CAPÍTULO 1

CFGS 2º ASIR

PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD

1

2

1. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

Hoy en día un sistema informático totalmente seguro es imposible, la conectividad global, extiende el campo

de posibles amenazas.

La seguridad informática: asegurar que los recursos del sistema de información sean utilizados de la manera

que se decidió y que el acceso y modificación a la información, solo sea posible a las personas que se

encuentren acreditadas y dentro de los límites de su autorización.

• Objetivos de la seguridad informática:

o Detectar los posibles problemas y amenazas.

o Garantizar la adecuada utilización de los recursos y de las aplicaciones de los sistemas.

o Limitar las pérdidas y conseguir una adecuada recuperación en caso de un incidente.

o Cumplir con el marco legal y con los requisitos impuestos a nivel organizativo.

• Objetivos principales de la seguridad (CID en español o CIA en inglés)

o Confidencialidad (Confidenciality): Previene qué individuos, entidades o procesos no

autorizados puedan interpretar la información a la que no tienen derecho.

o Integridad (Integrity): Previene contra posibles alteraciones no deseadas en la información,

de modo, que se garantice que el mensaje enviado en origen es exactamente el mensaje que

se recibe en destino.

o Disponibilidad (Availability): Mantine la capacidad de exponer los activos informáticos

utilizables en todo momento a los agentes autorizados que los consumen.

• Objetivos secundarios:

o Autenticidad y control de acceso. Comprueba la identidad del agente que accede a un

recurso y la facilidad o deniega el acceso en función de esta identidad.

o Fiabilidad. Mantiene la consistencia entre el comportamiento del sistema y los resultados

obtenidos del mismo, es decir, evalúa si el sistema se comporta como se espera de él.

o No repudio o irrenunciabilidad. Garantiza la autoría de una información o un proceso.

o Auditabilidad. Registra el comportamiento del sistema para su evaluación posterior.

3

ACTIVIDADES

1. Buscar ejemplos de Confidencialidad, integridad y Disponibilidad.

2. Describe un ejemplo de proceso de comunicación en los que se pongan de manifiesto la confidencialidad,

la integridad, la disponibilidad, la autenticidad, la fiabilidad, el no repudio y la auditabilidad.

1.1. Amenaza riesgos y ataques

Conviene ahora precisar el significado de algunos conceptos relacionados con las amenazas propias de la jerga

profesional que se utilizarán frecuentemente.

• Amenaza: Es una acción que pretende ser dañina para el sistema en riesgo.

• Vulnerabilidad o brecha: Es el grado de exposición del sistema amenazado a las amenazas de un

atacante.

• Contramedida: Es la acción que pretende la prevención de una amenaza que actúa aprovechándose

de una vulnerabilidad.

• Atacante: Es el agente activo que perpetra la amenaza que subyace a una vulnerabilidad.

• Riesgo: Es la valoración del daño que representan las amenazas a las que se está expuesto debido a

las vulnerabilidades teniendo en cuenta las contramedidas que se implementan para la defensa

Según esto, el riesgo se puede calcular conceptualmente del siguiente modo:

Gestión de riesgo

Frente a un riesgo, no solamente informático sino de cualquier otra naturaleza, caben únicamente cuatro

posibilidades:

• Evitar el riesgo. El riesgo se evita cuando la organización rechaza aceptarlo, es decir no se acepta

ningún tipo de exposición, lo que exige el compromiso de no realizar nunca la acción que origina el

riesgo.

• Reducir el riesgo. Cuando el riesgo no puede evitarse se puede reducir hasta que llegue a unos

mínimos asumibles.

• Gestión de riesgo

• Reducir, asumir o aceptar el riesgo. En este caso se acepta el riesgo y se asumen sus consecuencias

en caso de que ocurra.

• Transferir o compartir el riesgo. Se trata de buscar un respaldo y compartir el riesgo entro otros

controle o entidades.

Tipos de amenazas

Conocer las amenazar es de vital importancia para poder combatirlas.

