TIPOS DE SEGURIDAD
SEGURIDAD ACTIVA Y PASIVA
La seguridad activa es el conjunto de acciones encaminadas a proteger el ordenador y su contenido
(contraseñas seguras, antivirus actuaqlizados...). Se trata de reducir las vulnerabilidades todo lo posible, prevenir ataques o errores, es preventiva. Medidas: Antivirus, firewall, encriptación de datos.
La seguridad pasiva en informática es la que entra en acción para minimizar los daños causados por un usuario, un accidente o un malware en los sistemas, se consideran
acciones posteriores a un ataque o incidente (es paliativa). Se encuentra en:
- Copias de seguridad. Imágenes y restauración
- Seguridad física y ambiental
- Sistemas de alimentación ininterrumpida (SAI)
SEGURIDAD FÍSICA Y LÓGICA
Hablamos de seguridad física de un sistema informático consiste en la aplicación de barreras físicas y procedimientos de control frente a amenazas físicas al hardware. Estos recursos podrían ser:
desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.
(contraseñas seguras, antivirus actuaqlizados...). Se trata de reducir las vulnerabilidades todo lo posible, prevenir ataques o errores, es preventiva. Medidas: Antivirus, firewall, encriptación de datos.
acciones posteriores a un ataque o incidente (es paliativa). Se encuentra en:
- Copias de seguridad. Imágenes y restauración
- Seguridad física y ambiental
- Sistemas de alimentación ininterrumpida (SAI)
SEGURIDAD FÍSICA Y LÓGICA
Hablamos de seguridad física de un sistema informático consiste en la aplicación de barreras físicas y procedimientos de control frente a amenazas físicas al hardware. Estos recursos podrían ser:
desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.
Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización. Estos son los tipos de problemas a los que nos podemos enfrentar:
- Acceso físico
- Desastres naturales
- Alteraciones del entorno
Os explicaremos detenidamente cada tipo de problema.
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización. Estos son los tipos de problemas a los que nos podemos enfrentar:
- Acceso físico
- Desastres naturales
- Alteraciones del entorno
Os explicaremos detenidamente cada tipo de problema.
Acceso físico
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles. De hecho, muchos ataques no tienen importancia ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo, otros ataques se simplifican enormemente, ejemplo: si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen. Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por
ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios. Este último tipo de ataque nos demuestra que la seguridad de todos los equipos es importante, para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).
Para la prevención hay muchas soluciones: analizadores de retina ,tarjetas inteligentes, videocámaras, vigilantes jurados...
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles. De hecho, muchos ataques no tienen importancia ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo, otros ataques se simplifican enormemente, ejemplo: si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen. Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por
ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios. Este último tipo de ataque nos demuestra que la seguridad de todos los equipos es importante, para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).
ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios. Este último tipo de ataque nos demuestra que la seguridad de todos los equipos es importante, para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).
Para la prevención hay muchas soluciones: analizadores de retina ,tarjetas inteligentes, videocámaras, vigilantes jurados...
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
Desastres naturales
Es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta: terremotos y vibraciones (menos probable en la mayoría de organismos ubicados en España), tormentas eléctricas, inundaciones y humedad, incendios y humos...
hay varias cosas que se pueden hacer sin un
desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
- No situar equipos en sitios altos para evitar caídas.
- No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos.
- Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen.
- Utilizar fijaciones para elementos críticos.
- Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones..
Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente frecuentes en verano,
que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica.
A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es
desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
Es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta: terremotos y vibraciones (menos probable en la mayoría de organismos ubicados en España), tormentas eléctricas, inundaciones y humedad, incendios y humos...
hay varias cosas que se pueden hacer sin un
desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
- No situar equipos en sitios altos para evitar caídas.
- No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos.
- Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen.
- Utilizar fijaciones para elementos críticos.
- Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones..
Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente frecuentes en verano,
que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica.
A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es
desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
Alteraciones del entorno
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar. Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar. Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
Electricidad
Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo ...
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterías que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanismo para comunicarse con los servidores y avisarlos de que ha caído la línea o de que se ha restaurado después de una caída).
Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo ...
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterías que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanismo para comunicarse con los servidores y avisarlos de que ha caído la línea o de que se ha restaurado después de una caída).
Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
Ruido eléctrico
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación. Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos.
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación. Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos.
Temperaturas extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frío intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frío intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.
Protección de los datos
Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la transmisión y
almacenamiento de datos, proponiendo medidas para reducir el riesgo.
Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la transmisión y
almacenamiento de datos, proponiendo medidas para reducir el riesgo.
