José Francisco Giménez Albacete

Seguridad en equipos informáticos. IFCT0510


Скачать книгу

de los usuariosPérdida de informaciónCopias de seguridad, incluidos registros de transacciones para deshacer operacionesErrores del administradorParada de sistema, ausencia de seguridad y trazabilidadDisociación de responsabilidades, para reducir daño de los erroresErrores de configuraciónParada de sistema, ausencia de seguridad y trazabilidadProcedimientos de reinstalación y configuración del sistema. Copias de seguridadDeficiencias en la organización: cuando no está claro quién es responsable de hacer qué y cuándoParadas de sistemas, causadas por acciones descoordinadas u omisionesPolíticas de seguridad con establecimiento de responsablesDifusión de software dañino (virus, spyware, gusanos, troyanos, bombas lógicas, etc.)Parada de sistema, ausencia de seguridad y trazabilidadSoftware de eliminación de virus, y de eliminación de software malicioso. Procedimientos de reinstalación y configuración del sistema. Copias de seguridad.Escapes de información: la información llega a quien no debePerdida completa de confidencialidadUso de técnicas de encriptaciónAlteración de la información: alteración accidental de la informaciónPérdida completa de integridadSistemas de revisión y validación de transacciones (mediante totales, revisión por otra persona u otras vías).Vulnerabilidades de los programas (defectos en el código que producen errores)Paradas del sistema y/o perdida de integridadEntornos de prueba y sistemas de revisiónErrores de mantenimiento o actualización de programas (software)Paradas del sistemaPlan de mantenimiento preventivo, para revisar fecha de actualización aplicada a las aplicacionesCaída del sistema por agotamiento de recursosParadas del sistemaAplicaciones de monitorización de recursos disponibles con alarmasIndisponibilidad del personal: ausencia accidental del puesto de trabajo por enfermedad, alteraciones de orden público, guerra, etc.Paradas del sistemaPolítica de seguridad con establecimiento de responsables, y designación de suplentes de responsables

       Ataques intencionados

AmenazaRiesgoSalvaguarda
Manipulación de la configuraciónParada de sistema, ausencia de seguridad y trazabilidadCopias impresas de procedimientos de reinstalación, y configuración del sistema
Suplantación de la identidad del usuarioPérdida completa de confidencialidad e integridadSistemas de autenticación fuertes, que incluyan medidas biométricas
Uso no previsto: típicamente en interés personal, juegos, etc.Paradas del sistemaImpedir ejecución de procesos no autorizados
Difusión de software dañino: virus, spyware, gusanos, troyanos, bombas lógicas, etc.Parada de sistema, ausencia de seguridad y trazabilidadSoftware de eliminación de virus y de eliminación de software malicioso. Procedimientos de reinstalación y configuración del sistema. Copias de seguridad.
Análisis de tráficoConocimiento de las pautas de actividad de la empresaAleatorización de las rutas de comunicaciones, y encapsulamiento de protocolos
RepudioPérdida de trazabilidad de las operacionesEmpleo de firmas digitales
Interceptación de información (escucha)Pérdida de confidencialidadEmpleo de técnicas de criptografía
Destrucción de la informaciónParadas de sistemaCopias de seguridad
Divulgación de la informaciónPérdida de confidencialidadEmpleo de técnicas de criptografía
Denegación de servicioParadas de sistemaPenalización a solicitudes recurrentes. Monitorización de recursos disponibles y alarma
Robo de equipos o soportesParadas de sistema y perdida de confidencialidadAlarmas antirrobo, sistemas de anclaje de equipos, técnicas de criptografía
Ataque destructivo (vandalismo, terrorismo, etc.)Paradas de sistemaCopias de seguridad fuera de las instalaciones, acuerdos de alquiler de equipos para casos de emergencia, copias impresas de procedimientos de reinstalación y configuración del sistema
Ingeniería socialParada de sistema, ausencia de seguridad y trazabilidadFormación, empleo de mecanismos de autenticación fuertes con métodos biométricos
Image

       Definición

       Criptografía

      Es el “arte de escribir con clave secreta o de un modo enigmático”. Aplicar a un mensaje técnicas de criptografía, o de encriptación, consiste en modificarlo mediante algún procedimiento secreto o privado, de manera que el resultado sea un enigma.

      Se persigue que, aunque el mensaje encriptado se haga público, no se revele el mensaje original; o al menos que el enigma divulgado ofrezca resistencia para conocer con facilidad el mensaje original.

      Las salvaguardas, o contramedidas, persiguen detectar, prevenir, impedir, reducir, y controlar una amenaza y el daño que pueda generar. Son elementos de defensa, para que las amenazas no causen tanto daño. Como en el caso de las amenazas, las salvaguardas se pueden clasificar según distintas categorías. Por ejemplo, existirán:

      1 Salvaguardas preventivas o proactivas, que persiguen anticiparse a la ocurrencia del incidente.

      2 Salvaguardas reactivas, que persiguen reducir el daño una vez ocurre el incidente.

      3 Salvaguarda de “no hacer nada”, o de aceptar el riesgo existente para los equipos (cuando se cumplan los criterios de aceptación de riesgo de la empresa, y solo cuando esta decisión sea autorizada por la Dirección).

      Por ejemplo, son salvaguardas preventivas las relacionadas con los controles de acceso de los usuarios a los equipos, como el uso de contraseñas. Controlando el acceso de los usuarios exclusivamente a la información que necesitan conocer para el desempeño de su trabajo, se previenen daños a la confidencialidad e integridad de la información.

Image

       Definición

       Salvaguarda

      Guarda que se pone para la custodia de una cosa. Custodia, amparo, o garantía.

      Por ejemplo, son salvaguardas de carácter reactivo las copias de seguridad. Las copias no evitan que se produzca un incidente que derive en pérdida de información, pero sí reducen el daño limitando la pérdida a la información modificada desde la última copia de seguridad verificada.

      Como aclaración de salvaguarda de “no hacer nada”, se tomará de ejemplo una empresa, cuya política de seguridad establece que se aprobarán los riesgos, cuando sean inferiores al 10 % del valor de los activos. Si el análisis de riesgos establece que este es del 5 % del valor de los equipos, puede decidirse asumirlo, y no interponer salvaguardas para reducirlo; pero siempre debe ponerse en conocimiento de la Dirección, que es el órgano responsable en última instancia del riesgo que se asume.

      En los siguientes apartados, se introducirán algunas áreas de seguridad específicas, con sus tecnologías habituales y salvaguardas.

      4.1. Seguridad de recursos humanos

      Tanto antes del empleo, como durante el empleo, y a la terminación del mismo, conviene adoptar medidas, salvaguardas, o controles, para proteger la información que será accedida, e impactada por las personas. Se trata, por ejemplo, de establecer obligaciones y responsabilidades legales durante la contratación, o de establecer cómo actuar, de cara a la información, cuando una persona abandone la empresa. Dependiendo de cada circunstancia, podría