Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURIDAD DE LA INFORMACIÓN
Lic. Aldo Ramiro Valdez Alvarado
Ingeniería de Sistemas
UDABOL – LA PAZ
aldo_valdez@hotmail.com
Resumen
Se intenta dar una breve descripción del termino Seguridad de la Información, a través de diferentes aspectos. También se realiza un
análisis de los términos relacionados con la Seguridad Informática, como ser los riesgos, la vulnerabilidad, las amenazas, las medidas
a adoptar para prevenirlas y algunos principios de Seguridad. Además se describe brevemente algunas aplicaciones de la Seguridad
en las diferentes áreas de la Informática.
En respuesta a la primera interrogante, o sea determinar Vulnerabilidad de los medios o dispositivos. se refiere a la
cuáles son los elementos componentes del sistema a posibilidad de robar o dañar los discos, cintas, listados de
proteger, se debe realizar una lista minuciosa, del sistema impresora, etc.
informático y sus interrelaciones, haciendo hincapié en el
conjunto de datos críticos: para el desenvolvimiento de la Vulnerabilidad por emanación, todos los dispositivos
empresa y; para el funcionamiento del sistema en si. eléctricos y electrónicos emiten radiaciones
electromagnéticas. Existen dispositivos y medios de
A partir de esta respuesta, podemos, partiendo de una interceptar estas emanaciones y descifrar o reconstruir la
clasificación básica de los riesgos, determinar de que información almacenada o transmitida.
debemos proteger, el sistema de la organización.
Vulnerabilidad de las comunicaciones, la conexión de los
2.3. Vulnerabilidad, amenazas y contramedidas ordenadores a redes supone sin duda un enorme incremento
de la vulnerabilidad del sistema. También se añade el riesgo
Hay tres conceptos que entran en discusión cuando hablamos de intercepción de las comunicaciones:
de la seguridad de un sistema informático: vulnerabilidad o
inseguridad, amenazas y contramedidas. • Se puede penetrar al sistema a través de la red.
• Interceptar información que es transmitida desde o
Vulnerabilidad, punto o aspecto del sistema que es hacia el sistema.
susceptible de ser atacado o de dañar la seguridad del mismo.
Representan las debilidades o aspectos falibles o atacables Vulnerabilidad humana, la gente que administra y utiliza el
en el sistema informático. sistema representa la mayor vulnerabilidad del sistema. Toda
la seguridad del sistema descansa sobre el administrador del
Amenaza, posible peligro del sistema. Puede ser una persona mismo que tiene acceso al máximo nivel y sin restricciones al
(cracker), un programa (virus, caballo de Troya, ...), o un mismo.
suceso natural o de otra índole (fuego, inundación, etc.).
Representan los posibles atacantes o factores que 2.5. Tipos de Amenazas del Sistema
aprovechan las debilidades del sistema.
Las amenazas afectan principalmente al hardware, al software
Contramedida, técnicas de protección del sistema contra las y a los datos. Estas se deben a fenómenos de intercepción,
amenazas. modificación, interrupción y generación. Ver Figura 1.
Son los más difíciles de detectar pues en la mayoría de los Medidas físicas, aplican mecanismos para impedir el acceso
casos no alteran la información o el sistema. directo o físico no autorizado al sistema. También protegen al
sistema de desastres naturales o condiciones
Modificación, se trata no sólo de acceder a una parte del medioambientales adversas. Se trata fundamentalmente de
sistema a la que no se tiene autorización, sino, además, de establecer un perímetro de seguridad en nuestro sistema.
cambiar en todo o en parte su contenido o modo de
funcionamiento. Medidas lógicas, incluye las medidas de acceso a los
Interrupción, interrumpir mediante algún método el recursos y a la información y al uso correcto de los mismos,
funcionamiento del sistema. Puede ser intencionada o así como a la distribución de las responsabilidades entre los
accidental. usuarios. Se refiere más a la protección de la información
almacenada.