Eavesdropping
La interceptación o eavesdropping, también conocida por ''passive wiretapping'' es un proceso mediante el cual un agente capta información que va dirigida a él; esta captación puede realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se pone en modo promiscuo y analiza todo el tráfico que pasa por la red), capturando radiaciones electromagnéticas (muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...), etc.
El problema de este tipo de ataque es que en principio es completamente pasivo y en general difícil de detectar mientras se produce, de forma que un atacante puede capturar información privilegiada y claves que puede emplear para atacar de modo activo.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única realmente útil es cifrar toda la información que viaja por la red (sea a través de cables o por el aire). En principio para conseguir esto se deberían emplear versiones seguras de los protocolos de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los protocolos basados en TCP permiten usar una versión cifrada mediante el uso del TLS.
La interceptación o eavesdropping, también conocida por ''passive wiretapping'' es un proceso mediante el cual un agente capta información que va dirigida a él; esta captación puede realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se pone en modo promiscuo y analiza todo el tráfico que pasa por la red), capturando radiaciones electromagnéticas (muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...), etc.
El problema de este tipo de ataque es que en principio es completamente pasivo y en general difícil de detectar mientras se produce, de forma que un atacante puede capturar información privilegiada y claves que puede emplear para atacar de modo activo.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única realmente útil es cifrar toda la información que viaja por la red (sea a través de cables o por el aire). En principio para conseguir esto se deberían emplear versiones seguras de los protocolos de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los protocolos basados en TCP permiten usar una versión cifrada mediante el uso del TLS.
Copias de seguridad
Es evidente que es necesario establecer una política adecuada de copias de seguridad en cualquier organización; al igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrán que estar protegidos físicamente; de hecho quizás deberíamos de emplear medidas más fuertes, ya que en realidad es fácil que en una sola cinta haya copias de la información contenida en varios servidores.
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general el hardware se puede volver a comprar, pero una pérdida de información puede ser ireemplazable.
Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque a poder ser lejos de la sala donde se encuentran los equipos copiados).
Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados.
Es evidente que es necesario establecer una política adecuada de copias de seguridad en cualquier organización; al igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrán que estar protegidos físicamente; de hecho quizás deberíamos de emplear medidas más fuertes, ya que en realidad es fácil que en una sola cinta haya copias de la información contenida en varios servidores.
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general el hardware se puede volver a comprar, pero una pérdida de información puede ser ireemplazable.
Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque a poder ser lejos de la sala donde se encuentran los equipos copiados).
Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados.
Soportes no electrónicos
Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para transmitirla, fundamentalmente el papel. Es importante que en las organizaciones que se maneje información confidencial se controlen los sistemas que permiten exportarla tanto en formato electrónico como en no electrónico (impresoras, plotters, faxes, teletipos, ...). Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado en un lugar de acceso restringido; también es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que lanzan a estos dispositivos. Además de esto es recomendable disponer de trituradoras de papel para destruir todos los papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda obtener información rebuscando en nuestra basura.
La seguridad física se refiere a aspectos físicos del Centro de Proceso de Datos (CPD): suelo y techo técnico, puertas cerradas con llave, biometría, seguridad contra incendios o inundaciones, etc...
El activo más importante que poseen las organizaciones es la información, por tanto deben existir técnicas más allá de la seguridad física que la aseguren. Estas técnicas las brinda la seguridad lógica.
SEGURIDAD LÓGICA
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos, que solo se permita acceder a ellos a las personas autorizadas para hacerlo.
La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de los accesos.
La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos de tecnología de información- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información. El acceso a los archivos de datos y programas sólo se permitirá al personal autorizado. Los principales objetivos que persigue la seguridad lógica son:
-
Restringir el acceso a los programas y archivos
-
Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para transmitirla, fundamentalmente el papel. Es importante que en las organizaciones que se maneje información confidencial se controlen los sistemas que permiten exportarla tanto en formato electrónico como en no electrónico (impresoras, plotters, faxes, teletipos, ...). Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado en un lugar de acceso restringido; también es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que lanzan a estos dispositivos. Además de esto es recomendable disponer de trituradoras de papel para destruir todos los papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda obtener información rebuscando en nuestra basura.
La seguridad física se refiere a aspectos físicos del Centro de Proceso de Datos (CPD): suelo y techo técnico, puertas cerradas con llave, biometría, seguridad contra incendios o inundaciones, etc...
El activo más importante que poseen las organizaciones es la información, por tanto deben existir técnicas más allá de la seguridad física que la aseguren. Estas técnicas las brinda la seguridad lógica.
SEGURIDAD LÓGICA
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos, que solo se permita acceder a ellos a las personas autorizadas para hacerlo.
