PRINCIPIOS DE SEGURIDAD
-
Upload
miguel-murillo-arcusa -
Category
Documents
-
view
231 -
download
0
description
Transcript of PRINCIPIOS DE SEGURIDAD
TEMA 1
PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD
CONTENIDOS● INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA● FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD– ALTA DISPONIBILIDAD
● ELEMENTOS VULNERABLES EN EL SISTEMA INFORMÁTICO
● AMENAZAS– PROVOCADAS POR PERSONAS– FISICAS Y LÓGICAS– TÉCNICAS DE ATAQUE
● PROTECCIÓN– AUDITORÍA DE SEGURIDAD– MEDIDAS DE SEGURIDAD
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA
● La seguridad informática consiste en asegurar que los recursos del SI de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, solo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
● Principales Objetivos:– Detectar posibles problemas y amenazas– Garantizar la adecuada utilización de los recursos y
aplicaciones– Limitar las pérdidas y recuperar el sistema en caso de
incidente– Cumplir con el marco legal y con los requisitos impuestos a
nivel organizativo
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
● La seguridad absoluta no es posible. Debemos conseguir altos niveles de seguridad.
– “El único sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio enterrada en cemento, rodeada de gas nervioso y de guardias fuertemente armados. Aún así, no apostaría mi vida en ello”. Eugene H. Spafford
● En lugar de hablar de seguridad hablamos de fiabilidad, que es la probabilidad de que un sistema se comporte tal y como se espera de él.
● Sistemas fiables en lugar de sistemas seguros.
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
● Para mantener un sistema fiable se tienen que garantizar tres aspectos básicos:● Confidencialidad: Los datos sólo pueden ser
comprensibles por las personas o sistemas autorizados.● Integridad: No se producen manipulaciones en los datos,
es decir, en una transmisión la información original no se altera de ningún modo por terceros.
● Disponibilidad: Capacidad de un sistema para ser accesible y utilizable por los usuarios o procesos autorizados. La información puede ser recuperada en el momento que se necesita.
● Las amenazas suelen afectar a las 3 características simultaneamente.
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
● Además de la confidencialidad, la integridad y la disponibilidad, existen dos conceptos más que se suelen estudiar dentro de la seguridad informática:
– Autenticación: verificar que un mensaje ha sido elaborado (o pertenece) a la persona a quien dice pertenecer.
– No repudio: probar la participación de las partes en una comunicación: origen o destino.
No repudioNo repudioAutenticaciónAutenticación
IntegridadIntegridadConfidencialidadConfidencialidadDisponibilidadDisponibilidad
ALTA DISPONIBILIDAD● Capacidad de que aplicaciones y datos se encuentren
operativos para los usuarios autorizados en todo momento y sin interrupciones, debido principalmente a su carácter crítico.
● Existen 2 tipos de interrupciones:– Previstas: para realizar cambios o mejoras en el sistema.– Imprevistas: apagones, errores de Hw o Sw, desastres
naturales, malware, etc...
ALTA DISPONIBILIDAD● Para medir la disponibilidad de un sistema, se utilizan dos
métricas:– MTTF (Mean Time To Failure): tiempo medio entre fallos.– MTTR (Mean Time To Recover): tiempo medio de
recuperación tras un fallo.● Nuestro principal objetivo debe ser aumentar el MTTF y
reducir el MTTR lo máximo posible.● Existen diferentes niveles de disponibilidad en función del
tiempo de inactividad al año, expresado en “nº de nueves”:– 99,9% = 43,2 min/mes u 8,76 horas/año (“tres nueves”)– 99,99% = 4,32 min/mes o 52.6 minutos/año (“cuatro nueves”)– 99,999% = 0,43 min/mes o 5.26 minutos/año (“cinco nueves)
ALTA DISPONIBILIDADEJERCICIO
● Supongamos que nuestro sistema tiene 3 caídas a lo largo del año 2011:
– El 5 de enero a las 15:00 tiene una caída de hora y media– El 23 de mayo a las 3:00 la caída es de 15 minutos– El 3 de octubre a las 11:00 sufrimos un parón de 25 minutos por un corte de
luz.● Calcula el MTTF y el MTTR y calcula el porcentaje de tiempo que el
sistema está activo. ● ¿De cuantos nueves es nuestra disponibilidad? ● ¿Podemos hablar de un sistema de alta disponibilidad?