Generación, se refiere a la posibilidad de añadir información o
programas no autorizados en el sistema. Dentro de las medidas lógicas se incluyen también aquellas
relativas a las personas y que podríamos denominar medidas
Desde el punto de vista del origen de las amenazas, estas humanas. Se trata de definir las funciones, relaciones y
pueden clasificarse también en: naturales, involuntarias e responsabilidades de distintos usuarios potenciales del
intencionadas. sistema. Para ello vamos a diferenciar cuatro tipos
fundamentales de usuarios, administrador del sistema,
Amenazas naturales o físicas, son las que ponen en peligro usuarios del sistema, personas relacionadas con el sistema y
los componentes físicos del sistema. personas ajenas al sistema. A cada tipo se le aplicará una
política de control de accesos distinta y se le imputaran
Amenazas involuntarias, son aquellas relacionadas con el distinto grado de responsabilidades sobre el sistema.
uso descuidado del equipo por falta de entrenamiento o de
concienciación sobre la seguridad. Medidas administrativas, las medidas administrativas son
aquellas que deben ser tomadas por las personas encargadas
Amenazas intencionadas, son aquellas procedentes de de definir la política de seguridad para ponerla en práctica,
personas que pretenden acceder al sistema para borrar, hacerla viable y vigilar su correcto funcionamiento.
modificar o robar la información; para bloquearlo o por simple
diversión. Medidas legales, se refiere más a la aplicación de medidas
legales para disuadir al posible atacante o para aplicarle algún
2.6. Tipos de medidas de seguridad o contramedidas tipo de castigo a posteriori. Este tipo medidas trascienden el
ámbito de la empresa y normalmente son fijadas por
El diseño de sistemas puede realizarse de dos maneras, la instituciones gubernamentales e incluso instituciones
mas usual es siguiendo criterios de economía, de eficiencia y internacionales.
de eficacia, etc., la segunda consiste en diseñar sistemas
mediante criterios de seguridad, lo que implica en muchos 2.7. Principios de la Seguridad Informática
casos la aplicación de medidas para proteger el sistema
En el ámbito de la seguridad informática existen ciertos
Las medidas de seguridad llevan un costo aparejado que principios básicos que permiten la definición de políticas de
obliga a subordinar algunas de las ventajas del sistema. seguridad en cualquier organización, a continuación veremos
Además también se hace obvio que a mayores y más algunos principios básicos de la seguridad informática:
restrictivas medidas de seguridad, menos amigable es el
sistema. Principio de menor privilegio, este es quizás el principio
más fundamental de la seguridad, y no solamente de la
Las medidas de seguridad que pueden establecerse en un informática. Básicamente, el principio de menor privilegio
sistema informático son de cuatro tipos fundamentales: afirma que cualquier objeto (usuario, administrador, programa,
lógicas, físicas, administrativas y legales. Ver Figura 2. sistema, etc.) debe tener tan solo los privilegios de uso
necesarios para desarrollar su tarea y ninguno más.
sucesivos. De este modo cualquier atacante tendrá que Todos estos aspectos han venido siendo estudiados con
superar varias barreras para acceder a nuestro sistema. interés creciente en las últimas dos décadas, creándose
modelos teóricos de gran importancia que recientemente han
Punto de control centralizado, se trata de establecer un empezado a implementarse en sistemas operativos
único punto de acceso a nuestro sistema, de modo que comerciales.
cualquier atacante que intente acceder al mismo tenga que
pasar por él. No se trata de utilizar un sólo mecanismo de 4. CRIPTOGRAFÍA
seguridad, sino de "alinearlos" todos de modo que el usuario
tenga que pasar por ellos para acceder al sistema. Etimológicamente la palabra criptografía proviene del griego
kryptos (oculto) y grafía (escritura): Escritura oculta. La
Este único canal de entrada simplifica nuestro sistema de criptografía es pues la ciencia que estudia la escritura secreta,
defensa, puesto que nos permite concentrarnos en un único es decir, la forma de escribir ocultando el significado [4].
punto. Además nos permite monitorizar todos los accesos o
acciones sospechosas. Por otro lado, su oponente, el criptoanálisis, es la ciencia que
se ocupa de esclarecer el significado de la escritura
Seguridad en caso de fallo, este principio afirma que en ininteligible. Eso sí, no hay que confundir el criptoanálisis con
caso de que cualquier mecanismo de seguridad falle, nuestro el descifrado de la información. El descifrado de la información
sistema debe quedar en un estado seguro. por medios lícitos, utilizando la clave y el sistema adecuado,
forma parte de la criptografía, mientras que el criptoanálisis
Participación universal, para que cualquier sistema de pretende descifrar el mensaje sin conocer la clave.
seguridad funcione es necesaria la participación universal, o al
menos no la oposición activa, de los usuarios del sistema. Ambas ciencias, criptografía y criptoanálisis, pueden unificarse
bajo el término más amplio de criptografía.
