TEMA 1

PRINCIPIOS DE SEGURIDAD Y ALTA DISPONIBILIDAD

CONTENIDOS● INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA● FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y

DISPONIBILIDAD– ALTA DISPONIBILIDAD

● ELEMENTOS VULNERABLES EN EL SISTEMA INFORMÁTICO

● AMENAZAS– PROVOCADAS POR PERSONAS– FISICAS Y LÓGICAS– TÉCNICAS DE ATAQUE

● PROTECCIÓN– AUDITORÍA DE SEGURIDAD– MEDIDAS DE SEGURIDAD

INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

● La seguridad informática consiste en asegurar que los recursos del SI de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, solo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

● Principales Objetivos:– Detectar posibles problemas y amenazas– Garantizar la adecuada utilización de los recursos y

aplicaciones– Limitar las pérdidas y recuperar el sistema en caso de

incidente– Cumplir con el marco legal y con los requisitos impuestos a

nivel organizativo

FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD

● La seguridad absoluta no es posible. Debemos conseguir altos niveles de seguridad.

– “El único sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio enterrada en cemento, rodeada de gas nervioso y de guardias fuertemente armados. Aún así, no apostaría mi vida en ello”. Eugene H. Spafford

● En lugar de hablar de seguridad hablamos de fiabilidad, que es la probabilidad de que un sistema se comporte tal y como se espera de él.

● Sistemas fiables en lugar de sistemas seguros.

FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD

● Para mantener un sistema fiable se tienen que garantizar tres aspectos básicos:● Confidencialidad: Los datos sólo pueden ser

comprensibles por las personas o sistemas autorizados.● Integridad: No se producen manipulaciones en los datos,

es decir, en una transmisión la información original no se altera de ningún modo por terceros.

● Disponibilidad: Capacidad de un sistema para ser accesible y utilizable por los usuarios o procesos autorizados. La información puede ser recuperada en el momento que se necesita.

● Las amenazas suelen afectar a las 3 características simultaneamente.

FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD

● Además de la confidencialidad, la integridad y la disponibilidad, existen dos conceptos más que se suelen estudiar dentro de la seguridad informática:

– Autenticación: verificar que un mensaje ha sido elaborado (o pertenece) a la persona a quien dice pertenecer.

– No repudio: probar la participación de las partes en una comunicación: origen o destino.

No repudioNo repudioAutenticaciónAutenticación

IntegridadIntegridadConfidencialidadConfidencialidadDisponibilidadDisponibilidad

ALTA DISPONIBILIDAD● Capacidad de que aplicaciones y datos se encuentren

operativos para los usuarios autorizados en todo momento y sin interrupciones, debido principalmente a su carácter crítico.

● Existen 2 tipos de interrupciones:– Previstas: para realizar cambios o mejoras en el sistema.– Imprevistas: apagones, errores de Hw o Sw, desastres

naturales, malware, etc...

ALTA DISPONIBILIDAD● Para medir la disponibilidad de un sistema, se utilizan dos

métricas:– MTTF (Mean Time To Failure): tiempo medio entre fallos.– MTTR (Mean Time To Recover): tiempo medio de

recuperación tras un fallo.● Nuestro principal objetivo debe ser aumentar el MTTF y

reducir el MTTR lo máximo posible.● Existen diferentes niveles de disponibilidad en función del

tiempo de inactividad al año, expresado en “nº de nueves”:– 99,9% = 43,2 min/mes u 8,76 horas/año (“tres nueves”)– 99,99% = 4,32 min/mes o 52.6 minutos/año (“cuatro nueves”)– 99,999% = 0,43 min/mes o 5.26 minutos/año (“cinco nueves)

ALTA DISPONIBILIDADEJERCICIO

● Supongamos que nuestro sistema tiene 3 caídas a lo largo del año 2011:

– El 5 de enero a las 15:00 tiene una caída de hora y media– El 23 de mayo a las 3:00 la caída es de 15 minutos– El 3 de octubre a las 11:00 sufrimos un parón de 25 minutos por un corte de

luz.● Calcula el MTTF y el MTTR y calcula el porcentaje de tiempo que el

sistema está activo. ● ¿De cuantos nueves es nuestra disponibilidad? ● ¿Podemos hablar de un sistema de alta disponibilidad?

