos de: – Interrupción – Interceptación – Modificación – Generación

Flujo Normal

Interrupción

Interceptación

Modificación

Generación


Amenazas más características 

Hardware:  – Agua, fuego, electricidad, polvo, cigarrillos, comida. Software: – Además de algunos típicos del hardware, borrados  accidentales o intencionados, estática, fallos de líneas de  programa, bombas lógicas, robo, copias ilegales. Datos: – Tiene los mismos puntos débiles que el software. Pero hay  dos problemas añadidos: no tienen valor intrínseco pero sí  su interpretación y, por otra parte, habrá datos de carácter  personal y privado que podrían convertirse en datos de  carácter público: hay leyes que lo protegen.


Debilidades del sistema informático (1) HARDWARE ­ SOFTWARE ­ DATOS MEMORIA ­ USUARIOS 

   Los tres primeros puntos conforman el llamado Triángulo  de Debilidades del Sistema: – Hardware: pueden producirse errores intermitentes,  conexiones sueltas, desconexión de tarjetas, etc. – Software: puede producirse la sustracción de programas,  ejecución errónea, modificación, defectos en llamadas al  sistema, etc. – Datos: puede producirse la alteración de contenidos,  introducción de datos falsos, manipulación fraudulenta de  datos, etc.


Debilidades del sistema informático (2) – Memoria: puede producirse la introducción de un virus, mal  uso de la gestión de memoria,  bloqueo del sistema, etc. – Usuarios: puede producirse la suplantación de identidad, el  acceso no autorizado, visualización de datos confidenciales,  etc. 

Es muy difícil diseñar un plan que contemple minimizar de  forma eficiente todas estas amenazas, y que además se  entienda y pase desapercibido por los usuarios. Debido al principio de acceso más fácil, el responsable de  seguridad informática no se deberá descuidar ninguno de los  cinco elementos susceptibles de ataque al sistema.


El concepto de datos seguros Si se cumplen los principios vistos anteriormente, diremos  en general que los datos están protegidos y seguros.

DATOS

Confidencialidad

DATOS

Integridad

DATOS

Datos Seguros

DATOS

Disponibilidad

Esto se entiende en el siguiente sentido: los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles.


Sistema de cifra M

Transmisor

C

Medio de Transmisión

C

Receptor

T

MT

R

Cifrador

Mensaje cifrado

Descifrador

Usurpación de identidad por un intruso

M

Interceptación del mensaje por un intruso

Sea cual sea el medio de transmisión o almacenamiento (enlace, red telefónica, red de datos, disco magnético, disco óptico, etc.), éste será siempre y por definición un medio inseguro. Por lo tanto, habrá que adaptarse a este medio usando el cifrado. Tal vez esto deje de ser cierto en los futuros sistemas con criptografía cuántica.


Protección lógica y física de los datos  

Los datos deben protegerse aplicando: Seguridad Lógica – Uso de herramientas de protección de la información en el  mismo medio en el que se genera o transmite. – Protocolos de autenticación entre cliente y servidor. – Aplicación de herramientas de seguridad en redes. – Se incluyen también medidas de prevención de riesgos y la  instauración de políticas de seguridad, de planes de  contingencia, de recuperación ante desastres, aplicación de  normativas, la legislación vigente, etc. Seguridad Física – Procedimientos de protección física del sistema: acceso  personas, incendio, agua, terremotos, etc.


La seguridad física en entornos de PCs          

Anclajes a mesas de trabajo. Cerraduras en puertas. Temas a tener en cuenta en un entorno Tarjetas con alarma. dePCs Etiquetas con adhesivos especiales. Bloqueo de unidades externas. Protectores de teclado. Tarjeta de control de acceso al hardware. Sistema de suministro continuo de corriente. Toma de tierra. Eliminación de la estática... etc.


Análisis de riesgo: plan estratégico 

Es el proceso de identificación y evaluación del riesgo a sufrir  un ataque y perder datos, tiempo y horas de trabajo,  comparándolo con el costo que significaría la prevención de  este suceso. Su análisis no sólo nos lleva a establecer un nivel adecuado  de seguridad, sino que permite conocer mejor el sistema que  vamos a proteger. 

