Professional Documents
Culture Documents
Introduccion
1
de productos servicios cuya implementacin permitir tanto su sostenibilidad
como su posicionamiento en el mercado.
El siguiente grfico muestra una propuesta de cuatro pasos repetitivos que apuntan
a mejorar las polticas de seguridad en una organizacin
2
- . PLANIFICAR ( PLAN ): Paso inicial que consiste en establecer el
contexto en el cual se elaboren polticas de seguridad y que incluye
anlisis de riesgos, seleccin de controles y estado de aplicabilidad de
esas polticas.
2. Seguridad Lgica
Los daos destrucciones que puede sufrir un centro de cmputos afectarn tanto a
los recursos fsicos ( seguridad fsica ), por ejemplo procesadores, cableado de redes,
soportes magnticos de almacenamiento, como a la informacin procesada y
almacenada ( seguridad lgica ), por ejemplo bases de datos, almacenes de datos y
paquetes de informacin que viajan por redes internas de la organizacin o por
redes externas.
La seguridad lgica slo es una parte del amplio espectro que se debe cubrir para
no experimentar una ficticia sensacin de seguridad. Indudablemente, el activo ms
importante que se posee es la informacin y por lo tanto deben existir tcnicas
que ofrezcan barreras de proteccin efectiva. Sin embargo, la seguridad fsica es
3
afectada por el mismo impacto organizacional que la seguridad lgica pero
frecuentemente no es evaluada con el mismo nivel de rigurosidad.
2. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y, pese
a ello, no puedan modificar los programas ni los archivos que no correspondan;
Diseo
Implementacin
Uso
4
Errnea configuracin de los sistemas aplicativos de propio desarrollo
o adquiridos,
Identificacin y Autenticacin
1. Algo que solamente la persona conoce, por ejemplo una clave secreta de acceso
password, una clave criptogrfica un nmero de identificacin personal ( PIN
).
Cabe destacar que en los dos primeros casos enunciados, es frecuente que
las claves sean olvidadas que las tarjetas dispositivos se pierdan; los
5
controles de autenticacin biomtricos seran los ms apropiados y fciles de
administrar, aunque tambin suelen ser los ms costosos por lo dificultoso de
su implementacin eficiente, por ejemplo las huellas dactilares, la retina, el
iris, los patrones faciales la geometra de la palma de la mano,
Roles
El acceso a la informacin tambin puede controlarse a travs de la funcin rol
del usuario que solicita dicho acceso, como por ejemplo programador, lder
de proyecto, gerente de un rea usuaria y administrador de bases de datos.
Transacciones
Pueden implementarse controles a travs de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transaccin determinada.
Ubicacin y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicacin
fsica de los datos. En cuanto a los horarios, este tipo de controles permite limitar
el acceso de los usuarios a determinadas horas a determinados das de la
semana, aunque es necesario destacar que estos dos tipos de controles siempre
deben ir acompaados de alguno de los controles anteriormente descriptos.
Nivel D (Sin Proteccin): Este nivel contiene una nica divisin, que est
reservada para sistemas que, habiendo sido evaluados, no cumplen con
especificacin alguna de seguridad; estos sistemas resultan ser no confiables,
no disponen de proteccin para el hardware, el sistema operativo se vuelve
inestable y tampoco se requiere autenticacin con respecto a los usuarios
y sus derechos en el acceso a la informacin.
6
Nivel C1 (Proteccin Discrecional): Este nivel requiere identificacin de
usuarios para habilitar el acceso, de manera que cada uno de ellos pueda
manipular su informacin privada. Adems, se hace la distincin entre los
usuarios y el administrador del sistema, quien ejerce control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este " supera usuario " quien tiene gran responsabilidad en la
seguridad del mismo. Con la actual descentralizacin de los sistemas de cmputos,
no resulta extrao que en una organizacin encontremos dos tres personas
desempeando este rol de super usuario , an cuando cabe puntualizar
que esta circunstancia puede resultar un inconveniente; no hay forma, en
efecto, de distinguir entre los cambios que pudo haber realizado cada uno,
separadamente.
Nivel C2 ( Proteccin de Acceso Controlado ): Este nivel fue diseado para solucionar
las debilidades del nivel C1. Por ello, cuenta con caractersticas adicionales que
permiten crear un ambiente de acceso controlado. Tiene, asimismo, la capacidad de
restringir an ms a los usuarios, cuando
Este nivel exige implementar una auditoria de accesos e intentos fallidos de acceso
a objetos, motivo por el cual esta auditora es generalmente utilizada para
disponer de registros de todas las acciones relacionadas con la seguridad y
requiere de autenticacin adicional para garantizar que la persona que ejecute
una actividad es quien dice ser. Su mayor desventaja reside en los recursos
adicionales, necesarios para el procesador.
7
( usuario, dato, archivo ) se le asignar una etiqueta, con un nivel
de seguridad jerrquico ( alto secreto, secreto, reservado ) y con categoras
por reas de la organizacin, de forma tal que cada usuario cuando
acceda a un objeto deber poseer un permiso expreso para hacerlo; tambin
se establecen controles para limitar la propagacin de derecho de acceso
a los distintos objetos.
Este sub-nivel requiere que la terminal del usuario se conecte por medio de un
enlace seguro.
Los virus son cdigos informticos maliciosos desarrollados para realizar acciones
destructivas sin el consentimiento del usuario, con capacidad de reproducirse,
8
autoejecutarse, infectar otros tipos de archivos, residir en memoria principal
permanecer ocultos. Usualmente, llevan a cabo dos funciones distintivas:
Reproducirse a s mismos de un archivo a otro u otros, dentro de una misma
computadora, sin intervencin o conocimiento del usuario e Implementar el
sntoma o dao planeados por su desarrollador.
Los gusanos son cdigos informticos altamente dainos diseados para reproducirse,
igual que los virus, pero con la diferencia que lo hacen en forma automtica,
infectando distintos computadoras sin intervencin de los usuarios.
se reenvan a todos los contactos como si fuera un mail propio, pero adjuntndose
al mismo y generalmente incluyendo alguna leyenda que incentive al receptor a abrir
el mencionado archivo adjunto
Los troyanos son programas que aparentan tener una funcionalidad benfica, pero
alojan un cdigo malicioso cuya actividad ms habitual es generar puertas traseras
en el sistema vulnerado, permitiendo a un intruso asumir control absoluto del
computador.
Como respuesta a estas amenazas a la seguridad lgica, los programas antivirus son
aplicaciones de software que han sido diseadas como medida de proteccin para
resguardar los datos y el funcionamiento de sistemas de cmputo ( tanto domsticos
9
como empresariales ) de aquellas otras aplicaciones conocidas comnmente como
malware y cuya finalidad es alterar destruir el correcto desempeo de las computadoras.
Para evitar tales acciones adversas, este tipo de programas de proteccin de virus
compara el cdigo de cada archivo que analiza con una base de datos de cdigos
de virus ya conocidos y, si el resultado del anlisis indica la coincidencia de ambos
cdigos, producir las alertas pertinentes al tratarse de un elemento perjudicial.
Dado que se crean en forma casi constante nuevos tipos de virus, resulta casi una
obviedad destacar que siempre es preciso mantener actualizado el programa antivirus,
de tal forma que pueda reconocer a las nuevas versiones maliciosas. As, el antivirus puede
permanecer en ejecucin durante todo el tiempo que el sistema informtico permanezca
encendido, bien puede analizar un archivo serie de archivos cada vez que el usuario
lo requiera. Normalmente, los antivirus tambin pueden chequear correos electrnicos
entrantes y salientes, as como tambien sitios web visitados.
2. Lograr que slo el trfico autorizado, definido por la poltica local de seguridad,
sea el que circule por el sistema de cmputo;
3. Reducir considerablemente las probabilidades de ataques externos a los sistemas
corporativos y redes internas ( intranets );
10
5. Determinar cules de los servicios de red pueden ser accesados dentro de la
organizacin, es decir quin puede utilizar los recursos de red pertenecientes
a la misma.
Como puede observarse en el grfico que antecede, el firewall slo sirve como
defensa perimetral de las redes ya que no defiende ante ataques errores provenientes
del interior, como tampoco garantiza proteccin una vez que el intruso logre traspasar.
Algunos firewalls aprovechan esta capacidad de enviar a travs de ellos toda la informacin
entrante y saliente para proveer servicios de seguridad adicionales como la encriptacin
del trfico de la red. Se entiende que si dos firewalls estn conectados, ambos deben
ser capaces de interpretar el mismo mtodo de encriptacin - desencriptacin para
entablar la comunicacin.
1. Inspeccin de Paquetes
Este firewall permite que cada paquete circulante por la red sea inspeccionado
tanto en su procedencia como en su destino, por lo que generalmente es
instalado cuando se requiera seguridad muy sensible al contexto y en aplicaciones
altamente complejas.
2. Firewalls personales
Estos firewalls son aplicaciones disponibles para usuarios finales que desean
conectarse a una red externa insegura y, al mismo tiempo, mantener su
computadora a salvo de ataques que puedan ocasionar desde una infeccin
de virus neutralizable hasta la prdida de toda su informacin almacenada.