ELEMENTOS VULNERABLES EN EL S.I.

● La seguridad es un problema integral, no se pueden tratar los problemas aisladamente: la seguridad de un sistema es igual a la de su punto más débil.

● Sistema de Seguridad = TECNOLOGÍA + ORGANIZACIÓN● Tres elementos principales a proteger: software, hardware y datos.

● Niveles de profundidad relativos a la seguridad informática:– Hardware– Sistema Operativo– Comunicaciones– Medidas de seguridad físicas– Controles organizativos– Controles legales

AMENAZAS

● Las amenazas a un sistema informático pueden venir de numerosas fuentes.

● Clasificaremos las amenazas en función de por que vengan provocadas:

– Amenazas provocadas por personas.– Amenazas Físicas: provocadas por condiciones físicas-

ambientales.– Amenazas Lógicas: provocadas por el software.

AMENAZAS PROVOCADAS POR PERSONAS

● Las personas que amenazan sistemas se dividen en 2 grupos:– Pasivos: fisgonean pero no provocan daños.– Activos: dañan el objetivo atacado.

● Dentro de una organización: El propio personal puede producir ataques intencionados o por desconocimiento de las normas básicas de seguridad.

● Hacker: Experto informático al que le apasiona el conseguir acceder a sistemas ajenos, aunque sin provocar daños. Si los provocara intencionadamente estaríamos hablando de un Cracker.

● Otros términos son:● Newbie: Hacker novato.● Wannaber: Les interesa el hacking pero no son reconocidos todavía.● Lammer: Se creen hackers sin tener conocimientos informáticos.● Luser: (looser + user) Hace referencia al usuario de forma despectiva.● Pirata informático, ciberdelincuente o delincuente informático.

AMENAZAS FÍSICAS Y AMBIENTALES

Suponen el primer nivel de seguridad a proteger

● Robos, sabotajes, destrucción de sistemas

● Cortes, subidas y bajadas bruscas de suministro eléctrico

● Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas extremas

● Catástrofes naturales o artificiales.

● Interferencias electromagnéticas que afecten al normal comportamiento de circuitos y comunicaciones

AMENAZAS LÓGICAS● Herramientas de seguridad: detectan fallos en los sistemas que

pueden ser aprovechados para atacarlos.● Rogueware (falsos programas de seguridad): falsos antivirus o

antiespías.● Puertas traseras (backdoors): Los programadores insertan “atajos”

de acceso o administración con poco nivel de seguridad.● Virus: Secuencia de código que se inserta en un fichero ejecutable

huésped, que se ejecuta junto con éste.● Gusano (worm): se propaga por sí mismo a través de redes.● Troyanos: aplicaciones con instrucciones escondidas que ejecutan

funciones ocultas.● Programas conejo o bacterias: se reproducen hasta que acaba con

los recursos del sistema.● Canales cubiertos: violan la política de seguridad del sistema.

TÉCNICAS DE ATAQUE● Malware → Programas malintencionados● Ingeniería social → Abuso de confianza para obtener datos● Scam → Estafa electrónica● Spam → Correo o mensaje basura, no solicitado● Sniffing → Rastrear el tráfico de red● Spoofing → Suplantación de identidad o falsificación● Pharming → Redirigir un nombre de dominio● Phishing → Estafa basada en la suplantación e ingeniería social● Password cracking → Descifrar contraseñas● Botnet → Robots que controlan sistemas infectados● Denegación de servicio (DoS) → Hacer inaccesible un recurso

AUDITORÍA DE SEGURIDAD● Una auditoría de seguridad de sistemas de información es el

estudio que comprende el análisis y gestión de sistemas para identificar y corregir las vulnerabilidades que pudieran existir.

