Que es Seguridad

Vicente Aceituno

Definiciones de seguridad de la información y sus limitaciones

Diciembre 2004

Vicente Aceituno Canal, [email protected] 2

Puntos de vista

Los más habituales son:� Militar.� Sector Seguros.� Sector Académico (Ciencias del cómputo).� Sector de las Tecnologías de la Información.� Poder Legislativo.


Puntos de vista

Nos centraremos en:� Militar.� Sector Seguros.� Sector Académico (Ciencias del cómputo).� Sector de las Tecnologías de la Información.� Poder Legislativo.


Alcance

Los más habituales son:� Información como concepto abstracto.� Sistemas de Información basados en máquinas de

Turing o Von Neumann.� Redes locales e Internet.� Organizaciones como Empresas o Administraciones

públicas.


Alcance

Nos centraremos en:� Información como concepto abstracto.� Sistemas de Información basados en máquinas de

Turing o Von Neumann.� Redes locales e Internet.� Organizaciones como Empresas o Administraciones

públicas.


Definiciones

1. Conjunto de medidas de protección:� “Seguridad es el conjunto de medidas de seguridad”.

2. Control de Accesos:� “Seguridad es mantener el control”.� “Seguridad es protegerse de ataques”

3. Mantenimiento de Confidencialidad, Integridad, Disponibilidad.

� La tríada CID.

4. Existencia de un Estado:� “Seguridad es invulnerabilidad”.� “Seguridad es confianza”.


�Los sistemas de información son complejos, con aspectos estructurales y dinámicos.

Definición - Dificultades

Mensajes

ProcesosAlmacenes

Interfaces

Canales


�Los sistemas de información procesan datos, pero datos no es lo mismo que información.


GIF: 511.220Kb

BMP: 2.359.350Kb

JPEG: 211.078Kb

PNG: 2.010.012Kb


�La seguridad depende del contexto.



�La seguridad depende de nuestras expectativas.



�La seguridad es una ausencia, no una presencia.


Seguridad

Peligro


�¡La seguridad cuesta dinero!



Definiciones

1. Conjunto de medidas de protección:� “Seguridad es el conjunto de medidas de seguridad”.

2. Control de Accesos:� “Seguridad es mantener el control”.� “Seguridad es protegerse de ataques”

3. Mantenimiento de Confidencialidad, Integridad, Disponibilidad.

� La tríada CID.

4. Existencia de un Estado:� “Seguridad es invulnerabilidad”.� “Seguridad es protección”.


Definiciones - Ejemplos

Gene Spafford: “El único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeada de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi vida por ello.”

(Seguridad es invulnerabilidad)

William R. Cheswick: “Hablando ampliamente, la seguridad es evitar que alguien haga cosas que no quieres que haga con o desde tu ordenador o alguno de sus periféricos”

(Seguridad es mantener el control)


Definiciones - EjemplosINFOSEC Glossary 2000: “Seguridad de los Sistemas de Información consiste en la protección de los sistemas de información respecto al acceso no autorizado o modificación de la información en el almacenamiento, proceso y tránsito y contra la denegación de servicio para los usuarios autorizados, incluyendo aquellas medidas necesarias para detectar, documentar y contrarrestar dichas amenazas.”

(Seguridad es protegerse de ataques)

ISO17799: “La seguridad de la información se puede caracterizar por la preservación de:� Confidencialidad: Asegurar que el acceso a la información

está adecuadamente autorizado.� Integridad: Salvaguardar la precisión y completitud de la

información y sus métodos de proceso.� Disponibilidad: Asegurar que los usuarios autorizados

pueden acceder a la información cuando la necesitan.(Seguridad es la tríada CID)



INFOSEC Glossary 2000: “Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican”

(Seguridad es el conjunto de medidas de seguridad / La tríada CID)

Bruce Schneier: “La seguridad es un proceso, no un producto”

(Seguridad NO es lo mismo que el conjunto de medidas de seguridad)



RFC2828 Internet Security Glossary:� Medidas tomadas para proteger un sistema.� El estado de un sistema que resulta del

establecimiento y mantenimiento de estas medidas.� El estado de un sistema cuando no hay accesos

desautorizados, o cambios, destrucciones o pérdidas no autorizadas.(Seguridad es mantener un estado)

Common Criteria for Information Technology Security Evaluation - Part 1: “La protección contra amenazas a activos…[]...prestando una mayor atención a las amenazas resultantes de acciones humanas maliciosas.”(Seguridad es protegerse de ataques)


Usos Semánticos

Se utiliza la palabra “seguridad” para significar:� Invulnerable, como por ejemplo: “Ningún sistema es

realmente seguro”.� Medida de seguridad, como por ejemplo: “Deberíamos

añadir seguridad”.� Confiable, como por ejemplo: “La aplicación web es

muy segura”, o “evitar descargas de sitios no seguros”.

� Proteger, como por ejemplo: “Vamos a securizar la base de datos”.


