Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad
Informtica
SEGURIDAD INFORMATICA
Leonardo Sena Mayans
Julio 2000
Introduccin
Existen, en los tiempos que corren, dos elementos que incrementan la importancia de brindar una
adecuada seguridad a la informacin corporativa por parte de las empresas: la importancia
creciente de la informacin para las empresas y el aumento de los riesgos a la que la misma se ve
expuesta.
Las empresas pueden llegar a triunfar o a morir solamente por la informacin que manejan, lo que
ha llevado a que sta sea considerada un activo cada vez ms valioso, an cuando no podemos
llegar a cuantificarlo adecuadamente. Y es esto ltimo lo que impide que los datos se vean
reflejados en una lnea del balance, ya que cumplen todas las condiciones restantes de un activo
segn lo establecido por el marco conceptual.
As, debemos establecer controles eficientes de salvaguarda de activos - como lo hacemos para
los bienes tangibles - para los datos.
Por otro lado, las empresas se ven actuando en ambiente muchos ms abiertos que antes;
anteriormente los datos estaban administrados por un CPD centralizado, con escasa interaccin
an con los usuarios internos. Hoy da es generalizado un procesamiento descentralizado,
ambientes cliente-servidor e ingresos al sistema de usuarios que no pertenecen a la empresa
(clientes, proveedores, etc.).
Esta apertura, as como trae aparejado nuevas oportunidades de negocios, mayor eficiencia a las
operaciones y/o menores costos de transaccin, genera nuevos y ms complejos riesgos que se
deben mitigar, o por lo menos considerar.
Al decidir qu tipo de procedimientos de seguridad implantar sobre nuestros datos, el valor
creciente de la informacin y las nuevas tecnologas, impactan en la ecuacin costo-beneficio,
volvindola ms grande y compleja.
Tambin nuestra empresa maneja informacin de terceros, por lo tanto, no slo debe lograr
procesar la misma de una manera segura, para impedir perdida de imagen y/o acciones legales
en su contra, sino que la falta de seguridad o la apariencia de falta de seguridad puede actuar
como un impedimento para concretar negocios.
Segn la consultora KPMG, en el ao 1999, la seguridad era el principal inhibidor del comercio
electrnico en opinin del 78% de los responsables de e-commerce en Europa.
Intentaremos a continuacin brindar un desarrollo del concepto, implicancias y tcnicas de
seguridad actuales en el marco previsto de acuerdo a los objetivos de la materia.
Concepto de seguridad
La seguridad tiene tres objetivos principales:
Confidencialidad:
prevencin de divulgacin no autorizada de los datos
Integridad:
prevencin de modificaciones no autorizadas a los datos
Disponibilidad:
prevencin de interrupciones no autorizadas de los recursos informticos
Para alcanzar estos objetivos la empresa debe contar con procedimientos de seguridad de
informacin adecuados, formalmente definidos y ampliamente divulgados.
1
Introduccin a la Computacin
Seguridad
Informtica
Estos procedimientos, como vemos en la siguiente figura, contribuyen a fortalecer los controles y
de esa manera reducir de manera significativa el impacto generado por alguna de las amenazas
(valindose de las vulnerabilidades existentes).
Ataques Internos
-Fallas
Amenazas
-Sabotages
Soporte
-Desastres
Infraestructura
Informacin
Ataques Externos
Codigos/Aplicaciones
-Hackers
-Virus
-Clientes
-Caballos de Troja
Introduccin a la Computacin
Seguridad
Informtica
Polticas de Seguridad
El objetivo de la Polticas de Seguridad de Informacin, es encima de todo, explicitar el
posicionamiento de la organizacin con relacin a la misma, adems de servir de base para
desarrollar los procedimientos de seguridad.
La empresa debe contar con un documento formalmente elaborado sobre el tema, el cual
obligatoriamente ser divulgado entre todos los funcionarios. No puede ser simplemente una carta
de intencin, as como no es necesario un alto grado de detalle. Las Polticas deben contener
claramente las practicas que sern adoptadas por la compaa.
Estas Polticas deben ser revisadas, y de ser necesario actualizadas, peridicamente.
Lo ms importante para que estas surtan efecto es lograr la concientizacin, entendimiento y
compromiso de todos los involucrados.
A manera de ejemplo, sin ser exhaustivo, las Polticas deben comprender:
! Definir qu es seguridad de la informacin, cuales son sus objetivos principales y su
importancia dentro de la empresa
! Mostrar el compromiso de la alta gerencia con la misma
! Filosofa respecto al acceso a los datos
! Percepcin y responsabilidades inherentes al tema
! Establecer la base para poder disear normas y procedimientos referidos a:
Organizacin de la seguridad
Clasificacin y control de los datos
Seguridad de las personas
Seguridad fsica y ambiental
Plan de contingencia
Prevencin y deteccin de virus
Administracin de los computadores
A partir de las Polticas podremos comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que sern la gua para la realizacin de las actividades.
En la siguiente figura se muestra una visin macro de cmo debe ser entendida la estructura de
polticas, normas y procedimientos de seguridad en las empresas.
Es
tra
t
Q ue?
gi
co
P olticas
T
ct
Q uien?
ic
o
D irectrices
O
pe
ra
C om o?
ci
al
on
Introduccin a la Computacin
Seguridad
Informtica
Introduccin a la Computacin
Seguridad
Informtica
Introduccin a la Computacin
Seguridad
Informtica
Reconocimiento biomtrico
Las tcnicas biomtricas presentan procesos de verificacin de la identidad basados en
caractersticas fsicas (cara, huellas digitales) o de comportamiento (registro vocal, firma a mano
alzada). Primero estas caractersticas (como ser el registro vocal) son capturadas e ingresadas al
sistema, asociadas a cada usuario respectivo. Luego, en el momento de la verificacin, la
autenticacin se produce por la comparacin del patrn almacenado y el registro realizado por el
usuario que requiere el acceso.
Esta tcnica ha evolucionado mucho, llegando a ser muy exactas, y a precios razonables (por
ejemplo un lector de huellas digitales oscila en el mercado entre los U$S150 y U$S200).
La siguiente tabla detalla las tcnicas utilizadas y sus respectivas ventajas y desventajas.
TCNICA
VENTAJAS
DESVENTAJAS
Reconocimiento de cara
Lectura de iris/retina
Muy seguro
Lectura de la palma de la
mano
Reconocimiento de la firma
Barato
Reconocimiento de la voz
b) Autorizacin
Autorizacin es el proceso de determinar qu, cmo y cundo, un usuario autenticado puede
utilizar los recursos de la empresa. El mecanismo o el grado de autorizacin puede variar
dependiendo de que sea lo que se este protegiendo. Cuando vimos clasificacin de los datos
establecimos distintos niveles para los mismos, as puede determinarse que para acceder a los
datos de cada nivel debe contarse con autorizacin de cierto nivel jerrquico.
Introduccin a la Computacin
Seguridad
Informtica
Las autorizaciones pueden hacerse efectivas por medio de una firma en un formulario o por medio
del ingreso de una contrasea especfica en el sistema, s es importante que quede registrada
para ser controlada posteriormente.
Al nivel de datos, las autorizaciones son instrumentadas de manera de asegurar la
confidencialidad e integridad, as sea otorgando o denegando el acceso a la posibilidad de leer,
modificar, crear o borrar los mismos.
La autorizacin debe ser otorgada siempre de acuerdo a la necesidad de saber, o sea el acceso a
cierto recurso se le otorgar al usuario si es indispensable para la realizacin de su trabajo, y si no
se le negar. Es posible otorgar autorizaciones transitorias o modificar las anteriormente
otorgadas a medida que las necesidades de ese usuario varen.
c) Administracin
La administracin incluye los procesos de definir, mantener y eliminar las autorizaciones de los
usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.
Los administradores son responsables de transformar las polticas de la organizacin y las
autorizaciones otorgadas a un formato que pueda ser usado por el sistema. Esta administracin de
la seguridad es un esfuerzo constante porque los negocios se encuentran en permanente cambio
dentro de la empresa, lo que repercute en sus sistemas y usuarios.
