Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
UNIDAD 1 FUNDAMENTOS DE SEGURIDAD DE SISTEMAS
OPERATIVOS
INTRODUCCIÓN
En la presente unidad se trataran las temáticas relevantes a la fundamentación teórica y
conceptual sobre la seguridad de sistemas operativos, esta unidad se presenta como un
referente teórico, técnico y académico sobre la naturaleza de la seguridad en los (S.O.),
teniendo a su vez como referente la normatividad existente a nivel internacional.
Esta unidad es muy importante para el desarrollo del curso ya que entrega información
muy relevante sobre la seguridad de los sistemas operativos, nos brinda una introducción
precisa sobre los componentes estructurales de la seguridad y referencia en su desarrollo
a fuentes importantes que le permitirán al estudiante, profundizar mucho mas en sus
conocimientos y análisis.
Sea esta la oportunidad de invitarles a leer con atención el presente material, indagar en
fuentes adicionales y en las propuestas para realizar un proceso formativo mucho mas
sustentado y completo. Desde ya esperamos que todo el contenido plasmado en esta
unidad no solamente sea de su agrado; sino que esperamos que este les sirva de verdad
en su formación como especialistas en seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
CAPITULO 1: INTRODUCCIÓN A LA SEGURIDAD DE LOS SISTEMAS OPERATIVOS
Criticidad
Loshin (2010), define criticidad como el grado en el cual los procesos de negocio son
afectados por la existencia de un problema o situación. El autor plantea que de acuerdo a
su criticidad los datos pueden ser clasificados en diferentes grupos:
Sebastian-colleman (2013) indican que la mejor manera de identificar cuales datos son
más críticos es preguntar a los consumidores o los usuarios de los datos. Ellos pueden
decir cuales datos usan y cómo los usan. Ellos pueden también probablemente compartir
historias acerca de que ha ocurrido cuando se ha presentado indisponibilidad o baja
calidad de datos críticos. Pero la mayoría de personas se enfrentan con cientos de
elementos de datos y docenas de grupos consumidores de datos. Los datos que son
críticos para un área de la organización pueden ser de menos importancia para otra. Los
números telefónicos de los clientes pueden ser críticos para el equipo de ventas pero no
tanto para analistas que estudian el comportamiento de un grupo de clientes. Si se tiene
una gran y diversa base de datos se requiere entender la importancia relativa de los
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
diferentes elementos y se debe identificar criterios a través de los cuales pueda definirse
la criticidad. Entre estos criterios se tienen:
La criticidad de los datos puede ser también entendida desde su uso en un contenedor de
datos. Un simple conteo de ocurrencia del número de ingresos asociados con un campo
es un indicador de que tan importante son los datos en relación con el contenedor.
Loshin (2011) define los elementos de datos críticos como aquellos de los cuales
depende el éxito de los procesos y sus correspondientes aplicaciones de negocio. El
autor reconoce que las diferentes facetas del negocio (analítica, operaciones, etc)
dependerán de diferentes elementos de datos específicos y señala varios criterios
generales que pueden ser aplicados para identificar elementos de datos críticos.
Adicionalmente los elementos críticos pueden ser usados en reportes financieros y de
negocio como:
• Políticas de negocio
• Cumplimiento regulatorio (compliance)
• Aplicaciones de Inteligencia de negocio (Business Intelligence)
• Toma de decisiones operacionales
• Desempeño del cuadro de mando (Scorecard)1
1
Herramienta de gestión empresarial que facilita la toma de decisiones dentro de una organización. Tomado de wikipedia.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
Danette MacGilvary (2008)2 describe un proceso para priorizar los elementos de datos
que son candidatos para proyectos de mejoramiento. Las mismas estrategias pueden ser
utilizadas para asignar clasificación de criticidad de los datos. Estas estrategias incluyen:
• Identificar los procesos de negocio que utilizan datos que necesitan ser priorizados
• Comprometer un rango de personas que representan varios intereses en la
organización y asegurar que tienen la información que necesitan para contribuir en
el proceso
• Llegar a un acuerdo sobre los procesos e información que requiere ser clasificada,
así como la escala a ser utilizada en esa clasificación
• Para cada elemento de datos, tener un grupo estándar de preguntas para
identificar el posible impacto de negocio que podría ocasionar tener baja calidad o
pérdida en los datos.
• Permitir a los participantes asignar el nivel de criticidad de los datos basados en su
conocimiento del proceso.
• Asignar una clasificación general, documentar y analizar los resultados.
Confidencialidad
Servicios de confidencialidad-privacidad-anonimato
2
Citado por sebastian‐Colleman l. (2013) pág 140.
