Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURIDAD INFORMATICA
ELEMENTOS DE UNA
DEFINICIÓN
POLÍTICA
1. Identificativo El identificativo debe corresponder a una estructura de codificación
(código política) que le permita al administrador del sistema realizar operaciones de
consulta, búsquedas, modificaciones, etc., de una forma sencilla
dentro de la base de datos que contiene la información
correspondiente las políticas de seguridad.
Por facilidad de administración, este nombre debe ser sencillo,
conciso y concreto de tal manera que en la implementación del
sistema de protección, pueda realizarse una referencia a un objeto de
2. Nombre tipo política que contenga la información necesaria para ejecutar el
(denominativo) control necesario de dicha directiva de seguridad. La sencillez de
esta denominación también permitirá mayor eficiencia en la
transacción de datos entre el gestor y el agente, además de facilitar
las operaciones realizadas por el manejador de la base de datos.
Esta información permite tener un registro preciso de cada política
que se desea implementar, como la fecha de creación, duración (si
la política lo requiere), fecha de expiración (si la política lo
3. Información
requiere), estado de la política (activa/inactiva). La información
adicional
detallada le permitirá al administrador llevar un control total de sus
funciones de gestión, además de facilitar la elaboración de los
reportes e informes estadísticos.
Este aspecto busca limitar la política a su objetivo en el sistema,
sin tratar de abarcar otros aspectos que restarían eficiencia en
tiempo de ejecución y que además pueden llegar a colapsar el
sistema o incluso en estado de fuera de control la misma Red.
4. Alcance de la
Aunque esta información no forma parte de la implementación de
política
las políticas, si se considera relevante para las correspondientes
operaciones de gestión que realizará el Administrador en el
momento de crear, modificar e implementar políticas de seguridad a
través del módulo de gestión del sistema.
Se considera el corazón estructural de la política y debe constituirse
en una respuesta directa y suficiente frente a la falla o problema de
5. Objetivos de la seguridad que busca controlar. Su información es fundamental para
política la gestión de políticas aunque no se considere un requisito visible en
la implementación del sistema más allá del correspondiente algoritmo
de operación.
6. Descripción de los Esta información permite obtener una descripción detallada del
elementos contexto o entorno de operación del sistema gestor agente además
involucrados en la de los distintos actores que tendrán contacto con el sistema. También
política y su determina su comportamiento y funciones específicas frente a cada
definición. requerimiento de seguridad de la Red.
7. Definición de Esta información es relevante para realizar una correcta gestión de
riesgos y políticas que se ajuste a la realidad del sistema que se desea
consecuencias del proteger en cuanto a desprotección e inseguridad, riesgos, fallos y
no cumplimiento vulnerabilidades que se desean erradicar o aminorar.
de la política.
Este análisis debe proporcionar de forma precisa los medios
operativos mediante los cuales se controlará el cumplimiento de las
políticas de seguridad. Depende de una decisión del área
administrativa de la Red o de la Organización quienes se
8. Aplicativos y/o responsabilizan por las sanciones asignadas a los distintos
sanciones infractores, su magnitud y duración (en el caso de que las políticas
implementadas tengan un carácter restrictivo), y además permitirán
al usuario recibir ayuda y soporte en el uso de los servicios que
presta la institución (en el caso de que las políticas tengan una
naturaleza educativa).
En toda política a gestionar o implementar, debe existir una valoración
de riesgo o daño que corresponda a una estimación más o menos
9. Nivel de seguridad
precisa del grado de inseguridad o consecuencias perjudiciales que
(alto/medio/bajo)
asume la institución en el caso de la infracción de una o algunas de
las políticas de seguridad que se desean controlar.
Esta información debe brindar una explicación comprensible y
coherente (preciso sin entrar en tecnicismos y terminología judicial),
10. Contenido
que aclare los motivos y propósitos que constituyen la razón de ser
de cada política.
11. Actualización Toda política debe brindar la flexibilidad necesaria para que su
conforme a los funcionamiento se adecue a los distintos cambios tecnológicos
propósitos que pueden implicar un crecimiento en los riesgos de protección que
organizacionales la organización desea controlar.
