Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDIENCIA.
Este libro está dirigido a todos aquellos que están preocupados, o simplemente
quieren saber más acerca de la seguridad en sistemas de información. A todos los
que han sido estafados, robados o crackeados. A todos los que usan de contraseña
el nombre de su novia, a los que ponen en un post-it su número de cuenta, a los
que quieren preservar su intimidad, a los domingueros inventores de algoritmos de
cifrado, a los que consiguieron presupuesto para un cortafuego y a todos los hacker
(no confundirlos con los cracker).
1
INTRODUCCIÓN Y ESTRUCTURA.
Hay varios aspectos de la seguridad, siendo la seguridad en sistemas de
información una de las más estudiadas y que está más de moda. Este libro habla
de cómo conseguir y mantener la seguridad en el contexto de una organización,
centrándonos, sin limitarnos a ellos, en los sistemas de información.
Como dijo Yogi Berra. "en teoría no hay diferencia entre teoría y práctica. En la
práctica, si la hay".
2
Aunque podamos considerar que tener algún accidente es inevitable, que sea
“normal”, no debe hacer que nos resignemos. Se puede hacer mucho para prever y
evitar accidentes, errores y ataques. Aunque la seguridad total no sea posible
debemos conseguir la mayor posible con los medios de que disponemos.
Pero si queremos alcanzar un grado de seguridad lo más parecido posible a una
seguridad total, no tiene sentido dar soluciones parciales. Si tenemos unas medidas
de seguridad excelentes en nuestros sistemas de información, pero
• personas incompetentes tienen derechos excesivos sobre el sistema, o
• cualquiera puede robar un ordenador en el que hay información importante,
el resultado es tan malo como no hacer nada. En otras palabras, desde el punto de
vista de la seguridad somos tan fuertes como nuestro eslabón más débil.
Existe una diversidad de opiniones notable respecto del número y definición precisa
de estas cinco características. Esta lista, independiente del contexto, a veces se ve
reducida a tres puntos, pero raramente se amplía a más de cinco. Con frecuencia
se confunde confidencialidad de la información con el secreto de esta.
¿Podemos decir si este usuario está seguro? Probablemente sí, a condición de que
sus contraseñas no sean cacheadas ni espiadas, ni las tenga anotadas, y haga
copia de respaldo en un disquete de los archivos con que ha trabajado
recientemente, en otras palabras, de que tome medidas que ayuden a que sus
expectativas se cumplan.
• Una organización que produce con calidad “Hace las cosas bien”,
• una organización que produce con seguridad y calidad “Hace las cosas
siempre bien”.
Los fraudes telefónicos en que alguien pone una línea a nombre de otra persona, y
usándola de locutorio ilegal gasta varios miles de euros, que la compañía reclama
luego a la inocente víctima, ¿pueden considerarse entonces como un problema de
seguridad, o de calidad?
6
Si utilizamos la falsabilidad de Popper. La calidad es falseable, esto es,
encontrando un caso negativo podríamos demostrar que la calidad no se ha
alcanzado, pero este no es el caso de la seguridad. Si realizamos una serie de
pruebas en un momento dado, eso no nos garantiza que vuelvan a tener éxito
dentro de un tiempo. Lo más que se puede decir de la seguridad en ausencia de
ataques, errores o accidentes conocidos es “ha habido seguridad hasta ahora”.
7
Una compañía que fabrica yogures está ofreciendo calidad cuando el cliente
está satisfecho por el precio que paga, y ofrece seguridad cuando a pesar
de inundaciones, hurtos en la organización, sabotajes, espionaje, o fallos en
la maquinaria, el yogur sigue llegando al cliente con la calidad de siempre.
Para hacer más probable que se cumplan nuestras expectativas, y por consiguiente
tener mayor seguridad, debemos poner medidas lo más económicas posible, y
que no perjudiquen la misión de la organización. Estas medidas idealmente
deben
• contrarrestar las amenazas previsibles, y
• al menos neutralizar las amenazas imprevisibles.
De niño te dicen cosas como "si te limpies los dientes, tendrás los dientes
sanos." Con esto no se refieren a que te limpies los dientes una vez, sino a que
hagas de ello una costumbre. De igual modo existe una larga serie de
prácticas de seguridad que cualquier organización puede aplicar, y que debe
elegir dependiendo de sus expectativas y sus medios.
9
• Por un lado la prevención se suele basar en un conjunto ciego de amenazas,
sin tener en cuenta previamente cuales son las expectativas que se
protegen, y sin valorar que expectativas son más importantes que otras.
Cuando esto sucede, los profesionales de la seguridad dedican sus
esfuerzos a las amenazas más populares, y a las medidas de seguridad más
atractivas, como los cortafuegos.
• Por otro lado, la detección y respuesta a incidentes se centra muchas veces
más en contrarrestar el hipotético ataque que en hacer que el impacto sea
nulo, lo que en muchos casos es preferible.
Desarrollar una teoría de seguridad despegando los pies del suelo y sin reflexionar
en cómo llevarla a la práctica es hacer filosofía, y la seguridad es muy filosofable,
pero es un conocimiento inútil en un ámbito teórico.
10
Iremos exponiendo docenas de definiciones, que son útiles para saber sobre que
estamos hablando y para aclarar un concepto que todos tenemos intuitivamente. El
valor principal de las definiciones es mejorar nuestra comprensión de la seguridad,
y extraer conclusiones prácticas de lo que aprendemos.
De todo esto hablaremos en los siguientes capítulos. Cuáles son nuestras expectativas (Capitulo
1), qué puede impedir que se cumplan (Capitulo 2), y que medidas podemos poner para ayudar a
que se cumplan (Capitulo 3). El Capítulo 4 propone un modelo para conocer el estado del
mantenimiento de seguridad en una organización, y poder planear mejoras sobre este. El nivel de
detalle alcanzado debería ser suficiente para una comprensión correcta de cada aspecto sin
necesidad de ser un especialista, y para despertar la curiosidad del lector, que puede profundizar
sus conocimientos con ayuda del anexo “Para saber más”.
Como se puede apreciar en esta introducción se utiliza la palabra organización para referimos
tanto a cualquier empresa como organizaciones sin anima de lucro y las distintas administraciones.
11
12
Las expectativas de una organización son básicamente cinco:
• Cumplimiento de la misión de la organización.
• En caso de negocios, su rentabilidad.
• Continuidad de la organización.
• Cumplimiento de sus compromisos.
• Cumplimiento de regulaciones.
Siempre que se realiza una clasificación existe una tensión en cuanto al número de
categorías. Cuando utilizamos un número pequeño de categorías,
• son fáciles de gestionar y comprender y
• la clasificación supone un proceso sencillo, pero
• podemos extraer conclusiones relativamente pobres de la clasificación.
Si por el contrario usamos demasiadas categorías, con una clasificación más
flexible y granular, si bien
• extraemos conclusiones precisas de la clasificación,
• hacemos está difícil, llegando en algunos casos a tener dudas acerca de la
correcta clasificación de un elemento.
13
Clasificación de las Expectativas de una Organización.
• Continuidad de los activos. Esperamos que
- la organización, nuestros
- activos y
- servicios
existan siempre, y no sean destruidos o dejen de estar disponibles.
Aquellos activos ante los que tenemos mayores expectativas
son los activos críticos.
14
Clasificación de las Expectativas de una Organización.
• Integridad. Esperamos poder comprobar que la información suficientemente
importante sea
- correcta,
- completa y
- relevante al contexto.
• Protección contra el fraude. Esperamos poder impedir que un actor
interno o externo se aproveche de los procesos y activos de la
organización.
• Protección de derechos de autor (en algunos casos, propios, en otros
ajenos). Posibilidad de
- demostrar la autoría propia de la información,
- evitar
§ el uso no autorizado de productos de los que somos autores, y
§ la violación de derechos de autor por parte de miembros de la
organización.
• Protección jurídica. Esperamos cumplir y poder demostrar nuestro
cumplimiento de regulaciones y contratos, y si la otra parte los cumple o
no.
• Partición de responsabilidades. Esperamos
- que todas las responsabilidades de la organización sean cumplidas
por alguien en todo momento,
- que nadie ejerza responsabilidades que no le corresponden, y
- que nadie tenga una responsabilidad por encima de su
competencia.
• Rentabilidad y Eficiencia. Esperamos que nuestra inversión en activos
sirva a la misión de la organización,
- sea mejorando o manteniendo su
§ rentabilidad,
§ calidad o
§ seguridad,
- y que el uso de recursos sea racional.
• Rendimiento. Esperamos que los servicios superen determinados
umbrales de trabajo en términos significativos para la organización. Por
ejemplo, esperamos que el proceso de facturación dure menos de un mes.
• Disponibilidad. Esperamos poder controlar cuando los activos y
servicios están disponibles,
- estándolo cuando sean necesario, y
- que no estén disponibles cuando queramos interrumpir el servicio o
eliminar el activo.
15
Clasificación de las Expectativas de una Organización.
16
Clasificación de las Expectativas de una Organización.
17
1.1. ACTIVOS.
Un activo es cualquier propiedad o medio utilizado por la organización para
realizar o mantener sus procesos. En concreto se consideran como activos:
18
El almacenamiento y distribución de activos constituyen un ámbito de
seguridad específico.
• Cuando distribuimos un activo esperamos que no se pierda, y que llegue al
destinatario designado.
• Cuando almacenamos un activo, esperamos que no sea robado.
Las expectativas deben tenerse en cuenta desde los estados iniciales del ciclo de
vida de un sistema de información, expresados como requerimientos genéricos
de seguridad para el desarrollo interno o por terceros de software. Cuando las
consideraciones de seguridad, que no están directamente relacionadas con la
función del activo, no se tienen en cuenta nos encontraremos parcheando
continuamente los sistemas de información.
19
Las funciones elementales que realizan los sistemas de información son
ü el proceso, P
ü el almacenamiento, A
ü la comunicación y C
ü la entrada/salida de información. ES
Sobre estas funciones elementales y a través del sistema operativo y las
aplicaciones,
o se mantiene la información,
o se envían los mensajes y
o se ofrecen los servicios con valor para la organización.
20
• La comunicación. Es la función elemental de los sistemas de
información, que pasa datos binarios de un sistema de
información a otro. Es la función elemental más compleja con
diferencia, y con frecuencia se estudia sólo la seguridad de las
comunicaciones, como representativa del conjunto de problemas de
seguridad. Podemos realizar comunicaciones a nivel físico
mediante
- redes de conmutación de circuitos, o
- comunicaciones establecidas mediante medios lógicos en las
redes de conmutación de paquetes.
COMPONENTES Y SU GESTIÓN .
Los sistemas de información son muy modulares en sus aspectos lógico y
físico, dividiéndose en numerosos componentes. La relación entre los
componentes de un sistema de información puede ser de
• conexión, cuando participan en algún modo en el traslado o
comunicación de información, y
• adyacencia, cuando comparten parte de un recurso.
21
SERVICIOS Y ACCESOS.
Los servicios ofrecidos
• por el sistema operativo o
• por las aplicaciones
producen resultados con valor para el usuario y pueden necesitar uno o
varios accesos que emplean funciones elementales, como puede ser
• la lectura de un archivo en un sistema de archivos o
• el envío de un paquete a través de la red.
Las funciones elementales como
• la lectura de un archivo,
• el envío de un mensaje,
• la realización de un cálculo, o
• la impresión de un listado
pueden requerir de uno o varios accesos a activos del sistema de
información. Por ello usaremos servicio como sinónimo de acceso.
INTERFACES.
Los interfaces de usuario actuales están mayoritariamente basados en
ventanas y líneas de comandos. En la prehistoria de los ordenadores se
utilizaban
• teletipos,
• consolas y
• luces indicadoras.
Cuando un servicio se ofrece a un usuario, y no a otro sistema de
información, este proporciona sus resultados a través de un interfaz.
22
RECURSOS.
Los servicios se proveen mediante el uso de recursos.
• Un recurso se caracteriza por estar disponible en cantidad limitada y
bastante rígida.
• Un recurso no sólo se utiliza, sino que se consume temporalmente, no
estando disponible excepto para lo que se le está utilizando en un
momento dado.
Una de las funciones principales de un sistema operativo es la asignación de
los recursos de la máquina.
• La memoria.
• Los ciclos de procesador.
• El espacio en disco duro.
• El ancho de banda.
• El espacio de nombres.
• El espacio de direcciones.
• El espacio físico (rack, puesto de trabajo, etc.).
• Las conexiones.
• Los periféricos.
ESTÁNDARES.
• la cantidad de datos. C
• la utilidad de los datos. U
• la sorpresa de los datos. S
• la improbabilidad de los datos. I
Para ayudar al equilibrio del medio físico, esto es, que haya un equilibrio
entre los estados físicos equivalentes al bit cero y al uno, a veces se
utilizan codificaciones que aleatorizan los datos para equilibrar la cantidad
y frecuencia de los unos y ceros almacenados o transmitidos por el medio
físico. Esta codificación se conoce como codificación de línea y se utiliza,
por ejemplo, en los modem.
26
o ASCII sólo representa los caracteres utilizados en inglés, mientras que
o Unicode define un juego de caracteres universal, que representa
prácticamente todos los caracteres existentes en todos los idiomas del
mundo.
Dos tipos especiales de texto son el código fuente y el código script que
pueden traducirse en instrucciones de bajo nivel que definen con precisión
como se procesa la información o se provee un servicio. Como tales
instrucciones de bajo nivel, los datos toman tres significados:
Ø información a manipular,
Ø instrucciones de qué hacer, y
Ø direcciones para localizar información o más instrucciones.
