SEGURIDAD INFORMÁTICA

Resumen

La seguridad física, junto a la seguridad lógica, es un elemento primordial a la hora de configurar

correctamente la seguridad pasiva en una organización. Si un intruso puede conseguir acceso físico
sobre activos de una organización, entonces no sirve de nada tener un gran despliegue de seguridad
en cortafuegos, antivirus… La seguridad física es, por tanto, la base sobre la que se fundamenta un
buen dispositivo de seguridad .

La seguridad física incluye diferentes elementos como la ubicación de las instalaciones y los
factores ambientales. La ubicación de las instalaciones puede hacer que éstas sean más sensibles a
determinados factores de riesgo; por tanto, es importante valorar todas las variables a la hora de
decidir su ubicación. La visibilidad, accesibilidad, probabilidad de desastres naturales y otros
factores externos son variables que impactan en la seguridad de una organización.

Los factores ambientales pueden ser causantes de desastres que pongan en compromiso a los activos
de una organización. Un incendio, un escape de agua o una temperatura excesiva pueden provocar
destrozos en el hardware, pérdida de información, interrupción del servicio prestado… Los sistemas
de ventilación además de tener la función de refrigerar también son importantes para evitar la
acumulación de polos y otros agentes contaminantes, y que los sistemas de extinción de incendios
pueden minimizar muchos daños. La implantación de estas medidas minimiza el riesgo de
accidentes producidos por los factores ambientales.

La protección física de los sistemas informáticos es un elemento clave en la estrategia de seguridad.

Cada vez hay más información sensible almacenada en equipos informáticos de la que es necesario
cuidar. Si un atacante consigue tener acceso físico no autorizado a un equipo, entonces todo el
sistema de seguridad cae.

Cada caso exige unos niveles de seguridad distintos. Es necesario realizar un análisis de riesgos para
desplegar unas medidas de seguridad adecuadas. Las medidas de seguridad pueden ser de distintos
tipos según su finalidad.

Hay medidas de seguridad que sirven para disuadir a los atacantes, otros sirven para dificultar el
acceso a los atacantes y ganar así tiempo, otros sirven para detectar accesos no autorizados de
intrusos y poder reaccionar, y de otros definen cómo proceder en caso de que haya alguna incidencia.

El suministro eléctrico que llega a hogares y empresas sufre ciertas alteraciones que pueden ser
perjudiciales para los equipamientos informáticos conectados. Un apagón eléctrico es el caso más
grave de alteración eléctrica, pero hay otros que también deben tenerse en cuenta.

Les sobre­ten­si­ons es donen quan el vol­tatge de la línia és més alt que el que hau­ria de ser. Les bai­xa­-
des de ten­sió es donen quan el vol­tatge de la línia és més baix que el que s’espera. Aquest tipus de
pro­ble­mes es pot com­ba­tre amb un des­car­re­ga­dor de sobre­ten­sió, per a evi­tar sobre­ten­si­ons, i amb
un regu­la­dor de vol­tatge, que pro­te­girà de les bai­xa­des de ten­sió.

Els des­car­re­ga­dors de sobre­ten­sió són una solu­ció eco­nò­mica que és reco­ma­na­ble d’ins­tal·lar en
qual­se­vol ordi­na­dor per­so­nal o peri­fè­rics d’usu­ari com impres­so­res, moni­tors, etc.

Per a ser­vi­dors de dades o ordi­na­dors que fan ope­ra­ci­ons crí­ti­ques és més adi­ent uti­lit­zar sis­te­mes
d’ali­men­ta­ció inin­ter­rom­puda (SAI). Aquests sis­te­mes pro­te­gei­xen els ordi­na­dors dels talls de
cor­rent i també d’altres alte­ra­ci­ons de la línia elèc­trica.
SEGURIDAD INFORMÁTICA

Un SAI es con­necta a la línia elèc­trica prin­ci­pal (entrada) i als ordi­na­dors que ha de pro­te­gir (sor­-
tida). El SAI conté una bate­ria o més d’una que es van car­re­gant men­tre hi ha ali­men­ta­ció de la línia.
Quan es pro­du­eix un tall de llum, el SAI sub­mi­nis­tra ener­gia als ordi­na­dors con­nec­tats grà­cies a una
o més bate­ries de què dis­posa.