● Una vez obtenidos los resultados se deberán establecer medidas preventivas de refuerzo.

● Los objetivos de una auditoría de seguridad son:– Revisar la seguridad de entornos y sistemas– Verificar el cumplimiento de la normativa vigente– Elaborar un informe independiente

● Existen estándares como base para auditorías:– COBIT– ISO 27002

AUDITORÍA DE SEGURIDAD● Fases de una auditoría:

– Enumeración de S.O., servicios, aplicaciones, topologías, …– Detección, comprobación y evaluación de vulnerabilidades– Medidas específicas de corrección– Recomendaciones de medidas preventivas

● Tipos de auditoría:– Auditoría de seguridad interna: estudia el nivel de seguridad de

las redes locales de carácter interno– Auditoría de seguridad perimetral: estudia las conexiones de

nuestra red local a las redes públicas– Test de intrusión: comprueba el nivel de resistencia del sistema a

la intrusión no deseada– Análisis forense: pasado el incidente, averigua como ocurrió– Auditoría de código de aplicaciones

MEDIDAS DE SEGURIDAD● Los resultados de las auditorías harán posible el diseño de una

política de seguridad. ● Para implementar esta política, usamos mecanismos de

seguridad, herramientas básicas para garantizar la protección de los sistemas

● Las medidas de seguridad se clasifican:● Según el recurso a proteger:

– Seguridad física → protegen el HW– Seguridad lógica → protegen el SW

● Según el momento en el que actúan las medidas:– Seguridad activa → medidas preventivas– Seguridad pasiva → medidas correctivas

SEGURIDAD FÍSICA● Trata de proteger el hardware de posibles desastres naturales

o provocados

Amenaza DefensaIncendios Mobiliario ignífugo.

Evitar localización peligrosaSistemas antiincendios, detectores de humo...

Inundaciones Evitar plantas bajas.Impermeabilización de paredes, techos, sellado de puertas...

Robos Puertas con medidas biométricas, cámaras, vigilantes...Señales electromagnéticas

Evitar lugares con radiaciones electromagnéticasFiltros o cableado especial. La fibra óptica no es sensible a esto.

Apagones SAISobrecargas eléctricas

SAI. También estabilizan la señal eléctrica

Desastres naturales

Estar en contacto con los organismos que proporcionan información sobre terremotos o desastres meteorológicos.

SEGURIDAD LÓGICA● Complemento a la seguridad física. Protege de virus, ataques

de la red, etc...

Amenaza Mecanismo de defensaRobos Cifrado.

ContraseñasSistemas biométricos

Pérdida de información

Copia de seguridad (distintas ubicaciones)Sistemas tolerantes a fallosDiscos redundantes

Pérdida de integridad de la información

Programas de chequeo del equipo.Firma digitalComando sfc

Entrada de virus Antivirus

Ataques desde la red

FirewallProgramas de monitorizaciónProxys

Modificaciones no autorizadas

ContraseñasListas de control de accesoCifrar documentos

SEGURIDAD ACTIVA● Previenen e intentan evitar el daño.

Técnicas ¿Qué previene?Contraseñas Previene el acceso a recursos a usuarios no autorizadosListas de control de acceso

Previene acceso a ficheros a usuarios no autorizados

Encriptación Evita a personas no autorizadas interpretar la informaciónSoftware de seguridad Evita virus y accesos no deseados al sistemaFirmas y certificados digitales

Comprueba la procedencia, autenticidad e integridad de los mensajes

Sistemas de ficheros tolerantes a fallos

Previene fallos de integridad

Cuotas de disco Previene el uso excesivo de disco por parte de algún usuario

SEGURIDAD PASIVA● Complementa a la seguridad activa. Trata de subsanar o

minimizar los daños que se hayan producido.

Técnicas ResultadoDiscos redundantes Restaurar datos que han quedado inconsistentesSAI Proporcionan energía durante un periodo de

tiempo.Copias de seguridad Podemos recuperar información en caso de

pérdida de datos.