Cada uno de los sistemas operativos de redes conocidos (Windows NT, Novell) cuenta con un
mdulo de administracin de seguridad, pero igualmente existe software especfico para realizar
esta tarea.
d) Auditora y registracin
Llamamos auditora al proceso de recolectar informacin y analizarla, que permite a los
administradores u otros especialistas verificar que las tcnicas de autenticacin y autorizacin
empleadas se realizan segn lo establecido y se cumplen los objetivos fijados por la empresa.
Registrar es el mecanismo por el cual cualquier intento de violar las reglas de seguridad
establecidas queda asentado en una base de eventos que permite su posterior anlisis.
Monitorear la informacin registrada o auditar, se puede realizar mediante medios manuales o
automticos, y con una periodicidad acorde a la criticidad de la informacin protegida y al nivel de
riesgo. Es evidente que el hecho de registrar los eventos, por s solo, no brinda ninguna utilidad.
Los registros pueden ser usados por ms de una persona, para realizar chequeos de rutina o para
constatar hechos individuales, entre los que podemos citar administradores, auditores internos y
externos, consultores y gobierno.
e) Mantenimiento de la Integridad
Mantener la informacin ntegra refiere a los procedimientos establecidos para evitar o controlar
que los archivos permanezcan sin sufrir cambios no autorizados y que la informacin enviada
desde un punto llegue a destino inalterada. El mantenimiento de la integridad tambin involucra la
prevencin de cambios accidentales, lo cual generalmente se maneja por medio de cdigos de
manejo de errores.
Dentro de las tcnicas ms utilizadas para mantener (o controlar) la integridad de los datos,
podemos citar: uso de antivirus, encriptacin y funciones hash. La primera ya es muy conocida,
por lo tanto no ampliaremos el concepto. S lo haremos con las otras dos tcnicas, lo cual una vez
entendidas, nos permitir explicar el concepto de firma digital.
Introduccin a la Computacin
Seguridad
Informtica
Encriptacin
La criptografa es una ciencia que brinda distintas tcnicas capaces de transformar datos legibles
en datos no legibles, y viceversa, por medio de funciones matemticas (algoritmos).
El objetivo de convertir datos legibles en inteligibles, es prevenir ante la posibilidad que una
persona no autorizada acceda a los mismo, no sea capaz de entender su significado.
Estos algoritmos transforman texto plano en
un cdigo equivalente
(llamado texto cifrado),
para transmisiones o
almacenamiento
de
datos, utilizando una
clave. Luego, este
texto cifrado puede ser
transformado a texto
plano otra vez aplicando el mismo algoritmo y una clave.
Existen dos tipos de
encriptacin: los simtricos
(utilizan
la
misma clave para encriptar y para desencriptar) y los asimtricos (los cuales utilizan
dos claves distintas).
La robustez (capacidad de no ser burlado) del mtodo se establece por el algoritmo utilizado y por
el largo de la clave. En general, se dice que cuanto ms grande la clave ms seguro ser. Esto es
un error porque se depende del algoritmo utilizado, existen algoritmo que son ms seguros cuanto
ms chica es la clave.
Por ms que se utilizan funciones aritmtica muy complejas, el avance de la tecnologa ha permitido que sea ms fcil poder romper los cdigos cifrados (o sea interpretar el mensaje original).
Para lograr este fin, los hackers utilizan dos tcnicas: ataque por diccionario o por fuerza bruta. En
el primero se utiliza un mtodo deductivo, tratando de encontrar patrones sobre la base de
palabras en cualquier idioma, mientras que en el segundo simplemente se prueban distintas
combinaciones de caracteres hasta encontrar lo deseado.
Para terminar hablaremos de los algoritmos de clave pblica (sistema de criptografa asimtrico).
El mismo se basa en dos claves: una pblica y una privada, la pblica es conocida y se utiliza para
encriptar los mensajes y la privada es solamente conocida por el usuario que la utiliza para
desencriptarlo. Este mecanismo evita la administracin de un gran nmero de claves secretas
necesaria para los algoritmos simtricos, pero requiere un proceso para asegurar que las claves
pblicas son autnticas y pertenecen al usuario correspondiente. As, nacen las compaas
certificadoras, las cuales se encargan de certificar que una clave pertenece a tal o cual usuario y
de distribuir las mismas.
Funciones hash
Una funcin hash es una funcin matemtica compleja unidireccional que aplicada a un conjunto
de caracteres de cualquier longitud obtiene un pequeo resultado, de largo fijo, y cualquier cambio
al conjunto de caracteres origen, producir un cambio en el resultado. Se estima que para lograr
otro conjunto de caracteres distinto del anterior, que genere el mismo resultado, se requiere ms
esfuerzo que el que es capaz cualquier persona o computadora. Mediante estas funciones puedo
controlar que mi informacin no haya sido alterada, por error o intencionalmente, durante una
transmisin o durante el perodo que permaneci almacenada. Simplemente debo calcular el
resultado de la funcin hash en el momento cero, y compararlo con el resultante de aplicar la
misma funcin en otro momento, para asegurarme que la informacin se mantiene ntegra.
8
Introduccin a la Computacin
Seguridad
Informtica
Firma Digital
Hemos dejado para el final el tema de firmas digitales a propsito, debido a varios motivos. Entre
ellos estn:
- el hecho de entender los conceptos anteriormente vertido facilitar la comprensin de este
concepto.
- est tcnica es utilizada tanto para autenticacin como para el mantenimiento de la integridad
y la auditora (sin olvidar que puede avalar la asignacin de determinada autorizacin)
- el auge de la tcnica a nivel mundial y local (en la actual ley de urgencia se acaba de
incorporar una ley al respecto).
A continuacin se explica cmo funciona la firma digital.
Paso 1:
Bob quiere mandar un mensaje firmado a Alice. Lo primero que debe hacer es escribir el mensaje,
y luego procede a firmarlo.
El proceso de firmar incluye dos pasos:
- se calcula el resultado de aplicar una funcin hash al mensaje, lo cual se llamar digest
- el digest se encripta con la clave privada de Bob, y se adjunta al mensaje original.
El resultado del proceso es el mensaje ms la firma.
Paso 2
El mensaje ms la firma se encriptan para ser enviados.
La encriptacin puede ser realizado de dos maneras:
-
con una clave de una nica vez, si se usa un algoritmo simtrico (esta clave debe ser
comunicada al receptor por otra va para poder desencriptarlo)
Introduccin a la Computacin
Seguridad
Informtica
Paso 3
Alice recibe el mensaje de Bob
Dependiendo de cmo se encript proceder a:
- desencriptarlo con la clave de nica vez
- desencriptarlo con la clave privada de Alice.
El resultado obtenido es el mensaje y la firma digital.
10
Introduccin a la Computacin
Seguridad
Informtica
Paso 4
Resta verificar que realmente el mensaje fue firmado por Bob.
Para esto debemos:
- desencriptar la firma con la clave pblica de Bob, obteniendo el digest
- calcularle al mensaje recibido (mediante la misma funcin hash que utiliz Bob) el digest
Una vez terminadas las acciones anteriores, simplemente compararemos los resultado obtenidos y
de esa manera, en caso de ser iguales, verificaremos la identidad del emisor.
Para terminar y a manera de resumen diremos que las firmas digitales desarrolladas de la manera
que hemos visto proveen la misma seguridad que las firmas sobre papel tradicionales:
Autenticacin: la garanta de que un mensaje proviene de la persona que dice haberlo enviado.
Integridad: la prueba de que los contenidos de un mensaje no han sido alterados, deliberada o
accidentalmente, durante la transmisin.
No-Repudio: la certeza de saber que el remitente del mensaje no puede ms tarde negar
haberlo enviado.
Confidencialidad: la evidencia de que el contenido del mensaje no ha sido revelado a terceras
partes.
11