La diferencia entre código fuente y código script es que
• el código fuente se traduce mucho antes de usarse, mientras que
• el código script se traduce en el momento en que se utiliza.
27
Algunos sistemas de información sufren de limitaciones a la hora de manejar
datos. Dos limitaciones frecuentes suelen ser
• el bloque mínimo de información que pueden manejar (1, 2 o 4 bytes) y
• qué juego de caracteres pueden manejar.
Eso hace que cuando queremos comparar, agregar u operar con conjuntos
de datos que están en formatos distintos, nos vemos obligados a interpretar
los formatos manualmente.
MENSAJES.
28
PROTOCOLOS Y LOS NIVELES OSI.
Los sistemas de información utilizan una serie de abstracciones para ocultar
los detalles de operación a los usuarios finales, de modo que su uso y
administración sea lo suficientemente sencilla y comprensible. Estas
abstracciones forman una pila, que para la transmisión de mensajes
teóricamente se divide en siete niveles, aunque pueden ser menos en la
práctica.
TÉCNICO.
El técnico es el actor que administra los sistemas de información.
PROPIETARIO.
El propietario es el actor que posee los sistemas de información, para
utilizarlos en sus objetivos de negocio u operaciones.
USUARIO.
El usuario es el actor que utiliza los sistemas de información. Se
informa acerca de, o utiliza, un activo, mediante derechos cedidos por
su propietario.
AGENTE.
Un agente es un proceso del sistema de información que actúa como
delegado de un usuario, sin intervención continua del usuario en sus
operaciones.
30
ATACANTE PROPIO O INTERNO.
Un atacante es un actor que provoca o intenta provocar un daño en
los activos. Dependiendo de su
• motivación,
• capacidad técnica y
• recursos
puede suponer un riesgo más o menos alto. Es interesante prever los
recursos de que verosímilmente pueda disponer, dado que utilizaremos
siempre medidas que requieran una cantidad de recursos no disponible
para cualquier atacante verosímil. Los atacantes internos pueden ser
espías o con frecuencia miembros de la organización descontentos.
1.1.4. PRODUCTOS.
Todo resultado de una organización puede considerarse un producto.
Algunos productos tienen una entidad física, como puede ser una lavadora o
una bebida refrescante, y otros no, como pueden ser noticias por la Web.
Cuando un producto es físico puede haber expectativas como que el
producto no sea destruido ni modificado hasta su llegada al distribuidor o
cliente final.
Entre los actores ajenos que forman parte del entorno tenemos a
• los reguladores,
• los clientes,
• los accionistas y
• los suministradores.
El entorno técnico puede ser tanto Internet, como otros sistemas con los que nos
interconectamos.
• Localizaciones.
• Clima en cada localización.
• Medios de transportes disponibles.
• La geografía.
• La geología.
El entorno físico no siempre es estable. Hay grandes cambios de
• humedad,
• temperatura,
• vientos y
• catástrofes varias
que pueden afectar a nuestra organización.
32
Si nuestros clientes están satisfechos. Las posibilidades de que nuestra
organización cumpla con sus expectativas de rentabilidad aumentarán, y en
caso contrario puede producir la desaparición de la organización.
ATACANTE AJENO.
• motivación,
• capacidad técnica y
• recursos.
AUDITOR.
El auditor es el actor externo que se encarga de comprobar de forma
independiente nuestro cumplimiento de regulaciones y aquellos
estándares a que nos sometamos voluntariamente, como puede ser
ISO 9000.
CLIENTE.
Un cliente es el destinatario de nuestros productos y servicios. Un
consumidor es el cliente para el que somos suministradores, es decir
no sólo es cliente nuestro, sino que nuestro producto es un suministro
para ese cliente.
SUMINISTRADOR.
Un suministrador es quien nos proporciona los suministros que
precisamos para nuestras operaciones.
• Fiscales.
• Protección de datos personales.
• Seguridad en el trabajo.
• Regulaciones propias del sector productivo (banca,
telecomunicaciones, electricidad, etc.).
REGULADOR.
Los reguladores son quienes tienen poder de elaborar normativas y
leyes que afecten a la operación de la organización, o de comprobar su
cumplimiento. Sus expectativas son que cumplamos con la regulación,
comprobar este cumplimiento, y poder sancionarnos en caso de
incumplimiento.
34
35
36
Existe en la literatura de seguridad una serie de términos muy conocidos, como
Amenazas, Vulnerabilidades y Riesgos. Estos términos son valiosos, dado que
nos permiten realizar un análisis de la realidad del que podemos extraer
conclusiones sobre donde aplicar nuestros esfuerzos. Ahora bien, estos conceptos
sufren de varios problemas prácticos, siendo el principal de ellos que no suelen
poderse medir cuantitativamente, y que la contabilidad de ahorros no tiene una
traducción práctica precisa. Como ejemplo de contabilidad de ahorros, si alguien te
dice que ahorró un euro porque fue a la universidad corriendo en vez de en autobús
podríamos replicar que la próxima vez corra en lugar de coger un taxi y ahorrara
cinco. Del mismo modo al calcular los ahorros producidos por medidas de
seguridad es fácil llegar a cifras sin significado real.
37
Al hacer una predicción mediante probabilidades estamos suponiendo
• que el futuro se parece al pasado y
• que las condiciones externas no cambian.
38
En resumen:
39
Sin embargo, cuando una vulnerabilidad no se publica, la duración de la
ventana de oportunidad puede ser tan larga como quiera el descubridor. Si
bien
• el número de ataques a corto plazo es inferior,
• a largo plazo la ventana de oportunidad no se cierra, y todos los sistemas
vulnerables continúan teniendo una puerta trasera abierta para el círculo
conocedor de la vulnerabilidad.
La seguridad por oscuridad lleva a largo plazo a que no podamos
prepararnos para detectar y contrarrestar los ataques contra nuestros
sistemas.
Pero si el fabricante
• nos ignora,
• va contra nosotros, o incluso
• intenta silenciarnos,
la situación puede ir a peor, especialmente para nosotros. Luego, hay que elegir:
• avisamos anónimamente,
• les damos un tiempo para corregirlo, y por ultimo lo revelamos, o bien
• contactamos directamente con ellos y nos arriesgamos a que nos echen
a los leones.
40
La carencia de un proceso de publicación de vulnerabilidades ha llevado a
dificultades tanto a los administradores de sistemas, como a los fabricantes,
como a los hackers que las descubren. Una asociación de fabricantes, la
Organization for Internet Safety, ha propuesto un proceso formal que
pretende
• resolver esta carencia,
• evitar conflictos y
• proteger los intereses de todos los participantes.
41
2.2. NOMENCLATURAS.
Las nomenclaturas nos permiten reconocer algo como único y distinto de otra cosa.
Algunas nomenclaturas son
• la utilizada por el Common Criteria, de características de productos de
seguridad,
• el CVE y el BugtraqID, que son nomenclaturas de debilidades.
Hay más glosarios de términos, como
• el Glosario de la NSA, y
• el ISO SC 27 N 2776.
2.3. AMENAZAS.
Las amenazas son cualquier circunstancia potencial que pueda afectar a
• los procesos y
• las expectativas
de la organización. Para proteger estas expectativas debemos
o identificar, evaluar y prever que amenazas pueden afectar a su
cumplimiento continuado, y
o ser capaces de medir, sea cuantitativa o cualitativamente, la posibilidad y
probabilidad de materialización de esas amenazas.
42
2.4. AMENAZAS TERCIARIAS.
Las amenazas terciarias pueden clasificarse de muchas formas. Una posible
clasificación es dividirlas en
• accidentes,
• ataques y
• errores. (A partir de aquí nos referiremos a las amenazas terciarias
simplemente como amenazas.)
o Los ataques tienen siempre detrás a un actor con una determinada
motivación, medios y capacidad.
o Los accidentes suelen ser naturales, como puede ser un terremoto o
el fallo de un disco duro por el uso.
o Los errores pueden ser naturales, pero también se pueden manipular,
como puede ser un cracker que genera un coredump en un sistema
que está atacando.
El motivo para realizar esta clasificación es que facilita las decisiones acerca de
qué medidas tomar para mitigarlas.
• Cuando una amenaza es un accidente la única forma de evitarla del todo
consiste en eliminar la oportunidad.
• Cuando una amenaza es un error, se pueden tomar medidas para prevenirlo,
pero pocas veces podremos actuar sobre la oportunidad.
• Cuando la amenaza es un ataque podemos idear medidas de seguridad para
prevenirlo, y podremos limitar las oportunidades de ese ataque.
43
2.4.1. ATAQUES.
Los ataques son incidentes provocados por actores externos o internos.
Aunque se puede hacer un estudio teórico de los atacantes, sus intenciones,
motivaciones, etc., como defensores sólo nos preocupan dos cosas:
• de que recursos disponen, y
• que pueden intentar hacer.
Conocer los posibles recursos y oportunidades de que dispone el atacante
nos permitirá estimar que recursos se dedicarán a un ataque.
ESPIONAJE.
El espionaje consiste en el acceso ilegitimo sea físico o lógico, a
• la información,
• mensajes y
• servicios de la organización.
El objetivo último del espionaje suele ser la revelación de
secretos.
Espionaje.
• Escuchas.
• Lectura o copia de información.
• Lectura de mensajes o información cifrados.
• Suplantación, intermediario, reproducción.
• Análisis de Tráfico.
Escuchas.
Cuando se transmiten mensajes por un canal no protegido, o un
atacante consigue acceso a un canal protegido, este puede
acceder a los mensajes transmitidos. Para protegernos de esta
amenaza podemos dificultar el acceso al medio de
comunicación, como por ejemplo
• usando fibra Óptica, o bien
• cifrar nuestras comunicaciones.
44
Los equipos de entrada/salida emiten radiaciones
electromagnéticas que pueden ser interceptadas por sistemas
como TEMPEST. Para protegemos de este tipo de escuchas
debemos usar apantallamiento, bien
• de los equipos, bien
• del local en que se trabaja.
45
Es curiosa la pobre barrera que supone codificar por sustitución,
utilizando un símbolo para significar otro, supone para el
criptoanálisis, dado que la información es por naturaleza muy
ordenada, lo que resulta sencillo comprobar sin necesidad de
tener una comprensión de la información. Sin necesidad de usar
conceptos matemáticos, cuando vemos caracteres en un idioma
cuyo alfabeto no conocemos, todavía somos capaces de ver que
hay cierta estructura.
46
Un ataque de reproducción se produce cuando alguien
escucha una comunicación, y la reproduce después, produciendo
el mismo efecto que si fuera el agente original. Para evitarlo la
autenticación de una fuente debe tener componentes que
impliquen el uso de tiempo real.
Análisis de tráfico.
El análisis de tráfico es una amenaza poco conocida. Cuando
se produce una comunicación, si alguien la escucha, y está
cifrada más allá del alcance de cualquier criptoanálisis, el espía
puede llegar a saber al menos,
• de donde viene,
• a donde va,
• cuantos datos se han transmitido, y
• cuando empezó y termino la transmisión.
De estos hechos se pueden sacar conclusiones con utilidad para
el espía, como fue el caso de la primera guerra mundial, en que
el ejército francés llegaba a veces a predecir con éxito la zona en
que vendría una ofensiva próxima gracias al aumento de
mensajes por radio en esa zona.
SABOTAJE.
El sabotaje es un ataque destructivo, con el que se intenta producir
el máximo daño posible. La protección más efectiva ante esta
amenaza es
• la eliminación de oportunidades, y
• el uso de medidas de reducción del impacto.
47
Cuando se acompaña de extorsión, hablamos de Chantaje.
Sabotaje.
• Interrupción borrado
• Modificación y Generación malintencionada de
datos o información.
• Denegación de servicio (Negación de recursos).
• Terrorismo.
Interrupción, Borrado.
La interrupción de un mensaje o un servicio, o el borrado de
información es autoexplicativa.
48
Para protegerse de estas amenazas se utilizan firmas digitales y
control de accesos, de los que hablaremos más tarde.
49
Terrorismo.
La amenaza del terrorismo, desde el punto de vista de la
seguridad en sistemas de información, consiste en la
destrucción de los sistemas y la muerte o heridas del
personal que compone la organización.
50
Lo cual nos conduce a los posibles problemas:
• Podemos olvidar la contraseña.
• Alguien puede ver como la tecleamos o espiar lo que
tecleamos indirectamente. Un tipo de programas llamados
keyloggers graba todo lo que tecleamos en un archivo, de
modo que puede leerse la contraseña posteriormente.
También se puede grabar a la víctima en video, y pasar
después la grabación a cámara lenta para deducir que ha
tecleado.
• El sistema en que tecleamos puede transmitirla
subrepticiamente a un tercero.
• Las contraseñas pueden ser legibles en el tránsito entre
nuestro computador y un servidor. No son raros los protocolos
que envían sus contraseñas en claro por la red, como telnet o
SNMP. Es por esto que toda contraseña que viaje por
protocolos no cifrados debemos considerada como, en
principio, no confidencial.
• Alguien puede hacer un ataque por fuerza bruta, es decir,
probar todas las contraseñas posibles hasta dar con la
correcta.
• Alguien con acceso al sistema puede averiguar la contraseña,
dado que esta debe estar almacenada de algún modo para
poderla validar. Lógicamente, para comprobar si nuestra
contraseña es correcta, el sistema puede necesitar almacenar
su propia copia de esta para después poder compararla.
51
• Transmitir la contraseña por un canal seguro, y transmitir en
lugar de la contraseña una prueba de que la conocemos.
Esta prueba puede utilizarse por ejemplo en una
autenticación por desafío y respuesta, o enviando una
prueba de que se conoce la contraseña, como puede ser un
hash de esta.
• Se puede almacenar una prueba del conocimiento de la
contraseña, como un hash, en lugar de la contraseña en sí
misma.
• Se pueden registrar los intentos fallidos de autenticación,
limitar el número de estos e introducir un retraso entre
intentos fallidos. Una posibilidad es duplicar el tiempo entre
intentos de autenticación por cada fallo consecutivo.
52
• No debe pertenecer obviamente a nuestro entorno. No
debe estar relacionada con nuestra
o familia,
o gustos,
o aficiones,
o actualidad, o
o terminología profesional
• Debe tener caracteres diferentes de los habituales, como
o mayúsculas o
o números a mitad de palabra.
COMPROMISO DE CLAVES.
El compromiso de claves o credenciales es una de las amenazas con
consecuencias más serias, debido a que en muchas ocasiones, no sabremos
que el compromiso se ha producido. No tiene nada que ver que alguien
fuerce la entrada de mi casa, con que tenga llaves con las que puede
entrar y salir cuando quiera como si fuera yo mismo. El compromiso
de una credencial o una clave permite que un atacante pueda
actuar suplantándonos, con lo que
• no solamente adquiere la misma capacidad que tenemos, sino que
• puede no resultar sencillo que demostremos que no somos los
autores de las acciones de quien roba nuestra contraseña o llave.
55
CÓDIGO MALICIOSO.
La mayor parte del código malicioso se aprovecha de una
característica fundamental de la arquitectura de ordenadores: un dato
puede ser tanto
• información del usuario, como
• instrucciones de la máquina, como
• direcciones en la memoria de esta.
Tanto los ataques a la pila como el “format string” sustituyen datos
• como direcciones (ataques a pila),
• como instrucciones (format string) por información de usuario,
que adquiere un control del sistema fuera del control de los
controles de accesos.
56
Otros "gusanos" utilizan correo electrónico para propagarse,
atravesando cortafuegos sin ninguna cortapisa. Son mensajes con
archivos adjuntos ejecutables, que al ser abiertos por el usuario se
reenvían automáticamente a todos los que estén en su libreta de
direcciones. Algunas extensiones de archivos ejecutables no son
mostradas por Windows, como “vbs”, de modo que a veces el
usuario no sabe que está abriendo un archivo ejecutable. Los
“gusanos” de macro son parecidos, pero se transmiten de una
forma más vegetativa, a través de los directorios compartidos en
una red local.
• Un exploit es un programa que toma ventaja del hecho de que en
la arquitectura actual de computadoras
§ Los datos,
§ Las direcciones y
§ Las instrucciones son más o menos intercambiables para
• provocar daños o
• ganar acceso con derechos de administrador.
• Un troyano es un programa que se mantiene oculto en el sistema
hasta que se active
§ bien por unas circunstancias preprogramadas,
§ bien por un atacante.
El atacante busca beneficiarse de uso del troyano. Por ejemplo, un
programador podría introducir un troyano que se activa si las
facturas por su trabajo no son pagadas. Los troyanos no se
propagan por si mismos de un sistema a otro. Algunos se
enmascaran como
o una aplicación inocente, como
o un juego o
o un salvapantallas.
v Un keylogger es un troyano que graba o comunica todo lo
que se teclea en un ordenador.
v Un dialer es un troyano que se conecta a través del modem
con un teléfono que nos carga la llamada.
v Una bomba lógica es un troyano que provoca grandes e
irreparables daños en el sistema. El atacante sólo busca
hacer daño, no beneficiarse.
v Adware es un troyano que muestra anuncios no deseados.
57
v Spyware es un troyano que envía información sobre
nosotros, normalmente con fines de marketing.
v Una puerta trasera es un troyano que proporciona un acceso
oculto a un sistema con privilegios que suelen ser totales.
Un rootkit es un tipo de puerta trasera que consiste en un
conjunto de programas y scripts que permite ocultar que se
ha accedido a un sistema de forma ilegítima, manteniendo
abierta una puerta trasera a este.
INGENIERÍA SOCIAL.
La ingeniería social es una de las amenazas más graves y sencilla
de explotar. Por naturaleza existe una tendencia
• a confiar en los demás y especialmente
• a seguir las instrucciones de cualquiera que aparente tener más
conocimientos técnicos que nosotros.
De eso se aprovechan los atacantes.
58
Un ejemplo es la actualización de contraseña casi automática que
realizan algunos operarios, sin una comprobación de la identidad de
quien pide el cambio. Así es posible ganar acceso a una cuenta ajena,
sin necesidad siquiera de conocimientos en informática. Para evitarlo
hay que educar a los administradores y a los usuarios con cierto
escepticismo.
HURTOS, ROBOS.
El hurto consiste en la sustracción de un activo sin violencia. Cuando
se utiliza violencia, hablamos de robo.
PERDIDA DE SINCRONÍA.
Los sistemas necesitan
• una fuente fiable de fecha y hora para marcar la hora de
eventos, e incluso para tomar decisiones instantáneas en el caso
de sistemas de tiempo real. En otras ocasiones se necesita
• una colaboración entre sistemas para realizar una tarea, como
la consolidación de una base de datos distribuida, que requiere
conocer la precedencia entre sucesos.
59
Es por ello necesario que los sistemas de una organización estén
sincronizados. Cuando una transacción, como la venta de unas
acciones, requiera una fecha y horas precisas, el sistema puede ser
vulnerable a ataques que perjudiquen esta sincronización. La falta de
sincronía puede hacer muy difícil analizar un incidente en el sistema de
información, debido a que los log suelen utilizar la hora del sistema
para datar eventos.
FRAUDES.
Los fraudes consisten en aprovechar los recursos de la
organización de forma no legítima. Un ejemplo de fraude es un timo
mediante el cual se envía material de oficina de baja calidad a una gran
organización, y después se reclama su pago. Hay organizaciones que
caen en este timo cuando ante la insistencia de hacer efectivo el cobro
y la ausencia de medios para comprobar si se trata de un envío
solicitado o quien pidió el material, se paga al estafador.
2.4.2. ACCIDENTES.
Los accidentes se deben
• a causas naturales,
• al desgaste por el uso de los elementos físicos de la organización, o
• a características físicas del medio como es el ruido.
60
CATÁSTROFES.
Las catástrofes son incidentes no provocados, como
• terremotos,
• inundaciones,
• tornados,
• rayos,
• huracanes o
• fallos de corriente eléctrica.
En ocasiones fenómenos no menos violentos pueden ser también
catastróficos, como cuando coincide una fuerte ola de calor con una
avería en la refrigeración de un Centro de Proceso de Datos.
Para prevenir este problema se podrían enviar los datos dos veces, y
que el receptor los comparase, dando la información por buena si
fueran iguales. Como esto hace que reduce la capacidad de datos
del canal a la mitad, se utilizan códigos especiales añadidos a los
datos que permiten detectar, y en algunos casos corregir, estos
errores. Gracias a estos códigos la pérdida de capacidad del canal es
mucho menor.
61
Otro ejemplo de código de redundancia se da cuando utilizamos
palabras para transmitir letras por teléfono. Cuando decimos B de
Barcelona, “arcelona” es redundante y simplemente evita cualquier
error en la identificación de la letra que queremos decir.
62
2.4.3. ERRORES.
Errar es humano, y tanto los errores como la falta de diligencia son
amenazas de este tipo. Estos errores pueden ser para realizar ataques, pero
más frecuentemente suceden sin necesidad de provocarlos. Hay errores de
diseño, de implementación, de administración...
63
En su paso por estos medios y estructuras los datos no siempre son
eliminados completamente, con lo que nos encontraremos que en
muchas ocasiones en que creemos haber borrado algo, la
información es recuperable por terceros. El hecho de que el
coredump sea una copia del contenido de la memoria ha sido utilizado
por algunos cracker, que han provocado un fallo en la máquina, y
leyendo este archivo han descubierto claves de acceso.
64
HOAX, CARTAS ENCADENADAS, SPAM.
Los fraudes (hoax) nos hacen
• perder el tiempo, y nos hacen
• perder sensibilidad ante las alarmas reales.
INTERFACES POBRES.
Las aplicaciones interactivas se usan mediante interfaces. Cuando
una aplicación está mal diseñada, es posible que el usuario realice
acciones como borrar información, confirmar acciones u otros fallos,
con consecuencias potencialmente graves. Podría pensarse que el
responsable del error es el usuario, pero cuando el interfaz no está
diseñado de modo que prevenga los errores, estamos incurriendo en
un riesgo innecesario. Para evitar esta amenaza en los aviones Airbus,
el interfaz está diseñado de tal forma que impide a los pilotos realizar
maniobras que no son seguras para al avión.
ERROR HUMANO.
A pesar de todas las medidas que se pongan para prevenirlo, siempre
es posible que el error humano aparezca, por motivos como
• falta de diligencia o
• incompetencia.
66
Algunos errores especialmente espectaculares pueden llevar a ganar
un premio Darwin, que es el premio bufo que da la página Web
www.darwinawards.com a los que mejoran especie gracias a su
desaparición, algo que se hace evidente por su estúpida forma de
morir. Un error humano típico es el que cometen los
administradores que dejan los equipos en su configuración por
defecto.
DERECHOS EXCESIVOS.
Existe un problema de derechos excesivos cuando alguien posee
derechos indebidos. En casi todos los casos los derechos excesivos
se conceden por errores de los administradores.
INCUMPLIMIENTO DE NORMATIVAS.
El incumplimiento de normativas consiste en fallos de cumplimiento de
• leyes,
• regulaciones,
• obligaciones contractuales, etc.
BAJA DE PERSONAL.
La baja de personal supone un riesgo debido al conocimiento de
• la compañía,
• sus procedimientos y
• contraseña que pueda tener esta persona.
El error más común consiste en no disponer de procedimientos de
baja que contemplen aspectos de seguridad.
VIOLACIÓN DE LA PRIVACIDAD.
Existe un fuerte conflicto entre la necesidad de autenticación y la
de privacidad. Por ejemplo, una compañía que vende coches necesita
saber quién compra, y si es necesario concederle un crédito, cuál es su
capacidad de pago. Por otra parte, el comprador puede no desear que
se sepa dónde y cuándo gasta su dinero.
Una posible medida para evitar violar la privacidad sería que cada
persona pudiera utilizar un número arbitrario de “alter ego” digitales,
teniendo cada uno asociada sólo la información personal
imprescindible para cada tipo de transacción. Otra posibilidad sería el
uso de dinero electrónico, que como el dinero común no está
enlazado con la personalidad que realiza el pago. Quizá uno de los
motivos del poco éxito del dinero electrónico es el deseo de los
gobiernos de disponer de información sobre la ciudadanía.
71
2.5. AMENAZAS SECUNDARIAS.
Las amenazas secundarias son las relacionadas con
• el ciclo de vida de los activos y
• las medidas de seguridad.
72
• La implantación efectiva de medidas de seguridad
o se concentra primero en las amenazas más probables, y
o despliega las soluciones de seguridad diligentemente.
• Para evitar implantaciones incorrectas debemos
o usar procedimientos de implantación de las medidas de
seguridad y
o auditarlas medidas periódicamente.
73
Los siguientes casos son defectos comunes de medidas de seguridad:
74
Para protegerse de esta amenaza es necesario
• tener personal competente, bien formado, y
• disponer de procedimientos detallados de la operación de las medidas
de seguridad.
75
Para prevenir esta amenaza podemos:
• Política de Seguridad. P
• Estándares de Seguridad. E
• Normas de Seguridad. N de seguridad
• Acuerdos de Seguridad A
• Procedimientos de Seguridad. P
• Plan de Continuidad de Operaciones. P
• Normas de uso aceptable. N
76
En una organización que sufre de esta amenaza
• las responsabilidades de seguridad no están definidas,
• no se eligen las mejores medidas de seguridad y
• no se mantiene el personal de seguridad óptimo.
El análisis de riesgos que realizan grandes firmas tiene muchas veces fundamentos
matemáticos sólidos, pero padecen de un problema grave: Si metes basura en un
cálculo, sale basura, y cuando los activos y la probabilidad de una amenaza son tan
difíciles de estimar, tendremos datos poco fiables para hacer las cuentas.
77
No se debe olvidar que usar estimaciones con matemáticas es como mezclar
magia con física. Las estimaciones sirven para cálculos cualitativos, no
cuantitativos.
Dado que las organizaciones utilizan el año fiscal para todo tipo de propósitos de
gestión, como el presupuesto en seguridad, utilizaremos el año fiscal como base
sobre la que medir la posibilidad y probabilidad de una amenaza. Una buena
métrica de una amenaza puede ser el número de incidentes que podemos
esperar en un año fiscal. Incluimos de este modo en un sólo numeral
• la probabilidad,
• las oportunidades (como puede ser el parque de portátiles), y
• nos ayuda a estimar qué coste le va a suponer a la organización.
Cuando el número de incidentes que podemos esperar en un año es mucho menor
que uno, puede considerarse como posible pero poco probable. Ante este tipo de
amenazas uno debe centrarse en aquellas que pueden afectar mucho a la
organización, dado que ante las que afectan poco no será rentable establecer
medidas. Cuando el número de incidentes esperados es mayor de uno, dado
que el origen de las amenazas rara vez estará bajo nuestro control, tendremos
que actuar sobre la probabilidad de que nos afecten.
78
Cuando faltan medidas de seguridad, pocas veces detectaremos un
incidente si no es por sus efectos. Si las medidas que implantamos son
suficientemente efectivas, ningún incidente, sea un ataque, un error, o un
accidente, debe afectar el cumplimiento de nuestras expectativas.
79
El impacto mide el perjuicio potencial de un incidente. Entre estos perjuicios
pueden estar:
Costes directos:
• Pérdida de ingresos.
• Pérdida o daño de propiedades.
• Pérdidas económicas directas.
• Pérdidas humanas.
• Pérdida de información.
• Pago de multas.
Costes indirectos:
• Pérdidas de imagen.
• Pérdida de confianza.
• Problemas inducidos de flujo de caja.
• Incumplimiento de contratos y otras responsabilidades legales.
• Incumplimiento de obligaciones sociales o morales.
• Gastos adicionales.
Para que una inversión sea rentable la diferencia entre el riesgo antes y
después de la medida debe ser superior al coste de la medida.
80
Para un cualquier conjunto de amenazas que causan un mismo incidente el
coste en un periodo de inversión es
81
Después de la medida el coste de la amenaza es:
• adquisición,
etc.
Por tanto la rentabilidad de la medida es:
82
Caso práctico:
• Hay 2 hurtos de portátil en un parque de 50 en un año. El coste del
portátil es de 1800 euros. Al año siguiente el parque aumenta a 75
portátiles. Se decide poner candados, con un coste de 60 euros la
unidad. El siguiente año hay 1 robo de portátil. Al parque
aumentado le corresponderían 3 incidentes al año. Lo que significa
que se han evitado 2 incidentes.
• Si el valor de reemplazar el portátil fuera nulo, y el valor de la
información que contuviera cero, 1800 * 2 es menor que 75 * 60 =
4500, con lo que la medida no sería rentable. Los candados de 60
euros son rentables cuando la información del portátil vale más de
2.700 euros, o si esperáramos 5 hurtos para este año.
83
84
Uno de los factores clave en el mantenimiento de la seguridad es la selección
de medidas de seguridad. Si elegimos mal en el mejor de los casos la medida será
poco rentable. En el peor de los casos nos dará una falsa sensación de seguridad,
sin mejorarla en absoluto.
Para decidir cuánto vamos a gastar en, por ejemplo, control de accesos, debemos
decidir primero cual es el nivel de acceso deseado, y comprobar si ese nivel es
alcanzable con el presupuesto que tenemos. La paradoja de Mayfield ejemplifica el
compromiso en la selección de medidas demostrando que tanto para conseguir que
todo el mundo acceda a un sistema como para que nadie acceda a un sistema hay
que gastar infinito dinero, mientras que las posturas intermedias son relativamente
económicas.
85
El nivel de seguridad que conseguimos depende del riesgo que estemos
dispuestos a aceptar. Si queremos que el coste de la amenaza sea prácticamente
cero, tendremos que disminuir la probabilidad muy por debajo de uno en un periodo
de inversión tomando medidas de seguridad que reduzcan el impacto.
86
El presupuesto de seguridad determinara que medidas podemos permitimos.
Cuando éstas son insuficientes para garantizar el cumplimiento de las expectativas
de la organización, es el momento de informar a la dirección para bien
• aumentar el presupuesto, o
• rebajar las expectativas.
• Cortafuegos externos.
• Candados.
• Control de accesos.
• Limitaciones horarias.
• Reservas de suministros.
• Diseño seguro.
• Activación sólo de los servicios necesarios.
Ejemplos de medidas que disminuyen el impacto, y por tanto protegen tanto contra
amenazas previsibles como imprevisibles:
• RAID.
• Copia de respaldo.
• Centro de respaldo.
• Líneas de comunicación redundantes.
• DMZ.
87
Ejemplos de medidas que mejoran la seguridad indirectamente, al capacitar a la
organización para mejorar la seguridad:
La prioridad de un activo puede hacerse granular, pero para la mayor parte de las
organizaciones se divide entre activos críticos y no críticos. La pérdida de un activo
no crítico es tolerable por definición. Cuando protegemos un activo, y
especialmente cuando lo consideramos crítico, todos aquellos activos de los
que dependa tendrán la misma clasificación, y por tanto, habrá que protegerlo
igual. Por ejemplo, si nuestra presencia en Internet a través de un servidor es
crítica, tanto el acceso físico a este, como el suministro de electricidad, como la
conexión con Internet necesitaran una protección de activo crítico.
Cuando los sistemas son por naturaleza inseguros, el aplicar parches normalmente
no acabara con esa inseguridad. Por ejemplo,
Hay un debate abierto sobre si los sistemas operativos deberían instalarse por
defecto con “todo cerrado”, lo que se supone más seguro, o “todo abierto”. Este
debate mira sólo el corto plazo y la comodidad del administrador del sistema.
Los administradores preocupados por la seguridad prefieren “Todo cerrado”, los
que quieren usar cómodamente el sistema, prefieren “todo abierto”. En cualquier
caso, la seguridad depende de la calidad de la administración a largo plazo, y
no de la configuración por defecto de los sistemas operativos y aplicaciones.
91
3.1.3. ANÁLISIS.
El análisis debe añadir a todos los requisitos derivados de la funcionalidad
del proyecto, los requisitos de seguridad que se deriven de las
expectativas de la organización ante el sistema. Una vez que los
conocemos en detalle podemos convertirlos en requerimientos para el
desarrollo. Los requisitos dicen que debe hacer el software.
Ejemplo:
3.1.4. DISEÑO.
El diseño debe seleccionar las técnicas y tecnologías más adecuadas para
cumplir con los requerimientos de seguridad que se deducen del análisis.
AUTORIZAR AL ACTOR.
Las funciones deben dar al actor identificado los derechos
predefinidos bien en el sistema o bien en un sistema externo,
idealmente un directorio centralizado. La verificación de estos derechos
debe realizarse en el momento en que estos vayan a utilizarse.
• Una medida extra de seguridad puede ser volver a solicitar la
autenticación o comprobar si la dirección IP del actor no ha
cambiado.
• Otra medida aconsejable es que si el actor es un sistema o
programa, comprobar que toda la cadena de llamantes tienen
autorización.
DEJAR EVIDENCIA.
Debe existir evidencia, idealmente en un log sólo modificable por la
aplicación, de todos los usos de servicios en el sistema que superen un
determinado umbral de criticidad, en especial
• las operaciones de tipo económico y
• los accesos a información confidencial.
Debe dejarse evidencia de todos los intentos de autenticación,
tanto los exitosos como los fallidos. En el log debe incluirse al menos:
• usuario,
• dirección de origen,
• fecha y hora,
• recurso al que se quería acceder y
• derecho que se pretendía ejercer sobre el recurso.
93
AYUDAR AL USUARIO A GARANTIZAR LA CALIDAD Y
SECRETO DE LAS CONTRASEÑAS.
El usuario normalmente seguirá el camino de mínimo esfuerzo para
elegir su contraseña. Debemos evaluar la calidad de ésta, y rechazar
las que no la alcancen, explicando al usuario el motivo específico del
rechazo. Las contraseñas deben cambiarse periódicamente. Al
introducir contraseñas, no debe aparecer en pantalla nada que indique
a un posible espía ni la contraseña, ni su longitud.
94
3.1.5. CONSTRUCCIÓN DE SOFTWARE SEGURO.
La construcción de software seguro implica evitar todas las prácticas de
programación que conducen a debilidades en el software.
95
• Cuando sea posible podemos validar la entrada con alguna base
de datos en que confiemos.
• No se deben permitir como entrada palabras reservadas de
lenguajes cuando estimamos que pueden ser reenviadas a otro
sistema.
96
UTILIZAR LOS MEJORES ALGORITMOS DE CIFRADO
DISPONIBLES.
Tanto al
• almacenar como al
• transmitir la información o
• enviar un mensaje,
debemos utilizar los mejores algoritmos existentes en el mercado,
y NUNCA algoritmos inventados por nosotros mismos. Los
algoritmos de cifrado son diseñados y revisados por matemáticos
expertos, y los diseñados por legos son muy fáciles de romper,
independientemente de si el algoritmo es público o no.
97
AUTOLIMITAR LOS RECURSOS QUE SE UTILIZAN.
Si es posible debemos autolimitar la cantidad de recursos de
sistema que vamos a utilizar, para evitar que un error o un ataque
resulte en una denegación de servicio debido a que hayamos usado
toda la memoria, disco, ancho de banda o CPU disponible. Es muy
difícil predecir los recursos que vamos a necesitar para una tarea, y es
preferible que alguna tarea legítima no se realice por una utilización
excesiva de recursos a que consumamos más de lo debido. El ataque Zip of
Death y similares existen gracias a fallos en la aplicación de esta regla.
98
3.1.6. PRUEBAS.
El primer paso al entrar en la fase de pruebas puede ser eliminar las APIs
de prueba utilizadas durante el desarrollo, para evitar que se integren en
el código. Estas APIs pueden dar lugar a funcionalidad no pretendida en el
diseño de la aplicación.
• Denegar el acceso a
§ archivos,
§ librerías,
§ variables de entono, y
§ otros recursos necesarios para un correcto funcionamiento.
Comprobar que se muestra un mensaje de error que lo identifica.
• Proporcionar acceso a
§ archivos,
§ librerías,
§ variables de entorno y
§ otros recursos con nombres o contenidos inválidos.
• Verificar que no se utilizan características de los lenguajes o
sistemas operativos que se conocen como vulnerables.
• Forzar la aplicación a funcionar en un sistema con recursos por
debajo de la especificación,
§ falta de disco,
§ conexión de red o
§ permisos de archivos o bases de datos incorrectos.
99
• Someter la aplicación a una carga por encima de su capacidad,
probando la existencia de “condiciones de carrera”.
• Comprobar que los log generados se corresponden con las
operaciones realizadas y con las fallidas...
3.1.7. IMPLANTACIÓN.
En la implantación del software debemos asegurarnos de que este no es
modificado respecto del código que hemos probado. Esto puede verificarse
utilizando sumas de comprobación.
3.1.8. MANTENIMIENTO.
Se suelen reconocer cuatro tipos de mantenimiento,
ü el correctivo,
ü el perfectivo,
ü el evolutivo y
ü el adaptativo.
100
El parcheo que se realiza en sistemas operativos y aplicaciones para tapar
los agujeros de seguridad que se van descubriendo se considera como
correctivo.
• También se descubren con frecuencia defectos en la mayor parte de las
medidas de seguridad basadas en software. Este es el motivo por el que
una medida de seguridad robusta no debe basarse en el conocimiento
o de la existencia o
o de la naturaleza de esta,
sino que deben ser tanto públicas como ampliamente utilizadas.
• Cuando formamos parte de una comunidad amplia de usuarios de una
medida de seguridad, la probabilidad de que cualquier debilidad de la
medida se descubra y se haga pública aumenta. El hacer público el
problema y su solución nos da una oportunidad de corregir el problema
que en caso de utilizar medidas en una pequeña comunidad no
tendremos.
• Si tenemos medidas de seguridad poco utilizadas, en caso de descubrirse
una vulnerabilidad, la ventana de oportunidad para atacarnos
posiblemente no se cierre nunca, con lo que nuestra vulnerabilidad
aumenta de forma desproporcionada.
102
Una tercera alternativa relacionada es la división en zonas, con filtrado
entre ellas. Un ejemplo típico es el uso de las DMZ, o zonas
desmilitarizadas. Mediante esta división se consigue disminuir las
oportunidades de un hipotético atacante, dado que en caso de ganar acceso
a una máquina de la DMZ, sólo tiene un acceso sencillo a las máquinas de
esa zona. Desgraciadamente la división en zonas no se usa lo suficiente, y la
mayor parte de las veces consiste en una división puramente técnica, y no
administrativa. En la mayor parte de los casos veremos una política de
seguridad aplicada tanto a un sistema de producción, como a otro de
desarrollo, cuando las expectativas de ambos sistemas son distintas, y por
consiguiente deberían encontrarse en zonas tanto técnica como
normativamente separadas.
103
3.2.2. REDUNDANCIA.
Se utiliza redundancia
• para eliminar los puntos únicos de fallo y
• para emplear de forma fiable canales o medios que son
inherentemente poco fiables.
Un punto único de fallo es aquel cuyo fallo implica el fallo del sistema,
de modo que las probabilidades de fallo de un sistema son al menos tan altas
como las del punto único de fallo más débil del sistema. Es por esto que
cuando tenemos expectativas altas respecto de la fiabilidad de un
sistema. La eliminación de puntos de fallo único es el principal camino
a seguir.
105
El control de accesos es posiblemente la medida de seguridad más
importante que se puede establecer, dado que un control de accesos
bien aplicado nos permite
• saber quién ha hecho qué, dónde y cuándo, y
• controlar quien puede hacer qué, dónde y cuándo,
colmando nuestras expectativas más exigentes de control sobre nuestros
activos.
• La división en zonas y
• la propiedad de activos
son dos principios que
o hacen el control de accesos más efectivo y
o hacen su gestión más sencilla.
106
La división en zonas permite segregar
• activos de clasificación muy distinta, así como
• actores de nivel de acceso muy distinto.
De esta forma se simplifica la administración del sistema, dado que el manejo
de activos de muy distinta clasificación introduce el riesgo de errores en la
administración.
En conjunto con estos dos principios, para ser efectivo deben cumplirse
algunas premisas fundamentales:
• La organización y su entorno se particionan en zonas físicas y
lógicas según las expectativas.
• Los actores están identificados sin violar su privacidad y
pertenecen a una sola zona.
• Todos los activos
§ tienen un propietario, sea este
• una persona o
• un departamento y
§ pertenecen a una sola zona.
• Las credenciales las otorga una autoridad a un actor dependiendo
de lo zona a la que pertenecen.
• Las sesiones en una zona se obtienen mediante credenciales.
• El acceso a
§ servicios,
§ información, o
§ zonas,
se produce exclusivamente a través de sesiones, excepto cuando el
actor es el propietario del activo en cuestión.
• En una sesión se produce tanto
§ la autenticación (comprobación de credenciales) como
§ la autorización (comprobación de los derechos correspondientes
a esas credenciales).
• Las sesiones y credenciales
§ caducan y
§ no pueden cederse a otro actor.
107
• Todas las partes en que se divide una credencial se almacenan a
prueba de espionaje.
• Los accesos en una sesión dejan una evidencia que por defecto es
la definida para la zona.
Probablemente dentro del control de accesos el problema más difícil de
tratar es evitar que un actor
• ceda información a otro no autorizado,
• ceda su medio de autenticación, o
• ceda su sesión.
La resolución de este problema implica el uso concertado de control de
accesos físico y lógico.
108
Administrador.
El administrador es el propietario de los recursos de los sistemas de
información sobre los que se soporta la información, los mensajes y los
servicios. El administrador se encarga de proporcionar acceso a
los recursos al resto de actores.
Cuenta de usuario.
Es la identidad efectiva ante el sistema de un actor que accede a
los activos a través de sesiones.
Autor.
El actor que crea un activo.
Autoridad.
La autoridad es la propietaria de las credenciales de los sistemas.
Es el actor que gestiona
• el registro de usuarios, junto con
• sus credenciales y
• los derechos sobre los activos en nombre de los propietarios.
Las autoridades también identifican al resto de actores de la
organización.
Sesiones.
Una sesión es el medio por el que el usuario gana acceso a un
activo, como puede ser información o un servicio. Una sesión es el
conjunto de accesos que un actor realiza desde que se le autentica y
autoriza en el sistema hasta que el actor cierra la sesión o la
autenticación se considera caducada. Al abrir una sesión ganamos
acceso a recursos del sistema, de los que disponemos durante la
duración de la sesión. El uso de sesiones introduce una serie de
limitaciones a nuestros accesos:
109
• Se puede mantener un registro de los accesos realizados
durante la sesión.
REGISTROS DE ACCESO.
IDENTIFICACIÓN Y CREDENCIALES.
110
Con frecuencia se confunde
• el todo, la credencial,
• con una parte, el medio de autenticación.
El medio de autenticación es la prueba presentada de que podemos utilizar
una identidad efectiva, normalmente llamada cuenta de usuario. Hay al
menos tres tipos de medios de autenticación, que pueden combinarse:
ü por algo que eres, como puede ser la biometría,
ü por algo que tienes, como es la posesión de una tarjeta, y
ü por algo que sabes, como es el caso de una contraseña.
111
• Los medios de autenticación no pueden cederse ni compartirse
para conservar la asociación entre el medio de autenticación y
la persona o agente autorizado. El actor no debe prestar su tarjeta
ni declarar su clave, por poner un par de ejemplos. De la misma
manera cada usuario debe estar asignado a un único actor.
• Las credenciales suelen contener información acerca de la
identidad del actor que la utiliza. Esta información es muy
sensible, y es necesario protegerla especialmente.
DIRECTORIOS.
112
AUTENTICACIÓN.
El proceso de autenticación consiste en la comprobación de la identidad
del actor, mediante la comparación
• del medio de autenticación que proporciona el usuario
• con la copia a prueba de conocimiento de este medio de autenticación
que se almacena en el sistema.
Esta comprobación de credenciales en sistemas de información se suele
llamar logon o login. Tanto un actor personal como un agente pueden
autenticarse en un sistema.
CLASIFICACIÓN DE ACTIVOS.
Para determinar
• a quien se puede conceder autorización sobre activos y
• quien puede ser propietario de estos
es necesario clasificar los activos.
En toda clasificación existe una tensión entre la granularidad y el control que
obtenemos. Un control mayor exige mayor granularidad, pero hace más
difícil la clasificación, y por tanto supone un coste de gestión más alto.
Cualquier tipo de activo, físico o no, es susceptible de clasificación.
113
§ Esta información está protegida contra borrado o modificación no
autorizados.
§ Se lleva registro de cada acceso.
§ Su divulgación podría ser perjudicial para la organización.
§ Las claves y contraseña, y otros medios de autenticación,
pertenecen a esta categoría.
§ Suelen clasificarse así las operaciones económicas.
• Sensible:
§ Puede accederse por personas de la organización en quien se
confié que no vayan a divulgarla.
§ Esta información está protegida contra borrado o modificación no
autorizados.
§ Suele clasificarse así la información económica.
• Privada:
§ Puede accederse por personas de la organización en quien se
confié que no vayan a divulgarla.
• Pública:
§ Puede ser accedida por todo el mundo dentro y fuera de la
organización.
114
Tiene sentido realizar clasificaciones muy complejas cuando nuestras
expectativas lo requieran. Por ejemplo, puede haber información
• “de tiempo real”, que es información requerida en un momento y lugar
concreto, pudiendo producirse un incidente en caso contrario, y puede
haber información
• “vital”, cuya ausencia puede llevar a la pérdida de vidas.
Cada organización debe decidir que clasificación se ajusta mejor a sus
expectativas y medios.
AUTORIZACIÓN.
Cuando un usuario intenta acceder a un activo mediante una sesión, el proceso
de autorización comprueba si existen los derechos suficientes en el perfil para
conceder el acceso. Dentro de una sesión la autorización puede producirse
tantas veces como accesos se producen.
115
• Permiso: limitaciones genéricas, como “sólo lectura”, de
acceso a un servicio o información.
Perfiles.
El conjunto de derechos concedidos y denegados a un usuario
dependiendo de su rol en la organización se denomina perfil de
acceso o simplemente perfil.
Etiquetas.
116
ZONAS Y FILTROS.
Una organización, especialmente de gran tamaño, tiene diversas
expectativas ante activos semejantes. No se espera lo mismo de una base
de datos de cliente en producción que de una base de datos de prueba en un
aula. No es infrecuente encontrar organizaciones en que se pretende usar
una única política de seguridad aplicable universalmente, y que afecta
adversamente a aquellas partes de la organización con expectativas más
relajadas.
117
El uso consciente y explícito de zonas mejora la seguridad al conciliar la
normativa de seguridad con las expectativas reales de la organización en sus
distintas divisiones.
3.2.4. CIFRADO.
El cifrado es la técnica de seguridad más popular, hasta el punto de que
seguridad y cifrado se han convertido en sinónimos. Desgraciadamente, el
cifrado sólo palia un subconjunto de los riesgos, por lo que allí donde se
identifica cifrado con seguridad, se presta menos atención de la debida al
resto de las técnicas aplicables.
118
Las amenazas terciarias que pueden mitigarse usando cifrado son:
119
El cifrado no se basa en el secreto del algoritmo de cifrado, sino en la dificultad
computacional del descifrado cuando no se tiene la clave.
120
En teoría se pueden factorizar números muy grandes fácilmente con técnicas
basadas en la mecánica cuántica. Como contrapartida a esta amenaza al
cifrado tradicional, que usa computación determinista, está el cifrado
cuántico, que aunque mucho más difícil de llevar a la práctica es
enormemente superior al tradicional.
ALEATORIEDAD.
121
En español por ejemplo, lo precedencia de frecuencia es:
e, a, o, l, s, n, d. Otra ley que cumple el lenguaje escrito no ideográfico
es la ley de Paretto, por la que la frecuencia de las palabras de
cierta longitud es inversamente proporcional a esta (frecuencia).
SIMÉTRICO.
Cuando el cifrado es simétrico se utiliza la misma clave para cifrar y
descifrar el mensaje. Esto presenta el inconveniente de la
distribución de claves. Cuando A y B están en dos localizaciones
distintas y quieren transmitirme un mensaje cifrado, necesitan tener la
misma clave. Sea donde sea donde se crea esta clave, para que sea
posible la comunicación cifrada, esta debe ser comunicada tanto a A
como a B. Esta comunicación debe ser secreta, dado que para que A
y B se comuniquen en secreto la clave debe ser secreta. Ahora
bien para que se pueda comunicar la clave en secreto debe hacer un
canal seguro. Pero si hay un canal seguro ¿para qué ciframos el
mensaje? El escenario descrito es un ejemplo de la paradoja que surge
al usar un sistema de clave simétrica.
122
Como inconvenientes de este tipo de cifrado se puede citar.
• No se puede enlazar una clave con una identidad.
• No permite identificar a los interlocutores de una
comunicación, excepto por la posesión de la clave.
• Las claves tienen una vida corta.
• Es necesario usar un número muy elevado de claves, al
menos una por cada par de comunicantes.
ASIMÉTRICO.
Con este tipo de cifrado si se usa una clave para cifrar, la otra sirve
para descifrar y viceversa.
Esto permite
• resolver elegantemente el problema de distribución de claves, al
disminuir el número de claves necesarias, que es de 2n por
cada interlocutor, y
• hacer innecesaria la existencia de un canal seguro para
transmitir las claves.
123
El uso de cifrado asimétrico proporciona un mecanismo de firma
digital. Si A cifra algo con su clave privada, cualquiera puede
descifrar el mensaje, pero ¿Quién puede originar el mensaje? Sólo A.
Este tipo de firma digital nos permite afirmar la autoría ajena. En el
ejemplo que citamos, B puede demostrar que el mensaje proviene de
A. Curiosamente, A no puede probar lo mismo, dado que podría ser B
quien firmó el mensaje y lo envío a A, A pudo entonces descifrarlo y
firmarlo como si fuera suyo. Luego el cifrado asimétrico no permite
afirmar la autoría propia, sólo denegarla.
Para que el mecanismo de firma digital sea efectivo, debe haber algún
medio de comprobar que la llave pública pertenece a A, y no a alguien
que se hace pasar por A.
124
Para establecer esta relación se utilizan certificados. Los
certificados son emitidos por una autoridad en la que confían las
partes implicadas que, una vez comprobada la identidad de alguien,
crea un documento digital que enlaza esa identidad con su clave
pública. De este modo cuando A quiere comunicarse con B, puede
buscar el certificado de B, y puede confiar en que hay una
correspondencia entre la clave pública y B. Obviamente B puede hacer
la mismo, con lo que se puede establecer no sólo una comunicación
segura de sistema a sistema, sino de persona a persona.
125
HASH Y FIRMA DIGITAL.
Un resumen o “hash” es una función que realiza una operación
sobre un mensaje, con las siguientes propiedades:
126
ESTEGANOGRAFÍA.
Cuando se transmite un mensaje, quizá alguien que espié la
comunicación no pueda descifrarlo, pero si podrá saber al menos que
se ha enviado un mensaje cifrado, cuando se ha producido, y que
cantidad de datos cifrados se han intercambiado. Cuando este
conocimiento constituya una amenaza para nuestra organización,
podemos utilizar esteganografía. La esteganografía es la ocultación
de un mensaje secreto dentro de otro no secreto. De este modo se
oculta la existencia del mensaje secreto. Si el mensaje oculto con
esteganografía está además cifrado, podemos mantener el secreto del
mensaje aunque la transmisión fuera detectada. Un mensaje se podrá
ocultar con mayor facilidad en una información que pueda ser
expresada con una cantidad variable de datos, como puede ser una
fotografía, o un sonido. Un ejemplo curioso de esteganografía es la
ocultación de un mensaje dentro de otro que tiene el formato típico de
un correo no deseado o "spam".
3.2.5. CAMUFLAJE.
El camuflaje consiste en hacernos indistinguibles del entorno,
• mimetizándonos o bien
• modificando el entorno.
El camuflaje sirve para hacer menos obvio para el atacante que atacar. El
camuflaje no sirve para complicar el ataque en sí, sino que aumenta los
recursos que necesita el atacante para realizar el ataque con garantías de
éxito, hasta el punto de que puede llegar a hacer este imposible. Por ejemplo
• para mover al presidente de la URSS se utilizaban 6 limusinas Zil, no
por una exhibición de riqueza, sino para que al desconocer que
limusina llevaba al presidente. La planificación de un posible atentado
lo hiciera casi imposible. Otro bonito ejemplo es
127
• cuando se ruedan varios finales para una película de suspenso, para
evitar que nadie difunda el final hasta el estreno de la película.
3.2.6. RESERVA.
La técnica de reserva consiste en almacenar suficiente cantidad de un
suministro para soportar la interrupción de este durante un tiempo
razonable.
• Una SAI (fuente de alimentación ininterrumpida) es una aplicación de
la técnica de reserva, como lo es
• el almacenamiento de piezas de repuesto,
• el represamiento de agua o
• el uso de un buffer que impida la interrupción de la comunicación en
caso de fallos puntuales en la línea.
No es útil para interrupciones demasiado prolongadas de un suministro.
3.2.7. SEGUROS.
Un seguro consiste en la transferencia de un riesgo a una tercera parte a
través de la suscripción de una póliza para obtener una contraprestación
económica en caso de producirse un incidente, normalmente afectando a un
bien tangible.
128
En el campo de los sistemas de información. Los seguros apenas se
emplean, y posiblemente tendremos problemas para encontrar una compañía
que asegure nada que no sea el hardware en bruto, cuando es la
información el activo más valioso de un sistema. Un seguro, por
supuesto,
• no disminuye la vulnerabilidad,
• ni evita ningún incidente, pero
o disminuye el impacto, y
o no afecta a la facilidad de gestión,
con lo que en algunos casos puede ser una medida deseable.
3.2.9. BLINDAJE.
El blindaje es la técnica que se utiliza para asegurar que un activo no
vigilado
• continuará ahí cuando volvemos,
• que continuará en buen estado,
• que nadie ha conseguido acceso a través de él.
129
3.2.10. NO HACER NADA.
No hacer nada sirve para mejorar o mantener la facilidad de uso y
administración de un sistema cuando podemos asumir el coste de los
incidentes que se produzcan.
La diferencia entre tomar esta medida y cerrar los ojos y cruzar los dedos
consiste en que asumimos conscientemente los incidentes que se
pueden producir.
130
Entre la formación de seguridad se deben incluir:
• Las normativas de seguridad que afectan a cada una.
• Las responsabilidades de cada persona en la aplicación de las
medidas y normativas de seguridad existentes.
• Información sobre el canal para reportar las amenazas, incidentes o
defectos en las medidas de seguridad detectados o sospechados por
cualquier miembro de la organización.
• Advertencias acerca de las responsabilidades en que se incurren al
realizar un acceso o uso ilegitimo.
131
• La auditoría,
o que es realizada por terceros, y
o que se verifica mediante el examen de evidencia si se producen
incumplimientos de las medidas y prácticas de seguridad detalladas en
la normativa de seguridad.
El enfoque de la auditoria al análisis de evidencia, sin pruebas activas,
hace que una auditoria tenga un valor limitado, si bien se puede confiar
plenamente en que a la auditoria no afecta el funcionamiento del sistema.
• Pruebas, que verifican activamente el funcionamiento de lo probado.
Un auditor no hará nunca una prueba como pedirle la contraseña de
acceso a un usuario, por poner un ejemplo. Las pruebas pueden
o formar parte de las prácticas internas de seguridad, o
o ser realizadas por terceros de confianza.
Probar nuestras medidas de seguridad implica
• no sólo averiguar cómo romperlas, sino también
• rodearlas o
• causar daños indiscriminados.
Las pruebas pueden
o comprobar el funcionamiento de las medidas de reducción de
vulnerabilidad, mediante la simulación de ataques, o
o comprobar el funcionamiento de las medidas de reducción de
impacto, mediante la simulación de incidentes.
• Vigilancia o Monitorización,
o Es el examen en tiempo real de la evidencia de uso de los
servicios de la organización.
o Esta técnica se utiliza para detectar un incidente o intrusión en el
momento en que se produce.
o Mediante la detección de incidentes podemos evaluar la
efectividad de las medidas de seguridad.
o Ejemplos de aplicación de esta técnica son
§ los circuitos cerrados de televisión,
§ los IDS (Sistemas de detección de intrusiones) y
§ los Honeypot, que son host que no contienen información y se
utilizan para detectar actividades maliciosas.
Para poder monitorizar, probar o auditar es necesario que los sistemas y
prácticas estén diseñados para dejar evidencia de su operación. La
evidencia es un resultado de proporcionar acceso mediante una sesión.
132
Por ejemplo, si existe un control de acceso a un CPD, debe haber evidencia de
quien entra y sale de él, sea mediante un sistema automático con tarjetas o
firmas en un libro. Cuando firmamos la entrada a un CPD, estamos iniciando
una “sesión” de acceso físico.
3.3.3. NORMATIVA.
A nivel organizativo existen responsabilidades y actividades tanto
• para cumplir con las expectativas de la organización como
• para mejorar la seguridad de la organización.
Cualquier de estas responsabilidades y actividades es una práctica. Por
ejemplo, limitar el acceso físico al CPD es una práctica de control de acceso
físico, ejercida por el equipo que gestiona el CPD.
133
• Política: la práctica está identificada como obligatoria por la política de
Seguridad.
• Procedimentada: Existen
§ normas,
§ estándares,
§ procedimientos y
§ formación
§ para el ejercicio de esta práctica.
• Implementada: El procedimiento se utiliza efectivamente.
• Verificada: Existen revisiones periódicas de los resultados del uso del
procedimiento.
• Integrada: Los casos en que el procedimiento no se utiliza son
anecdóticos.
Lógicamente cada organización puede hacer una división más o menos granular
de las normativas, dependiendo de la división de responsabilidades de
seguridad y de sus expectativas.
135
ORGANIZACIÓN DE SEGURIDAD.
En una organización segura existe una partición de responsabilidades,
esto es, todas las responsabilidades son cumplidas por algún grupo de
trabajo o persona, pero sólo por un grupo de trabajo o persona y por cada
rol existente hay otro responsable de controlarlo, esto es, tener entre sus
responsabilidades el comprobar, sea, activa o pasivamente, que estas
responsabilidades están siendo cumplidas.
Hay una relación uno a uno entre poder y responsabilidad. El que un rol o
un grupo de trabajo tengan asignada una responsabilidad, debe
acompañarse con
• los recursos necesarios para desempeñarla, y
• la capacidad completa para ejercerla.
136
Si bien la selección de personal queda fuera del alcance de este libro, se
puede señalar que dependiendo de las expectativas de la organización se
pueden utilizar criterios simplemente de experiencia o académicos, como
llegar incluso a la investigación del entorno personal que se realiza para
ingresar en organizaciones gubernamentales o militares.
POLÍTICA DE SEGURIDAD.
Para poder definir una política de seguridad necesitamos conocer nuestras
expectativas. Lo que nos permitirá siempre responder al porqué de cualquier
medida. Una política de seguridad bien definida no necesita revisiones
frecuentes.
NORMAS DE SEGURIDAD.
Las normas, entre otras cosas, definen la relación de una zona con las
demás, cubriendo
Ø la comunicación de activos y
Ø las transferencias de propiedad:
• Enumeración de los entornos que existen en la organización.
• Las prácticas obligatorias en todos y cada una de esos entornos, y
específicamente la gestión de credenciales y sesiones.
• Limitaciones de transferencia de activos entre los entornos.
• Guía de cómo evitar incidentes.
• Guía de actuación en caso de determinados incidentes,
normalmente aquellos que afecta a activos críticos.
• Normas de información y concienciación sobre seguridad.
• Mantenimiento de la viabilidad del Plan de Continuidad de
Operaciones.
138
ESTÁNDARES DE SEGURIDAD.
Cada entorno tendrá sus propios estándares de seguridad, que desarrollan
las normas de seguridad para entornos específicos, como pueden ser:
• Laboratorios.
• Desarrollo.
• Producción.
• Gestión de Recursos Humanos.
• Dirección.
• Etc.
En el estándar se especifica
ü cuando y quien debe realizar actividades siguiendo los
procedimientos de la zona. También indica
ü con quien contactar en caso de necesitarse información suplementaria.
PROCEDIMIENTOS DE SEGURIDAD.
Documentan
ü quien y cada paso de cómo se aplican los estándares de seguridad, y
ü como se gestionan las medidas de seguridad.
El procedimiento indica
o quien debe realizarlo y
o que debe hacerse,
incluso con detalles paso a paso.
139
PLAN DE CONTINUIDAD DE OPERACIONES.
Los Planes de Continuidad de Operaciones garantizan la existencia a largo
plazo de la organización, siendo el instrumento por el cual protegeremos
la organización de la situación de peor caso, como desgraciadamente
aprendieron las organizaciones que sufrieron las consecuencias de los
atentados del 11 de Septiembre.
140
El documento de Normas de Uso Aceptable especifica:
3.4. TECNOLOGÍAS.
Cada una de las técnicas que hemos visto en el apartado anterior pueden llevarse
a la práctica mediante distintas tecnologías. Estas tecnologías suelen ser
ligeramente distintas dependiendo de si protegemos
• información,
• mensajes,
• entrada / salida o
• infraestructura.
Dada la profundidad del tema y la enorme cantidad de literatura técnica disponible,
hablaremos de cada tecnología superficialmente.
141
3.4.1. ELIMINACIÓN DE OPORTUNIDADES.
Físicamente es posible eliminar la oportunidad de una amenaza simplemente
eligiendo una localización donde esa amenaza no esté presente. Un CPD en
un tercer piso no debería verse nunca afectado por el desbordamiento de un
rio cercano.
CORTAFUEGOS, PROXIES.
142
Dependiendo si el protocolo proporciona una conexión fiable o no
fiable se utilizan protocolos con estado o sin estado.
• Los cortafuegos que no son capaces de filtrar dependiendo del
estado de la conexión se llaman filtros de paquetes.
• Cuando el cortafuegos es capaz de examinar no sólo el estado
sino el contenido de los paquetes, verificando que es aceptable
para la aplicación a que está destinado, se llama proxy. Como
es lógico, este filtrado es específico por cada aplicación.
3.4.2. REDUNDANCIA
Si se diseña correctamente, podemos hacer nuestros sistemas capaces de
resistir incidentes con impactos tan serios como la destrucción física de una
máquina o un CPD, pero si no advertimos qué recursos son compartidos
entre sistemas podemos tener una falsa sensación de invulnerabilidad.
Cada tecnología nos protegerá de unas amenazas, pero no de otras, de
modo que si usamos un clúster, un fallo en una CPU no hará fallar el servicio,
pero quizá un fallo de corriente si, o puede que un fallo en el router que nos
conecta con Internet.
143
Cuantos mas puntos únicos de fallo eliminamos, mayor es la
redundancia. Cuando usamos un nivel de redundancia realmente alto, es
necesario hacer numerosas pruebas de fallos hasta que comprendamos bien
cuál es el comportamiento y recuperación del sistema total en caso de un
fallo individual.
RAID.
144
Existen varios tipos de RAID. Dependiendo de cómo distribuyen la
información entre los discos que los componen:
• Nivel 0:
o Concatenación de discos que se ve como uno.
o No hay distribución de información, y por tanto no es “auténtico”
RAID.
o Aumenta la velocidad de lectura del disco lógico resultante.
• Nivel 1:
o Dos discos contienen idéntica información.
o Tienen la importante desventaja de que suele ser difícil
determinar que disco contiene la información valida, y para
determinarlo puede ser necesario interrumpir la operación del
sistema.
o Se conoce como "mirror".
• Nivel 2:
o La información se distribuye bit a bit entre 39 discos con paridad
tipo Hamming.
o Se usa con muy poca frecuencia.
• Nivel 3:
o La información se distribuye byte a byte entre tres o más discos,
dedicando uno a almacenar la paridad.
• Nivel 4:
o La información se distribuye bloque a bloque entre tres o más
discos, dedicando uno a almacenar la paridad.
• Nivel 5:
o Idéntico a nivel 4, pero los discos se dividen en bandas
repartiendo el papel de almacenar la paridad entre distintas
bandas.
• Nivel 1+0, ó 10:
o Concatenación de RAID de nivel 1, resulta en un RAID-1 más
rápido.
• Nivel 0+1:
o Mirror de RAID de nivel 0.
o Menos fiable y tarda más en recuperarse de un fallo que el RAID-
10.
145
JOURNALING.
Los sistemas de archivos tradicionales son sensibles a fallos hardware
y software. Cuando se produce una caída del sistema operativo, el
sistema de archivos puede quedar en un estado inconsistente, con lo
que es necesario comprobar su consistencia al iniciar el sistema. Esta
comprobación puede llevar un tiempo muy largo, y es posible que la
corrección de los errores detectados conlleve perdida de información.
Los sistemas de archivo con journaling nos protegen contra
• fallos en el sistema operativo o las aplicaciones, y ante
• fallos en la RAM,
• fallos de alimentación u otros.
La RAM con paridad y ECC nos protege contra fallos hardware, que
aunque normalmente pasan inadvertidos, pueden provocar incidentes
“misteriosos”.
CONEXIONES REDUNDANTES.
Las conexiones redundantes permiten continuar la conexión a pesar de
la caída de una línea. Consideraremos redes Ethernet y protocolo
TCP/IP por simplicidad.
146
Hay varios tipos de redundancia, dependiendo de la disponibilidad de
la conexión redundante:
Las NIC (Tarjeta de red) especiales tienen varios puertos que a veces
tienen la misma dirección MAC.
Para
• detectar fallos y
• cambiar el enrutamiento, y
• balancear la carga
se usan protocolos, que son en su mayor parte propietarios.
Conseguir que la redundancia sea efectiva puede ser difícil, dado que
debemos comprobar que ambas líneas no compartan ningún
punto único de fallo, como puede ser por ejemplo:
CÓDIGOS DE REDUNDANCIA.
Todos los sistemas de información utilizan códigos de redundancia a
bajo nivel para detectar y corregir errores de transmisión y errores
hardware, como
• el código Hamming,
• el bit de paridad,
• el CRC y otros.
CLUSTER.
Los cluster son un conjunto de dos o más host que proporcionan un
conjunto de servicios de forma solidaria. Debido a esto, necesitan
acceso a un repositorio de información común, sea
• un sistema de archivos,
• una base de datos, o bien
• sub-servicios.
Los host que pertenecen a un cluster se llaman nodos.
148
• Fail-over, con compartición de discos.
o En este tipo de cluster existen servicios del sistema operativo
que monitorizan el estado del resto de nodos del cluster.
o Los otros nodos están "en espera", y se activan cuando se
produce un fallo en el único nodo activo.
o La compartición de información se hace también con
conexiones duales a un almacenamiento común.
• Alta disponibilidad.
o Este tipo de cluster es idéntico al Fail-over, excepto porque
o hay más de un nodo activo simultáneamente.
• Load-balancing, sin compartición de discos.
o En este tipo de cluster la compartición de información se hace
mediante una red de datos a los servidores del backend.
• Computación en paralelo.
o En este tipo de cluster se utilizan librerías para que los
programas ejecutados vean todo el cluster como un único
host.
o Cuando falla un nodo, los programas continúan ejecutándose,
aunque algo más despacio.
• Base de datos, sin compartición de discos.
o Es un cluster de load-balancing en el que los nodos no son
sistemas operativos, sino bases de datos.
o Cada nodo es una réplica de la base de datos que se
mantienen sincronizadas.
o Sólo ofrecen servicios de bases de datos.
149
BACKUP.
La copia de respaldo es una de las tecnologías más efectivas para
reducir el impacto de incidentes. Mediante copia de respaldo
podemos recuperar nuestra
• información,
• configuraciones e incluso
• sistemas completos.
Desgraciadamente realizar copias de respaldo efectivas y que puedan
recuperarse con facilidad requiere un gran esfuerzo de
administración.
Naturaleza:
• Sistema.
• Configuración.
• Sistema de archivos.
• Archivos,
• Base de datos.
• Directorio.
Cantidad de datos:
• Total.
• Parcial
• Incremental.
Periodicidad:
• Torre de Hanói.
• Diario.
• Semanal.
• Mensual.
• Anual
150
Debido a la enorme complejidad del tema, destacar al menos:
• La mayor parte de los sistemas de copia de respaldo no tratan
bien la meta-información, como
o atributos,
o listas de control de accesos y similares.
• Es mejor almacenar la copia de respaldo con la máxima
seguridad física lo que implica disponer de cajas ignífugas y
localizaciones alternativas.
• Las copias de respaldo incrementales
o requieren menos capacidad de copia de respaldo, pero
también
o son más difíciles de usar para restaurar información.
• Para hacer copia de respaldo se deben utilizar credenciales
especiales del sistema, no asociadas a ningún usuario. En
caso contrario,
o la baja,
o desactivación temporal de la cuenta,
o cambio en los derechos, etc...
puede comprometer la copia de respaldo.
• Usar una periodicidad matemáticamente óptima como la torre de
Hanói es difícil de comprender y gestionar. Es mejor usar
periodicidades calendáricas.
• Es imprescindible hacer pruebas de restauración periódicas
para comprobar su efectividad. El número de modos que puede
fallar una copia de respaldo o un restore casi no tiene límites,
como por ejemplo:
o Fallos de red durante la copia de respaldo.
o Falla de espacio en el medio de almacenamiento que es, con
frecuencia, cinta.
o Problemas de derechos o de atributos del usuario de copia
de respaldo.
o Fallos de procedimiento al etiquetar, cambiar o almacenar
cintas.
o Caducidad de cintas o fallos en el medio magnético.
o Fallos del hardware o software de copia de respaldo.
o Hurto de cintas.
o Las personas que conocen el sistema de restore no están
disponibles.
151
o Determinadas copias de respaldo masivas llevan más tiempo
del que se puede dedicar a realizarlas.
o Después de un desastre, el único dispositivo que puede
realizar el restore ha sido destruido.
REPLICACIÓN.
152
La replicación, a pesar de añadir complejidad, se utiliza debido a las
siguientes ventajas:
• Permite mayor rendimiento en lectura. Por eso se emplea
especialmente en los directorios como NDS y Active Directory.
• Supone una protección contra catástrofes, dado que las réplicas
pueden estar en localizaciones distintas.
Desventajas:
• En algunos sistemas la sincronización del reloj del sistema es
esencial para el funcionamiento de la replicación.
• Puede perjudicar a aplicaciones que necesiten un “conocimiento
completo” de la base de datos en tiempo real. La actualización
de una tabla puede tardar cierto tiempo en ser reflejada por
todas las réplicas.
• Pueden existir actualizaciones incompatibles de registros
simultáneas en distintas replicas, que necesitan un tratamiento
específico para no comprometer la consistencia de la base de
datos.
DIRECTORIOS.
Los directorios son la clave de cualquier sistema de control de
accesos en entornos medianos y grandes. Cuando el control de
accesos está basado en servidores individuales, el coste de gestión del
sistema crece muy rápidamente según aumenta el número de
servidores. El directorio centraliza el control de accesos, como un
paraguas que cubre todos los sistemas operativos, servidores y otros
recursos de la organización.
153
Los principales directorios actualmente son
• LDAP,
• Active Directory y
• eDirectory.
PROTOCOLOS.
Los protocolos más utilizados son
• ldap,
• kerberos y
• ldap sobre ssl/tls, que se conoce como sldap.
Otros protocolos para la sincronización entre directorios, como ldup y
dirsync, están acercándose poco a poco a ser una realidad.
• Muchas aplicaciones,
• sistemas operativos y
• elementos de red
utilizan logs para registrar
o el uso que se hace de ellos, y
o los posibles errores en el sistema.
Algunos log están asociados a sesiones, lo que permite rastrear su
origen. Otros simplemente registran eventos en el sistema.
155
El uso de logs presenta las siguientes dificultades:
• Cada sistema operativo y aplicación utiliza un formato de log
distinto, lo que dificulta su automatización.
• Los log no suelen estar protegidos contra modificaciones, por lo
que pueden falsificarse.
• La fiabilidad de la hora y fecha del log depende de la fiabilidad de
éstas en el sistema.
• Los log suelen estar distribuidos en distintos directorios de distintos
host, lo que hace más difícil su administración.
• Es muy difícil predecir cuanto espacio requiere un log.
• Es muy difícil interpretar y relacional los eventos de varios log.
3.4.4. CIFRADO.
Las tecnologías de cifrado son enormemente ricas, y aquí podremos
escasamente arañar la superficie.
156
AUTORIDADES DE CERTIFICACIÓN.
Como comentamos al hablar de cifrado de clave asimétrica, para que
los receptores y los emisores de mensajes puedan confiar entre sí, es
necesario algún enlace entre la clave pública y la personalidad de
cada uno. Puede ser necesario también corresponder la clave con un
ordenador, no con una persona. En este caso la correspondencia
puede ser con una URL o una dirección IP.
157
En caso de que la clave privada de un usuario deje de ser secreta, este
puede revocar el certificado, que se almacena en una lista de
revocación para que partes interesadas puedan comprobar la
efectividad de certificados en tiempo real.
PROTOCOLOS.
158
• Nivel de Red: Ipsec, L2TP, PPTP.
• Nivel de Transporte: SSL.
• Nivel de Aplicación: S/MIME, PGP, Kerberos (sobre UDP).
ALGORITMOS.
Existe un enorme número de algoritmos de cifrado, tanto simétrico
como asimétrico y para generación de hash. Los algoritmos pueden ser
• de bloque, lo que indica que cifran la información dividiéndola
previamente en bloques, o
• de flujo, que indica que la información es cifrada según se
procesa bit a bit.
159
3.4.5. CAMUFLAJE.
El mimetismo es muy utilizado
• en la naturaleza,
• en el entorno militar y
• en la caza.
ESTEGANOGRAFÍA.
La esteganografía consiste en una forma de cifrado en que un
mensaje secreto se oculta dentro de otro no secreto. De esta
forma, no sólo ocultamos el mensaje, sino el mismo hecho de que
enviamos un mensaje.
OFUSCACIÓN DE CÓDIGO.
La ofuscación de código se utiliza para impedir el uso de nuestro
código binario o código fuente por terceros, realizando la labor
inversa a la de un programador. En lugar de hacer el código tan simple
como leer como sea posible, lo hacemos tan obtuso como se pueda.
160
De esta forma podemos dificultar o impedir la ingeniería inversa del
código, sea con un desensamblador o leyendo el propio código fuente.
Las herramientas usadas, como es lógico, dependen del tipo de código
que se desea ofuscar.
3.4.6. RESERVA.
SAI.
BUFFERS.
ALMACENES.
161
3.4.7. INVENTARIO Y MARCADO.
NÚMEROS DE SERIE.
Marcar un bien con un número de serie permite llevar un control de
inventario efectivo. En la mayor parte de las organizaciones se
utilizan números de serie internos, dado que los números de serie
de los fabricantes son demasiado distintos entre sí. Las tecnologías
más utilizadas son el uso de
• pegatinas,
• marcas permanentes en los equipos,
• códigos de barras, o
• marcas no falsificables indelebles, como la marca de la matrícula
de un coche en todas las ventanillas.
Las tecnologías existentes permiten dar un número, marcar y leer el
número de serie de cualquier bien.
MARCADO.
Las marcas identifican un bien como perteneciente a una organización.
Son más utilizadas en productos para evitar su falsificación que
para bienes de una empresa. Las tecnologías son muy variadas,
desde
• la marca de agua que se utiliza en los billetes,
• el uso de hologramas, que son prácticamente infalsificables, o
• marcas digitales usadas en DVD comerciales.
• Algunas BIOS nos permiten incluir un mensaje en el arranque de
un equipo en el que podemos marcarlo como propiedad de la
organización.
3.4.8. BLINDAJE.
CANDADOS Y CADENAS.
162
PESO Y VOLUMEN.
Los bienes pesados y voluminosos son más difíciles de hurtar. Aunque
raramente hagamos un bien pesado intencionadamente, puede ser una
opción interesante cuando el bien debe encontrarse en una zona
pública. Por ejemplo los llaveros de las llaves de hotel suelen ser
incómodamente grandes para evitar su perdida.
ENDURECIMIENTO.
APANTALLAMIENTO.
El apantallamiento impide que las ondas electromagnéticas entren o
salgan de un canal o una zona. Esto suele conseguirse gracias al
efecto faraday. Si por algún motivo no queremos que nadie hable por
móvil en una zona, podríamos apantallarla. La fibra óptica supone un
buen apantallamiento, dado que es muy difícil extraer luz sin que se
detecte la manipulación de la fibra.
PRUEBAS.
Las tecnologías que existen para probar nuestras medidas de
seguridad son las mismas que utilizaría un potencial atacante. En
seguridad física las pruebas consisten en simulaciones de incidentes,
como es una simulación de incendios. En seguridad de la información
se utilizan herramientas para simular intrusiones, ataques, accidentes,
y errores.
164
3.5. ENTORNO DOMÉSTICO.
Las expectativas del usuario en un entorno doméstico son, en términos generales,
Las medidas de seguridad más recomendables para este tipo de entorno son:
• Configurar las aplicaciones para que hagan una copia de seguridad
automática en el disco cada diez o quince minutos, a fin de que no se pierda
el trabajo si se corta la corriente.
• Instalar un antivirus que se actualice automáticamente.
• Instalar un cortafuegos, especialmente si la conexión es ADSL.
• Sustituir Explorer+Outtook por otro navegador como Mozilla u Opera.
Configurarlo para que bloquee anuncios.
• Instalar un programa anti-adware y spyware.
• Si hay niños en la casa, instalar un programa de control de contenidos o
contratar este servicio al proveedor de acceso.
• Llamar a la compañía telefónica y pedir que corten el acceso a números
• tipo "906". En España han cambiado recientemente este tipo de prefijos.
• Quitar el servicio de compartición de directorios.
• Crear un directorio para archivos muy voluminosos (normalmente fotos y
video) en un directorio separado del de "Mis Documentos" (por ejemplo "Mis
imágenes"), para facilitar la copia de seguridad. Cambiar el directorio por
defecto de las aplicaciones de foto, video y música a este.
165
• Poner en una pegatina el teléfono de atención al cliente de la conexión
Internet y pegarlo al monitor. En caso de desastre se les puede llamar para
averiguar los parámetros de conexión.
• Conectar el ordenador y todos los periféricos a una base de enchufes con
interruptor, protegida contra sobretensiones si el suministro es especialmente
malo.
• Configurar el navegador para que no recuerde contraseñas (En Explorer hay
que desactivar "Autocompletar"). Opcionalmente podemos disminuir los
históricos de las aplicaciones, si nos preocupa que se pueda saber que
hemos estado haciendo con la computadora.
• Configurar el correo para que utilice texto, no HTML.
166
o Grabamos los archivos del directorio "Mis Imágenes" a un CD normal
una vez. Marcar la fecha en el CD y lo guardamos. Como los archivos
de fotos y videos no suelen cambiar no es necesario mantener más
que una copia, o quizá dos.
ü No reenviar correos encadenados.
ü Apagar el interruptor de la base de enchufes al irse de vacaciones o en el
caso de una tormenta eléctrica fuerte.
ü Formatear de verdad, no con formato rápido, el disco duro si se regala o
vende el ordenador a alguien en quien no se tenga total confianza.
ü Como no todo lo que está en Internet es verdad, es saludable ser un poco
escéptico ante lo que nos llega por correo. Debemos ser especialmente
cuidadosos con la información económica y médica.
ü Al conocer gente por Internet es necesario tomar ciertas precauciones como:
o No dar información personal.
o Pedir una foto.
o Ser especialmente desconfiado cuando haya cualquier inconsistencia
en la información dada, sea aspecto, edad, etc.
o Encontrarse siempre en lugares públicos. Ser especialmente
cuidadoso al encontrarse en ciudades distintas de la de residencia.
o Cortar el contacto ante sospechas acerca de las intenciones o
equilibrio mental de la otra persona. Que no nos presenten nunca a
familia ni amigos debe hacer sospechar, por ejemplo.
167
Si el usuario es avanzado, también se podrían tomar estas medidas:
ü Convertir el sistema de archivos a NTFS, que es más fiable que FAT32.
ü Usar de vez en cuando una herramienta para eliminar todo el rastro de
o nuestra navegación por Internet,
o uso de la computadora, y
o archivos temporales.
ü Instalar una fuente de alimentación ininterrumpida.
ü Para los especialmente paranoicos, usar una herramienta como Eraser para
garantizar el borrado de información del disco duro.
ü Si nos preocupa que alguien pueda obtener lo que hay en el disco duro,
debido a su importancia, podemos usar herramientas de cifrado.
ü Configurar nuestro cliente de correo para enviar y recibir correo cifrado.
ü Usar servicios cifrados y anónimos de navegación, mensajería instantánea y
correo.
168
169
170
Un objetivo de cualquier modelo debe ser disminuir la complejidad de la gestión de
la seguridad. El modelo de madurez de la seguridad (MMS) tiene como objetivo
ü ayudar a las organizaciones a comprender cuál es su estado actual del
mantenimiento de la seguridad, y
ü proporcionar una vía para alcanzar el grado de madurez deseado por la
organización.
El MMS ayuda a las organizaciones a mejorar su seguridad adoptando las mejores
prácticas.
ü Nuestros activos,
ü las expectativas que tenemos acerca de ellos, y
ü las amenazas a que están sometidos
no son constantes ni tienen siempre las mismas propiedades. Evaluar nuestras
expectativas y las amenazas bajo las que están asegura que conocemos la
v situación actual y
v necesidades de medidas de seguridad de la organización.
171
Evaluando expectativas podemos extraer las siguientes conclusiones:
• Identifican Qué amenazas conocidas existen a esas expectativas.
• Valorar: Como de vulnerables somos a esas amenazas.
• Priorizar: Qué amenazas tienen un riesgo mayor y deben tratarse primero.
• Clasificar: Qué técnica podemos usar para disminuir el riesgo.
172
Las prácticas consideradas en el modelo de madurez pueden estar adoptadas en
mayor o menor medida:
• Teórica: La práctica está identificada en la política de seguridad, pero no
está desarrollada en normas estándares y procedimientos.
• Documentada: La práctica está completamente descrita en la normativa.
• Implementada: La normativa sobre esa práctica se cumple efectivamente.
• Comprobada: El resultado del cumplimiento de esa práctica se comprueba
periódicamente.
• Integrada: Los casos de incumplimiento de la normativa acerca de esa
práctica son anecdóticos.
Alcanzar un nivel alto de madurez puede tener como efecto el abaratamiento de los
seguros que tomemos. Existen cinco niveles de competencia, que se pueden
caracterizar de una forma no rigurosa como:
173
4.3. NIVEL DEFINICIÓN - 3.
ü La seguridad está reconocida como una característica deseable de la
organización.
ü La ausencia de incidentes es fruto de la casualidad o de esfuerzos mantenidos
por la organización.
ü La presencia de incidentes no suele conducir al máximo impacto que podría
esperarse de ellos.
ü Las responsabilidades de seguridad en la organización están definidas.
ü El efecto de los esfuerzos mantenidos es constante.
ü Existe una normativa de seguridad.
• Se evaluán a veces las expectativas, incidentes y activos.
• Se toman medidas hasta agotar el presupuesto de seguridad.
• Las responsabilidades de seguridad en la organización están definidas.
• Se accede a los activos mediante sesiones.
• Existe normativa de seguridad, normalmente consistente en una política de
seguridad.
• Se hacen auditorías de las medidas de seguridad.
174
• Se evalúan las expectativas, incidentes y activos.
• Se toman las mejores medidas disponibles con el presupuesto de seguridad.
• Las responsabilidades de seguridad en la organización están definidas.
• Existe normativa de seguridad, que se aplica.
• Se accede a los activos sólo mediante sesiones.
• Se hacen auditorías de las medidas de seguridad.
• Existe normativa de seguridad.
• Hay partición de responsabilidades, y son supervisadas.
• Existe un Plan de Continuidad de Operaciones efectivo.
175
• Existe un Plan de Continuidad de Operaciones efectivo, que considera la
evolución de la organización.
• Se recoge información cuantitativa sobre incidentes y cuasi-incidentes.
• Se seleccionan medidas de seguridad con criterios objetivos.
176
177
178
5.1. EJEMPLO DE NORMATIVA.
Los siguientes ejemplos están redactados enfatizando la facilidad de lectura y
claridad de conceptos. Antes de adaptarlos y adoptarlos en una organización real
es conveniente que sean revisados por un abogado para asegurar su efectividad
legal y su compatibilidad con la legislación bajo la que se rige la organización.
179
• Sólo los actores autorizados deben poder utilizar un servicio o acceder
a una información, sean actores internos o externos a la organización.
o Se debe poder identificar a estos actores.
o Para accesos de tipo económico, personal y confidencial debe existir
evidencia de cuándo y quien usa un servicio y envía o recibe activos,
• Los servicios se deben ofrecer sin fallos ni bajadas inaceptables de
rendimiento, obteniendo resultados esperados dentro del plazo esperado.
Se plantea un objetivo
o del 99,999 por ciento de fiabilidad del tiempo de disponibilidad de los
servicios críticos, y
o de un 99 por ciento de los no críticos.
• Se debe impedir en la medida de lo posible que un actor interno o externo
se aproveche de los procesos de la organización.
o El fraude o impago no debe superar el 0,1% de la facturación anual.
• Se debe proteger la propiedad intelectual de la organización, y la
violación de derechos de autor o propiedad intelectual por parte de
componentes de la organización.
o Se debe poder superar una auditoria al respecto sin necesidad de
preaviso.
• Esta organización está sometida a la ley española y comunitaria.
o Se debe cumplir y poder demostrar nuestro cumplimiento de
regulaciones y contratos, y si la otra parte los cumple o no.
o Se debe poder superar una auditoria al respecto sin necesidad de
preaviso.
• El proceso de facturación debe durar menos de un mes.
o El proceso de pago de nóminas debe realizarse antes del primer día
hábil del mes siguiente al correspondiente a la nómina.
• Se deben impedir los hurtos y robos de activos o bienes, y demostrar su
propiedad aun habiendo sido robados o hurtados.
o El coste de reposición por robo o hurto no debe superar el 0,1% de la
inversión anual en activos o bienes.
• El mantenimiento de los activos, en especial los informáticos, debe ser
permanente, tanto componentes como soporte técnico, migración a
nuevas necesidades y tecnologías.
o Se evitara trabajar con empresas acerca de cuya continuidad haya
dudas.
180
• Los servicios deben adaptarse a los aumentos de carga de trabajo, a
requerimientos constantes.
o Los servicios se deben adaptar a las necesidades de la organización,
se debe poder medir cuantitativamente su rendimiento, y se deben
poder predecir las necesidades futuras.
• Los interfaces deben facilitar el acceso a los servicios de modo que se
puedan utilizar de una forma rutinaria sin esfuerzo, y cuando los
utilizamos de una forma no rutinaria con un aprendizaje mínimo.
o Los interfaces de los servicios deben prevenir los errores del usuario.
• Las responsabilidades de la organización deben cumplirse por alguien en
todo momento, que
o nadie debe ejercer responsabilidades que no le corresponden, y
o nadie debe tener una responsabilidad por encima de su competencia.
• El coste de nuestros activos y servicios debe servir a la misión de la
organización, sea mejorando o manteniendo su
o rentabilidad,
o calidad o
o seguridad, y
el uso de recursos debe ser racional.
181
DERECHOS Y RESPONSABILIDADES DEL RESTO DE LA
ORGANIZACIÓN EN MATERIAS DE SEGURIDAD.
182
PRÁCTICAS A EJERCER EN LA ORGANIZACIÓN.
Obligatorias.
183
PRÁCTICAS A EJERCER EN LA ORGANIZACIÓN.
Obligatorias.
184
PRÁCTICAS A EJERCER EN LA ORGANIZACIÓN.
Obligatorias.
185
PRÁCTICAS A EJERCER EN LA ORGANIZACIÓN.
Recomendadas.
Confidencial:
• Planes de fusión / adquisición.
• Actas del Comité Ejecutivo de la organización.
• Información concerniente a relaciones con clientes.
• Información completa de tarifas.
• Información de facturación y compras.
• Información sobre los sistemas de información.
186
Privada:
• Propuesta de proyectos.
• Tarificación de proyectos.
• Información Técnica de la configuración de Redes.
• Estructuración de Sistemas de Información.
Pública:
• Material de Marketing.
• Artículos de Revistas.
• Cierta información de tipo administrativo, normativo, informativo, etc.
Personal:
PRÁCTICAS.
GESTIÓN DE SESIONES.
La cesión de sesiones se considerara como falta grave.
Para transferir a otra zona o dar de baja un equipo de esta zona, su disco
duro deberá ser extraído y destruido físicamente.
189
Todo miembro de la organización tiene la responsabilidad de conocer esta
norma y cumplir con ella.
• Esta condición es una condición imprescindible para ingresar en la organización.
• Se permitirá el acceso a personal no miembros de la organización una vez
hayan leído y aceptado expresamente esta política.
El incumplimiento de esta norma de uso aceptable implica una sanción que puede
llegar al despido justificado y la demanda civil o criminal.
191
Los departamentos de sistemas de ambas organizaciones podrán establecer las
interconexiones que estimen necesarias para proveer de infraestructura a las
colaboraciones vigentes, encontrándose estas interconexiones sujetas al presente
acuerdo.
• Cada organización costeara un 50% de los gastos de
o la interconexión,
o alquiler de la línea y
o mantenimiento hardware y software de los equipos.
• Las diferencias en gasto se compensaran en una factura única anual.
• Ambos departamentos de sistemas se prestaran asistencia mutua en la
instalación, configuración y mantenimiento de las interconexiones.
• La solución de averías por parte de una operadora será seguida hasta su
resolución por el departamento de sistemas de la organización A en meses
pares y por B en los impares.
• Cada organización tendrá la capacidad de gestionar los equipos residentes en
sus locales, y se responsabilizara de su gestión con los medios humanos
necesarios, prestando su colaboración al departamento de sistemas de la otra
organización.
• La responsabilidad última de gestión de equipos y conexiones será del
propietario o arrendatario del local donde resida el equipo.
• Cada organización retiene la propiedad de sus equipos aunque residan en
locales de la otra organización.
• Las contraseñas de acceso a los equipos serán compartidas por los
departamentos de sistemas.
• Ambas organizaciones se notificaran mutuamente de bajas entre el personal
autorizado.
192
• Sólo se permitirá el uso de la conexión a miembros de las organizaciones con
responsabilidades relacionadas con la colaboración.
• La concesión de acceso será solicitada por el departamento de sistemas de
cada organización a la otra.
• Ambas organizaciones se responsabilizan de las consecuencias del uso
indebido de la conexión por parte de los miembros de sus respectivas
organizaciones.
En caso de destrucción de las oficinas o de sus sistemas, existe una copia de toda
la información custodiada en Custodias S.L. Su teléfono es el 93xxxxxxx o el
93xxxxxxxx. Custodias S.L. se pondrá en contacto con el director o con alguien de
su familia, y entregara la copia de respaldo que se realiza todos los domingos al
director o sustituto.
El director o sustituto:
• Se pondrá en contacto con la empresa de seguros Aseguradora Total, S.A.
Existe una copia de las pólizas suscritas custodiada por Desastres S.A.
• Se pondrá en contacto con la compañía telefónica para la redirección de las
líneas a las oficinas temporales.
194
5.3. SERVICIOS COMERCIALES DE SEGURIDAD.
Distintas empresas ofrecen un gran conjunto de servicios de seguridad, desde el
outsourcing hasta la venta de productos específicos.
195
5.4.1. GENERAL.
http://www.microsoft.com/security/
http://www.linuxsecurity.com
http://packetstormsecurity.nl
http://www.securiteam.com
http://www.cert.org
http://www.securityfocus.com
http://www.parallaxresearch.com
http://security.tao.ca
http://www.sans.org
5.4.2. PRUEBAS.
ANTIVIRUS.
http://www.pandasoftware.com/activescan/
http://housecallantivirus.com/housecall/start_corp.asp
http://privacy.net/analyze/
http://www.trustedbase.org/test/english/
FRAUDES.
http://www.rompecadenas.com.ar
http:// hoaxbusters.ciac.org
5.4.3. HACKERS.
http://www.whitehats.com/
http://www.antionline.com/index.php
http://www.cotse.com/
http://neworder.box.sk/
196
5.4.4. FUENTES DE INFORMACIÓN SOBRE ATAQUES Y
DEBILIDADES.
http://www.der-keiler.de/
http://www.ntbugtraq.com/
http://isc.incidents.org/
http://www.dshield.org/
También puede ser conveniente consultar las páginas web de los fabricantes de su
software, sistemas operativos y equipos de comunicaciones.
5.4.6. DIRECTORIOS.
http://ww.microsoft.com/windows2000/technologies/directory/ad/default.asp
http://www.novel.com/products/edirectory
http://www.openldap.org
5.4.8. AUDITORÍA.
http://www.isecom.org/projects/osstmm.htm
5.4.9. HERRAMIENTAS.
http://www.insecure.org/tools.html.
http://www.cisecurity.com/
http://www.epic.org/privacy/tools.html
http://www.seguridadenlared.org/es/checkdialer.php
197
http://koeln.ccc.de/archiv/drt/crypto/linux-disk.html.
http://security.tao.ca/diskcrypt.shtml.
5.4.13. EN ESPAÑOL.
http://www.iec.csic.es/criptonomicon/
http://www.kriptopolis.com
http://derecho-internet.org
En caso de recibir un correo como el ejemplo real que se adjunta, lo más indicado
es reenviarlo a la dirección del departamento del Tesoro de Estados Unidos que se
encarga de combatir este fraude, 419.fcd@usss.treas.gov, indicando en el subject
"No loss".
198
199
5.6. COMPAÑIAS DE SEGURIDAD DE LA INFORMACIÓN
EN ESPAÑA.
• SIA.
• DaVinci.
• S21SEC.
• NET25.
• Germinus.
• Computer Associates.
• Deloitte & Touche.
• Ernst & Young.
• IBM.
• Indra.
• Nokia.
• Safelayer.
• SGI.
• Steria.
• Symantec.
• Panda.
• ipsCA.
• KPMG.
• Accenture.
• Hispasec.
200
201