de seguridad de la informacio n
Contenido
1.
Introduccin. .........................................................................................................................................2
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
1. Introduccin.
La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros. Los
usuarios albergan gran cantidad de expectativas informales respecto a los ordenadores que, por
desgracia, no siempre se ven cumplidas:
Un fallo de hardware puede hacer perder los datos del disco duro.
Un e-mail con su archivo adjunto puede ser interceptado por un intruso.
Un empleado desleal puede extraer o manipular la informacin.
La informacin est expuesta a innumerables amenazas: hackers externos, virus, gusanos y
troyanos, empleados descontentos o sobornados, fallos de software o hardware, interrupciones del
suministro elctrico, fuegos, incendios, inundaciones, etc La lista es interminable.
La seguridad de la informacin es la disciplina que se ocupa de gestionar el riesgo dentro de
los sistemas informticos, es decir, de implantar las medias de seguridad capaces de contrarrestar las
amenazas a las que se encuentran expuestos los activos de la empresa: la informacin y los elementos
hardware y software que los soportan.
Se trata de evaluar los riesgos reales y mitigarlos mediante la aplicacin de las medidas
necesarias. La seguridad de la informacin:
Requiere un enfoque holstico que implica la participacin coordinada de tecnologa,
personas y operaciones.
Intenta proteger activos tangibles (un disco duro, un servidor) e intangibles (reputacin,
nombre de la marca).
Objetivo de seguridad
Los empleados no accedern al porttil.
Ningn ladrn robar el porttil.
Ningn asesino robar el porttil.
Solucin
Ponerle un candado
Utilizar unas esposas
Contratar guardaespaldas y furgn blindado.
Cifrar el disco.
Las medidas de seguridad no pueden entenderse fuera del contexto en el que se aplican ni al
margen de las expectativas que buscan satisfacer. Adems, respecto a las medidas adoptadas, hay que
tener en cuenta:
Anlisis.
El primer paso antes de implantar medidas de seguridad es realizar un anlisis previo de:
Los activos a proteger: Qu activos son ms valiosos? Cul es su valor? Cul es el
coste de reponerlos si se pierden? Es posible reponerlos?
Las amenazas: Cules son las amenazas naturales y humanas? Qu agentes pueden
materializar esas amenazas? En qu circunstancias pueden darse?
Los riesgos que suponen las amenazas: Cul es la probabilidad de que acurra una
amenaza? Cul es el coste tangible o intangible para la empresa si la amenaza se
materializa en un ataque?
El coste de las contramedidas: De qu manera mitigan el riesgo? Cunto cuesta
implantarlas? Cul es su eficacia?
Una de las mayores dificultades es cuantificar el valor de los activos y el coste asociado a los
riesgos. Hay varias formas de evaluacin:
Medidas cuantitativas: Clasificar los riesgos en funcin de su coste econmico, ordenar
las amenazas en funcin de su nivel de riesgo,
Mediadas obligatorias: La evaluacin se hace en funcin de las obligaciones legales,
estatutarias y regulatorias que la empresa debe cumplir y hacer cumplir (LOPD, LSSICE).
Medidas particulares: los principios y objetivos de la empresa impondrn sus propios
requisitos.
Expectativas Objetivos.
Como resultado el anlisis se obtendr una lista de expectativas, como por ejemplo:
El servidor Web no estar fuera de servicio durante ms de cinco minutos al ao.
Ningn empleado podr ejecutar en su puesto de trabajo ms software que el
autorizado expresamente por el administrador.
Ningn usuario podr enviar o recibir mensajes de correo electrnico con archivos
adjuntos.
Todos los usuarios debern cambiar su contrasea una vez al mes.
Toda informacin relativa a proyectos, como ofertas, estudios de viabilidad, informes
preliminares, entregables, etc., se mantendr estrictamente confidencial tanto durante
su almacenamiento como durante su trmite a los clientes tanto dentro como fuera de
la empresa.
Cada empresa tendr una lista basada en sus propias prioridades
4. Amenazas a la informacin.
Podemos agrupar las amenazas atendiendo al factor de seguridad que comprometen:
Flujo normal:
La informacin
fluye con
normalidad del
emisor al receptor.
Se garantiza:
Confidencialidad: nadie no autorizado accede a la informacin.
Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepcin y acceso es correcto.
Se garantiza:
Confidencialidad: nadie no
autorizado accede a la
informacin.
