seguridad informatica
DESCRIPTION
textoTRANSCRIPT
-
Introduccin
La seguridad informtica, de igual forma a como sucede
con la seguridad aplicada a otros entornos, trata de
minimizar los riesgos asociados al acceso y utilizacin de
determinado sistema de forma no autorizada y en general
malintencionada. Esta visin de la seguridad informtica
implica la necesidad de gestin, fundamentalmente gestin
del riesgo. Para ello, se deben evaluar y cuantifi car los
bienes a proteger, y en funcin de estos anlisis, implantar
medidas preventivas y correctivas que eliminen los riegos
asociados o que los reduzcan hasta niveles manejables.
En general cualquier persona considerara poco
razonable contratar a un agente de seguridad en exclusiva
para proteger su domicilio. Posiblemente sera una medida
de seguridad excelente para evitar accesos no autorizados a
nuestro domicilio, sin embargo, muy pocos lo consideraran,
simplemente por motivos econmicos. Tras evaluar el valor
de los bienes a proteger, lo habitual sera considerar otras
medidas ms acordes con el valor de nuestros bienes.
Podramos pensar en una puerta blindada, un conserje
compartido con otros vecinos o incluso un servicio de
vigilancia privada basada en sensores, alarmas y acceso
telefnico con una central de seguridad. Combinando estas
medidas preventivas con otras correctivas como podra ser
una pliza de seguro contra robo, alcanzaramos un nivel de
seguridad que podra considerarse adecuado. Muchas veces
sin hacerlo de forma explcita, habramos evaluado el valor
de nuestros bienes, los riesgos, el coste de las medidas de
seguridad disponibles en el mercado y el nivel de proteccin
que ofrecen.
En seguridad informtica, los principios mostrados con
nuestro ejemplo de seguridad en el domicilio son igualmente
aplicables. Las nicas diferencias aparecen por las
particularidades tcnicas asociadas a los sistemas
informticos. La valoracin econmica de los bienes a
proteger puede ser muchas veces una tarea compleja, la
casustica de los riesgos potenciales muy grande, y la
complejidad y diversidad de las medidas de seguridad
disponibles difi culta su seleccin. Sin embargo, el fondo
sigue siendo el mismo, seguridad implica proteger alguna
entidad frente a un conjunto de riesgos y en este caso
riesgos relacionados con los sistemas informticos.
En este artculo vamos a dar una visin general a los
aspectos ms relevantes de la seguridad informtica,
comenzando con una visin de la seguridad como
parte integral de la gestin empresarial, continuaremos
con la descripcin de las amenazas ms frecuentes
que pueden comprometer los sistemas informticos y
con la descripcin de las medidas ms efectivas para
contrarrestarlas. Por ltimo, fi nalizaremos
mencionando las actividades ms signifi cativas que
venimos realizando en el Instituto Tecnolgico de
Informtica en materia de seguridad.
Objetivos de la Seguridad Informtica
El objetivo de la seguridad informtica es proteger
los recursos informticos valiosos de la organizacin,
tales como la informacin, el hardware o el software. A
travs de la adopcin de las medidas adecuadas, la
seguridad informtica ayuda a la organizacin cumplir
sus objetivos, protegiendo sus recursos fi nancieros,
sus sistemas, su reputacin, su situacin legal, y otros
bienes tanto tangibles como inmateriales.
Desafortunadamente, en ocasiones se ve a la
seguridad informtica como algo que difi culta la
consecucin de los propios objetivos de la
organizacin, imponiendo normas y procedimientos
rgidos a los usuarios, a los sistemas y a los gestores.
Sin embargo debe verse a la seguridad informtica, no
como un objetivo en s mismo, sino como un medio de
apoyo a la consecucin de los objetivos de la
organizacin.
En general el principal objetivo de las empresas, es
obtener benefi cios y el de las organizaciones pblicas,
ofrecer un servicio efi ciente y de calidad a los usuarios.
En las empresas privadas, la seguridad informtica
debera apoyar la consecucin de benefi cios. Para ello
se deben proteger los sistemas para evitar las
potenciales prdidas que podran ocasionar la
degradacin de su funcionalidad o el acceso a los
sistemas por parte de personas no autorizadas. De
igual forma, las organizaciones pblicas deben
proteger sus sistemas para garantizar la oferta de sus
servicios de forma efi ciente y correcta.
En cualquier caso, los gestores de las diferentes
organizaciones deberan considerar los objetivos de la
propia organizacin e incorporar la seguridad de los
sistemas desde un punto de vista amplio, como un
medio con el que gestionar los riesgos que pueden
comprometer la consecucin de los propios objetivos,
donde la cuantifi cacin de los diferentes aspectos,
muchas veces econmica, debe ser central.