La mida i la quan­ti­tat de bate­ries que tin­gui el SAI són fac­tors que en deter­mi­nen l’auto­no­mia, que
pot oscil·lar entre pocs minuts i diver­sos. Quan hi ha una apa­gada elèc­trica, l’auto­no­mia del SAI per­-
met apa­gar els ordi­na­dors d’una manera i orde­nada o con­nec­tar-los a una font d’ali­men­ta­ció alter­na­-
tiva com és un grup elec­tro­gen.

Per a veri­fi­car el fun­ci­o­na­ment d’un SAI s’obser­ven els indi­ca­dors llu­mi­no­sos que incor­pora o
s’escol­ten les alar­mes audi­ti­ves que pugui fer sonar. Depe­nent de quins LED s’il·lumi­nen, o de quin
tipus de soroll fa, com­pro­va­rem si tot va bé o cal can­viar una bate­ria mal­mesa o dis­mi­nuir la càr­rega
del SAI (el nom­bre d’ordi­na­dors que hi estan con­nec­tats), per posar-ne alguns exem­ples.

De manera gene­ral, es poden clas­si­fi­car els SAI en dues cate­go­ries: els que sub­mi­nis­tren con­tí­nu­a­-
ment ener­gia de les seves bate­ries (en línia) i els que ho fan només d’una manera pun­tual (fora de
línia), en cas d’apa­gada elèc­trica.

El SAI de tipus standby per­tany a la cate­go­ria fora de línia i és dels més eco­nò­mics, de mida redu­-
ïda i adi­ent per a equips domès­tics. Un petit incon­ve­ni­ent és que té un temps de trans­fe­rèn­cia rela­ti­-
va­ment alt (frac­ció de segon que passa des que se’n va la llum fins que s’activa la bate­ria).

El SAI interac­tiu de línia també per­tany a la cate­go­ria fora de línia. Té un temps de trans­fe­rèn­cia
més petit que el SAI standby. S’uti­litza en peti­tes empre­ses i en ser­vi­dors depar­ta­men­tals.

El SAI en línia resulta més car, però no té temps de trans­fe­rèn­cia; si se’n va la llum, els equips con­-
nec­tats no noten cap canvi, reben un flux cons­tant de cor­rent elèc­tric. Aquest tipus de SAI sol ser de
mida supe­rior i té una auto­no­mia també més gran.

La capa­ci­tat d’un SAI és la potèn­cia màxima que pot sub­mi­nis­trar a la seva càr­rega (equips con­nec­-
tats). L’auto­no­mia del SAI dis­mi­nuirà a mesura que aug­menti la càr­rega. Com més gran sigui la càr­-
rega, hi haurà menys auto­no­mia.

La capa­ci­tat d’un SAI s’indica amb dos valors expres­sats en dues uni­tats dife­rents. Un valor repre­-
senta la potèn­cia real que és el con­sum real de la càr­rega i es mesura en watts (W). L’altre valor
repre­senta la potèn­cia apa­rent que és la potèn­cia que surt del SAI cap a la seva càr­rega i es mesura en
vol­tam­pe­res (VA).

Abans d’esco­llir un model de SAI cal fer un càl­cul de la capa­ci­tat que serà neces­sà­ria en cada cas.
També cal­drà també tenir en compte l’auto­no­mia que es vol i l’espai i les con­di­ci­ons ambi­en­tals on
s’ubi­carà el SAI.

Quan acce­diu a un sis­tema infor­mà­tic, nor­mal­ment cal que us auten­ti­queu pri­mer per­què el sis­tema
ope­ra­tiu pugui veri­fi­car la vos­tra iden­ti­tat. Un cop dins, teniu al vos­tre abast un gran nom­bre de
recur­sos del sis­tema, a alguns dels quals podreu acce­dir i a d’altres no.