11
3. Firewall de software,
Queda claro que la seguridad informtica es la principal defensa que puede tener
una organizacin si se desea conectar a Internet, dado que expone su informacin
privada y su arquitectura de redes a potenciales intrusos, por ello, los firewalls
ofrecen esa seguridad mediante monitoreos y polticas de seguridad, eliminando el
riesgo, a travs del cual los servicios de la red puedan ser indebidamente accedidos,
preservando a los usuarios autorizados de los ataques de los no autorizados y, en
su caso, puedan generar inmediatamente las alarmas de seguridad.
La ms importante de las tareas que realizan los firewalls ( permitir denegar determinados
servicios de red ) se lleva a cabo en funcin de los distintos usuarios y su ubicacin,
a saber
12
1. Usuarios internos con permiso de salida para servicios restringidos: permite
especificar una serie de redes y direcciones a los que denomina Trusted
(validados). Estos usuarios, cuando provengan del interior, van a poder acceder
a determinados servicios externos.
Administracin del acceso entre dos redes, garantizando que la seguridad de toda la
red estar en funcin de qu tan difcil fuera violar la barrera de proteccin local
de cada computadora interna;
A raz de haber entrado en crisis el nmero disponible de direcciones IP, las Intranets
han debido adoptar direcciones sin clase, que se conectan a Internet por medio
de un "traductor de direcciones", el cual puede alojarse en el firewall;
Otra limitacin de la que adolece, es que el propio firewall "no es contra humanos",
es decir que si un intruso logra entrar a la organizacin y descubrir passwords huecos
y difunde esta informacin, el Firewall no estar habilitado para advertir tal intrusin
y, finalmente,
13
2.4. Violaciones a la seguridad lgica: ataques e intromisiones
Los ataques intromisiones son todas aquellas acciones que provocan una violacin
de la confidencialidad, integridad o disponibilidad de los sistemas de cmputo.
Todos estos ataques pueden ser perpetrados por la piratera informtica, ya se trate
de un hacker, individuo que intenta obtener acceso no autorizado a un sistema
de cmputo para robar informacin, o de un cracker, un hacker con intenciones
criminales. Estas actividades han ido mucho mas all de la mera incursin y robo
de informacin, generndose daos de tal gravedad sobre la seguridad lgica que
han sido tipificados como delitos propios del cybervandalismo.
Los hackers que intentan ocultar sus verdaderas identidades, con frecuencia alteran
sus direcciones de correo cambian sus caractersticas hacindose pasar por terceros,
mediante alguno de los siguientes software maliciosos:
14
El spoofing involucra la redireccin de un sitio Web a una
direccin diferente que, en realidad, es el sitio camuflado como
la direccin pretendida.
Los consejos para defenderse de esta clase de ataques tienen que ver con:
archivos y recursos.
15
de manera autogestionable, las deficiencias detectadas. A esto hay que aadir las
nuevas herramientas disponibles en el mercado.
2.5.2. Ataques
16
1. Ejecucin de cdigo como parte de Las fallas ocurren cuando datos
la consulta no confiables son enviados a un
intrprete como parte de un
comando o consulta (en SQL),
de manera tal que los datos
hostiles del atacante pueden
engaar al intrprete en ejecutar
comandos no
intencionados o acceder a datos
no autorizados.
3. Seguridad Fsica
17
seguridad fsica, ya que, por ms que una empresa se perciba a s misma como la
ms segura desde el punto de vista lgico ante acciones destructivas perpetradas por
Hackers, la concrecin de la seguridad global ser nula si no se ha previsto
cmo enfrentar y combatir situaciones que produzcan daos prdidas econmicas
materiales, como por ejemplo un incendio.
Las barreras y los procedimientos a los que hacemos mencin ahora, se refieren
tanto a los distintos mecanismos de seguridad dentro y en la periferia del centro
de cmputos as como los medios de acceso remoto al y desde el mismo, implementados
para proteger el hardware y medios de almacenamiento de datos.
1. Incendios / Inundaciones,
2. Seales de Radar
18
La influencia de las seales de radar sobre el funcionamiento de una computadora
pueden provocar la interferencia en el procesamiento electrnico de la
informacin, pero nicamente si la seal que alcance al equipo es de 5 Volts
/ Metro mayor.
Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana
del centro de procesamiento y, en algn momento, estuviera apuntando
directamente hacia dicha ventana.