Usos Semánticos

Se confunde la parte por el todo, y se abusa de la coletilla “de seguridad”: � Incidente de seguridad / Incidente.� Estamos analizando los posibles problemas de seguridad /

Estamos analizando las posibles amenazas.� Hemos tenido un problema de seguridad / Hemos sufrido

un incidente.� Gestión de seguridad / Control de Accesos.� Reglas de seguridad / Normas de Protección.


Control

Medidas de Seguridad

Invulnerabilidad

CID

Confianza


Definiciones

1. Conjunto de medidas de protección� Si esto fuera cierto, si no hay medidas, no hay

seguridad, pero sabemos que esto no es así, dado que si no hay amenazas, podemos estar seguros aunque no haya medidas.


Definiciones

2. Control de Accesos� Capacidad de proporcionar acceso a usuarios

autorizados, y negarlo a no autorizados.


Definiciones

Mecanismos de Control de Accesos (AAA+)� Autenticación e Identificación se define como la

capacidad de identificar al usuario de un sistema de información.

� Autorización se define como la capacidad de controlar que servicios puede utilizar un usuario identificado, y a que información puede acceder.

� Auditoria se define como la capacidad de conocer fehacientemente que servicios ha utilizado un usuario identificado y a qué información a accedido, creado, modificado, eliminado, incluyendo detalles como cuando, desde donde, etc.

� “No repudio” se define como la capacidad de afirmar la autoría de un mensaje o información del que un tercero es autor. De este modo el autor no puede negar su propia autoría.


Definiciones

3. Mantenimiento de CID� Confidencialidad: Capacidad de proporcionar acceso

a usuarios autorizados, y negarlo a no autorizados. (igual a Control de Accesos).

� Integridad: Capacidad de garantizar que una información o mensaje no han sido manipulados y de que los servicios procesan correctamente la información.

� Disponibilidad: Capacidad de acceder a información o utilizar un servicio siempre que lo necesitemos.


Definiciones (Mecanismos / Objetivos)

3. Mantenimiento de CID (o CAIN, o ACIDA…)� Confidencialidad

� Identificación.� Autenticación.� Autorización.� Auditoria.� No Repudio.

� Integridad.� Disponibilidad.


Definiciones

4. Existencia de un Estado� Imposibilidad de ataques. = Invulnerabilidad.� Confianza.


Definiciones

Invulnerabilidad� No tiene sentido protegerse de amenazas poco

probables.� Sólo considera la protección contra ataques.� El coste de la invulnerabilidad es muy alto y está

relacionado con expectativas muy poco habituales.


Defectos de las Definiciones

�Las definiciones no suelen aclarar su alcance.�El número de definiciones diferentes es demasiado alto.�Las definiciones no se usan de forma consistente, lo que lleva a malentendidos frecuentes.�Varias definiciones consideran los ataques como los únicos incidentes que merecen atención. (No errores, o accidentes)


Defectos de las Definiciones

�Las definiciones al uso sugieren una validez absoluta, no relativa.� No siempre es necesario Control de Accesos; sólo

cuando su importancia es suficientemente alta, como los secretos.

� No siempre es necesario No Repudio; sólo para tomar acuerdos y establecer relaciones contractuales.

� No siempre necesitamos Disponibilidad; sólo cuando el servicio es suficientemente importante.

�No se considera el coste que supone protegerse.


¿...?

Control

Medidas de Seguridad

Invulnerabilidad

CID

Confianza


�Debe ajustarse al método científico.�Debe servir para responder las siguientes preguntas:� ¿Qué es un incidente?� ¿Qué es una amenaza?� ¿Qué amenazas me afectan, y cuanto?� ¿Cómo de seguro estoy?� ¿Qué puedo hacer para estar más seguro?

� Amenaza -> Clasificación y Ponderación de la Amenaza -> Selección de Medida de Seguridad -> Aumento de la seguridad.

� ¿Cuánto debería gastar en medidas de seguridad?� ¿Cómo de capaz soy de mantener mi seguridad?

Definición – Criterios de validez


El método científico - Falsabilidad

�Karl Popper:� El criterio de demarcación para distinguir teorías

científicas de pseudocientíficas es su falsabilidad, según la cual las teorías deben ser falsables.

� Cuando una teoría es falsable, se pueden idear experimentos que en caso de obtener un determinado resultado puedan mostrar la teoría como falsa.

� Una teoría exitosa:� Supera todos los experimentos de falsibilización.� Es ampliamente aplicable.� Explica un rango amplio de fenómenos.� Tiene poder predictivo.


CID es Pseudocientífica

�La pérdida de Confidencialidad (en sus múltiples vertientes), Disponibilidad e Integridad son consecuenciasde un incidente, no una causa.�Por ellos no son falsables y no ayudan al avance del conocimiento.�Ejemplo: para paliar los siguientes incidentes, CID no aporta información útil:� Recuperación de información borrada (¿Integridad?).� Violación de derechos de autor. (¿Confidencialidad?)� Pérdida de sincronización. (¿Integridad?)� Violación del anonimato. (¿Confidencialidad?)� Errores. (¿Integridad?)� Fraude. (¿Confidencialidad?)