Quan pro­veu d’acce­dir a un recurs deter­mi­nat, el sis­tema ope­ra­tiu com­pro­varà en una base de dades
d’auto­rit­za­ció si teniu els drets per a fer-ho. Si això es com­pleix tin­dreu accés al recurs, en cas con­-
trari se us vetarà l’accés. Això és el que s’ano­mena con­trol d’accés als recur­sos.

Els ele­ments bàsics de con­trol d’accés són l’objecte, el sub­jecte i els drets d’accés. L’objecte és el
recurs al qual es vol acce­dir (un fit­xer, un direc­tori…). El sub­jecte és l’enti­tat que vol acce­dir a un
recurs con­cret (un usu­ari, un pro­grama…). Els drets d’accés són les acci­ons que pot fer un sub­jecte
SEGURIDAD INFORMÁTICA
sobre un objecte deter­mi­nat (lle­gir, escriure, esbor­rar…).

El con­trol d’accés dis­cre­ci­o­nal és una polí­tica de con­trol d’accés basada en la iden­ti­tat del
sol·lici­tant i en unes nor­mes d’accés que indi­quen el que poden o no poden fer els sol·lici­tants.

Un meca­nisme del con­trol d’accés dis­cre­ci­o­nal són les llis­tes de con­trol d’accés (ACL), en què
cada objecte té una llista dels sub­jec­tes que hi poden interac­tuar. Els sis­te­mes Win­dows fan ser­vir
aquest meca­nisme, men­tre que els sis­te­mes basats en UNIX el com­bi­nen amb les capa­ci­tats (asso­ciar
a cada sub­jecte un llista del que pot fer).

Les con­tra­se­nyes són un dels meca­nis­mes més uti­lit­zats per a l’auten­ti­ca­ció d’usu­a­ris. Con­sis­tei­xen
en un con­junt de caràc­ters secrets que només sap l’usu­ari. Per­què la segu­re­tat d’una con­tra­se­nya
sigui efec­tiva cal que sigui robusta, això vol dir que com­pleixi tota una sèrie de carac­te­rís­ti­ques com
la lon­gi­tud, que tin­gui majús­cu­les i minús­cu­les…

Una polí­tica de con­tra­se­nyes és un docu­ment que regula qui­nes són les nor­mes de cre­a­ció de les con­-
tra­se­nyes, les nor­mes de pro­tec­ció de les con­tra­se­nyes i la fre­qüèn­cia de reno­va­ció de les con­tra­se­-
nyes.

Els sis­te­mes bio­mè­trics ofe­rei­xen més garan­ties que les con­tra­se­nyes, ja que es basen en alguna
cosa que l’usu­ari és en comp­tes de basar-se en alguna cosa que l’usu­ari sap. Els sis­te­mes bio­mè­trics
veri­fi­quen la iden­ti­tat de l’usu­ari mit­jan­çant l’anà­lisi d’algun dels seus atri­buts físics o del seu com­-
por­ta­ment.

Hi ha diver­sos tipus de sis­te­mes bio­mè­trics en fun­ció de les carac­te­rís­ti­ques que ana­lit­zen dels usu­a­-
ris. Els més habi­tu­als són: lec­tors d’emprem­tes dac­ti­lars, lec­tors del pal­mell de la mà, lec­tors de
retina, lec­tors d’iris i lec­tors faci­als.

Per a acce­dir a un sis­tema infor­mà­tic i/o acce­dir a un recurs deter­mi­nat calen tres meca­nis­mes dife­-
rents: iden­ti­fi­ca­ció, auten­ti­ca­ció i auto­rit­za­ció.

La iden­ti­fi­ca­ció ser­veix per a reco­nèi­xer els usu­a­ris. L’auten­ti­ca­ció per a asse­gu­rar-se que un usu­-
ari iden­ti­fi­cat és la per­sona que diu que és. L’auto­rit­za­ció, en canvi, dóna o denega pri­vi­le­gis i drets
d’accés als recur­sos, depe­nent de diver­sos fac­tors com el rol de l’usu­ari, el grup al qual per­tany, el
lloc des d’on acce­deix, l’hora en què ho fa o el tipus de transac­ció que vol dur a terme.

