Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3 TEMA
Sistemas de detección de intrusos INTEGRIDAD
Esquema
TEMA 3 – Esquema
Integridad
…de entidad
Bases de datos
…referencial
…transnacional
…reglas de
negocios
CONFIDENCIALIDAD DISPONIBILIDAD
2
SAI, clusters de
servidores,
Cifrado: clave Algo que RAID, etc.
Control de
simétrica conoce acceso
Blackups,
Clave Algo que Obligatorio.
tiene
gestión de
asimétrica:
intercambio
errores en
Discrecional.
clave firma Algo que software.
digital. es Basado en roles.
Control de
Basado en
reglas. versiones, EMS.
Ideas clave
Para estudiar este tema lee las Ideas clave que te presentamos a continuación.
Además, tendrás que leer las páginas 96, 97-118, 121-142 y 342-350 del siguiente
libro disponible en la Biblioteca Virtual de UNIR:
Igualmente, habremos de dar cuenta de otros elementos que son necesarios para
preservar ciertas características de seguridad sin necesidad de utilizar base criptográfica
alguna.
M C M
Si queremos enviar a un usuario específico una clave de sesión bastará que cifremos
la misma mediante su clave pública. El destinatario consecuentemente, obtiene la
clave de sesión sin más que emplear su clave privada.
Una clave de sesión suele emplearse para cifrar mediante cifra simétrica
mensajes en una sesión de comunicación.
Por otro lado, dado que la clave privada solo está en posesión de un cierto usuario, se
puede emplear dicha clave como mecanismo de autenticación. Así, si quiero
autenticarme de cara a un usuario que conoce mi clave pública, bastará que dicho
usuario me envíe un mensaje y me pida que lo cifre mediante mi clave privada.
Al recibir aquel usuario el mensaje que he cifrado con mi clave privada lo descifrará
mediante la correspondiente clave pública. En caso de que el desafío-respuesta sea
satisfactorio (es decir, si el mensaje obtenido al descifrar mediante mi clave pública
es igual al mensaje original) se da por validada mi identidad (digital).
Por otro lado también conviene recordar que no todos los activos requieren el
mismo nivel de protección de confidencialidad. Es más, hay datos que por su
carácter público no requieren la protección de su confidencialidad, aunque sí
que se debe vigilar la consistencia y coherencia de dichos datos con aquellos
activos confidenciales sobre los que se sustentan.
Los mecanismos de protección de información de modo local (es decir, al ser almacenada
en entornos bajo nuestro control, de modo directo o indirecto) están basados en técnicas
En el caso del sistema operativo Windows tenemos el EFS (Encryption File System)
y el sistema BitLocker (Microsoft, 2019).
Ambos sistemas solo están presentes en las versiones profesionales de las distribuciones
del sistema operativo Windows. Si se cuenta con una versión home, habría que buscar
alguna alternativa. Entre las opciones opensource, TrueCrypt ha sido una de las
propuestas más adoptadas en los últimos años.
Sin embargo, esta solución software ha dejado de ser mantenida desde mediados de
2014. En el caso de sistemas Linux tenemos dm-crypt, EncFs, etc. Además del cifrado
de ficheros y discos duros completos, podemos efectuar el cifrado desde el
arranque (Preboot Authentication –PBA-), hacer uso del módulo TPM de los equipos
actuales o emplear discos duros auto-cifrables de acuerdo con el estándar OPAL
definido por el Trusting Computing Group (TCG).
Los sistemas de detección de intrusos o IDS (Intrusion Detection System) tienen por
objetivo detectar ataques perpetrados (son mecanismos de detección y no de prevención
de ataques) (Álvarez y Pérez, 2004, pp. 342-350).
Los IDS pueden emplazarse directamente en el equipo a proteger (Host IDS o HIDS)
o pueden ubicarse de tal forma que actúen sobre el tráfico de red (Network IDS o
NIDS).
modo, las funciones hash deben ser robustas frente a colisiones. Precisamente por no
satisfacer este requisito, funciones hash como MD5 o SHA-1 han de ser descartadas en
favor de las funciones SHA-2 y SHA-3.
En el caso de los sistemas de base de datos hay que garantizar que los datos son correctos
y consistentes.
Los sistemas RAID separan los datos en múltiples unidades y los almacenan en múltiples
discos y se pueden implementar de modo software o hardware (Álvarez y Pérez, 2004,
pp. 127-130).
Sin embargo, hay que ser bastante cauto a la hora de diseñar un sistema RAID. Dicho
sistema ofrece configuraciones distintas y no todas ellas ofrecen el mismo nivel de
respaldo.