4

Las amenazas las podemos clasificar:

• Dependiendo del lugar de procedencia de la amenaza:

o Amenaza interna. Proceden del interior del sistema atacado.

o Amenaza externa. Procede del exterior del sistema atacado.

• Dependiendo de la vía de ataque:

o Amenaza física o ambiental. Afectan al hardware o a las instalaciones en donde se ubica.

o Amenaza lógica. Afectan al sistema en su software mediante la introducción de malware o

por la ejecución de operaciones lógicos que comprometen la seguridad del sistema.

Vulnerabilidades de un sistema

Todo componente de un sistema (hardware, software o de procedimiento) es vulnerable a priori. Las

vulnerabilidades exigen de una planificación exhaustiva y entre ellos se encuentran los siguientes elementos

vulnerable en un sistema:

• El hardware. Por ejemplo, una persona podría desconectar la alimentación de un servidor. Entre los

equipos afectado por vulnerabilidades de hardware tendremos router, conmutadores y módems;

cámaras web y servidores de vídeo, etc.

• El software. Por ejemplo, un virus podría dañar el sector de arranque del disco de sistema. Entre los

elementos de software más vulnerable están los sistemas operativos, servidores y bases de datos; los

navegadores las aplicaciones ofimáticas y las utilidades.

• Los datos.

o Los datos que residen en los medios de almacenamiento. Un ataque podría alterar los datos de la

base de datos de facturación.

o Los datos en cuanto información que se transporta (comunicaciones).

o Los documentos con capacidades activas o de interacción con las aplicaciones. Por ejemplo,

documentos ofimáticos con macros o programación de tipo script.

Para controlar las vulnerabilidades, el responsable de seguridad cuenta con un conjunto de herramientas,

procedimientos y tecnologías que le ayudan en su tarea:

• Parches del sistema operativo y actualización de aplicaciones y utilidades.

• Seguridad en los ficheros y control de acceso de los usuarios a los recursos.

• Cuentas de usuarios y políticas de gestión de contraseñas.

• Control de los servicios y aplicaciones instaladas.

• Registro y auditoría de eventos.

• Configuración de las herramientas de seguridad: antivirus, cortafuegos, copias de seguridad, etc.

• Test de penetración frente a ataque internos y externos.

5

Actividades

Localiza los abundantes errores conceptuales que encuentres en la siguiente afirmación:

“Un sistema operativo que no está actualizado tiene una amenaza por un fallo de seguridad que un atacante

aprovecha ejecutando una vulnerabilidad de alto riesgo. El administrador de seguridad atenúa la brecha

mejorando el riesgo provocado por las contramedidas.”

Confecciona un mapa conceptual de los tipos de amenazas y vulnerabilidades a que están expuesto los

sistemas informáticos.

1.2. Planes de seguridad

La mejor solución contra un ataque es organizar una buena defensa, sobre todo a través de la prevención.

1. Tener un plan de seguridad de los sistemas de información.

2. Respetar los códigos éticos de comportamiento personal y profesional.

3. Proveer planes de contingencia específicos para cada activo informático, validados mediante

pruebas.

4. Disponer de un sistema eficaz de evaluación de la seguridad informática.

Toda la información de seguridad, las acciones preventivas y las reactivas después de sufrir un ataque se

formulan en un plan de seguridad, también llamado a veces, planes de contingencia o plan de respuesta a

incidentes.

6

Básicamente un plan de respuesta a incidentes tiene cuatro fases:

1. Acción inmediata para detener o minimizar el incidente de seguridad.

2. Investigación del incidente.

3. Restauración de los recursos afectados, dañados o comprometidos debido al incidente.

4. Reporte del incidente y de los daños a los responsables del nivel superior

1.3. Tecnologías relacionadas con la seguridad de los sistemas

El material técnico con el que cuenta el administrador de la seguridad también es muy variado y está en

constante evolución puesto que a cada nueva vulnerabilidad se abre una línea de investigación para tratar de

atajarla. A continuación, se describirán a modo introductorio estas tecnologías:

• Cortafuegos.