ELEMENTOS VULNERABLES EN EL S.I.
● La seguridad es un problema integral, no se pueden tratar los problemas aisladamente: la seguridad de un sistema es igual a la de su punto más débil.
● Sistema de Seguridad = TECNOLOGÍA + ORGANIZACIÓN● Tres elementos principales a proteger: software, hardware y datos.
● Niveles de profundidad relativos a la seguridad informática:– Hardware– Sistema Operativo– Comunicaciones– Medidas de seguridad físicas– Controles organizativos– Controles legales
AMENAZAS
● Las amenazas a un sistema informático pueden venir de numerosas fuentes.
● Clasificaremos las amenazas en función de por que vengan provocadas:
– Amenazas provocadas por personas.– Amenazas Físicas: provocadas por condiciones físicas-
ambientales.– Amenazas Lógicas: provocadas por el software.
AMENAZAS PROVOCADAS POR PERSONAS
● Las personas que amenazan sistemas se dividen en 2 grupos:– Pasivos: fisgonean pero no provocan daños.– Activos: dañan el objetivo atacado.
● Dentro de una organización: El propio personal puede producir ataques intencionados o por desconocimiento de las normas básicas de seguridad.
● Hacker: Experto informático al que le apasiona el conseguir acceder a sistemas ajenos, aunque sin provocar daños. Si los provocara intencionadamente estaríamos hablando de un Cracker.
● Otros términos son:● Newbie: Hacker novato.● Wannaber: Les interesa el hacking pero no son reconocidos todavía.● Lammer: Se creen hackers sin tener conocimientos informáticos.● Luser: (looser + user) Hace referencia al usuario de forma despectiva.● Pirata informático, ciberdelincuente o delincuente informático.
AMENAZAS FÍSICAS Y AMBIENTALES
Suponen el primer nivel de seguridad a proteger
● Robos, sabotajes, destrucción de sistemas
● Cortes, subidas y bajadas bruscas de suministro eléctrico
● Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas extremas
● Catástrofes naturales o artificiales.
● Interferencias electromagnéticas que afecten al normal comportamiento de circuitos y comunicaciones
AMENAZAS LÓGICAS● Herramientas de seguridad: detectan fallos en los sistemas que
pueden ser aprovechados para atacarlos.● Rogueware (falsos programas de seguridad): falsos antivirus o
antiespías.● Puertas traseras (backdoors): Los programadores insertan “atajos”
de acceso o administración con poco nivel de seguridad.● Virus: Secuencia de código que se inserta en un fichero ejecutable
huésped, que se ejecuta junto con éste.● Gusano (worm): se propaga por sí mismo a través de redes.● Troyanos: aplicaciones con instrucciones escondidas que ejecutan
funciones ocultas.● Programas conejo o bacterias: se reproducen hasta que acaba con
los recursos del sistema.● Canales cubiertos: violan la política de seguridad del sistema.
TÉCNICAS DE ATAQUE● Malware → Programas malintencionados● Ingeniería social → Abuso de confianza para obtener datos● Scam → Estafa electrónica● Spam → Correo o mensaje basura, no solicitado● Sniffing → Rastrear el tráfico de red● Spoofing → Suplantación de identidad o falsificación● Pharming → Redirigir un nombre de dominio● Phishing → Estafa basada en la suplantación e ingeniería social● Password cracking → Descifrar contraseñas● Botnet → Robots que controlan sistemas infectados● Denegación de servicio (DoS) → Hacer inaccesible un recurso
AUDITORÍA DE SEGURIDAD● Una auditoría de seguridad de sistemas de información es el
estudio que comprende el análisis y gestión de sistemas para identificar y corregir las vulnerabilidades que pudieran existir.