Simplicidad, la simplicidad es un principio de seguridad por
dos razones. En primer lugar, mantener las cosas lo más En la práctica la criptografía se ocupa del cifrado y el
simples posibles, las hace más fáciles de comprender. Si no descifrado de mensajes. Ambos procesos suelen
se entiende algo, difícilmente puede saberse si es seguro. En denominarse, haciendo un mal uso del castellano, encriptado
segundo lugar, la complejidad permite esconder múltiples y desencriptado. Cifrar información consiste en transformar un
fallos. Los programas más largos y complejos son propensos mensaje en claro (plaintext) en un mensaje cifrado (ciphertext)
a contener múltiples fallos y puntos débiles. mediante el uso de una clave.
• La identificación y autentificación de los usuarios. Hasta hace algunos años la mayoría de los ordenadores
• El control de acceso a los recursos e informaciones utilizados para almacenar información importante eran
almacenados. máquinas de gran dimensión con sistemas multiusuario. La
• La monitorización y contabilización de todas las seguridad en este tipo de máquinas se encuentra en manos
acciones realizadas por usuarios, o por procesos de los administradores del sistema, y es en gran medida
invocados por ellos. Sobre todo aquellos que transparente al usuario.
puedan constituir un riesgo para la seguridad.
• La auditación de los acontecimientos que puedan En la actualidad, el aumento de la potencia y capacidad de los
representar amenazas a la seguridad. ordenadores personales ha hecho que tareas que antes se
• La garantía de la integridad de los datos encomendaban a grandes equipos, puedan realizarse en
almacenados. ordenadores personales.
• El mantenimiento de la disponibilidad de los
recursos y la información. Más aun, la aparición de los sistemas multiusuario y multitarea
sobre ordenadores personales (Windows, OS/2 o Linux), ha
trasladado toda la problemática asociada a este tipo de ocasiones se engloba en el concepto de virus informático una
ordenadores (control de accesos, aislamiento, identificación y gran cantidad de programas que utilizan técnicas de ataque
autentificación, etc.). muy diversas y que no deberían considerarse como tales.
Las grandes máquinas van quedando restringidas a medianas Adicionalmente, distintos autores ofrecen diferentes
y grandes empresas y al ámbito académico (centros definiciones de lo que se entiende por virus informático,
universitarios, centros de investigación, etc.). Las pequeñas causando aun mayor confusión en un tema ya de por sí
empresas y muchas administraciones públicas utilizan confuso. En todo caso, algunos códigos pueden entrar en
ordenadores personales para gestionar y almacenar diversas categorías o combinar varios tipos de amenazas en
información importante. un solo código. A continuación vamos a intentar definir y
diferenciar los tipos fundamentales de amenazas
La problemática de seguridad específica de los ordenadores programadas existentes.
personales se debe fundamentalmente a dos grandes
problemas: Los tipos fundamentales son los siguientes:
cualitativo del mismo. No se trata tan solo de que debamos interceptados, modificados, borrados, e incluso
proteger un mayor número de ordenadores de un mayor pueden insertarse mensajes falsos.
número de atacantes potenciales, sino que se introducen toda • En cuanto a la autenticidad, al utilizar redes
una nueva serie de vulnerabilidades y amenazas, y se hacen informáticas no tan solo es necesario autentificar a
necesarias toda una nueva serie de técnicas y herramientas los usuarios, sino también a los nodos.
para protegernos de ellas. • En cuanto a la disponibilidad, son muchos los
ataques que pueden lanzarse contra una máquina
En este subtitulo sería imposible revisar exhaustivamente con el fin de saturar sus recursos o de aislarla de la
todos los conceptos relacionados a la seguridad en redes red.
informáticas, así como también temas relacionados como la
seguridad en la Web, la transferencia electrónica de fondos o 4. RECOMENDACIONES
el dinero electrónico, entre otros.
En la teoría existen un cierto número de recomendaciones,
La "explosión" de Internet en los últimos años es el cambio que nos permitirán definir un buen número de políticas de
más significativo en el mundo de la informática desde la seguridad dentro de la organización donde nos encontremos
aparición de los ordenadores, y con casi toda seguridad es la trabajando, sin embargo la definición de estas políticas no es
revolución más importante en el mundo de la información suficiente, se debe poder implementarlo realmente, es decir,
desde la aparición de la imprenta. En este momento nos que todas las personas en la organización comprometidas con
encontramos en los inicios de la explotación de Internet, y falta el uso de información estén consientes y lo mas importante
todavía un asentamiento de la misma para conocer en que se usen estas políticas de tal forma que estas no queden solo
va a convertir a medio y largo plazo. para el profesional de seguridad.