Al respecto de los sistemas de respaldo de datos, hay que comprobar si existen planes de
realización automática de copias de seguridad o backups.
Los medios de almacenamiento de copias de seguridad van desde la cinta magnética, los
discos duros, hasta sistemas SAN/NAS. No obstante, en la actualidad cada vez son más
las empresas que hacen uso de la nube como servicio de backup.
Los conceptos de privacidad y anonimato constituyen uno de los grandes desafíos de las
actuales TIC. La irrupción de las infraestructuras cloud y el desarrollo de técnicas de
Big Data para el proceso de información masiva presentan todo un conjunto de
posibilidades, pero también toda una serie de amenazas.
Sin duda, el uso de la tecnología cloud (la nube) supone una gran oportunidad de
ahorre de costes tanto para las grandes como para las pequeñas y mediana
empresas (PyMEs).
Ahora bien, hemos de ser conscientes de que el uso de tales facilidades involucra ceder
la custodia de nuestros activos a una tercera parte. Es cierto que si nuestra empresa tiene
suficientes recursos podría desplegar su infraestructura cloud, pero en el caso de las
PyMEs la gran oportunidad aparece cuando se consideran servicios cloud gratuitos o de
bajo coste, como puede ser el caso de Dropbox, Google Drive, SpiderOak, Amazon Web
Services (AWS), etc.
Para ello habremos de asumir que el servidor cloud es una tercera parte no confiable de
nuestro esquema que solo garantiza la disponibilidad del servicio de almacenamiento.
bien a que no se han establecido los medios oportunos para llevarla a término. Es
precisamente esta circunstancia la que tenemos que descartar cuando llevamos a cabo
una evaluación de un SGSI.
A este respecto y siempre que nos encontremos en el caso de servicios web, cabe tener
bien presente la iniciativa P3P (Platform for Privacy Preferences) de la W3C (2018),
cuyo objetivo es actuar de puente entre las especificaciones de privacidad de los
servidores y los requerimientos del usuario (es una plataforma para implementar
prácticas de privacidad en sitios web).
Otra difícil conciliación viene deparada por la combinación de los objetivos de seguridad
y los derechos de privacidad (Grupo de investigación sobre protección de datos y acceso
a la información, 2012).
Las técnicas de auditoría informática, el análisis forense y los test de penetración pueden
llevar asociadas claras vulneraciones de la privacidad de los usuarios de los sistemas que
estamos evaluando.
Por ello, no solo hemos de tener en cuenta todo lo concerniente a la consecución de los
objetivos CID y el respecto a las políticas de seguridad aceptadas por los
usuarios/clientes de nuestros sistemas de información, sino que además hemos de
garantizar que los datos almacenados para evaluar la seguridad y los datos analizados
para detectar no implican filtración de información personal de usuarios.
Evidian. (2015). Los 7 métodos de autenticación más utilizados. [S. l.]: Evidian.
Recuperado de https://www.evidian.com/pdf/wp-strongauth-es.pdf
W3C. (2018). The platform for privacy preferences (P3P) project. Recuperado de
http://www.w3.org/P3P/
Lo + recomendado
No dejes de leer…
INCIBE. (S. f.). Uso de técnicas criptográficas: políticas de seguridad para la pyme.
León: INCIBE.
Cooke, I. (2018). Auditoría básica de SI: respaldo y recuperación. ISACA Journal, 1 [en
línea].
Altman, M., Wood, A., O’Brien, D. y Gasser, U. (2018). Practical approaches to big data
privacy over time. International Data Privacy Law, 8(1), 29-51.
No dejes de ver…
Interesante debate de 2019 que ofrece la empresa RSA con la participación del CEO de
IAPP (International Association of Privacy Professionals) y los encargados de la
privacidad en las empresas Linkedin y Uber sobre la imperativa necesidad de proteger
los datos personales.
+ Información
Enlaces relacionados
Cloud security
Página web de referencia para la seguridad en entornos cloud. Dada la importancia del
almacenamiento cloud, un auditor de seguridad debe manejar el conjunto de ventajas y
desafíos que presenta esta tecnología. Esta página sirve de base para comprender los
modelos de confianza, las amenazas y las salvaguardas patentes en el dominio cloud.
En esta web puedes encontrar un muy buen resumen sobre las principales soluciones
para cifrar discos duros.
Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
http://www.criptored.upm.es/crypt4you/temas/privacidad-
proteccion/leccion2/leccion2.html
Bibliografía
Test