CID es Pseudocientífica

Ciencia PseudocienciaEl objetivo es alcanzar una comprensión más completa y unificada de los fenómenos.

Los objetivos son comerciales, culturales o ideológicos.

Existe una investigación continua que expande el conocimiento de la disciplina.

La disciplina ha evolucionado muy poco desde que fue establecida.

Se buscan activamente contraejemplos que parezcan inconsistentes con las teorías establecidas.

Cualquier desafió al dogma establecida se considera un acto hostil, si no herejía, llevando a disputas o cismas.


CID es PseudocientíficaCiencia Pseudociencia

Las observaciones plausibles que no encajan con las creencias establecidas generan interés y estimulan la investigación ulterior.

Las observaciones que no encajan con las creencias establecidas tienden a ser ignoradas o silenciadas.

Se sigue un proceso por el que cada principio debe ser comprobado en la práctica y puede ser cuestionado o rechazado en cualquier momento.

Los principios de la teoría no son falsables, y es poco probable que sean modificados o declarados erróneos. Los entusiastas toman la imposibilidad lógica de invalidar su teoría como evidencia de su validez.

Los conceptos e ideas se sostienen por sus propios méritos, basándose en la experiencia y conocimientos existentes.

Los conceptos son definidos por personalidades que con frecuencia invocan a la autoridad (como nombres famosos) como apoyo.

Las explicaciones son claras y precisas. Las explicaciones son vagas y ambiguas.


Probabilidad

�La probabilidad tiene capacidad predictivacuando consideramos que:� Cuando las condiciones no cambian, el futuro se

parece al pasado.� Es aplicable a conjuntos de fenómenos, no a

fenómenos individuales.� Es necesario disponer de un número suficiente de

casos.


Definición Operativa

�Una definición operativa de una cantidad es el proceso por el cual se mide.

Amenazas Sistema de Información

Medida de Protección



�¿Qué es un incidente?: Un incumplimiento de nuestras expectativas sobre un sistema de información.

�¿Qué es una amenaza?: Cualquier causa que haya producido históricamente al menos un incidente. (Probabilidad de ocurrencia distinta de cero)

�¿Que es seguridad?: “La ausencia de amenazas que afecten las expectativas acerca de sistemas de información protegidos de forma equivalente en un entorno equivalente”.


Utilidad de la Definición Operativa

�¿Como medir la Inseguridad?: “El coste de los incidentes producidos en un plazo de tiempo histórico por cada sistema de información protegido de forma equivalente en un entorno equivalente”.

�¿Qué amenazas me afectan?: Las causas de incidentes históricos en sistemas de información protegidos de forma equivalente en un medio equivalente.



�¿Cuáles pueden ser nuestras expectativas respecto de la información?:� Cumplir regulaciones legales aplicables.� Control sobre el acceso a secretos e información o

servicios protegidos por la ley como los derechos de autor y la información privada.

� Identificación de los autores de la información o mensajes y registro de su uso de servicios.

� Responsabilización de los usuarios por su uso de los servicios y su aceptación de compromisos.

� Control sobre la tenencia física de información y sistemas de información.



�¿Cuáles pueden ser nuestras expectativas respecto de la información?:� Control sobre la existencia de información y servicios.� Control sobre la disponibilidad y de información y

servicios.� Control sobre la fiabilidad y el rendimiento de los

servicios.� Control sobre la precisión de la información.� Sincronización horaria de los servicios entre sí y con

la hora real.


Attribution. You must give the original author credit.

For any reuse or distribution, you must make clear to others the license terms of this work.

Any of these conditions can be waived if you get permission from the author.

Your fair use and other rights are in no way affected by the above.

This is a human-readable summary of the legal text: http://creativecommons.org/licenses/by-nd/1.0/legalcode

Creative Commons Attribution-NoDerivs 1.0

You are free:

•to copy, distribute, display, and perform this work

•to make commercial use of this work

Under the following conditions:

No Derivative Works. You may not alter, transform, or build upon this work.


Referencias

[1] http://www.ee.oulu.fi/research/ouspg/sage/glossary/index.html#h-ref4[2] Google “define: (integrity, confidenciality, etc)”[3] RFC 2828 - Internet Security Glossary - http://www.faqs.org/rfcs/rfc2828.html

[4] Common Criteria for IT Security Evaluation -http://www.commoncriteriaportal.org/ [5] Pseudociencia: http://www.chem1.com/acad/sci/pseudosci.html

Vicente AceitunoDiciembre 2004

Definición de Seguridad de la Información y sus limitaciones

Gracias

Que es Seguridad

Technology

Transcript of Que es Seguridad