En toda política debe existir una entidad aprobatoria y responsable
12. Autoridad cuya autoridad dentro de la institución le acredita asumir la seguridad
aprobatoria o de la Red mediante distintos mecanismos de protección que aseguren
responsable el funcionamiento normal del sistema y el cumplimiento de los
propósitos organizacionales.
Dependiendo de la amplitud que abarca: Puede ser clasificada en los siguientes niveles
jerárquicos como se describe en el cuadro Nº04.
Recursos: Objetivo:
Cuando el recurso tiene que ver con las técnicas
Orientada a los recursos
empleadas para generar, explotar o intercomunicar
lógicos.
tanto aplicaciones como los datos asociados a las
mismas. el recurso tiene que ver con aspectos
Cuando
Orientada a la recursos de
administrativos, de personal o con la misma
gestión
estructura organizacional de la Dependencia
Orientada a los recursos Cuando se trate de bienes materiales como
físicos instalaciones y equipos.
Orientada a la respuesta Cuando se trate de los recursos empleados durante
ante incidentes y después de una contingencia.
Existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no
existe, la otra tampoco. Las amenazas se pueden catalogar según el entorno en el cual
operan.
Amenazas del entorno (que afectan la seguridad física) Amenazas del sistema (que afectan
la seguridad lógica) Amenazas de la red (que afectan las comunicaciones) Amenazas de
personas (InsidersOutsiders)
CRÍMENES INFORMÁTICOS
Los delincuentes pueden utilizar los sistemas informáticos para robar dinero, bienes,
software o información de la organización. También constituye un delito cuando se manipula
el proceso de una aplicación o los datos para que se acepte información falsa o
transacciones no autorizadas. Puede cometerse delitos informáticos sin que se substraiga
nada, tan solo la visualización de información ofrece información al delincuente para robar
ideas o información confidencial.
Los delitos informáticos con el fin de aprovecharse del computador y la información que
contiene pueden ser perjudiciales para la reputación, la moral y la mismísima existencia de
una organización. El resultado puede consistir en la pérdida de clientes, una situación
embarazosa para la gerencia o el inicio de acciones legales contra la organización. Entre las
amenazas para la organización se cuentan:
PÉRDIDAS FINANCIERAS
Pueden ser directas, por la pérdida de fondos electrónicos, o indirectos, a causa de los
costos de corregir la exposición al riesgo.
REPERCUSIONES LEGALES
Existen numerosas leyes que protegen derechos a la intimidad y los derechos humanos que
deben ser tenidas en cuenta por la organización en la etapa de desarrollo de las políticas y
procedimientos de seguridad. Estas leyes pueden proteger la organización, pero también
proteger de juicios al causante. Asimismo, el hecho de no contar con medidas correctas de
seguridad puede exponer a la organización a juicios de los inversores o aseguradores si se
produjera una pérdida significativa por violación de la seguridad.
CHANTAJE/ESPIONAJE INDUSTRIAL
Al lograr acceso a la información confidencial o los medios para efectuar un impacto adverso
sobre las operaciones del computador, puede exigirse a la organización pagos o servicios
bajo amenazas de aprovecharse de la brecha en la seguridad.
SABOTAJE
En algunos casos no se busca una ganancia financiera, sino que simplemente mueve el
deseo de realizar daño. Puede darse cuando el causante odia la organización o
simplemente desea un reto contra el cual enfrentarse.
Normalmente, quienes violan el acceso lógico son las mismas personas que pueden
aprovecharse de las exposiciones físicas. Los tipos de causantes de dichas violaciones
incluyen:
CLASIFICACIÓN DE DATOS
Los archivos informatizados, al igual que los documentos, tienen diversos grados de
sensibilidad. Las clasificaciones del grado de sensibilidad deben ser simples, tales como
alta, media y baja. Los gerentes de usuarios finales y el Administrador de Seguridad pueden
utilizar esas clasificaciones para determinar quién puede estar en condiciones de acceder a
qué archivos.