Integridad: los datos
enviados no se modifican en
el camino.
No se garantiza:
Disponibilidad: puede que la
recepcin no sea correcta.
Interrupcin:
Puede provocar
que un objeto del
sistema se pierda,
quede no utilizable
o no disponible.
Deteccin inmediata.
Ejemplos:
Destruccin del hardware
Borrado de programas, datos
Fallos en el sistema operativo.
Intercepcin:
Acceso a la
informacin por
parte de personas
no autorizadas. Uso
de privilegios no
adquiridos.
Se garantiza:
Integridad.
Disponibilidad.
No se garantiza:
Confidencialidad: un intruso
no autorizado accede a la
informacin.
Modificacin:
Acceso no
autorizado que
cambia el entorno
para su beneficio.
Se garantiza:
Integridad.
Disponibilidad.
No se garantiza:
Confidencialidad: es posible
que alguien no autorizado
acceda a la informacin.
Creacin:
Puede considerarse
como caso
concreto de
modificacin ya
que se consigue un
objeto similar al
atacado de forma
que no resulte
sencillo distinguir
entre objeto
original y el creado.
Se garantiza:
Confidencialidad: nadie no
autorizado accede a la
informacin.
Integridad: los datos
enviados no se modifican en
el camino.
Disponibilidad: la recepcin
es correcta.
No se garantiza:
Seguridad: se inyecta
informacin en el sistema
que antes no exista.
Ejemplos:
Ejemplos:
Modificacin de bases de
datos.
Modificacin de elementos del
HW.
Ejemplos:
Aadir transacciones en red.
Aadir registros en bases de
datos.
Evaluar
Mantener
Alcanzar
7. Seguridad vs Comodidad.
Debe buscarse un equilibrio entre seguridad y comodidad. Si las medidas de seguridad
entorpecen el trabajo de los empleados, dicha seguridad se percibir como un enemigo, una pesada
carga con la que convivir y a evitar siempre que sea posible.
COMODIDAD
Debe encontrarse un compromiso entre seguridad y comodidad de uso. Los usuarios deben
estar informados de las razones de las medidas de seguridad, dado que a mayor seguridad menor
comodidad y viceversa.
SEGURIDAD
8. Planificacin de la seguridad.
Un componente clave para la buena marcha de cualquier negocio radica en una buena
planificacin, con el fin de extraer el mximo partido de los recursos disponibles. Y una buena
planificacin de la seguridad debe considerar los siguientes niveles de planificacin:
Planificacin estratgica: Se realiza en los niveles directivos ms altos y se ocupa de los
objetivos a largo plazo (cinco o ms aos). Esta planificacin dimana de una estrategia
ms general. Por ejemplo, si la estrategia general especifica Proporcionar el servicio de
formacin a travs de Internet con la mejor calidad y las mayores garantas del
mercado, puede reformularse en el objetivo estratgico Asegurar que los servicios de
formacin se proporcionarn de manera segura, sin fraudes y en conformidad con los
requisitos legales de la LOPD y las LSSCIE.
Planificacin tctica: Los objetivos de la planificacin estratgica deben transformarse
en objetivos ms concretos y prcticos, creando planes tcticos centrados en el corto
plazo (como mucho tres aos), con fechas fijas para su consecucin. Esto implica la
acometida de proyectos, adquisicin de productos, elaboracin de presupuestos y de
informes mensuales y anuales. Siguiendo con el ejemplo anterior, tendramos objetivos
ms concretos: Todos los accesos externos a la Intranet de alumnos deben estar
estrictamente controlados, Todo el personal de la empresa debe recibir formacin y
concienciacin en seguridad, etc.
Planificacin operativa: Los planes operativos se derivan de los planes tcticos para
organizar las tareas del da a da. Siguiendo con el ejemplo, tendramos como objetivos
Seleccionar, configurar y desplegar un cortafuegos, Disear e implantar un programa
de educacin, formacin y concienciacin de usuarios en materia de seguridad.
9. Polticas de seguridad.
As como la planificacin ayuda a plantearse objetivos realistas y a definir las lneas de actuacin
que permitan alcanzarlos, las polticas delinean las reglas que la empresa espera sean seguidas por sus
miembros y las consecuencias de no cumplirlas.
Las polticas afectan a los recursos empresariales de las reas consideradas como ms
importantes. Se crean varios documentos (uno por cada rea identificada en los objetivos de seguridad),
que facilitan su compresin, lectura, distribucin, actualizacin y formacin del personal.
Las polticas de seguridad comprenden los siguientes tipos:
Poltica de seguridad de la informacin a nivel empresarial (EISP, Enterprise
Information Security Policy): Cubre aspectos de inters para toda la empresa. Es la
primera en crearse. No debe experimentar cambios frecuentes y debe ser firmada por la
alta Direccin.
Poltica de seguridad de asuntos especficos (ISSP, Issue-Specific Security Policy): Se
ocupa de asuntos especficos y constituyen una gua detallada para instruir al personal
en el uso de sistemas basados en la tecnologa. Su objetivo es sentar las bases de lo que
se considera un uso adecuado e inadecuado de la tecnologa.
Poltica de seguridad de sistemas especficos (SysSP, System-Specific Policy): Se centran
en sistemas individuales o tipos de sistemas, como por ejemplo el hardware y el
software aprobados, los mtodos para fortalecer el sistema, los tipos de cortafuegos,
etc.
Desde otro punto de vista se pueden clasificar en:
Polticas regulatorias: Discuten las regulaciones y procedimientos a seguir para aplicar la
legislacin vigente o el cumplimiento de alguna actividad empresarial.
Polticas consultivas: Definen los comportamientos y actividades aceptables y las
consecuencias de su violacin.
Polticas informativas: Proporcionan informacin o conocimientos acerca de temas
especficos. No son de cumplimiento obligatorio.
Para que las polticas no se queden slo en papel, los objetivos de seguridad de formalizan,
concretan y desarrollan mediante la creacin de una jerarqua de documentacin, de forma que cada
nivel concentra un tipo de informacin y problemas:
Polticas: Documentos estratgicos que especifican las reglas que deben seguirse o los
requisitos de seguridad sobre los activos. Describen la seguridad en trminos generales
sin entrar en detalles, cubriendo las reglas y regulaciones para el uso de los recursos
informticos de la empresa y las sanciones por uso inapropiado. Deben hacerse llegar a
todos los miembros de la empresa, quienes deben leerlas, comprenderlas y dar su
conformidad, bien en las clusulas del contrato de trabajo, bien en la firma de un cdigo
de buenas prcticas.
Estndares: Documentos tcticos que especifican el uso de la tecnologa de una manera
uniforme con el fin de cumplir los objetivos definidos en las polticas de seguridad. Son
obligatorios y se implantan en toda la organizacin.
Normas, directrices y procedimientos: Las normas definen el mnimo nivel de seguridad
que cada sistema debe cumplir. Las directrices son recomendaciones que conviene
seguir, y pueden personalizarse para cada sistema. Los procedimientos comprenden
pasos detallados a seguir para realizar una tarea especfica, como listas de
comprobacin o guas de instalacin y uso.
Un buen punto d partida para crear una poltica de seguridad para la empresa se encuentra en
http://www.sans.org/security-resources/policies, que ofrece numerosas polticas de ejemplo que
pueden tomarse como plantillas para desarrollar polticas propias.
En muchas empresas se tiene una percepcin negativa de las polticas de seguridad, y se
consideran una prdida de tiempo y de productividad, o que slo sirven para restringir y poner trabas al
trabajo cotidiano. Esta visin negativa se deriva de una tensin negativa entre las diferentes
perspectivas de los miembros de la empresa:
Usuarios: No les gusta que les impongan reglas ni que los controlen. Normalmente slo
les importa sacar su trabajo adelante sin que les pongan trabas.
Personal IT: Prefieren tener los sistemas que administran bajo control, sin excesivas
libertades para los usuarios, que normalmente se traducen en ms trabajo por tener
que deshacer entuertos.
Direccin: Se preocupa por los costes implicados y por la proteccin frente a supuestas
amenazas.
Por ello debe buscarse un equilibrio entre los requisitos impuestos a los usuarios y
administradores, la prdida de productividad y la ganancia en seguridad.
Con independencia de la dimensin de la empresa, es beneficioso dedicar horas a poner por
escrito los objetivos y bosquejar las polticas que debern ser acatadas por todos. Las polticas deben:
ser aplicables y hacerse cumplir,
ser concisas y fciles de comprender,
establecer un equilibrio entre seguridad y productividad,
establecer las razones por las que resultan necesarias,
describir los aspectos que cubren,
definir funciones y responsabilidades,
discutir cmo se reaccionar ante sus violaciones.