domingo, 18 de octubre de 2015

seguridad de datos e informacion


Seguridad de la información / Seguridad informática

Seguridad de la información: modelo PDCA

Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).
El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas .

Bases de la Seguridad Informática

Fiabilidad

“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”  Eugene Spafford,

Definimos la fiabilidad como la probabilidad de que un sistema se comporte tal y como debería de hacerlo.

un sistema lo podemos catalogar como fiable si cuenta con estas 3 características 
  • Confidencialidad: acceso a la información solo mediante autorización y de forma controlada.
  • Integridad: modificación de la información solo mediante autorización.
  • Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.






Confidencialidad

La confidencialidad se entiende en el ámbito de la seguridad informática , como la proteccion de datos y de información intercambiada entre un emisor y uno o más destinatarios frente a terceros. Esto debe hacerse independientemente de la seguridad del sistema de comunicación utilizado: de hecho, un asunto de gran interés es el problema de garantizar la confidencialidad de la comunicación utilizado cuando el sistema es inherentemente inseguro 

generalmente hay empresas que desean mantener en secretos algunos datos relacionados con ellas o con algunos de sus clientes , permitiendo a sistemas de informacion guardar dichos datos y mantenerlos ocultos por un tiempo determinado o hasta que sea necesario su uso.

Integridad

la integridad de datos se refiere a la corrección y complementación de los datos en las bases de datos. Cuando los contenidos se modifican con sentencias INSERTDELETE o UPDATE, la integridad de los datos almacenados puede perderse de muchas maneras diferentes. Pueden añadirse datos no válidos a la base de datos, tales como un pedido que especifica un producto no existente.
 


Disponibilidad

En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados.El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos  informáticos.                                                

     

un sistema esta disponible cuando niega el acceso en determinados casos de una información datos no relacionados , es decir , que un sistema esta disponible cuando no lo esta mientras que no tener un sistema 'no disponible' es tan malo como no tener alguno

la seguridad consiste en mantener un equilibrio constante entre estos tres factores no hay sentido conseguir la confidencialidad para un archivo si es a costa de que ni por lo menos el usuario administrador pueda acceder a él, ya que se está negando la disponibilidad.



Mecanismos básicos de seguridad

Autenticación

La Autenticación como la comprobación de la identidad del usuario, generalmente cuando entra en el sistema o la red, o accede a una base de datos.
habitualmente para entrar a un sistema de información este nos pide el nombre de usuario y una contraseña , pero hoy en dia hay formas mas actualizas para entrar a un sistema .
Es posible autenticarse de tres maneras:
  1. Por lo que uno sabe (una contraseña)
  2. Por lo que uno tiene (una tarjeta magnética)
  3. Por lo que uno es (las huellas digitales)

La técnica más usual (aunque no siempre bien) la de utilizando contraseñas , esta técnica es relativamente útil de a cuerdo a la contraseña proporcionada , mientras mas larga y compleja lo sea , mas difícil sera de burlar esta técnica..


Autorización

Definimos la Autorización como el proceso por el cual se determina qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la organización.


El mecanismo o el grado de autorización puede variar dependiendo de qué sea lo que se está protegiendo. No toda la información de la organización es igual de crítica. Los recursos en general y los datos en particular, se organizan en niveles y cada nivel debe tener una autorización.


Administración




Definimos la Administración como la que establece, mantiene y elimina las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.



El objetivo de la administración de seguridad es lograr la exactitud, integridad y protección de todos los procesos y recursos de los sistemas de información.
De este modo la administración de seguridad minimiza errores, fraudes y pérdidas en los sistemas de información que interconectan a las empresas actuales, así como a sus clientes, proveedores y otras partes interesadas.

Auditoría y registro


La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o producto.

Este proceso permite a los administradores verificar que las técnicas de autenticación y autorización utilizadas se realizan según lo establecido y se cumplen los objetivos fijados por la organización.

Definimos el Registro como el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos para luego analizarlo.

Monitorear la información registrada o auditar se puede realizar mediante medios manuales o automáticos, y con una periodicidad que dependerá de lo crítica que sea la información protegida y del nivel de riesgo.

Mantenimiento de la integridad


El Mantenimiento de la integridad de la información es el conjunto de mecanismos o procesos mediante el cual podemos evitar errores dentro del sistema o perdida de datos , de igual forma nos ayuda a evitar que la información sufra cambios no autorizados y que dicha información enviada desde un punto llegue al destino inalterada.

Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los datos están: uso de antivirus, encriptación y funciones 'hash'.


Vulnerabilidades de un sistema informático

En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en:
  • Hardware: elementos físicos del sistema informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
  • Software: elementos ló́gicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como las aplicaciones. 
  • Datos: comprenden la información lógica que procesa el software haciendo uso del hardware. En general serán informaciones estructuradas en bases de datos o paquetes de información que viajan por la red.
  • Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.
Las vulnerabilidades Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información, de los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rápidamente


El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo. Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.

En el riesgo se utiliza sobre todo el análisis de riesgos de un sistema informático. Esté riesgo permite tomar decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite que acepte para su equipo, de tal forma que si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo residual que podemos considerar cómo riesgo aceptable.

Vulnerabilidades conocidas

  • Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes.

En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador.
  • Vulnerabilidad de condición de carrera (race condition).
Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.
  • Vulnerabilidad de Cross Site Scripting (XSS).
Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.
  • Vulnerabilidad de denegación del servicio.
La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.
  • Vulnerabilidad de ventanas engañosas (Window Spoofing).
Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.


¿Qué queremos proteger el sistema informático?

  Los tres elementos principales a proteger en cualquier sistema informático son el software, elhardware y los datos. Por hardware entendemos el conjunto formado por todos los elementos físicos de un sistema informático, como CPUs, terminales, cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes...) o tarjetas de red. Por software entendemos el conjunto de programas lógicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones, y por datos el conjunto de información lógica que manejan el software y el hardware, como por ejemplo paquetes que circulan por un cable de red o entradas de una base de datos. Aunque generalmente en las auditorías de seguridad se habla de un cuarto elemento a proteger, los fungibles (elementos que se gastan o desgastan con el uso contínuo, como papel de impresora, tóners, cintas magnéticas,diskettes...), aquí no consideraremos la seguridad de estos elementos por ser externos al sistema

Políticas de seguridad

Una política de privacidad es un documento legal que plantea cómo una organización retiene, procesa y maneja los datos del usuario o cliente. Ésta es mayormente usada en un sitio de internet, donde el usuario crea una cuenta. La póliza de privacidad es un contrato en el cuál susodicha organización promete mantener la información personal del usuario. Cada organización del internet tiene su propia póliza de privacidad, y cada una de ellas varía. Es la responsabilidad del usuario leerla, para asegurarse de que no hay condiciones por las cuales se lleve a cabo un intercambio de información del usuario, la cuál puede ser vista como una violación de privacidad.

La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.

Esquemáticamente:
Los mecanismos de seguridad se dividen en tres grupos:
  1. Prevención:
Evitan desviaciones respecto a la política de seguridad.
Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.
  1. Detección:
Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
  1. Recuperación:
Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.
Ejemplo: las copias de seguridad.
Dentro del grupo de mecanismos de prevención tenemos:
  • Mecanismos de identificación e autenticación
Permiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.
Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.
En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.
  • Mecanismos de control de acceso
Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.
  • Mecanismos de separación
Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.
Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.
  • Mecanismos de seguridad en las comunicaciones
La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.