La clasificación de los datos reduce el riesgo y el costo de excederse en la protección de los
recursos informáticos. La clasificación de datos es extremadamente importante para la
identificación de quién debe tener acceso a datos y programas de producción y a los de
prueba. Los datos de producción son los datos actuales o históricos reales. El acceso a
estos datos o programas lo debe conceder su correspondiente propietario.
ACCESO AL SISTEMA
Es la habilidad de hacer algo con un recurso de información. Por ejemplo, la habilidad para
leer, crear, modificar o eliminar un fichero ejecutar un programa o utilizar una conexión
externa.
El acceso al sistema es tanto físico como lógico. Los controles de acceso lógico proveen un
medio técnico de controlar que información pueden utilizar los usuarios, los programas que
pueden ejecutar y las modificaciones que pueden realizar. Los controles de acceso físico
restringen la entrada y la salida del personal, y a veces del equipamiento, de un área tal
como un edificio, centro de datos o habitación conteniendo equipamiento de proceso de
datos. Hay que establecer criterios para decidir qué tipo de acceso se da a los diferentes
usuarios a los datos, programas y recursos específicos. Generalmente el control del acceso
se consigue a través de los mecanismos de seguridad que dan los siguientes cuatro niveles:
redes, sistema operativo, bases de datos y aplicaciones.
Caballos de Troya:
Consiste en ocultar código con fines maliciosos dentro de un programa autorizado. Tal
código oculto se ejecutará cuando se ejecute el programa autorizado.
Redondeo por defecto:
Se denomina redondeo por defecto pues se redondean muy pequeñas sumas y se las
transfiere a una cuenta no autorizada. Dado que tales sumas son muy pequeñas, es difícil
que se descubran.
Técnica de la rodaja o tajada:
Esta técnica es similar a la técnica del Redondeo por defecto, pero consiste en tomar una
pequeña tajada de las sumas de las transacciones o cuentas.
Virus:
Los virus informáticos son programas dolosos que pueden autoduplicarse y transmitirse de
un computador a otro. Un virus puede simplemente mostrar un mensaje gracioso en los
terminales, o borrar peligrosamente o alterar los archivos informatizados, o llenar la memoria
del computador con basura hasta el punto que el computador deje de funcionar. El peligro
adicional es que un virus permanezca hibernando o en un estado aletargado hasta que
determinado acontecimiento lo ponga en actividad, como una fecha (el 1º de enero - Feliz
Año Nuevo) o que se copie una cantidad de veces. Sin embargo, entretanto el virus se ha
estado propagando en silencio.
Gusanos:
Son programas destructivos que borran datos o utilizan grandes cantidades de recursos del
computador o de comunicaciones pero no se duplican.
Bombas lógicas:
Las bombas lógicas son similares a los virus, pero no se autoduplican.
Puertas traseras:
Las puertas traseras son puntos de salida de un programa que permiten que se inserte
lógica especial dentro en un programa autorizado, tal como interrupciones del programa
para poder revisar los datos en el medio del procesamiento.
Ataque asíncrono:
En un ambiente de multiproceso los datos viajan a través de líneas de telecomunicaciones
asíncronas (en una sola dirección por vez). Por ello, muchas transmisiones deben esperar
que la línea esté libre y fluya en la dirección adecuada antes de que se transmita. Los datos
que estén en espera son susceptibles a acceso no autorizado denominado ataques
asíncronos. Esta es una exposición muy compleja, para evaluarla el Auditor de SI necesitará
la ayuda del administrador de red y del analista de software.
Fugas de datos:
La fuga de datos consiste en la extracción de información de dentro del computador. Puede
realizarse imprimiendo archivos en listados, o simplemente robar informes informatizados o
cintas.
Interceptación de líneas:
Esta técnica consiste en captar la información que se esté transmitiendo por medio de líneas
de telecomunicaciones.
