martes, 4 de octubre de 2016

Conceptos Básicos Seguridad.

Definiciones básicas


-Seguridad física/lógica, activa/pasiva.

La seguridad física cubre todo lo referido a los equipos informáticos. La seguridad lógica se refiere a las distintas aplicaciones que ejecutan en cada uno de estos equipos (ordenadores de propósito general, servidores especializados y equipamientos de red).
Las amenazas contra la seguridad física son:
  • Desastres naturales: Los tenemos en cuenta a la hora de ubicar el emplazamiento del centro de datos, donde alojamos los principales servidores de la empresa, aunque siempre deberíamos de tener un segundo CPD.
  • Robos: Debemos de proteger el acceso a la sala del CPD con seguridad, como vigilantes, tarjetas de acceso, etc. para proteger nuestra información.
  • Fallos de suministros: Necesitaremos baterías o grupo electrógeno por si falla la corriente, una segunda linea de backup, o una inalámbrica por si hay algún corte, etc.


Existen dos tipos de seguridad:

  • La seguridad pasiva son todos los mecanismo para cuando sufrimos un ataque, nos permita recuperarnos bien.
  • La seguridad activa es la que intenta protegernos de los ataques.



-Confidencialidad, disponibilidad, integridad y no repudio.

La confidencialidad intenta que solo las personas con autorización pueda usar la información. Hay algunos mecanismos para garantizarla:

  • Autenticación: Sirve para confirmar que eres la persona quien dice ser.
  • Autorización: Una vez autentificado los usuarios tienen distintos privilegios. Solo lectura o lectura y escritura.
  • Cifrado: La información se cifrará para que no puedan acceder los que no tengan autenticación.

-Sabes-tienes-eres

La autenticación es muy importante en temas de seguridad.
Clasificaremos las medidas adaptadas según tres criterios:
  • Algo que sabes: Para acceder al sistema necesitas saber alguna palabra secreta.
  • Algo que tienes: Un elemento material, como una tarjeta.
  • Algo que eres: El sistema necesita reconocer alguna característica física de la persona.

-AAA

La sigla AAA se refiere autenticación,autorización y accounting.
Accounting se refiere a la información interna que los sistemas generan acerca de sí mismos. Concretamente, el uso que se hace de sus servicios.


-e2e

Significa extremo a extremo. La seguridad debe controlarse en el origen de los datos, en el destino de los datos y en el canal de comunicación utilizado entre origen y destino.
-Vulnerabilidad, malware, exploit.

Debemos de estar preparador por si hay error de software introducidos en su programación.
Pueden ser leves, graves o críticos.
Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechada por un atacante. Si este lo descubre, programará un software (malware) que utiliza la vulnerabilidad para tomar el control de la máquina (exploit) o realizar operaciones no autorizadas.
Hay tres tipos:
  • Vulnerabilidades reconocidas por el suministrador de la aplicación y para las cuales ya tiene un parche que las corrige.
  • Vulnerabilidades reconocidas por el suministrador pero no hay parche. Desactivar mientras se aplica el parche.
  • Vulnerabilidades no reconocidas por el suministrador. Podemos estar expuestos a ataques sin saberlo.
Hay muchos tipos de malware:
  • Virus: Intentan dejar inservible el ordenador infectado.
  • Gusanos: Van acaparando todos los recursos del ordenador.
  • Troyanos: Suelen habilitar puertas traseras en los equipos, desde otro PC podemos conectar con el troyano para ejecutar programas en el ordenador infectado.