• Administración de las cuentas de los usuarios y los servicios

• Detección y prevención de intrusos.

• Antivirus y antimalware.

• Infraestructura de clave pública, técnicas de cifrado y firma digital.

• Técnicas de seguridad en el comercio electrónico.

• Capa de socket segura (SSL)

• IPSec.

• Single Sing On (SSO) o técnicas de conexión única.

• Biometría.

• Control de los accesos remotos.

• Redes privadas virtuales

• Informática forense.

• Recuperación de datos

• Monitorización y auditoría del sistema

ACTIVIDADES

1. Buscar los estándares relacionados con la seguridad

2. Buscar las especificaciones de la norma ISO/IEC 27000

2. Seguridad física y lógica

Los elementos de seguridad sobre los que más se puede influir son los relacionados con la seguridad física y

lógica. Deben darse las dos a la vez.

Todos estos elementos se seguridad son eslabones de una única cadena de seguridad, que se romperá por el

eslabón más débil.

7

2.1. Seguridad física y ambienta

La seguridad física consiste en la aplicación de contramedidas tales como barreras físicas o procedimientos

de control que prevengan amenazas contra los recursos que se pretenden proteger, disminuyendo los riesgos.

Los peligros físicos pueden ser intencionados o fortuitos (no intencionados). Entre los fortuitos se encuentran

los incendios, terremotos, inundaciones, obras, meteoros climáticos, deficiencias en las instalaciones

eléctricas o en el aire acondicionado, deterioro de los medios de almacenamiento o peligros ergométricos

que son el resultado de la interacción de cuerpo humano con los dispositivos del hardware.

Entre los peligros intencionales por acciones hostiles se pueden citar los siguientes: robos, fraudes y

sabotajes.

El control físico de acceso

Se trata de estudiar cómo será el acceso del personal a los equipos.

Algunas de las técnicas de acceso son las siguientes:

• Utilizar personal de seguridad y/o animales.

• Detectores de metales.

• Sistemas biométricos.

• Verificación automática de firma.

• Protección electrónica.

Investigación

En la dirección http://www.seguritecnia.es/directorio-de-empresas/control-de-accesos/disbio-s.l disponen

de documentación sobre productos de control de acceso biométrico.

En http://www.accesor.com/ se puede encontrar de un amplio catálogo de productos de seguridad sobre

control de accesos y CCTV.

2.2. Seguridad lógica

La seguridad lógica consiste en la aplicación de barreras y procedimientos que protejan el acceso a los datos

y aplicaciones a personas o agentes autorizados para ello, descartando a los demás.

Las técnicas de seguridad lógica persiguen los siguientes objetivos:

• Restringir el acceso a los activos informáticos de software.

• Garantizar que todo usuario puede acceder a los datos o aplicaciones que necesita, pero solo a los

que necesita.

• Asegurar que con cada información o dato con el que se trabaje se emplea el procedimiento adecuado

y no alternativas no autorizadas.

• Cuidar la integridad, confidencialidad y no repudio en las comunicaciones de mensajes.

• Buscar alternativas redundantes para situaciones de fallos en equipos, por ejemplo, líneas de

transmisión alternativas, pero controladas.

8

• Tener la capacidad de restaurar los sistemas de información en poco tiempo después de un incidente

a partir de backups, si fuera necesario.

• Implementar sistemas redundantes de reparto de carga y alta disponibilidad.

• Garantizar la continuidad del negocio.

El control lógico del acceso

Estos controles se pueden aplicar en el sistema operativo, en aplicaciones, en las bases de datos o en cualquier

elemento de software sobre los que se puedan definir alguno de los objetivos descritos anteriormente.