Apagado del computador:
Puede iniciarse el apagado del computador por conexiones directas (en línea) con
terminales o microcomputadores o indirectas (líneas de telemarcado) de terminales. A
menudo para ello se requiere tener acceso a un código de usuario de alto nivel.
IDENTIFICACIÓN Y AUTENTIFICACIÓN
Es el proceso de probar la identidad de uno, donde la identificación es el medio por el cual el
usuario da su identidad y la autentificación el medio por el cual el usuario da una información
(algo que solamente él conoce o tiene) que garantiza que realmente es quien dice ser.
Algunas de estas técnicas son las siguientes:
Las contraseñas deben ser fáciles de recordar para el usuario, pero difíciles de
adivinar para quien intente violarlas.
La primera asignación de la contraseña debe ser hecha por el Administrador de
Seguridad. Cuando el usuario se conecte por primera vez, el sistema debe obligarle
a cambiarla para mejorar su confidencialidad.
Si se introduce una contraseña errónea un determinado número de veces, por lo
general tres, se debe desactivar automáticamente el código de usuario por un
tiempo apreciable.
Si un código de usuario ha quedado desactivado por el olvido de la contraseña, el
usuario debe notificarlo al Administrador de Seguridad. Este último sólo debe
reactivar el código de usuario tras verificar la identificación del usuario antes de dar
la información por teléfono, por ejemplo: apellido de soltera de la madre, devolver la
llamada tras verificar el número interno del usuario, o solicitar verificación al
supervisor del usuario.
Las contraseñas deben estar encriptados internamente. El encriptado es un medio
de codificar la contraseña almacenada. Con ello se reduce el riesgo de que un
individuo tenga acceso a las contraseñas de otras personas, si no la puede
entender, tampoco la podrá utilizar.
Las contraseñas no deben estar visibles de ninguna manera, ni en la pantalla del
computador cuando se entra, ni en los informes informatizados, o escritas sobre un
papel adherido al escritorio de una persona.
Las contraseñas se deben cambiar periódicamente, en forma regular, por ejemplo
cada 30 días. El mejor método es que el sistema obligue a cambiarla.
Reglas de sintaxis (formato) de la contraseña
Debe tener por lo menos cuatro caracteres de longitud. Más corta es fácil de adivinar.
Debe permitir la combinación de caracteres alfabéticos y numéricos.
No se debe poder asociar con algo especial del usuario, como sucede con el primer
nombre, nombre del cónyuge, de una mascota, etc.
Cuando se cambie, el sistema no debe permitir que se vuelvan a utilizar contraseñas
utilizadas previamente.
Los códigos de usuario que no sean utilizados tras cierto tiempo se deben desactivar
para evitar que sean mal utilizados. Esto lo puede hacer el sistema de forma
automática o el Administrador de Seguridad de forma manual.
El sistema debe desconectar automáticamente una sesión si no se produce actividad
transcurrida un tiempo, por ejemplo, una hora. Con ello se reduce el riesgo de un
uso inapropiado de una sesión desatendida porque el usuario se haya olvidado de
hacer la desconexión.
Datos
Software de aplicaciones, de prueba y de producción
Servidores de nombres de dominio
Utilitarios
Bibliotecas/directorios
Contraseñas
Archivos temporales en discos
Biblioteca de soporte magnéticos
Software de sistemas
Software de control de acceso
Bibliotecas de procedimientos del sistema
Archivos de registros históricos
Característica de eludir el procesamiento de etiqueta
Salidas del sistema del operador
Líneas de telecomunicaciones
Diccionario de datos
Colas de spool
Tablas de autorización
Para dotar de seguridad a lo anterior, el mecanismo de control de acceso utiliza tablas de
autorización de acceso también conocidas como listas de control de acceso (ACLs access
control lists). Las listas de control de acceso son un registro de usuarios humanos o no
(incluyendo grupos, máquinas, procesos) a los que se ha dado acceso un determinado
recurso del sistema y los tipos de acceso que les ha sido permitido. Las listas de control de
acceso varían en cuanto su capacidad y flexibilidad. Algunas solo permiten especificaciones
para ciertos grupos preestablecidos como por ejemplo propietario, grupo, resto del mundo,
mientras que otras más avanzadas tienen mucha más flexibilidad, tal como grupos definidos
por los usuarios. También, algunas permiten denegar explícitamente el acceso a un usuario
o grupo de usuarios.
