Tema IIIRecursos Tecnológicos para

la Administración Electrónica

Concepto de seguridad de la información

Seguridad: Definiciones• “Sabemos que es hasta que alguien Sabemos que es hasta que alguien

nos pide que lo definamosnos pide que lo definamos” (Descartes)

• ¿Qué entendemos por seguridad? – Real Academia Española:

• SEGURIDAD: Cualidad de seguro• SEGURO: Libre y exento de todo peligro,

daño o riesgo– Cierto, indubitable y en cierta manera

infalible– No sospechoso

Visiones sobre la seguridad de la Información●Podemos hablar de Seguridad desde diferentes enfoques:

– Seguridad Informática• Hace hincapié en la seguridad de los sistemas, teniendo en cuenta las

amenazas de carácter fundamentalmente tecnológico

– Es un concepto muy conocido pero que está obsoleto.

– Seguridad TIC• Incorpora el concepto de redes o infraestructura de comunicaciones

– Seguridad de la Información• Lo fundamental es proteger la información • Tiene en cuenta, además de la seguridad tecnológica, la seguridad desde

el punto de vista jurídico, desde el punto de vista normativo y desde el punto de vista organizativo.

• La Seguridad de la Información tiene en cuenta la protección de la información desde tres puntos de vista:– Técnico, organizativo y legal

– Vídeo• http://www.youtube.com/v/7MqTpfEreJ0&autoplay=1

Definiciones de Seguridad de la información

• Para el Consejo Superior de Administración Electrónica

– Conjunto de técnicas y procedimientos que tienen como misión la protección de los bienes informáticos de una organización• Bienes informáticos

– Hardware– Datos– Programas

• Para ISO-7498/OSI– Seguridad informática: mecanismos que minimizan la

vulnerabilidad de bienes y recursos

• Bien: – Algo de valor

• Vulnerabilidad: – Debilidad que se puede explotar para violar un

sistema o la información que contiene.

European Network and Information Security Agency

●REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004●Seguridad de las redes y de la información:

– La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles

SEGURIDAD de la Informaciónsegún ISO/IEC 17799

●La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones software.

― Estos controles deberían establecerse para asegurar que se cumplen los objetivos específicos de seguridad de la organización

La información según ISO/IEC 17799

• La información es un activo que tiene valor para la organización y requiere una protección adecuada.

• La seguridad de la información la protege de un amplio elenco de amenazas para– Asegurar la continuidad del negocio, – Minimizar los daños a la organización– Maximizar el retorno de inversiones– Y las oportunidades de negocios.

ISO/IEC 17799 Formas de información

• La información adopta diversas formas. – Puede estar impresa – Almacenada electrónicamente– Transmitida por correo o por medios

electrónicos– Mostrada en vídeo o hablada

• Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.

ISO/IEC 17799 Características de la

seguridad de la información

• La seguridad de la información se caracteriza aquí por la preservación de:– Su confidencialidad,

• Asegurando que solo quien está autorizado puede acceder a la información

– Su integridad,

• Asegurando que la información y sus métodos de procesos son exactos y completos

– Su disponibilidad,• Asegurando que los usuarios autorizados tiene

acceso a la información y a sus activos asociados cuando lo requieran

Confidencialidad/secreto• Condición que asegura que la información

no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados– Consiste en evitar que personas, programas o

sistemas no autorizados puedan acceder a ella sin autorización• Proporciona protección de los datos para evitar que

sean revelados accidental o deliberadamente a un usuario no autorizado.– Acceso sólo para entes autorizados– Actúa contra las filtraciones

Disponibilidad

• Grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado

• Propiedad de un sistema o recurso de estar accesible y utilizable a entidades autorizadas.

• Consiste en que la información esté accesible, y disponible para su utilización cuando sea necesaria– Los bienes informáticos pueden ser utilizado

cuándo y cómo lo requieran los usuarios autorizados

– Contra la interrupción del servicio

Integridad + disponibilidad = confiabilidad

Integridad

• Condición de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, sólo por personal autorizado– Consiste en que la información no sea

alterada o modificada sin autorización.• Este servicio garantiza al receptor de los datos que

los datos recibidos coinciden con los enviados por el emisor, pudiendo detectar si se ha producido algún añadido, sustracción o cambio.– Modificación sólo por personal autorizado– Actúa contra las manipulaciones

Firma electrónica para garantizar la integridad

Los conceptos principales en torno a la protección de los datos, informaciones y servicios utilizados en medios

electrónicos de las AAPP●Además de los Ya comentados– Integridad, Confidencialidad y Disponibilidad

●Adicionales– Identificación: • La correcta identificación de remitente y

destinatario.– Que los datos de identidad estén

completos de modo que no pueda haber ambigüedad a la hora de establecer la identidad de una persona física o jurídica.

No Repudio●Mecanismo que impide que las entidades que participan en una comunicación nieguen haberlo hecho

― Imposibilidad de rechazar la autoría de una determinada acción o documento

• No poder negar la intervención en una operación o comunicación

• Con prueba de origen

– El receptor del mensaje adquiere una prueba, demostrable ante terceros, del origen de los datos recibidos.

• Con prueba de envío

– El receptor o el emisor del mensaje adquieren una prueba demostrable de la fecha y hora del envío.

• Con prueba de entrega

– El emisor del mensaje adquiere una prueba, demostrable ante terceros, de que los datos han sido entregados al receptor adecuado

Control de Acceso• Protección de los recursos del sistema contra accesos no autorizados

• Basados en identidad o en capacidades

– Identificación

• La entidad indica su identidad

– Autenticación /acreditación

• El sistema comprueba que la identidad puede ser considerada cierta

– Autorización

• El sistema consulta en un ACL,( access control list: lista de control de acceso) qué puede hacer esa entidad con ese objeto

• Sirve para evitar el uso no autorizado de los recursos

– ¿Quién puede hacer qué?

– Solo está permitido el acceso a las entidades autorizadas (usuarios, programas, procesos, otros sistemas..), de acuerdo a la política de seguridad

– El uso de los recursos del sistema están regulados conforme a una política de seguridad

Anonimato

●Trata de mantener oculta la identidad de la persona que realiza una determinada operación telemática.– Buzón de sugerencias/quejas.– Encuestas.– Votación electrónica.– Dinero electrónico

Otros conceptos protección de datos―Trazabilidad:

• Se refiere a la información histórica que es importante conocer y conservar,

¿qué cambios ha sufrido la información?, ¿quién ha accedido a ella?, etc.

―Conservación: • La correcta conservación y archivo de la información de modo que se encuentre disponible e integra aún después de que hayan pasado largos periodos de tiempo.

Auditoría de actividades

• Registro cronológico de las actividades del sistema que permitan la reconstrucción y examen de los eventos ocurridos– Registro de eventos– Ser capaz de perseguir las violaciones y

aprender de las experiencias (trazabilidad)

Relación de los servicios de seguridad

●En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de más abajo, no puede aplicarse el superior.

― La disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación

En resumen:¿QUÉ ES SEGURIDAD?

● Evitar el ingreso de personal no autorizado● Sobrevivir aunque “algo” ocurra● Cumplir con las leyes y reglamentaciones

gubernamentales y de los entes de control del Estado

● Adherirse a los acuerdos de licenciamiento de software

● Prevención, Detección y Respuesta contra acciones no autorizadas

Sistema Seguro●Un sistema informático (hardware, software, red) es seguro si sus usuarios pueden confiar en que se comportará de la manera esperada

– Si espero acceder a mis datos, pero no puedo, esto es un fallo de seguridad. Tanto si la causa es un intruso, un fallo en el software o un incendio

●El estado actual de las tecnologías de seguridad permite ofrecer en las redes telemáticas una protección superior en varios órdenes de magnitud a la que se ofrece en el mundo ordinario del intercambio de documentos en papel.

Niveles de seguridad• Seguro estaba y se murió

• Seguridad total

• “Queremos que no tenga éxito ningún ataque”• La Seguridad = Invulnerabilidad• Es Imposible de alcanzar• La seguridad total no existe• Con la suficiente motivación /tiempo /dinero/

habilidad/suerte un atacante siempre podrá comprometer un sistema

• Existen grados de seguridad acorde con el bien a defender

• La política de seguridad siempre es un compromiso entre el nivel de riesgo asumido y el coste requerido

Niveles de seguridad

El uso de una solución en niveles – Disponemos de distintas barreras de protección que hay

que superar– Aumenta la posibilidad de que se detecten los intrusos – Disminuye la posibilidad de que los intrusos logren su

propósito

Directivas, procedimientos y concienciación

Directivas, procedimientos y concienciación

Seguridad físicaSeguridad física

PerimetralPerimetral

Red internaRed interna

EquipoEquipo

AplicaciónAplicación

DatosDatos

Enfoque de Gestión del Riesgo Preguntas clave para mejorar la seguridad de nuestro sistema

¿Que intento proteger y cuanto vale para mi? ¿Que necesito para protegerlo? ¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear?

El riesgo no puede eliminarse completamente, pero puede reducirse Es necesario el apoyo de la dirección de la empresa/organismo, en

autoridad y recursos

Qué es necesario● Identificación de los activos (assets) y de su valor

― Tangibles:• El hardware (ordenadores, Los soportes de información,

equipos de comunicaciones y cableado),• Los datos (información) , backups, libros,• Software comprado, los procesos, el sistema operativo• Las instalaciones• El personal

― Intangibles:• Salud e integridad física del persona, privacidad,

contraseñas, reputación, disponibilidad

Análisis de Riesgos• Identificación de las amenazas

• Calculo de los riesgos – Mediante análisis coste-beneficio

• Calcular el coste de la pérdida de un activo• Calcular la probabilidad de una pérdida• Calcular el coste de la prevención• Decidir con todo ello las medidas a tomar mediante practicas

recomendables

• Objetivo:

– Identificar los riesgos

– Cuantificar su impacto

– Valorar las consecuencias de una amenaza

– Evaluar el coste para mitigarlos

– Cómo el impacto y el riesgo afectan al negocio

– Servir de guía para tomar decisiones

– Organizarse y actuar

• Riesgo = Activo x Amenaza x Vulnerabilidad

Definiciones• ACTIVO:

– Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.

• AMENAZA: – Evento que puede desencadenar un incidente en la organización,

produciendo daños o pérdidas materiales o inmateriales en sus activos.

• VULNERABILIDAD:– Debilidades que pueden permitir que una amenaza se materialice

• RIESGO: – Posibilidad de que una amenaza se materialice.

• IMPACTO: – Consecuencia sobre un activo de la materialización de una

amenaza.

• CONTROL o SALVAGUARDA: – Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.

ISO: Análisis de RiesgosEntorno de Análisis de Riesgos

Valoración cuantitativa del Riesgo

Opciones de tratamiento

●Evitar– Eliminar información / servicios / activos

●Mitigar– Prevenir / reaccionar / recuperar

●Transferir o compartir– En términos cualitativos (externalización)– En términos cuantitativos (seguros)

●Aceptar– El riesgo es parte del negocio

Ejemplos de Amenazas●Malware, crackers, etc●No disponibilidad de personal:

– Enfermedad: individual o epidemia. Bajas●No disponibiliad de un servicio:

– Red, energía●Inundación, fuego, sabotaje, vandalismo●Robo de soporte de datos, ordenadores de escritorio, portátiles●Desaparición de proveedor de bienes o servicios●Fallo hardware●Fallo software●…

Consecuencias● Fallos de confidencialidad

– Fugas de información• No hay reparación posible• Si se detecta, tenemos la opción de perseguir

(disuasorio)● Fallos de integridad

– Datos manipulados• Si se detecta, tenemos la opción de recuperar [de

otra fuente]● Fallos de disponibilidad

– Interrupción del servicio• Medios alternativos• Restauración de los medios habituales

Ejemplos de salvaguardas

● Seguridad física:

– Todo acceso físico al equipo de red debe estar convenientemente protegido:• Acceso a estancias, armarios, llaves, etc.