El NIST (National Institute for Standards and Technology, www.nist.gov) ha resumido los siguientes

estándares de seguridad que se refieren a los requisitos mínimos de seguridad de cualquier sistema:

• Identificación y Autenticación. Todo usuario debe ser identificado antes de concederle acceso

mediante un proceso de autenticación suficientemente seguro.

• Roles. Define el perfil de necesidades y obligaciones del usuario, por ejemplo, contable, programador,

gerencia, etc.

• Transacciones. Para realizar ciertas operaciones delicadas es necesario disparar un procedimiento de

seguridad específico, por ejemplo, disponer de una contraseña o un token de seguridad

• Limitaciones a los servicios. Son los procesos de autorización que se siguen de una autenticación de

usuario, que le autorizan a consumir ciertos servicios

• Modalidad de acceso. El acceso al dato será de lectura, ejecución, borrado, etc.

• Ubicación y horario. Establece las restricciones de acceso a los recursos en función de un horario o

calendario, o desde ciertas ubicaciones.

• Control de acceso interno. Contraseñas, métodos aceptables de cifrado, listas de control de acceso,

etc.

• Control de acceso externo. Paso por cortafuegos, pasarelas de comunicaciones, creación de túneles,

etc.

• Administración. Recursos Humanos, definición de los puestos laborales, organización del personal,

etc.

2.3. Niveles de seguridad para sistemas operativos

El estándar de niveles de seguridad para sistemas operativos originario se describe en el TCSEC Orange Book

(Trusted Computer Security Evaluation Criteria), desarrollado en 1985 de acuero con las normas de seguridad

para ordenadores del Departamento de Defensa de los Estados Unidos.

El estándar define varios niveles y subniveles de seguridad, cada uno de los cuales incluye a todos los

anteriores.

9

Estos niveles de seguridad han sido la base de desarrollo para otros estándares europeos como el

ITSEC/ITSEM y los internacionales propuestos por la ISO/IEC. Define 10 clases de funcionalidades de las que

5 son equivalentes a las de TCSEC. Las otras 5 funcionalidades están orientadas a aplicaciones en vez de a

sistemas operativos.

El tercer tipo de estándar, mucho más actual y de mayor interés para los fabricantes es el Comman Criteria.

Este estándar, creado en 1996, establece criterios comunes para Europa y Estados Unidos como una iniciativa

común para armonizar TCSEC e ITSEC. La versión actual es la 3.1

Se puede conseguir información complementaria en la web de Common Criteria en la dirección

https://www.commoncriteriaportal.org/

2.4. Análisis forense

Desgraciadamente, no siempre las medidas tomadas para contrarrestar las amenazas son totalmente

eficaces.

El análisis forense es el encargado de rastrear en el sistema comprometido toda la información posible sobre

el ataque de modo que se pueda diseñar una contramedida apropiada para evitarlo en el futuro o para

determinar el agente que perpetró el ataque, así como evaluar los daños sufridos.

10

Actividades

1. Sobre una instalación de sistemas informáticos en red, por ejemplo, la del aula, describe qué medidas

de seguridad física y ambiental están tomadas y qué otras se podrían tomar para mejorar la seguridad.

2. Repite el ejercicio anterior sustituyendo los elementos de seguridad física por elementos de seguridad

lógica.

3. ¿Cuáles son las cuatro fases de un análisis de investigación forense? ¿Podrías poner ejemplos de

actividades específicas de cada una de las fases?

3. Copias de seguridad

La copia de seguridad es el procedimiento más inútil mientras todo funciona bien, pero el que más se echa

de menos en caso de problemas. No basta con hacer copias de seguridad de los sistemas, además, hay que

comprobar que están bien realizadas y que se hacen las que se deben y no otras.

Junto a la información salvada se asocian a cada copia de seguridad un conjunto de parámetros, los más

habituales son:

• Ficheros, directorios o discos de origen que se pretendes salvar.

• Lugar de destino de la información salvada.

• Tipo de backup: completo, diferencial, incremental, etc.

• Programación automática del backup.