Por lo general, solamente los programadores de sistemas deben tener acceso a este tipo de
funciones. Entre estas funciones están:
Los medios técnicos de prevención de virus se pueden implementar por medios de hardware
y software. Hay cuatro tácticas de hardware para poder reducir el riesgo de infección:
1. Utilizar estaciones de trabajo sin discos.
2. Realizar el arranque de forma remota.
3. Utilizar contraseñas basadas en el hardware.
4. Utilizar la protección de escritura en los CDs.
Las herramientas software son las herramientas antivirus más comunes. El software
antivirus se debe utilizar primariamente como un control preventivo. A menos que se
actualice periódicamente el software antivirus no será una herramienta efectiva.
Hay tres tipos diferentes de software antivirus:
Entrada no autorizada
Daño a equipamiento y propiedad
Vandalismo sobre equipamiento, propiedad y documentos
Robo de equipamiento, propiedad o documentos
Copiado o visualización de información sensible
Alteración en equipamiento o de información de naturaleza sensible
Divulgación de información sensible
Abuso de confianza en la utilización de los recursos de proceso
Extorsión
Fraude
Desde un punto de vista de SI, las funciones que se deben proteger son las siguientes:
Área de Programación
Sala del computador
Consolas y terminales del operador
Biblioteca en los soportes magnéticos de almacenamiento
Salas de almacenamiento de consumibles
Centro de almacenamiento de archivos de respaldo fuera de la sede
Sala de control de entrada/salida
Cuarto de conexiones de comunicaciones
Equipos de telecomunicaciones (tanto radios, como satélites, cableado, módems,
etc.)
Microcomputadores y computadores personales (PCs)
Fuentes de energía eléctrica
Lugares de eliminación de residuos
Minicomputadores
Líneas telefónicas dedicadas
Unidades de control y procesadores frontales
Equipos portátiles (escáneres de mano y dispositivos de codificación, lectores de
código de barras, PCs, impresoras, adaptadores para RALs de bolsillo y otros)
Impresoras en ubicaciones locales o remotas
Redes de área local.
Manual
Se debe exigir que todos los visitantes firmen un registro que indique su nombre y
apellido, organización a la que representan, razón de la visita y persona con la
que se entrevistan. Generalmente se hace en el puesto de recepción y entrada a
la sala del computador. Se debe exigir a los visitantes que presenten un medio de
verificación de la identidad.
Electrónico
Esta es una función disponible en sistemas de seguridad electrónicos y
biométricos. Se pueden registrar automáticamente todos los accesos, remarcando
los intentos infructuosos.
Incendios, que pueden originarse dentro o fuera del centro de proceso de datos.
Desastres naturales:
Terremotos, volcanes, huracanes, tornados, etc.
Inundación
Fallo del suministro eléctrico
Picos de tensión
Fallo del sistema de aire acondicionado
Cortocircuitos
Fallos de equipos
Daños por humedad
Amenazas/ataques de bombas.
PERMISOS Y LICENCIAS
El término licencia según la Real Academia de la Lengua, tiene 7 definiciones, las cuales
solo utilizaremos 2:
Así que determinamos una Licencia al “permiso que tenemos para realizar algún acto o
acción, así como para decir u obrar con la autorización de otra persona”
Una licencia de software (en inglés software license) es la autorización o permiso concedido
por el titular del derecho de autor, en cualquier forma contractual, al usuario de un programa
informático, para utilizar éste en una forma determinada y de conformidad con unas
condiciones convenidas.
La licencia, que puede ser gratuita u onerosa, precisa los derechos (de uso, modificación o
redistribución) concedidos a la persona autorizada y sus límites. Además, puede señalar el
plazo de duración, el territorio de aplicación y todas las demás cláusulas que el titular del
derecho de autor establezca.