3
Glosario ISACA disponible en http://www.isaca.org/Pages/Glossary.aspx?tid=214&char=C
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
información intercambiada y los hitos temporales del proceso de comunicación,
almacenamiento y procesamiento. Una vez perdida la confidencialidad no se puede
restaurar. Por tanto, La protección de las comunicaciones de posibles revelaciones, el
hacer cumplir los accesos de lectura autorizados y la capacidad de privacidad,
proporcionan confidencialidad, como se muestra en la siguiente figura:
4
Figura 1. Esquema de los servicios de confidencialidad
Clasificación de la información
5
Figura 2. Tipos, criterios y beneficios de clasificación de la información
Candela (2007), realiza algunas apreciaciones sobre los sistemas operativos dentro de
las que se destacan las siguientes:
Álvarez et al, (2007) plantean que para cumplir con sus funciones, el sistema operativo
contiene los siguientes módulos:
• Gestor de memoria: El sistema operativo debe satisfacer una serie de requisitos, tanto
de usuario como del administrador del mismo. Para ello, el módulo de gestión de
memoria debe cumplir con cuatro responsabilidades:
Aislamiento de procesos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
Asignación dinámica de memoria a los procesos, transparente al usuario.
Soporte para la programación modular.
Control de acceso y protección. Se debe dar soporte a la compartición de áreas de
memoria, sin que esto interfiera con el primer punto.
• Gestor de Entrada/Salida: Los problemas asociados con la E/S de datos tienen como
origen el que los dispositivos de E/S tiene distintas características y diferentes
velocidades. El módulo de control de E/S trata estos problemas presentando al
programador la E/S como una cuestión independiente del dispositivo. Estas funciones
que proporciona este módulo del sistema operativo se activan mediante lo que se
denominan llamadas al sistema. Normalmente estas llamadas son del tipo: abrir y
cerrar el dispositivo, escribir y leer.
Exclusión mutua.
Mantener y esperar.
Planificador no apropiativo.
Espera circular.
7
Figura 3. Módulos del sistema operativo
7
Tomado de Sistemas operativos, bases de datos y servidores Webpág. 18
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
La figura 3 ilustra la estructura general de un sistema operativo. Otros elementos
importantes en cualquier sistema operativo son:
• Errores
• Si los programas se pueden ejecutar por partes, la memoria lógica puede ser
mayor que la real disponible.
Aunque este estándar ha sido ampliamente utilizado durante muchos años y todavía
existen empresas que se rigen bajo estos lineamientos, el ministerio de defensa de los
Estados Unidos ha establecido que este estándar es obsoleto y se sugiere ahora utilizar
los lineamientos del estándar “Common Criteria for Information Technology Security
Evaluation” (criterios comunes para seguridad en tecnología de la información) conocido
como el CC (Common Criteria) junto con la metodología común de evaluación “Common
Methodology for Information Tecnology Security Evaluation” conocido como CEM.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
El proyecto Common Criteria (CC)
El CC y el CEM son las bases técnicas para un acuerdo internacional conocido como el
“Common Criteria Recognition Arrangement” CCRA, que asegura:
• Que los documentos soporte que son usados con el procedimiento de certificación
del CC para definir cómo los criterios y métodos de evaluación sean aplicados
cuando se esté certificando una tecnología específica.
• Que esos certificados sean reconocidos por todas las firmas participantes en el
CCRA.
Perfiles de Protección
8
Tomado de http://www.commoncriteriaportal.org/
9
Tomado de http://www.ssi.gouv.fr/archive/es/confianza/pp.html
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
Las metas de evaluación (Target of Evaluation), en adelante TOE , de un sistema
operativo de propósito general debe tener las siguientes funcionalidades:
• Provee servicios a diferentes usuarios, que pueden ser humanos u otros sistemas
de IT.
• Verifica la identidad de los usuarios externos, lo que permite que las reglas de la
política de control de acceso estén basadas en atributos de seguridad que el
sistema operativo asocia con tales usuarios.
10
Tomado y traducido de Federal Office for Information Security (2010). Operating System Protection Profile.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
2. Perfil de protección del gobierno de los Estados Unidos para sistemas operativos de
propósito general en un entorno de red. Este perfil establece los requerimientos
necesarios para alcanzar los objetivos de seguridad de las metas de evaluación o TOE
(Target of Evaluation) y su entorno.
Los productos que cumplan este perfil deben soportar Identificación y autenticación,
control de acceso discrecional (DAC), servicios criptográficos y funcionalidades de
auditoría. Estos sistemas proveen servicios adecuados de seguridad, mecanismos y
aseguramiento para procesos administrativos, privados, e información sensible. Si la
organización va a enviar información sensible o confidencial sobre una red de acceso
público, se debe aplicar protección adicional a los límites de la red.
Los sistemas operativos que cumplan este perfil de protección deben cumplir lo siguiente:
• Control de acceso discrecional (DAC), que restrinja el acceso a los objetos, basado
en la identidad de los procesos y grupos a los que pertenecen, y permitan a los
usuarios autorizados especificar protección para los objetos que ellos controlan.