Tipos de ataques

Hay distintos tipos de ataques:
  • Interrupción: El ataque consigue provocar un corte en la prestación de un servicio.
  • Interceptación: El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo.
  • Modificación: Ha conseguido acceder, pero esta modificando la información para que llegue alterada hasta el destino y que provoque alguna reacción anormal.
  • Fabricación: El atacante se hace pasar por el destino de la transmisión.
Para conseguir su objetivo puede aplicar una o varias técnicas como:
  • Ingeniería social: Si conocemos bien a esa persona podemos intentar adivinar la contraseña.
  • Phishing: El atacante se pone en contacto con la víctima, ya sea haciendose pasar por una empresa que tenga relación. En el contenido del mensaje intenta convencerle que pulse un enlace que le solicitará identificación y este la usará.
  • Keyloggers: Un troyano puede tomar notas de todas las teclamos que pulsamos. Cuando introduzcamos usuario y contraseña puede enviarselo al atacante.
  • Fuerza bruta: Una aplicación malware puede ir generando todas las combinaciones posibles y probarlas una a una.
  • Spoofing: Alteramos algún elemento de la máquina para hacernos pasar por otra máquina.
  • Sniffing: El atacante consigue conectarse en el mismo tramo de red que el equipo atacado.
  • DoS: Consiste en tirar un servidor saturándolo con falsas peticiones de conexión.
  • DDosS: Es lo mismo que antes pero es una máquina la que genera peticiones falsas.
-Tipos de atacantes
  • Hacker: Ataca la defensa informática de un sistema solo por el reto que supone hacerlo.
  • Cracker: También ataca la defensa pero esta vez sí quiere hacer daño.
  • Script kiddie: Son aprendices de los anteriores que encuentran en internet cualquier ataque y lo lanzan sin conocer muy bien lo que están haciendo ni las consecuencias de sus actos.
  • Programas de malware: Expertos en programación de S.O y aplicaciones capaces de aprovechar las vulnerabilidades de alguna versión concreta de un software conocido para generar un programas que les permita atacar.
  • Sniffers: Expertos en protocolos de comunicación capaces de progresar una captura de tráfico de red para localizar la información interesante.
  • Ciberterroristas: Cracker con intereses políticos y económicos a gran escala.

Buenas prácticas

Las tareas de un responsable de seguridad informática son muchas ya que tiene que proteger mucha información.
Sus funciones son:
  • Localizar los activos que hay que proteger y revisar la política de copias de seguridad.
  • Redactar y revisar regularmente los planes de actuación ante catástrofes.
  • No instalar nada que no sea estrictamente necesario y revisar la configuración de los sistemas y aplicaciones.
  • Estar al día de todos los informes de seguridad que aparezcan.
  • Activar los mecanismos de actualización automáticas.
  • Dar información a los usuarios para que utilicen la seguridad y la vean como una ayuda.
  • Revisar los log del sistema.
  • Considerar la opción de contratar una auditoría externa.
  • Revisar la lista de equipo conectados.
  • Revisar la lista de usuarios activos.
  • Configurar el aviso por SMS o correo electrónico.

Legislación

Romper la seguridad informática es un delito por ley, y han aparecido leyes completamente nuevas.

-LOPD

Se definen tres tipos de medidas en función de la sensibilidad de los datos tratados:
  • Nivel básico: Cualquier fichero de datos de carácter personal. Las medidas de seguridad con estos datos son:
    • Identificar y autentificar a los usuarios que trabajan con esos datos.
    • Llevar un registro de incidencias acontecidas en el fichero.
    • Realizar copia de seguridad como mínimo semanalmente.
  • Nivel medio: Cuando lo datos incluyen información sobre infracciones administrativas o penales, informes financieros,etc. las medidas son las mismas mas:
    • Al menos una vez cada dos años un auditoría externa verificará los procedimientos de seguridad.
    • Debe existir control de acceso físico a los medios de almacenamiento de los datos.
  • Nivel alto: Son los datos especialmente protegidos. Las medidas de seguridad se amplían:
    • Cifrado de las comunicaciones.
    • Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operación y resultado de la autenticación y autorización.



-LSSI-CE

La ley de Servicios de la Sociedad de la Información y Comercio Electrónico intenta cubrir el hueco legal que había con las empresas que prestan servicios de la sociedad de la información:
  • Las comunicaciones comerciales por vía electrónica.
  • La información previa y posterior a la celebración de contratos electrónicos.
  • Las condiciones relativas a su validez y eficacia.
  • El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.


-LPI

La ley de Propiedad Intelectual establece los derechos de autor en los entornos digitales.Considera la digitalización de un contenido como un acto de reproducción, luego se necesita autorización expresa del titular del contenido. Como excepción incluye la copia privada, que es para uso personal del dueño de ese contenido legalmente adquirido.


-Administración electrónica

Poder resolver los trámites por Internet tiene múltiples ventajas:
  • Disponibilidad 24 horas del día.
  • Facilidad de acceso.
  • Ahorro de tiempo.
  • Fiabilidad.
Muchas webs ofrecen la descarga del PDF del mismo formulario para que lo pasemos a a papel y lo entreguemos en mano o por correo certificado.

Bibliografía

  • Apuntes del Tema.
  • Google.
  • Youtube.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)