La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de los accesos.
La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos de tecnología de información- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información. El acceso a los archivos de datos y programas sólo se permitirá al personal autorizado. Los principales objetivos que persigue la seguridad lógica son:
- Restringir el acceso a los programas y archivos
- Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
Medidas de seguridad lógica
- Control de acceso lógico: Política de contraseñas
-
Política de usuarios y grupos del Sistema Operativo en red.
-
Criptografía (de clave asimétrica: Certificados digitales)
-
Actualización de sistemas y aplicaciones software.
-
Antivirus, antiespías....
-
Firewall o Cortafuegos: control del tráfico de red.
-
Proxy (intermediario entre el cliente y el servidor web)
-
Protocolos seguros: HTTPS, IPSec, TSL, SSL...
- Control de acceso lógico: Política de contraseñas
- Política de usuarios y grupos del Sistema Operativo en red.
- Criptografía (de clave asimétrica: Certificados digitales)
- Actualización de sistemas y aplicaciones software.
- Antivirus, antiespías....
- Firewall o Cortafuegos: control del tráfico de red.
- Proxy (intermediario entre el cliente y el servidor web)
- Protocolos seguros: HTTPS, IPSec, TSL, SSL...
CONTROL DE ACCESO LÓGICO
Es la principal defensa de los sistemas, permiten prevenir el acceso a
personas no autorizadas y al ingreso de la información de los mismos.
Se pueden implementar directamente en la BIOS, en el sistema
operativo, sobre los sistemas de aplicación, en un paquete específico de
seguridad y en cualquier otra aplicación.Se emplean 2 procesos para la tarea de controlar el acceso:
- Identificación: Cuando el usuario se da a conocer al sistema
- Autenticación: La verificación del sistema a la identificación del usuario
Existen 4 tipos que permitan realizar la autenticación de la identificación del usuario, las cuales pueden ser utilizadas:
- Algo que el usuario solamente conozca (una clave, un pin...)
- Algo que la persona posee (tarjeta...)
- Algo que el individuo es (huella digital, voz...)
- Algo que el individuo es capaz de hacer (patrones de escritura)
Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes:
- Ataque de fuerza bruta: Se intenta obtener la clave realizando todas las combinaciones posibles hasta encontrar la correcta, es aún más sencillo si la clave es corta.
- Ataque de diccionario: Obtienen la clave probando todas las palabras del diccionario o palabras
comunes del usuario.
Una forma sencilla de evitar este tipo de ataques se establece un número máximo de tentativas, de esta manera se bloquea el sistema automáticamente después de exceder este número máximo.
La seguridad se basa en gran medida en la efectiva administración de los permisos de acceso a los recursos informáticos.
- Roles: En este caso los derechos de acceso y políticas de seguridad, pueden agruparse de acuerdo con el rol de los usuarios. Pueden controlarse a tares de la función, perfil o rol del usuario que requiere dicho acceso.
- Limitaciones a los servicios: Se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
- Modalidad de acceso: Se refiere al modo de acceso que se le permite al usuario los recursos y la
información. Ejemplo: lectura, escritura, ejecución borrado, todas las anteriores.
- Ubicación y horario: Permite limitar el acceso de los usuarios a determinadas horas del día o a
determinados días de la semana.
- Administración: Ya planteado los controles de accesos se deben tener una excelente administración de los mismos, involucrando la implementación, seguimientos, pruebas y modificaciones sobre los
accesos de los usuarios al sistema. También requiere determinar cuál será el nivel de seguridad en los
datos, se debe clasificar la información para los diferentes usuarios que accederán al sistema los cuales requieren también distintas medidas y niveles de seguridad.
- Administración del personal y usuarios.
Llevan 4 pasos:
1. Definición de puestos: Debe enfocarse en la separación de las funciones; es decir, tener en claro el
puesto que desempeñe cada uno de los usuarios del sistema otorgándoles permisos mínimos de
acceso.
2. Determinación de la sensibilidad del puesto: Se debe realizar un análisis profundo antes de asignar los permisos a los usuarios, tomando en cuenta que si algunos de dichos privilegios son arriesgados
permitiendo alterar procesos, fraudes o mostrar cierta información confidencial.
3. Elección de la persona para cada puesto: Revisar el nivel de confiabilidad y grado de experiencia
antes de asignarle el cargo a dicha persona.
4. Entrenamiento inicial y continuo del empleado: Se debe presentar las políticas de seguridad y su
responsabilidad en cuanto la persona ingrese a trabajar.