● Una vez obtenidos los resultados se deberán establecer medidas preventivas de refuerzo.
● Los objetivos de una auditoría de seguridad son:– Revisar la seguridad de entornos y sistemas– Verificar el cumplimiento de la normativa vigente– Elaborar un informe independiente
● Existen estándares como base para auditorías:– COBIT– ISO 27002
AUDITORÍA DE SEGURIDAD● Fases de una auditoría:
– Enumeración de S.O., servicios, aplicaciones, topologías, …– Detección, comprobación y evaluación de vulnerabilidades– Medidas específicas de corrección– Recomendaciones de medidas preventivas
● Tipos de auditoría:– Auditoría de seguridad interna: estudia el nivel de seguridad de
las redes locales de carácter interno– Auditoría de seguridad perimetral: estudia las conexiones de
nuestra red local a las redes públicas– Test de intrusión: comprueba el nivel de resistencia del sistema a
la intrusión no deseada– Análisis forense: pasado el incidente, averigua como ocurrió– Auditoría de código de aplicaciones
MEDIDAS DE SEGURIDAD● Los resultados de las auditorías harán posible el diseño de una
política de seguridad. ● Para implementar esta política, usamos mecanismos de
seguridad, herramientas básicas para garantizar la protección de los sistemas
● Las medidas de seguridad se clasifican:● Según el recurso a proteger:
– Seguridad física → protegen el HW– Seguridad lógica → protegen el SW
● Según el momento en el que actúan las medidas:– Seguridad activa → medidas preventivas– Seguridad pasiva → medidas correctivas
SEGURIDAD FÍSICA● Trata de proteger el hardware de posibles desastres naturales
o provocados
Amenaza DefensaIncendios Mobiliario ignífugo.
Evitar localización peligrosaSistemas antiincendios, detectores de humo...
Inundaciones Evitar plantas bajas.Impermeabilización de paredes, techos, sellado de puertas...
Robos Puertas con medidas biométricas, cámaras, vigilantes...Señales electromagnéticas
Evitar lugares con radiaciones electromagnéticasFiltros o cableado especial. La fibra óptica no es sensible a esto.
Apagones SAISobrecargas eléctricas
SAI. También estabilizan la señal eléctrica
Desastres naturales
Estar en contacto con los organismos que proporcionan información sobre terremotos o desastres meteorológicos.
SEGURIDAD LÓGICA● Complemento a la seguridad física. Protege de virus, ataques
de la red, etc...
Amenaza Mecanismo de defensaRobos Cifrado.
ContraseñasSistemas biométricos
Pérdida de información
Copia de seguridad (distintas ubicaciones)Sistemas tolerantes a fallosDiscos redundantes
Pérdida de integridad de la información
Programas de chequeo del equipo.Firma digitalComando sfc
Entrada de virus Antivirus
Ataques desde la red
FirewallProgramas de monitorizaciónProxys
Modificaciones no autorizadas
ContraseñasListas de control de accesoCifrar documentos
SEGURIDAD ACTIVA● Previenen e intentan evitar el daño.
Técnicas ¿Qué previene?Contraseñas Previene el acceso a recursos a usuarios no autorizadosListas de control de acceso
Previene acceso a ficheros a usuarios no autorizados
Encriptación Evita a personas no autorizadas interpretar la informaciónSoftware de seguridad Evita virus y accesos no deseados al sistemaFirmas y certificados digitales
Comprueba la procedencia, autenticidad e integridad de los mensajes
Sistemas de ficheros tolerantes a fallos
Previene fallos de integridad
Cuotas de disco Previene el uso excesivo de disco por parte de algún usuario
SEGURIDAD PASIVA● Complementa a la seguridad activa. Trata de subsanar o
minimizar los daños que se hayan producido.
Técnicas ResultadoDiscos redundantes Restaurar datos que han quedado inconsistentesSAI Proporcionan energía durante un periodo de
tiempo.Copias de seguridad Podemos recuperar información en caso de
pérdida de datos.