 Le recomiendo descargar estas herramientas de libre distribución para el análisis de riesgo desde las direcciones que se indican:


Información del análisis de riesgo 

Información que se obtiene en un análisis de riesgo: – Determinación precisa de los recursos sensibles de la organización. – Identificación de las amenazas del sistema. – Identificación de las vulnerabilidades específicas del sistema. – Identificación de posibles pérdidas. – Identificación de la probabilidad de ocurrencia de una pérdida. – Derivación de contramedidas efectivas. – Identificación de herramientas de seguridad. – Implementación de un sistema de seguridad eficiente en costes y  tiempo.


Planes de contingencia 

Un Plan de Contingencia consiste en un estudio y análisis  pormenorizado de las áreas que componen la organización  y que nos servirá para establecer una política de  recuperación ante un desastre. – Es un conjunto de datos estratégicos de la empresa y  que se plasma en un documento con el fin de  protegerse ante eventualidades. • Además de aumentar su seguridad, con un plan estratégico la empresa también gana en el conocimiento de sus fortalezas y sus debilidades. • Pero si no lo hace, se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan.


Acciones a realizar en un SGSI El Plan de Contingencia será una herramienta imprescindible en un Sistema  de Gestión de la Seguridad Informática (SGSI). Acciones: 

Planificar: estudiar la implantación de la política de seguridad adoptada,  alcances que tendrá la gestión, análisis de riesgos que se harán,  establecimiento de controles que activaremos, etc.

Hacer: implantar el sistema de gestión, poner y activar los controles, registros  e indicadores. Toma de datos del estado de la seguridad.

Verificar: realizar una auditoría interna para comprobar el grado de  cumplimiento de nuestro sistema.

Actuar: realizar el seguimiento de la gestión y tomar las medidas correctivas  así como las acciones preventivas correspondientes.

Se cierra el ciclo ajustando las acciones planificadas si fuera el caso. Ciclo más conocido por las siglas PDCA (Plan ­ Do ­ Check ­ Act)


Vandalismo informático y su prevención Terrorismo  Sabotaje  Robo 

Virus  Chantaje informático  Programas malignos

Medidas de prevención – – – – –

Fortificación de entradas Guardia Jurado Patrullas de seguridad Circuito cerrado TV Control físico de accesos

– Protección de software y  hardware con antivirus,  cortafuegos, detección de  intrusos, etc. – Seguimiento de las políticas  de seguridad de la empresa.


¿Qué sucede si se produce un desastre? 

 

Las empresas dependen hoy en día de los equipos  informáticos y de todos los datos que hay allí  almacenados (nóminas, clientes, facturas, ...). Dependen también cada vez más de las  comunicaciones a través de las redes de datos. Si falla el sistema informático y éste no puede  recuperarse, la empresa puede desaparecer porque  no tiene tiempo de salir nuevamente al mercado con  ciertas expectativas de éxito, aunque conserve a  todo su personal.


Pérdidas por no contar con plan estratégico Pérdida de clientes.  Pérdida de imagen.  Pérdida de ingresos por beneficios.  Pérdida de ingresos por ventas y cobros.  Pérdida de ingresos por producción.  Pérdida de competitividad en el mercado.  Pérdida de credibilidad en el sector. 


¿Qué sucede si se produce un desastre? 

 

Las empresas dependen hoy en día de los equipos  informáticos y de todos los datos que hay allí  almacenados (nóminas, clientes, facturas, ...). Dependen también cada vez más de las  comunicaciones a través de las redes de datos. Si falla el sistema informático y éste no puede  recuperarse, la empresa puede desaparecer porque  no tiene tiempo de salir nuevamente al mercado con  ciertas expectativas de éxito, aunque conserve a  todo su personal.


Alternativas del plan de continuidad 

Instalaciones alternativas – Oficina de servicios propia – Acuerdo con empresa vendedora de HW y SW – Acuerdo recíproco entre dos o más empresas – Arranque en frío: sala vacía propia – Arranque en caliente: centro equipado – Sistema Up Start: caravana, unidad móvil – Sistema Hot Start: centro gemelo

Algunas soluciones pueden resultar de muy alto costo. Su elección dependerá entonces de las características de nuestra empresa y qué tan crítico debe ser ese plan de continuidad acorde con ello.


Gracias


seguridad al hardware y sotfware