● Todas las aplicaciones, SSOO y drivers deben actualizarse con regularidad● Todas las contraseñas deben ser de calidad● El acceso remoto debe limitarse por usuario y por dirección IP● Avisos legales en pantallas de login, constancia de que las normas han sido comunicadas y aceptadas, etc.● Cierta monitorización de la actividad de los usuarios●Timeout adecuado para el cierre de sesiones por inactividad

● Deshabilitación de todos los servicios no necesarios● Tráfico inalámbrico cifrado correctamente● Uso correcto de cortafuegos● Uso correcto de antivirus (especialmente a la entrada de la red)● Uso de VPN para tráfico que circule por redes públicas● Uso de VLAN si es necesario segregar servicios y/o usuarios dentro de la organización● Control de dirección IP/MAC por parte de los switches● Uso de versiones seguras de los protocolos. Actualización de rutas, DNS, etc● Mecanismos de auditoría funcionando correctamente● Test de intrusión, preferentemente realizado por especialista externo

Mas ejemplos

Metodología de Análisis de Riesgo MAGERIT

• Definición:– Metodología de Análisis y GEstión de los Riesgos de

los sistemas de Información de las AdminisTraciones Públicas

• Objetivos– Estudiar los riesgos que soporta un sistema de

información y el entorno asociable con él– Recomendar las medidas apropiadas que deberían

adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados

• ¿Donde conseguirla? • http://administracionelectronica.gob.es/pae_

Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.VQK2pI9MJnc

Elementos de MAGERIT V3– Un conjunto de tres Guías

• Método

• Catálogo de elementos

• Guía de Técnicas– Un panel de herramientas de apoyo, con sus correspondientes

Guías de Uso y con la Arquitectura de Información y Especificaciones de la Interfaz para el Intercambio de datos.• La herramienta EAR (ENTORNO DE ANÁLISIS DE RIESGOS)/PILAR

– Procedimiento informático-lógico para el análisis del riesgo entorno de análisis de riesgos

https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=247&lang=es

Modelo PDCA

Estándares ISO

ISO 17799/UNE 71501(seguridad) ISO 27000 (seguridad)

http://www.iso27000.es/index.html

Normas ISO 27000● NACE LA FAMILIA DE LAS NORMAS ISO 27000

― ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management System’. Due for release in November 2005. (Once ISO/IEC 27001 is released, BS7799-2:2002 will be withdrawn)

― ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 2007

― ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has yet been made regarding ISO/IEC 27003 however, the BSI expect to release BS7799-3 in November 2005

― ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and Measurement’. No launch date is available, although the BSI will publish a description in July/August 2005

― ISO/IEC 27005:2008 (riesgos)

Consejos Generales de INTECO

●1. Manténgase informado sobre las novedades y alertas de seguridad.●2. Mantenga actualizado su equipo, tanto el Sistema Operativo como cualquier aplicación que tenga instalada.●3. Haga copias de seguridad con cierta frecuencia, para evitar la pérdida de datos importante.●4. Utilice software legal que le suelen ofrecer garantía y soporte.●5. Utilice contraseñas fuertes en todos los servicios, para dificultar la suplantación de su usuario (evite nombres, fechas, datos conocidos o deducibles, etc.).●6. Utilice herramientas de seguridad que le ayudan a proteger / reparar su equipo frente a las amenazas de la Red.●7. Cree diferentes usuarios, cada uno de ellos con los permisos mínimos necesarios para poder realizar las acciones permitidas

Certificados de Calidad

●Actualmente, en el sector de las tecnologías de la información el catálogo de AENOR está compuesto, entre otros, por los certificados de:

― Sistemas de Gestión de Seguridad de la Información (ISO 27001),

― Calidad del Software (ISO 15504) y― Accesibilidad web (UNE 139803).

EnlacesPágina de seguridad de Microsoft

http://www.microsoft.com/es-es/security/default.aspx

Hispasec http://www.hispasec.com