La iden­ti­fi­ca­ció dels usu­a­ris ha de ser única, no ha de ser des­crip­tiva i pot fer ús de l’expe­di­ció per
part d’altres enti­tats.

L’auten­ti­ca­ció pot ser de tres tipus, per una cosa que l’usu­ari sap (auten­ti­ca­ció per conei­xe­ment),
per una cosa que l’usu­ari té (auten­ti­ca­ció per pro­pi­e­tat) o per una cosa que l’usu­ari és o fa (auten­ti­ca­-
ció per carac­te­rís­tica).

Els sis­te­mes infor­mà­tics uti­lit­zen els per­mi­sos i els drets d’usu­a­ris per a pro­te­gir els recur­sos i evi­tar
usos malin­ten­ci­o­nats o acci­den­tals de l’entorn. L’admi­nis­tra­dor del sis­tema és la figura encar­re­gada
de crear els usu­a­ris i els grups, als quals assig­nen certs per­mi­sos i drets d’usu­ari.

Cada fit­xer i direc­tori té uns per­mi­sos d’accés asso­ci­ats, en els quals s’indica qui pot acce­dir i en
qui­nes con­di­ci­ons (lec­tura, escrip­tura o exe­cu­ció, per exem­ple). D’aquesta manera, podríeu fer que
només l’usu­ari Joan pugui lle­gir i modi­fi­car un docu­ment de text. També podríeu fer que un docu­-
ment fos públic per a tot­hom (lec­tura), però només el pogués modi­fi­car l’usu­ari Pere.

Els drets d’usu­ari deter­mi­nen, en gran part, les tas­ques que un usu­ari o grup podrà fer en el sis­tema.
Si l’usu­ari Joan té el dret d’apa­gar la màquina o de rei­ni­ciar-la, ho podrà fer quan li sem­bli oportú.
Qual­se­vol altre usu­ari que ho intenti rebrà un mis­satge d’error que l’avi­sarà que no té els drets neces­-
SEGURIDAD INFORMÁTICA
sa­ris per a fer-ho.

Hi ha molts regis­tres que con­te­nen volums d’infor­ma­ció molt ele­vats sobre la segu­re­tat dels sis­te­mes
infor­mà­tics de l’inven­tari. Aquesta infor­ma­ció pot venir de fonts diver­ses; les més relle­vants són els
sis­te­mes ope­ra­tius i el pro­gra­mari de segu­re­tat.

Els sis­te­mes ope­ra­tius enre­gis­tren tant la infor­ma­ció sobre el com­por­ta­ment dels com­po­nents del
sis­tema com la infor­ma­ció refe­rent a les acci­ons empre­ses pels usu­a­ris del sis­tema.

El pro­gra­mari de segu­re­tat pot ser molt divers com ara anti­vi­rus, talla­focs, ser­vi­dors inter­me­dis…
Aquest pro­gra­mari ha d’estar con­fi­gu­rat cor­rec­ta­ment per a enre­gis­trar tots els esde­ve­ni­ments relle­-
vants.

Els volums d’infor­ma­ció que es poden arri­bar a gene­rar són molt ele­vats; per això, és impor­tant tenir
una bona polí­tica de ges­tió dels regis­tres. Sense una anà­lisi cor­recta dels regis­tres, la infor­ma­ció que
con­te­nen no ser­veix per a res.

Una polí­tica de ges­tió de regis­tres ha de tenir en compte ele­ments com les fonts d’infor­ma­ció, la con­-
sis­tèn­cia de les dades, els for­mats dels regis­tres… Un ele­ment espe­ci­al­ment impor­tant és la pro­tec­ció
dels regis­tres per­què no puguin ser esbor­rats per per­so­nal no auto­rit­zat.