Gestin del Riesgo
La proteccin de los sistemas y de la informacin no
suele eliminar completamente la posibilidad de que
estos bienes sufran daos. En consecuencia, los
gestores deben implantar aquellas medidas de
seguridad que lleven los riesgos hasta niveles
aceptables, contando para ello con el coste de las
medidas a implantar, con el valor de los bienes a
proteger y con la cuantifi cacin de las prdidas que
podran derivarse de la aparicin de determinado
incidente de seguridad.
Los costes y benefi cios de la seguridad deberan
observarse cuidadosamente para asegurar que el
coste de las medidas de seguridad no excedan los
benefi cios potenciales. La seguridad debe ser
apropiada y proporcionada al valor de los sistemas, al
grado de dependencia de la organizacin a sus
servicios y a la probabilidad y dimensin de los daos
potenciales. Los requerimientos de seguridad variarn
por tanto, dependiendo de cada organizacin y de
cada sistema en particular.
En cualquier caso, la seguridad informtica exige
habilidad para gestionar los riesgos de forma
adecuada. Invirtiendo en medidas de seguridad, las
organizaciones pueden reducir la frecuencia y la
severidad de las prdidas relacionadas con
violaciones de la seguridad en sus sistemas. Por
ejemplo, una empresa puede estimar que est
sufriendo prdidas debidas a la manipulacin
fraudulenta de sus sistemas informticos de
inventariado, de contabilidad o de facturacin. En este
caso puede que ciertas medidas que mejoren los
-
controles de acceso, reduzcan las prdidas de forma
signifi cativa.
Las organizaciones que implantan medidas
adecuadas de seguridad, pueden obtener un conjunto
de benefi cios indirectos que tambin deberan
considerarse. Por ejemplo, una organizacin que
cuente con sistemas de seguridad avanzados, puede
desviar la atencin de potenciales intrusos hacia
vctimas menos protegidas, puede reducir la
frecuencia de aparicin de virus, puede generar una
mejor percepcin de los empleados y otros
colaboradores hacia la propia empresa, aumentando
la productividad y generando empata de los
empleados hacia los objetivos organizativos.
Sin embargo, los benefi cios que pueden obtenerse
con medidas de seguridad presentan costes tanto
directos como indirectos. Los costes directos suelen
ser sencillos de evaluar, incluyendo la compra,
instalacin y administracin de las medidas de
seguridad. Por su parte pueden observarse costes
indirectos, como decremento en el rendimiento de los
sistemas, pueden aparecer necesidades formativas
nuevas para la plantilla o incluso determinadas
medidas, como un excesivo celo en los controles,
pueden minar la moral de los empleados.
En muchos casos los costes asociados a las
medidas de seguridad pueden exceder a los benefi
cios esperados por su implantacin, en cuyo caso una
correcta gestin llevara a platearse su adopcin frente
a la posibilidad de simplemente tolerar el problema.
Amenazas
Los sistemas informticos son vulnerables a
multitud de amenazas que pueden ocasionar daos
que resulten en prdidas signifi cativas. Los daos
pueden variar desde simples errores en el
Artculos Tcnicos
uso de aplicaciones de gestin que comprometan la
integridad de los datos, hasta catstrofes que inutilicen la
totalidad de los sistemas. Las prdidas pueden aparecer por
la actividad de intrusos externos a la organizacin, por
accesos fraudulentos, por accesos no autorizados, por el uso
errneo de los sistemas por parte de empleados propios, o
por la aparicin de eventualidades en general destructivas.
Los efectos de las diversas amenazas puedes ser muy
variados. Unos pueden comprometer la integridad de la
informacin o de los sistemas, otros pueden degradar la
disponibilidad de los servicios y otros pueden estar
relacionados con la confi dencialidad de la informacin. En
cualquier caso una correcta gestin de los riesgos debe
implicar un profundo conocimiento de las vulnerabilidades de
los sistemas y de las amenazas que los pueden explotar. Las
propias caractersticas de las organizaciones deben infl uir
en las medidas de seguridad que resulten ms adecuadas y
ms efi cientes en trminos de costes, para contrarrestar las
amenazas o incluso para tolerarlas conociendo en todo caso
sus implicaciones.
A continuacin vamos a mostrar las amenazas ms
frecuentes que deberan ser tenidas en cuenta por toda
organizacin como fuentes potenciales de prdidas.
Conviene destacar que la importancia de una u otra
amenaza vara de forma signifi cativa entre organizaciones
distintas y que debera hacerse un estudio individualizado de
sus repercusiones concretas y de la probabilidad de su
aparicin.
1. Errores y omisiones
Los errores de los empleados al utilizar los sistemas
pueden comprometer la integridad de la informacin que
maneja la organizacin. Ni siquiera las aplicaciones ms sofi
sticadas estn libres de este tipo de problemas, que pueden
reducirse con refuerzos en controles de integridad de los
datos y con un adiestramiento adecuado del personal.
Muchas veces, simples errores pueden comprometer no
nicamente la integridad de los datos, sino incluso puede
que causen la aparicin de nuevas vulnerabilidades en los
sistemas. Este tipo de amenazas es si cabe ms relevante
en las empresas que se dedican al sector de las nuevas
tecnologas, desarrollando e implantando sistemas, muchas
veces interconectados entre diversas organizaciones. Un
simple error de programacin, en la administracin, o la
carencia de la formacin necesaria para evaluar las
implicaciones de seguridad de determinada aproximacin de
desarrollo, puede causar vulnerabilidades que afecten no
nicamente a las organizaciones usuarias de los sistemas,
sino tambin a las propias empresas que los desarrollan que
se podran ver muy perjudicadas en su imagen corporativa.
2. Intrusiones
Bajo esta amenaza se incluyen tanto actividades
claramente fraudulentas, como meras intrusiones
efectuadas por determinados individuos con el nico fi n de
probar sus habilidades o incluso actos de sabotaje, terrorismo informtico o espionaje industrial. Las actividades
fraudulentas, incluido el robo, puede que sean las ms
preocupantes para muchas organizaciones, sobre todo para
aquellas que tengan bienes de elevado valor, gestionados
mediante sistemas informticos. Ejemplos de este tipo de
organizaciones pueden ser las entidades fi nancieras, los
organismos pblicos que generen acreditaciones ofi ciales o
incluso empresas de distribucin o comercio electrnico,
donde los sistemas informticos pueden ser
6 Actualidad TIC susceptibles de alteracin malintencionada con objeto de
obtener provecho econmico.
Los autores de las intrusiones pueden ser tanto externos
a la propia organizacin, como internos. Es reseable
destacar que muchos estudios sobre fraudes y robos
mediante tecnologas de la informacin coinciden en sealar
que la mayora de las actividades fraudulentas son
realizadas por personal vinculado a la propia organizacin.
Pueden ser empleados con acceso a sistemas o informacin
no controlada, antiguos empleados con conocimientos tanto
de los sistemas como de las medidas de seguridad internas
o personas vinculadas en cierta forma con la organizacin y
que gozan de determinados privilegios que muchas veces se
esconden bajo aparentes relaciones cordiales con la propia
empresa.
5
-
En muchos casos las intrusiones generan importantes
daos econmicos, pero en todos los casos causan una
importante sensacin de desproteccin en toda la
organizacin, que se agrava si no es posible identifi car a los
autores de las intrusiones, las tcnicas empleadas para
cometerlas o los objetivos que persiguen.
La creciente importancia de las intrusiones maliciosas en
los sistemas informticos la podemos encontrar refl ejada en
el siguiente
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000
2001 2002
Figura 1: Evolucin de las incidencias intervenidas por el
CERT/CC (fuente: www.cert.org).
grfi co, donde se puede observar el alarmante incremento
de incidentes de seguridad ocurrido en los ltimos aos.
Concretamente el grfi co muestra el nmero de
incidentes ocasionados por intrusiones, y comunicados al
CERT, un organismo de reconocido prestigio internacional
dedicado a la prevencin y anlisis de los incidentes de
seguridad aparecidos en Internet. Conviene destacar que las
cifras nicamente muestran los datos comunicados al CERT,
y que vienen a representar a las intrusiones efectuadas por
parte de individuos externos a las propias organizaciones.
Los datos se refi eren a todo el mundo, sin embargo tambin
destacamos que las cifras provienen mayoritariamente de
grandes empresas, asentadas fundamentalmente en los
Estados Unidos, Europa y Japn. Sin embargo, pese a lo
parcial de las cifras, no deja de resultar ilustrativa la curva de
crecimiento y las magnitudes de los incidentes constatados.
3. Accidentes y desastres
Eventualidades tan cotidianas como la simple rotura de
una caera, la prdida de fl uido elctrico o la rotura de
equipos o mecanismos de comunicaciones pueden tener
efectos claramente negativos sobre los sistemas de
informacin. Debe incluso contemplarse la posibilidad de
aparicin de eventos ms graves, como incendios, atentados
terroristas, inundaciones causadas por la propia naturaleza,
tormentas elctricas o actividades reivindicativas
descontroladas de determinados colectivos.
4. Lgica maliciosa
Entre estas amenazas encontramos los virus, los
gusanos, los caballos de Troya y las bombas lgicas.
Aun existiendo diferencias tcnicas entre ellas, el nexo
comn a todas estas amenazas consiste en que se
trata de software creado en general para causar dao.
Los costes asociados a su aparicin pueden ser signifi
cativos y varan en funcin de la virulencia de sus
acciones. Pueden suponer simplemente prdidas
debidas a la dedicacin de personal y recursos a su
eliminacin o prdidas mucho mayores si resultan
afectados, corrompidos o destruidos sistemas crticos
para la organizacin.
5. Amenazas a la privacidad de las personas
La acumulacin de enormes cantidades de datos de
carcter personal por entidades pblicas y privadas,
unida a la capacidad de los sistemas informticos para
combinar y procesar las informaciones vienen
generando claras amenazas a la privacidad de los
individuos. La constatacin de estas amenazas por
parte de la mayora de pases ha llevado a la
elaboracin de leyes y normas que limitan el
tratamiento de los datos de carcter personal.
Estas amenazas no slo afectan a los individuos,
sino tambin a toda organizacin que manipule
informacin sensible de personas. De no observarse la
legislacin vigente y en caso de no implantar las
medidas adecuadas para su cumplimiento, se pueden
derivar prdidas, tanto econmicas por las
correspondientes multas, como de imagen corporativa.
Medidas de Seguridad
Existe un gran abanico de medidas de seguridad que
pueden reducir el riesgo de prdidas debidas a la
aparicin de incidentes en los sistemas informticos.
Muchas veces al hablar de medidas de seguridad, solo
se mencionan las meramente tcnicas, como
cortafuegos, antivirus o sistemas de copias de
respaldo. Sin embargo, las medidas ms efectivas
suelen ser las medidas de gestin planteadas a medio
y largo plazo desde un punto de vista estratgico y
tctico.
A continuacin mencionaremos brevemente las
medidas y sistemas de seguridad ms frecuentes
agrupndolas bajo dos aspectos. Medidas de gestin y
medidas tcnicas. Las primeras deben ser implantadas
por los gestores de las organizaciones como parte de
los planes estratgicos y tcticos, mientras que las
segundas se corresponden con herramientas y
sistemas tcnicos diseados para evitar, controlar o
recuperar los daos que pueden sufrir los sistemas por
la aparicin de determinadas amenazas de seguridad.
1. Medidas de gestin
Los gestores de toda organizacin deberan
contemplar la seguridad informtica como parte
integral de las estrategias y tcticas corporativas. Una
vez plasmada la importancia de los sistemas para la
consecucin de los propios objetivos y los riesgos que
puede suponer para la empresa la prdida de
integridad de su informacin, la indisponibilidad de sus
sistemas o la violacin de la confi dencialidad de su
informacin, pueden plantearse con mayor rigor el
resto de medidas encaminadas a servir a los objetivos
empresariales.
Emanando de la vertiente estratgica de la
informacin y de los sistemas corporativos, suelen
generarse dos herramientas de gestin no menos
-
importantes: las polticas de seguridad y el plan de
contingencia.
Las polticas de seguridad de una organizacin son
las normas y procedimientos internos que deben
seguir los integrantes de la organizacin para respetar
los requerimientos de seguridad que deseen
preservarse. Debe describirse la criticidad de los
sistemas y de la informacin, los roles de cada puesto
de trabajo y la mecnica de acceso a los sistemas,
herramientas, documentacin y cualquier otra
componente del sistema de informacin. Resulta
frecuente desglosar las polticas de seguridad en
procedimientos detallados para cada componente del
sistema de forma individualizada, as por ejemplo,
pueden crearse documentos que describan las
polticas de tratamiento de correos electrnicos,
polticas de uso de Internet, de copias de respaldo, de
tratamiento de virus y otra lgica maliciosa, polticas
formativas en materia de seguridad para la plantilla,
etc. Conviene destacar que las polticas de seguridad
deben emanar de la estrategia corporativa y que se
trata de documentos que deberan conocer todos los
integrantes de la plantilla.
Por su parte, el plan de contingencia describe los
procedimientos que deben seguirse ante la aparicin
de eventualidades signifi cativas que puedan suponer
graves consecuencias para la organizacin. Debe
detallarse los pasos a seguir, por ejemplo en caso de
destruccin total de los sistemas por inundacin,
fuego, etc. Muchas veces la simple elaboracin del
plan descubre defectos en los sistemas que pueden
ser paliados con relativa facilidad. Por ejemplo puede
descubrirse que no se mantienen copias de respaldo
de informacin crucial para la empresa en lugares
fsicamente seguros, o al menos en lugares distantes
a la ubicacin de los sistemas susceptibles de daos.