• Otros parámetros, frecuentemente dependientes del fabricante del sistema de backup.

11

4. DIRECCIONES DE INTERÉS

INTECO - Instituto Nacional de Tecnologías de la Comunicación:

• www.inteco.es

Blog y repositorio de blogs de seguridad informática de INTECO:

• http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad

Hispasec Sistemas: Seguridad y Tecnologías de información. Noticias diarias y resúmenes anuales de noticias

de actualidad sobre seguridad informática:

• www.hispasec.com

Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se puede buscar información sobre

las versiones de los productos de distintos fabricantes, e incluso descargar exploits de verificación.

• www.securityfocus.com

Guía completa de seguridad informática

• http://www.rediris.es/cert/doc/unixsec/unixsec.html

Web de seguridad informática de la empresa de tecnologías de información (IT) IDG.

• www.idg.es

Blog de seguridad informática de la empresa Trend Micro con noticias actuales:

• http://blog.trendmicro.es

Portal de ISO 27001 en español:

• www.iso27000.es

Blog sobre auditoría y seguridad informática ISO 27001:

• http://sgsi-iso27001.blogspot.com

Sitio web sobre seguridad informática de GNU/Linux, de Criptonomicón, un servicio ofrecido libremente

desde el Instituto de Física Aplicada del CSIC:

• http://www.iec.csic.es/CRIPTonOMICon/linux/

Blog de la empresa de máxima seguridad S21SEC

• http://blog.s21sec.com/

Blogs sobre seguridad informática. Para estar a la última en novedades sobre vulnerabilidades y ataques.

• http://www.opensecurity.es/

• http://www.bloginformatico.com/etiqueta/seguridad-informatica

Blog de análisis de aplicaciones de seguridad informática:

12

• http://lestathijackthis.wordpress.com/

TESIS completa sobre Seguridad informática.

• http://www.segu-info.com.ar/tesis/

Rootkit Hunter: Analizador de rootkit para sistemas GNU/Linux:

• www.rootkit.nl/

VirusTotal: analizador online de archivos potencialmente malware:

• www.virustotal.com

NESSUS: Aplicación que detecta vulnerabilidades tanto para sistemas y aplicaciones de Windows como

GNU/Linux. En su última versión Nessus4, funciona como servidor web.

• www.nessus.org

Microsoft Baseline Security Analyzer (MBSA): analizador del el estado de seguridad según las

recomendaciones de seguridad de Microsoft, ofrece orientación de soluciones específicas. Sirve para detectar

los errores más comunes de configuración de seguridad y actualizaciones de seguridad que falten.

• http://technet.microsoft.com/es-es/security/cc184924

NMAP: programa de código abierto que sirve para efectuar rastreo de puertos.

• http://www.insecure.org/nmap/

Microsoft Update: para ver las últimas actualizaciones del sistema operativo Windows en caso de tenerlo

instalado en nuestro equipo. Podremos hacerlo entrando con Internet Explorer 5 o superior en:

• http://www.update.microsoft.com/

Comprueba el estado de actualización de tus aplicaciones, con un análisis desde la web de Secunia y su

inspector online:

• http://secunia.com/vulnerability_scanning/online/?lang=es

Analizador del nivel de fortaleza en tus contraseñas:

• http://www.microsoft.com/latam/protect/yourself/password/checker.mspx

Mantenerse siempre informado y al día es la primera y mejor recomendación en materia de seguridad

informática.

Origen y evolución del eFraude

• http://www.securitybydefault.com/2010/01/origen-y-evolucion-del-efraude.html

Los peligros más comunes para los usuarios de Internet los encontramos en las denominadas redes sociales,

ya que son actualmente de las webs más usadas. Para ello se propone analizar la siguiente noticia “Cinco

nuevas estafas en Facebook y Twitter”.

13

• Fuente: http://www.csospain.es/Cinco-nuevas-estafas-en-Facebook-y-Twitter/seccion-

alertas/articulo-196360