La seguridad informática es fundamentalmente necesaria ya que por medio de esta y por medio de técnicas logramos proteger información importante con algún contenido especialmente relevante. Dentro de las organizaciones el tema de la seguridad es sumamente esencial , protegiendo datos o información privada o de dominio exclusivo , poniendo esto en manos de un sistema de seguridad fiable y confiable , permitiendo almacenar esta en base de datos seguras para su uso en un tiempo posterior,esta información estará disponible mas adelante si ha de ser necesario para ser usada solo por personal capacitado o especial.
Un sistema "No disponible" es tan malo , como no tener sistema , y no tenerlo es mas malo aun, ya que estaría en riesgo toda la información por no tener seguridad y estaría expuestas a amenazas existentes o latentes. Para este problema tenemos los mecanismos básicos de seguridad los cuales nos ayudan a proteger la información de una forma mas segura por medio de la autenticacion ,  por medio de contraseñas o paswords , por tarjeta de crédito o por huellas dactilares la cual es la mas confiable de todas, esta la autorización que permite al usuario que ver y cuando ver , dicha autorización dependerá del grado del contenido protegido.
Un sistema es delicado ya que esta propenso adversidades debido a esto es indispensable cuidar sus activos y los recursos que forman parte de un sistema estos pueden ser el hardware , los datos y el software . Las vulnerabilidades Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, hoy en día hay muchas amenazas que tratan de ingresar al sistema sin ser detectadas para robar información , para evitar esto existen algunos mecanismos de seguridad que nos ayudan a detectar con tiempo anomalías dentro de los sistemas de seguridad y así encaminarlo a su normal funcionamiento  













SEGURIDAD OPERACIONAL EN EL ÁREA DE INFORMÁTICA


SEGURIDAD OPERACIONAL



La seguridad operacional consiste en las diferentes políticas y procedimientos implementados por la administración de la instalación computacional.
Un aspecto crítico es la selección y organización del personal:

Resultado de imagen para seguridad informatica gif
Se otorgan distintos conjuntos de responsabilidades.
No es necesario que se conozca la totalidad del sistema para cumplir con esas responsabilidades.
.
Objetivos de la seguridad

Dicha seguridad tiene como objetivo principal minimizar los riesgos en
los recursos informáticos y así consolidar las diferentes operaciones de la
organización, al tiempo que se disminuyen los costos. Así mismo preservar la
confiabilidad de los documentos, registros y archivos. De manera que sean
permanentes, que estén disponibles y para que solo las personas
autorizadas puedan acceder a ellos en cualquier momento. Es necesario
destacar que también garantiza la originalidad de los documentos, todas
estas características brindan al usuario confianza para aceptar el documento
requerido
Resultado de imagen para seguridad informatica imagenes


Generalmente, los sistemas de información incluyen todos los datos de una compañía y también el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.
La seguridad tiene cinco objetivos: 
  • Integridad: garantizar que los datos sean los que se supone que son.
  • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.
  • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.
  • Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
  • Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.

Controles operativos



Aplicar controles operativos en un ambiente de Procesamiento de Datos, la máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalación
 2.- Controles de Organización y Planificación
 3.- Controles de Sistemas en Desarrollo y Producción
 4.- Controles de Procesamiento
 5.- Controles de Operación
6.- Controles de uso de Microcomputadores

1.- Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes

2.- Controles de organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:
- Diseñar un sistema
 - Elaborar los programas
- Operar el sistema
 - Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.

Acciones a seguir

Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.


3.- Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio
El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control

El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

4.- Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir:

Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.
Adoptar acciones necesaria para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.

5.- Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
Resultado de imagen para seguridad informatica gif
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos informáticos.
Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Acciones a seguir:

Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deberá proporcionar lo siguiente:
- Manual de operación de equipos
- Manual de lenguaje de programación
- Manual de utilitarios disponibles
- Manual de Sistemas operativos

6.- Controles en el uso del Microcomputador

     Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
Acciones a seguir:
Resultado de imagen para seguridad informatica gif
Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo. Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.

Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.
Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas
.

Resultado de imagen para seguridad informatica gif

Revisión de Centros de Cómputo



Consiste en revisar los controles en las operaciones del centro de procesamiento de información en los siguientes aspectos:

1.- Revisión de controles en el equipo
Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente.
2.- Revisión de programas de operación
Se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador.
3.- Revisión de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc.
4.- Revisión del plan de mantenimiento
Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos
Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así como asegurar que el uso que le dan es el autorizado.
6.- Revisión del plan de contingencias
Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante.