Bloque 4 - Tema 5: Seguridad de los sistemas de información

Índice

ÍNDICE .......... ..... 2

1. CONCEPTOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
   1. Conceptos básicos
   2. MAGERIT
   3. Serie ISO 27000
   4. Evaluación de seguridad de productos TIC.
2. SEGURIDAD FÍSICA. SEGURIDAD LÓGICA. AMENAZAS Y VULNERABILIDADES
   1. Seguridad física
   2. Seguridad lógica
   3. Amenazas y vulnerabilidades
3. SOLUCIONES DE CIBERSEGURIDAD
4. INFRAESTRUCTURA FÍSICA DE UN CPD: ACONDICIONAMIENTO Y EQUIPAMIENTO
   1. Elementos de CPDs
   2. Uptime Institute
   3. Norma ANSI/TIA-942
   4. Redundancia en CPDs.
   5. Clasificación de CPDs
5. TÉCNICAS CRIPTOGRÁFICAS Y PROTOCOLOS SEGUROS. MECANISMOS DE FIRMA DIGITAL
   1. Técnicas criptográficas.
   2. Mecanismos de firma digital.
   3. Esteganografía
   4. Protocolos seguros
6. SISTEMAS DE GESTION DE INCIDENCIAS
7. CONTROL REMOTO DE PUESTOS DE TRABAJO

Conceptos de Seguridad de los Sistemas de Información

Conceptos Básicos de Seguridad

Se define SEGURIDAD como la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles (Reglamento 460/2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información).

En relación con los sistemas de información la SEGURIDAD DE LA INFORMACIÓN es la confianza en que los sistemas de información están libres y exentos de todo peligro o daño inaceptables.

Es por ello que es necesario proteger las diferentes dimensiones de seguridad de los datos y servicios (ACIDT):

• AUTENTICIDAD: propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
• CONFIDENCIALIDAD: propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
• INTEGRIDAD: propiedad o característica consistente en que el activo no ha sido alterado de manera no autorizada.
• DISPONIBILIDAD: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
• TRAZABILIDAD: aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento.

El concepto de seguridad de las TIC es mucho más amplio que la simple protección de los datos desde un punto de vista lógico, interviniendo factores tecnológicos, pero también aspectos como la protección física, las salvaguardas organizativas o el cumplimiento normativo y teniendo en cuenta múltiples condicionantes, tanto internos como externos a una Organización.

Así, la Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) hace referencia al conjunto de medidas de seguridad para proteger la información almacenada, procesada o transmitida por sistemas de información y telecomunicaciones, de manera que se preserve la confidencialidad, integridad y disponibilidad de la información y la integridad y la disponibilidad de los elementos que la tratan.

Por tanto, los objetivos de la STIC se concretan en el mantenimiento de las características enumeradas previamente: confidencialidad, integridad y disponibilidad.

La taxonomía más básica de amenazas que afectan a estas características es la siguiente:

• INTERRUPCIÓN (disponibilidad): amenazas que motivan la pérdida, inutilización o no disponibilidad de la información.
• INTERCEPTACIÓN (confidencialidad): amenazas que motivan el acceso de un actor no autorizado a la información.
• MODIFICACIÓN (integridad): amenazas que motivan la alteración no autorizada de la información; un caso especial es la destrucción, entendida como modificación que inutiliza la información.
• FABRICACIÓN: amenazas que tratan de generar información similar de forma que sea difícil distinguir entre la versión original y la fabricada.

Según la definición del término STIC, la seguridad de la información y de los sistemas que la tratan puede conseguirse protegiendo cada uno de los recursos que componen la configuración de dichos sistemas. De este modo, las medidas de seguridad, en función del objeto de protección en cada caso, pueden clasificarse en (según la Guía de Seguridad de las TIC CCN-STIC 400 Manual STIC:

• TRANSEC. Medidas que aseguran los canales de transmisión (Seguridad de las Transmisiones).
• COMPUSEC. Medidas que protegen el proceso automático de datos (Seguridad de los Ordenadores).
• EMSEC. Medidas que protegen a los equipos frente a la emisión de radiaciones no deseadas (Seguridad de las Emisiones).
• NETSEC. Medidas que protegen los elementos de red (Seguridad de las Redes).
• CRYPTOSEC. Medidas que aseguran que la información esta protegida mediante procedimientos criptográficos adecuados (Seguridad Criptológica).

Conviene señalar que el término NETSEC está relacionado con la protección de las redes contra la modificación, destrucción o revelación de la información mientras circula por ellas, diferenciándose así del término TRANSEC, vinculado este último con la prevención contra la obtención de información por medio de la interceptación, radiolocalización y análisis de las señales electromagnéticas.

Es preciso conocer el significado concreto de un conjunto de conceptos en materia de seguridad ofrecidos por organismos nacionales e internacionales. Antes, destacamos las siguientes normas:

• ISO 31000: Sistemas de Gestión de riesgos.
• UNE-ISO/IEC Guía 73:2010: Gestión del riesgo. Vocabulario.
• UNE 71504:2008: Metodología de análisis y gestión de riesgos para los sistemas de información.

Sistema de Información

Sistema de información Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar (tratar), mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Según MAGERIT, es el conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información.

Sistema de Gestión de la Seguridad de la Información (SGSI)

Sistema de Gestión de la Seguridad de la Información (SGSI) Conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.

Los SGSIs formalizan cuatro etapas cíclicas:

Plan planificación

Act Do mantenimiento y mejora implementación y operación

Check monitorización y evaluación

observar a los demás

Activo

Activo Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

También se define como recursos del sistema de información o relacionados con este, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

Vulnerabilidad

Vulnerabilidad Defecto o debilidad en el diseño, implementación u operación de un sistema que habilita o facilita la materialización de una amenaza.

Según la ISO, son las propiedades intrínsecas de que algo se produzca como resultado de una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia.

Amenaza

Amenaza Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización.

Ataque

Ataque Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera.

Definido alternativamente como cualquier acción deliberada encaminada a violar los mecanismos de seguridad de un sistema de información.

Impacto

Impacto Consecuencia que sobre un activo tiene la materialización de una amenaza.

Un tipo de impacto es el impacto residual: se define como el Impacto remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información.

Análisis de Impacto

Análisis de impacto Estudio de las consecuencias que tendría una parada de X tiempo sobre la Organización.

Riesgo

Riesgo Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.

Según ISO, efecto de la incertidumbre sobre la consecución de los objetivos.

Según MAGERIT, posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en todo la Organización.

Tipos de riesgos:

• Riesgo ACUMULADO: calculado tomando en consideración el valor propio de un activo y el valor de los activos que depende de él.
• Riesgo POTENCIAL: riesgos del sistema de información en la hipótesis de que no hubieran salvaguardas presentes.
• Riesgo REPERCUTIDO: calculado tomando en consideración únicamente el valor propio de un activo.
• Riesgo RESIDUAL: riesgo remanente en el sistema después del tratamiento del riesgo, es decir, tras la implantación de las salvaguardas.

El impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma.

Impacto X Probabilidad Riesgo

Análisis de Riesgos

Análisis de riesgos Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización.

Según la ISO, el análisis del riesgo es el proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo.

Según MAGERIT, es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información (activos); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre.