Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2003 07 Seguridad PDF
2003 07 Seguridad PDF
Seguridad Informtica
Desde la consolidacin de Internet como medio de interconexin global, los incidentes de seguridad
relacionados con sistemas informticos vienen incrementndose de manera alarmante. Este hecho, unido
a la progresiva dependencia de la mayora de organizaciones hacia sus sistemas de informacin, viene
provocando una creciente necesidad de implantar mecanismos de proteccin que reduzcan al mnimo los
riesgos asociados a los incidentes de seguridad. En este artculo, vamos a proporcionar una visin general
de los aspectos ms relevantes de la seguridad informtica, observando esta disciplina desde un punto de
vista estratgico y tctico. Para ello destacaremos la conveniencia de afrontar su anlisis mediante una
aproximacin de gestin, concretamente con un enfoque de gestin del riesgo. Para completar esta visin
introductoria a la seguridad informtica, mencionaremos las amenazas y las contramedidas ms frecuentes
que deberan considerarse en toda organizacin.
comprometer la consecucin de los propios objetivos, donde la uso de aplicaciones de gestin que comprometan la integridad de los
cuantificacin de los diferentes aspectos, muchas veces econmica, datos, hasta catstrofes que inutilicen la totalidad de los sistemas. Las
debe ser central. prdidas pueden aparecer por la actividad de intrusos externos a la
organizacin, por accesos fraudulentos, por accesos no autorizados,
por el uso errneo de los sistemas por parte de empleados propios, o
Gestin del Riesgo por la aparicin de eventualidades en general destructivas.
Los efectos de las diversas amenazas puedes ser muy variados.
La proteccin de los sistemas y de la informacin no suele eliminar Unos pueden comprometer la integridad de la informacin o de los
completamente la posibilidad de que estos bienes sufran daos. En sistemas, otros pueden degradar la disponibilidad de los servicios
consecuencia, los gestores deben implantar aquellas medidas de y otros pueden estar relacionados con la confidencialidad de la
seguridad que lleven los riesgos hasta niveles aceptables, contando informacin. En cualquier caso una correcta gestin de los riesgos
para ello con el coste de las medidas a implantar, con el valor de los debe implicar un profundo conocimiento de las vulnerabilidades de
bienes a proteger y con la cuantificacin de las prdidas que podran los sistemas y de las amenazas que los pueden explotar. Las propias
derivarse de la aparicin de determinado incidente de seguridad. caractersticas de las organizaciones deben influir en las medidas de
Los costes y beneficios de la seguridad deberan observarse seguridad que resulten ms adecuadas y ms eficientes en trminos
cuidadosamente para asegurar que el coste de las medidas de de costes, para contrarrestar las amenazas o incluso para tolerarlas
seguridad no excedan los beneficios potenciales. La seguridad debe conociendo en todo caso sus implicaciones.
ser apropiada y proporcionada al valor de los sistemas, al grado de A continuacin vamos a mostrar las amenazas ms frecuentes que
dependencia de la organizacin a sus servicios y a la probabilidad y deberan ser tenidas en cuenta por toda organizacin como fuentes
dimensin de los daos potenciales. Los requerimientos de seguridad potenciales de prdidas. Conviene destacar que la importancia de
variarn por tanto, dependiendo de cada organizacin y de cada una u otra amenaza vara de forma significativa entre organizaciones
sistema en particular. distintas y que debera hacerse un estudio individualizado de sus
En cualquier caso, la seguridad informtica exige habilidad para repercusiones concretas y de la probabilidad de su aparicin.
gestionar los riesgos de forma adecuada. Invirtiendo en medidas
de seguridad, las organizaciones pueden reducir la frecuencia y
la severidad de las prdidas relacionadas con violaciones de la 1. Errores y omisiones
seguridad en sus sistemas. Por ejemplo, una empresa puede estimar Los errores de los empleados al utilizar los sistemas pueden
que est sufriendo prdidas debidas a la manipulacin fraudulenta comprometer la integridad de la informacin que maneja la
de sus sistemas informticos de inventariado, de contabilidad o de organizacin. Ni siquiera las aplicaciones ms sofisticadas estn
facturacin. En este caso puede que ciertas medidas que mejoren los libres de este tipo de problemas, que pueden reducirse con refuerzos
controles de acceso, reduzcan las prdidas de forma significativa. en controles de integridad de los datos y con un adiestramiento
Las organizaciones que implantan medidas adecuadas de adecuado del personal.
seguridad, pueden obtener un conjunto de beneficios indirectos Muchas veces, simples errores pueden comprometer no
que tambin deberan considerarse. Por ejemplo, una organizacin nicamente la integridad de los datos, sino incluso puede que
que cuente con sistemas de seguridad avanzados, puede desviar la causen la aparicin de nuevas vulnerabilidades en los sistemas.
atencin de potenciales intrusos hacia vctimas menos protegidas, Este tipo de amenazas es si cabe ms relevante en las empresas
puede reducir la frecuencia de aparicin de virus, puede generar una que se dedican al sector de las nuevas tecnologas, desarrollando
mejor percepcin de los empleados y otros colaboradores hacia la e implantando sistemas, muchas veces interconectados entre
propia empresa, aumentando la productividad y generando empata diversas organizaciones. Un simple error de programacin, en la
de los empleados hacia los objetivos organizativos. administracin, o la carencia de la formacin necesaria para evaluar
Sin embargo, los beneficios que pueden obtenerse con medidas las implicaciones de seguridad de determinada aproximacin de
de seguridad presentan costes tanto directos como indirectos. desarrollo, puede causar vulnerabilidades que afecten no nicamente
Los costes directos suelen ser sencillos de evaluar, incluyendo la a las organizaciones usuarias de los sistemas, sino tambin a las
compra, instalacin y administracin de las medidas de seguridad. propias empresas que los desarrollan que se podran ver muy
Por su parte pueden observarse costes indirectos, como decremento perjudicadas en su imagen corporativa.
en el rendimiento de los sistemas, pueden aparecer necesidades
formativas nuevas para la plantilla o incluso determinadas medidas,
como un excesivo celo en los controles, pueden minar la moral de los 2. Intrusiones
empleados. Bajo esta amenaza se incluyen tanto actividades claramente
En muchos casos los costes asociados a las medidas de seguridad fraudulentas, como meras intrusiones efectuadas por determinados
pueden exceder a los beneficios esperados por su implantacin, en individuos con el nico fin de probar sus habilidades o incluso
cuyo caso una correcta gestin llevara a platearse su adopcin frente actos de sabotaje, terrorismo informtico o espionaje industrial.
a la posibilidad de simplemente tolerar el problema. Las actividades fraudulentas, incluido el robo, puede que sean las
ms preocupantes para muchas organizaciones, sobre todo para
Amenazas aquellas que tengan bienes de elevado valor, gestionados mediante
sistemas informticos. Ejemplos de este tipo de organizaciones
Los sistemas informticos son vulnerables a multitud de pueden ser las entidades financieras, los organismos pblicos que
amenazas que pueden ocasionar daos que resulten en prdidas generen acreditaciones oficiales o incluso empresas de distribucin
significativas. Los daos pueden variar desde simples errores en el o comercio electrnico, donde los sistemas informticos pueden ser
6 Actualidad TIC
susceptibles de alteracin malintencionada con objeto de obtener propia naturaleza, tormentas elctricas o actividades reivindicativas
provecho econmico. descontroladas de determinados colectivos.
Los autores de las intrusiones pueden ser tanto externos a la
propia organizacin, como internos. Es reseable destacar que
muchos estudios sobre fraudes y robos mediante tecnologas de la 4. Lgica maliciosa
informacin coinciden en sealar que la mayora de las actividades Entre estas amenazas encontramos los virus, los gusanos, los
fraudulentas son realizadas por personal vinculado a la propia caballos de Troya y las bombas lgicas. Aun existiendo diferencias
organizacin. Pueden ser empleados con acceso a sistemas o tcnicas entre ellas, el nexo comn a todas estas amenazas consiste
informacin no controlada, antiguos empleados con conocimientos en que se trata de software creado en general para causar dao.
tanto de los sistemas como de las medidas de seguridad internas o Los costes asociados a su aparicin pueden ser significativos y
personas vinculadas en cierta forma con la organizacin y que gozan varan en funcin de la virulencia de sus acciones. Pueden suponer
de determinados privilegios que muchas veces se esconden bajo simplemente prdidas debidas a la dedicacin de personal y recursos
aparentes relaciones cordiales con la propia empresa. a su eliminacin o prdidas mucho mayores si resultan afectados,
En muchos casos las intrusiones generan importantes daos corrompidos o destruidos sistemas crticos para la organizacin.
econmicos, pero en todos los casos causan una importante
sensacin de desproteccin en toda la organizacin, que se agrava si
no es posible identificar a los autores de las intrusiones, las tcnicas 5. Amenazas a la privacidad de las personas
empleadas para cometerlas o los objetivos que persiguen. La acumulacin de enormes cantidades de datos de carcter
La creciente importancia de las intrusiones maliciosas en los personal por entidades pblicas y privadas, unida a la capacidad de
sistemas informticos la podemos encontrar reflejada en el siguiente los sistemas informticos para combinar y procesar las informaciones
90000 vienen generando claras amenazas a la privacidad de los individuos.
82094 La constatacin de estas amenazas por parte de la mayora de
80000
Incidencias pases ha llevado a la elaboracin de leyes y normas que limitan el
70000 tratamiento de los datos de carcter personal.
60000 Estas amenazas no slo afectan a los individuos, sino tambin a
52658
50000
toda organizacin que manipule informacin sensible de personas.
De no observarse la legislacin vigente y en caso de no implantar
40000
las medidas adecuadas para su cumplimiento, se pueden derivar
30000 prdidas, tanto econmicas por las correspondientes multas, como
21756
20000 de imagen corporativa.
9859
10000
2573 2134 3734
6 132 252 406 773 1334 2340 2412 Medidas de Seguridad
0
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002
Figura 1: Evolucin de las incidencias intervenidas por el CERT/CC Existe un gran abanico de medidas de seguridad que pueden
(fuente: www.cert.org). reducir el riesgo de prdidas debidas a la aparicin de incidentes
grfico, donde se puede observar el alarmante incremento de en los sistemas informticos. Muchas veces al hablar de medidas
incidentes de seguridad ocurrido en los ltimos aos. de seguridad, solo se mencionan las meramente tcnicas, como
Concretamente el grfico muestra el nmero de incidentes cortafuegos, antivirus o sistemas de copias de respaldo. Sin
ocasionados por intrusiones, y comunicados al CERT, un embargo, las medidas ms efectivas suelen ser las medidas de
organismo de reconocido prestigio internacional dedicado a la gestin planteadas a medio y largo plazo desde un punto de vista
prevencin y anlisis de los incidentes de seguridad aparecidos en estratgico y tctico.
Internet. Conviene destacar que las cifras nicamente muestran A continuacin mencionaremos brevemente las medidas y
los datos comunicados al CERT, y que vienen a representar a las sistemas de seguridad ms frecuentes agrupndolas bajo dos
intrusiones efectuadas por parte de individuos externos a las propias aspectos. Medidas de gestin y medidas tcnicas. Las primeras
organizaciones. Los datos se refieren a todo el mundo, sin embargo deben ser implantadas por los gestores de las organizaciones como
tambin destacamos que las cifras provienen mayoritariamente de parte de los planes estratgicos y tcticos, mientras que las segundas
grandes empresas, asentadas fundamentalmente en los Estados se corresponden con herramientas y sistemas tcnicos diseados
Unidos, Europa y Japn. Sin embargo, pese a lo parcial de las cifras, para evitar, controlar o recuperar los daos que pueden sufrir los
no deja de resultar ilustrativa la curva de crecimiento y las magnitudes sistemas por la aparicin de determinadas amenazas de seguridad.
de los incidentes constatados.
1. Medidas de gestin
3. Accidentes y desastres Los gestores de toda organizacin deberan contemplar la
Eventualidades tan cotidianas como la simple rotura de una seguridad informtica como parte integral de las estrategias y tcticas
caera, la prdida de fluido elctrico o la rotura de equipos o corporativas. Una vez plasmada la importancia de los sistemas para
mecanismos de comunicaciones pueden tener efectos claramente la consecucin de los propios objetivos y los riesgos que puede
negativos sobre los sistemas de informacin. Debe incluso suponer para la empresa la prdida de integridad de su informacin,
contemplarse la posibilidad de aparicin de eventos ms graves, la indisponibilidad de sus sistemas o la violacin de la confidencialidad
como incendios, atentados terroristas, inundaciones causadas por la
Artculos Tcnicos 7
de su informacin, pueden plantearse con mayor rigor el resto de sistemas de autenticacin biomtricos basados en el reconocimiento
medidas encaminadas a servir a los objetivos empresariales. mecanizado de caractersticas fsicas de las personas. Por ltimo,
Emanando de la vertiente estratgica de la informacin y de todo esquema de seguridad debe contemplar en una u otra medida el
los sistemas corporativos, suelen generarse dos herramientas de cifrado de informacin sensible. A veces puede ser suficiente el cifrado
gestin no menos importantes: las polticas de seguridad y el plan de de las contraseas, mientras que en otras resulta imprescindible el
contingencia. cifrado de las comunicaciones y de las bases de datos.
Las polticas de seguridad de una organizacin son las normas Como medidas ms avanzadas, podemos mencionar la
y procedimientos internos que deben seguir los integrantes de la esteganografa, la deteccin de vulnerabilidades y la deteccin
organizacin para respetar los requerimientos de seguridad que de intrusos. Las tcnicas esteganogrficas tratan de ocultar
deseen preservarse. Debe describirse la criticidad de los sistemas y informacin. A diferencia de la criptografa, que trata de hacer
de la informacin, los roles de cada puesto de trabajo y la mecnica indescifrable la informacin, la esteganografa trata de evitar que
de acceso a los sistemas, herramientas, documentacin y cualquier siquiera se note su existencia. Por ejemplo las empresas dedicadas
otra componente del sistema de informacin. Resulta frecuente a producir documentos digitales, pueden estar interesadas en incluir
desglosar las polticas de seguridad en procedimientos detallados determinada marca invisible de forma que sea demostrable su autora
para cada componente del sistema de forma individualizada, as por y puedan perseguirse copias ilegales.
ejemplo, pueden crearse documentos que describan las polticas de Las herramientas de deteccin de vulnerabilidades suelen verse
tratamiento de correos electrnicos, polticas de uso de Internet, de como herramientas de auditoria, que pueden mostrar las vas que
copias de respaldo, de tratamiento de virus y otra lgica maliciosa, con mayor probabilidad utilizaran los intrusos para acceder a los
polticas formativas en materia de seguridad para la plantilla, etc. sistemas. Por ltimo, los sistemas de deteccin de intrusos tratan de
Conviene destacar que las polticas de seguridad deben emanar de descubrir, muchas veces en tiempo real, accesos no autorizados a
la estrategia corporativa y que se trata de documentos que deberan los sistemas, tanto desde el exterior de la organizacin, como desde
conocer todos los integrantes de la plantilla. dentro de las propias instalaciones de la empresa.
Por su parte, el plan de contingencia describe los procedimientos
que deben seguirse ante la aparicin de eventualidades significativas
que puedan suponer graves consecuencias para la organizacin. Debe Seguridad en el Instituto Tecnolgico de
detallarse los pasos a seguir, por ejemplo en caso de destruccin total Informtica
de los sistemas por inundacin, fuego, etc. Muchas veces la simple
elaboracin del plan descubre defectos en los sistemas que pueden El rea de Sistemas Fiables del Instituto Tecnolgico de
ser paliados con relativa facilidad. Por ejemplo puede descubrirse Informtica, centra su trabajo en la investigacin y desarrollo de
que no se mantienen copias de respaldo de informacin crucial para entornos orientados a aumentar la fiabilidad y la disponibilidad,
la empresa en lugares fsicamente seguros, o al menos en lugares donde la seguridad informtica se plantea como uno de los ejes
distantes a la ubicacin de los sistemas susceptibles de daos. fundamentales.
En esta rea vienen realizndose proyectos de consultora
y auditora de seguridad informtica, cubrindose los aspectos
2. Medidas tcnicas estratgicos, tcticos y tcnicos de los sistemas informticos.
Existen innumerables herramientas y sistemas de seguridad El objetivo de estos proyectos consiste en la elaboracin de un
orientadas a preservar la integridad, confidencialidad y disponibilidad procedimiento de consultora utilizable por terceras empresas
de informacin y sistemas. La oferta en este sentido es muy numerosa consultoras.
y toda organizacin debera dedicar un esfuerzo significativo a su Adems de la consultora, se estn desarrollando diversos
estudio y seleccin. En este breve artculo, ms que describir con proyectos de investigacin y desarrollo, entre los que destacan
detalle todas las herramientas y medidas de seguridad aplicables IntruDec y TigerWeb. El primero consiste en un sistema de deteccin
y sus variaciones disponibles en el mercado, nos limitaremos a de intrusos basado en el reconocimiento de patrones de conducta
mencionar las tcnicas ms utilizadas, apuntando finalmente algunas sospechosos, observables al analizar el trfico en la red y al analizar
de las ms novedosas. la actividad de los equipos informticos. Por su parte, TigerWeb es
Entre las tcnicas ms consolidadas encontramos las copias una herramienta de deteccin de vulnerabilidades perimetrales. Con
de respaldo, los antivirus, los cortafuegos, los mecanismos de esta herramienta se puede obtener una visin aproximada de las vas
autenticacin y la criptografa. Las copias de respaldo y en general ms fcilmente explotables por potenciales intrusos para acceder a
cualquier forma de redundancia, se encaminan a garantizar la los sistemas desde el exterior de la organizacin.
disponibilidad de los sistemas frente a cualquier eventualidad. Por ltimo, el grupo de Sistemas Fiables tambin se encuentra
Los antivirus pretenden evitar la aparicin de lgica maliciosa y inmerso en la investigacin de las implicaciones de seguridad que
en caso de infeccin tratan de eliminarla de los sistemas. Entre los tiene el empleo de sistemas inalmbricos y mviles, estudiando entre
antivirus conviene destacar aquellos que inspeccionan los correos otros los mecanismos de autenticacin, cifrado, encaminamiento y
electrnicos evitando la infeccin de sus destinatarios. Por su parte, las arquitecturas software ms convenientes donde se contemple la
los cortafuegos tratan de reducir el nmero de vas potenciales de seguridad desde el punto de vista particular de este tipo de entornos.
acceso a los sistemas corporativos desde el exterior, estableciendo
limitaciones al nmero de equipos y de servicios visibles. Otra de
las tcnicas imprescindibles en toda organizacin la forman los Autor: Pablo Galdmez
mecanismos de autenticacin. Estos mecanismos pueden variar Para ms informacin sobre Seguridad Informtica:
desde esquemas simples basados en los pares usuario contrasea, seguridad@iti.upv.es
hasta complejos sistemas distribuidos basados en credenciales o