2. Medidas tcnicas
Existen innumerables herramientas y sistemas de
seguridad orientadas a preservar la integridad, confi
dencialidad y disponibilidad de informacin y sistemas.
La oferta en este sentido es muy numerosa y toda
organizacin debera dedicar un esfuerzo signifi cativo
a su estudio y seleccin. En este breve artculo, ms
que describir con detalle todas las herramientas y
medidas de seguridad aplicables y sus variaciones
disponibles en el mercado, nos limitaremos a
mencionar las tcnicas ms utilizadas, apuntando fi
nalmente algunas de las ms novedosas.
Entre las tcnicas ms consolidadas encontramos
las copias de respaldo, los antivirus, los cortafuegos,
los mecanismos de autenticacin y la criptografa. Las
copias de respaldo y en general cualquier forma de
redundancia, se encaminan a garantizar la
disponibilidad de los sistemas frente a cualquier
eventualidad.
Los antivirus pretenden evitar la aparicin de lgica
maliciosa y en caso de infeccin tratan de eliminarla
de los sistemas. Entre los antivirus conviene destacar
aquellos que inspeccionan los correos electrnicos
evitando la infeccin de sus destinatarios. Por su parte,
los cortafuegos tratan de reducir el nmero de vas
potenciales de acceso a los sistemas corporativos
desde el exterior, estableciendo limitaciones al nmero
de equipos y de servicios visibles. Otra de las tcnicas
imprescindibles en toda organizacin la forman los
mecanismos de autenticacin. Estos mecanismos
pueden variar desde esquemas simples basados en
los pares usuario contrasea, hasta complejos
sistemas distribuidos basados en credenciales o
Artculos Tcnicos
sistemas de autenticacin biomtricos basados en el
reconocimiento mecanizado de caractersticas fsicas de las
personas. Por ltimo, todo esquema de seguridad debe
contemplar en una u otra medida el cifrado de informacin
sensible. A veces puede ser sufi ciente el cifrado de las
contraseas, mientras que en otras resulta imprescindible el
cifrado de las comunicaciones y de las bases de datos.
Como medidas ms avanzadas, podemos mencionar la
esteganografa, la deteccin de vulnerabilidades y la
deteccin de intrusos. Las tcnicas esteganogrfi cas tratan
de ocultar informacin. A diferencia de la criptografa, que
trata de hacer indescifrable la informacin, la esteganografa
trata de evitar que siquiera se note su existencia. Por ejemplo
las empresas dedicadas a producir documentos digitales,
pueden estar interesadas en incluir determinada marca
invisible de forma que sea demostrable su autora y puedan
perseguirse copias ilegales.
Las herramientas de deteccin de vulnerabilidades suelen
verse como herramientas de auditoria, que pueden mostrar
las vas que con mayor probabilidad utilizaran los intrusos
para acceder a los sistemas. Por ltimo, los sistemas de
deteccin de intrusos tratan de descubrir, muchas veces en
tiempo real, accesos no autorizados a los sistemas, tanto
desde el exterior de la organizacin, como desde dentro de
las propias instalaciones de la empresa.
Seguridad en el Instituto Tecnolgico de
Informtica
El rea de Sistemas Fiables del Instituto Tecnolgico de
Informtica, centra su trabajo en la investigacin y desarrollo
de entornos orientados a aumentar la fi abilidad y la
disponibilidad, donde la seguridad informtica se plantea
como uno de los ejes fundamentales.
En esta rea vienen realizndose proyectos de
consultora y auditora de seguridad informtica, cubrindose
los aspectos estratgicos, tcticos y tcnicos de los sistemas
informticos. El objetivo de estos proyectos consiste en la
elaboracin de un procedimiento de consultora utilizable por
terceras empresas consultoras.
Adems de la consultora, se estn desarrollando diversos
proyectos de investigacin y desarrollo, entre los que
destacan IntruDec y TigerWeb. El primero consiste en un
sistema de deteccin de intrusos basado en el
reconocimiento de patrones de conducta sospechosos,
observables al analizar el trfi co en la red y al analizar la
actividad de los equipos informticos. Por su parte,
TigerWeb es una herramienta de deteccin de
vulnerabilidades perimetrales. Con esta herramienta se
puede obtener una visin aproximada de las vas ms
fcilmente explotables por potenciales intrusos para acceder
a los sistemas desde el exterior de la organizacin.
7