Esta norma fue elaborada como un referente internacional para orientado a la seguridad
de la información en las empresas u organizaciones, de modo que las probabilidades de
ser afectados por robo, daño o pérdida de información se minimicen al máximo, este
estándar; posee varias categorías de seguridad principales, entre las cuales se tienen
once cláusulas las cuales se presentan a continuación:
1. Política de seguridad.
2. Aspectos organizativos de la seguridad de la información.
3. Gestión de activos.
4. Seguridad ligada a los recursos humanos.
5. Seguridad física y ambiental.
6. Gestión de comunicaciones y operaciones.
7. Control de acceso.
8. Adquisición, desarrollo y mantenimiento de los sistemas de información.
11
Tomado y traducido de Information Assurance Directorate (2010). US government protection profile for general‐purpose operating systems in a
networked environment.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
9. Gestión de incidentes en la seguridad de la información.
10. Gestión de la continuidad del negocio.
11. Cumplimiento.
http://www.ecured.cu/index.php/ISO/IEC_27002#Surgimiento
Este documento presenta las principales características de la norma elaborada por la ISO
y la IEC. En el año 2007.
12
ISO/IEC 27002. Enciclopedia Cubana en la Red ECURED. http://www.ecured.cu/index.php/ISO/IEC_27002#Surgimiento
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
Este documento debe ser primeramente aprobado por la gerencia y luego publicado y
comunicado a todos los empleados y las partes externas relevantes.Las políticas de
seguridad de la información no pueden quedar estáticas para siempre, sino que por el
contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan
en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier
tipo de cambio que se dé.
Gestión de activos: Se deben asignar responsabilidades por cada uno de los activos de
la organización, así como poseer un inventario actualizado de todos los activos que se
tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de
todos los activos.
Seguridad ligada a los recursos humanos: El objetivo de esto es asegurar que los
empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática
Curso: Seguridad de Sistemas Operativos
los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso
de los medios. Es necesario definir claramente los roles y responsabilidades de cada
empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se
debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas
para concientizar y proporcionar formación y procesos disciplinarios relacionados a la
seguridad y responsabilidad de los recursos humanos en este ámbito.
Se debe también contar con controles físicos de entrada, tales como puertas con llave,
etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas
externas y de origen ambiental, como incendios (para los cuales deben haber extintores
adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones,
atentados terroristas, etc. Deben también haber áreas de acceso público de carga y
descarga, parqueos, áreas de visita, entre otros.
Se debe controlar la temperatura adecuada para los equipos, seguridad del cableado,
mantenimiento de equipos, etc. Para todo esto se requerirá de los servicios de técnicos o
ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así
como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de
los equipos también debe ser adecuada y de tal manera que evite riesgos.
Llevar a cabo la gestión de cambios. Un cambio relevante no se debe hacer jamás sin
documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego
de un estudio y análisis de los beneficios que traerá dicho cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin
autorización o detección.
Cuando se haga uso del comercio electrónico, debe haber una eficiente protección
cuando se pasa a través de redes públicas, para protegerse de la actividad fraudulenta,
divulgación no autorizada, modificación, entre otros.
Las fallas deben ser inmediatamente corregidas, pero también registradas y analizadas
para que sirvan en la toma de decisiones y para realizar acciones necesarias.
Control de acceso: Se debe contar con una política de control de acceso. Todo acceso
no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que
eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios,
autenticación mediante usuarios y contraseñas, etc.
Los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada,
como por ejemplo la activación automática de un protector de pantalla después de cierto
tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca
una contraseña conocida por quien estaba autorizado para utilizar la máquina
desatendida.
La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en
la organización, utilizando técnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe
controlar el acceso a los archivos del sistema y el código fuente del programa, y los
proyectos de tecnologías de información y las actividades de soporte se deben realizar de
manera segura.
Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una
mejor manera.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la
información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser
sometidos a pruebas, mantenimiento y reevaluación.
La ley de intimidad requiere que las agencias notifiquen públicamente acerca de sus
sistemas de registros a través del registro federal. La ley de intimidad prohíbe la
divulgación de un registro de un sistema de registros, sin el consentimiento del individuo
involucrado, a menos que la divulgación esté de acuerdo con una de las doce
excepciones estatutarias. La ley de intimidad provee a los individuos, un medio de acceso
y modificación a sus registros, y establece un grupo de requerimientos a las agencias que
guardan estos registros.
La ley de intimidad, ha sido aplicada desde Septiembre 27 de 1975, sin embargo, esta ley
tiene un lenguaje impreciso , historia legislativa limitada y lineamientos regulatorios
desactualizados que han hecho que sea difícil para descifrar y aplicar. Además, aun
después de más de 35 años de análisis administrativo y judicial, numerosos aspectos de
la ley de privacidad permanecen sin resolver o sin explorar. Por otro lado, todavía hay
muchos casos previos relacionados con esta ley que no han sido resueltos. En la revisión
se hace un particular esfuerzo para clarificar la ley existente y al mismo tiempo se resaltan