Es la principal defensa de los sistemas, permiten prevenir el acceso a
personas no autorizadas y al ingreso de la información de los mismos.
personas no autorizadas y al ingreso de la información de los mismos.
Se pueden implementar directamente en la BIOS, en el sistema
operativo, sobre los sistemas de aplicación, en un paquete específico de
seguridad y en cualquier otra aplicación.Se emplean 2 procesos para la tarea de controlar el acceso:
- Identificación: Cuando el usuario se da a conocer al sistema
- Autenticación: La verificación del sistema a la identificación del usuario
Existen 4 tipos que permitan realizar la autenticación de la identificación del usuario, las cuales pueden ser utilizadas:
- Algo que el usuario solamente conozca (una clave, un pin...)
- Algo que la persona posee (tarjeta...)
- Algo que el individuo es (huella digital, voz...)
- Algo que el individuo es capaz de hacer (patrones de escritura)
Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes:
- Ataque de fuerza bruta: Se intenta obtener la clave realizando todas las combinaciones posibles hasta encontrar la correcta, es aún más sencillo si la clave es corta.
- Ataque de diccionario: Obtienen la clave probando todas las palabras del diccionario o palabras
comunes del usuario.
Una forma sencilla de evitar este tipo de ataques se establece un número máximo de tentativas, de esta manera se bloquea el sistema automáticamente después de exceder este número máximo.
La seguridad se basa en gran medida en la efectiva administración de los permisos de acceso a los recursos informáticos.
- Roles: En este caso los derechos de acceso y políticas de seguridad, pueden agruparse de acuerdo con el rol de los usuarios. Pueden controlarse a tares de la función, perfil o rol del usuario que requiere dicho acceso.
- Limitaciones a los servicios: Se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
- Modalidad de acceso: Se refiere al modo de acceso que se le permite al usuario los recursos y la
información. Ejemplo: lectura, escritura, ejecución borrado, todas las anteriores.
- Ubicación y horario: Permite limitar el acceso de los usuarios a determinadas horas del día o a
determinados días de la semana.
- Administración: Ya planteado los controles de accesos se deben tener una excelente administración de los mismos, involucrando la implementación, seguimientos, pruebas y modificaciones sobre los
accesos de los usuarios al sistema. También requiere determinar cuál será el nivel de seguridad en los
datos, se debe clasificar la información para los diferentes usuarios que accederán al sistema los cuales requieren también distintas medidas y niveles de seguridad.
- Administración del personal y usuarios.
Llevan 4 pasos:
1. Definición de puestos: Debe enfocarse en la separación de las funciones; es decir, tener en claro el
puesto que desempeñe cada uno de los usuarios del sistema otorgándoles permisos mínimos de
acceso.
2. Determinación de la sensibilidad del puesto: Se debe realizar un análisis profundo antes de asignar los permisos a los usuarios, tomando en cuenta que si algunos de dichos privilegios son arriesgados
permitiendo alterar procesos, fraudes o mostrar cierta información confidencial.
3. Elección de la persona para cada puesto: Revisar el nivel de confiabilidad y grado de experiencia
antes de asignarle el cargo a dicha persona.
4. Entrenamiento inicial y continuo del empleado: Se debe presentar las políticas de seguridad y su
responsabilidad en cuanto la persona ingrese a trabajar.
IDENTIFICACIÓN
Para conseguir que la contraseña sea segura tomemos en cuenta los
siguientes criterios:
- Que no sea corta: Mínimo de 8 caracteres
- Combina letras, números y símbolos (.,-...)
- Mientras menos tipos de caracterese haya más larga debe ser
- Si no contiene ningún tipo de símbolos debe ser más larga
- No limitarse a caracteres comunes
- No ser una palabra incluida en el diccionario.
Para conseguir que la contraseña sea segura tomemos en cuenta los
siguientes criterios:
- Que no sea corta: Mínimo de 8 caracteres
- Combina letras, números y símbolos (.,-...)
- Mientras menos tipos de caracterese haya más larga debe ser
- Si no contiene ningún tipo de símbolos debe ser más larga
- No limitarse a caracteres comunes
- No ser una palabra incluida en el diccionario.
ACTUALIZACIONES DE SISTEMAS Y APLICACIONES
Los ciberdelicuentes se aprovechan de las vulnerabilidades que requieren una actualización inmediata de los sistemas, los fabricantes de software actualizan sus sistemas cada vez que encuentran agujeros de seguridad.
Los ciberdelicuentes se aprovechan de las vulnerabilidades que requieren una actualización inmediata de los sistemas, los fabricantes de software actualizan sus sistemas cada vez que encuentran agujeros de seguridad.
No hay comentarios:
Publicar un comentario