1. Robo
Las computadoras son posesiones valiosas de las empresas y estn expuestas
a toda clase de riesgos y vulnerabilidades.
Es frecuente que:
2. Fraude
Las computadoras pueden ser utilizadas como instrumento para dichos fines ilcitos.
Sin embargo, debido a que ninguna de las partes implicadas ( la propia empresa,
sus empleados los auditores ), tienen algo que ganar, ms bien tienen mucho
que perder, motivo por el cual no se da publicidad alguna a este tipo de
situaciones.
3. Sabotaje
El peligro ms temido en los centros de procesamiento de datos es el sabotaje.
Grandes empresas que han intentado implementar programas de seguridad de alto
nivel, han encontrado que la proteccin contra el saboteador ( un empleado
alguien ajeno a la propia empresa ) es uno de los desafos ms difciles.
Fsicamente, una habitacin llena de discos magnticos puede ser destruida en
pocos minutos y los centros de procesamiento de datos tambin pueden ser
destruidos sin entrar en ellos, ya que partculas de metal materiales
combustibles pueden ser introducidos por los ductos de aire acondicionado.
19
4. Control de Accesos
Verificacin de la voz
20
Control Control Huellas Control de Voz
ocular dactilares
Analicemos ahora los riesgos "no naturales ", es decir los que se encuadran en el
marco especfico del delito.
El delito informtico implica actividades criminales que los pases han tratado de
encuadrar en figuras tpicas de carcter tradicional, tales como robos, hurtos, fraudes,
falsificaciones, perjuicios, estafas sabotajes. Sin embargo, debe destacarse que el uso
de las tcnicas informticas han provocado la aparicin de nuevos escenarios en el
uso indebido de las computadoras, por lo cual la necesidad de regulacin por parte
del derecho resulta indispensable.
Se considera que no existe una definicin formal y universal de delito informtico, pero
se han formulado conceptos respondiendo a realidades nacionales concretas. Al respecto,
la Organizacin de Naciones Unidas ( ONU ) reconoce los siguientes tipos de delitos
informticos:
21
3. Daos modificaciones de programas computarizados
En este sentido, habr que recurrir a aquellos tratados internacionales de los que nuestro
pas es parte y que, en virtud del artculo 75 inc. 22 de la Constitucin Nacional reformada
en 1994, obtienen rango constitucional.
Argentina tambin es parte del acuerdo que se celebr en el marco de la Ronda Uruguay
del Acuerdo General de Aranceles Aduaneros y Comercio ( GATT ) que en su artculo
10, relativo a programas computarizados y compilaciones de datos, establece que:
este tipo de programas, ya sean fuente u objeto, sern protegidos como obras
literarias de conformidad con el Convenio de Berna, de julio 1971, para la Proteccin
de Obras Literarias y Artsticas;
22
Adicionalmente, la OCDE elabor un conjunto de normas para la seguridad de los sistemas
de informacin, con la intencin de ofrecer los fundamentos para que los distintos
pases pudieran implementarlas a partir de las siguientes consideraciones:
2. Como fin u objetivo: Las conductas criminales, en estos otros casos, van
dirigidas contra la computadora, accesorios programas como entidad fsica,
por ejemplo instrucciones extraas que producen un bloqueo parcial total
del sistema, destruccin de programas, atentado fsico contra la computadora (
incluyendo sus accesorios y sus medios de comunicacin ), secuestro de soportes
magnticos con informacin valiosa para ser utilizada con fines delictivos.
1. Slo una determinada cantidad de personas con conocimientos tcnicos por encima
de lo normal, pueden llegar a cometerlos.
2. Son conductas criminales del tipo "cuello blanco", no de acuerdo al inters protegido
( como en los delitos convencionales ) sino de acuerdo al sujeto que los comete.
Generalmente este sujeto tiene cierto status socioeconmico y la comisin del delito
23
no puede explicarse por pobreza, carencia de recursos, baja educacin, poca
inteligencia ni por inestabilidad emocional.
7. Son muchos los casos pero pocas las denuncias, todo ello por la falta de regulacin
y por miedo al descrdito de la organizacin atacada.
Cuando nada anormal ocurre, nos quejamos de lo mucho que gastamos en seguridad y,
contrariamente, cuando algo sucede, nos lamentamos de no haber invertido lo suficiente.
Ms vale dedicar recursos a la seguridad que convertirse en una estadstica.
Hoy es imposible hablar de un sistema de cmputo cien por cien seguro, sencillamente
porque el costo de la seguridad total es muy alto. Por eso las empresas, en
general, asumen riesgos, decidiendo entre perder un negocio aventurarse a ser
hacheadas.
En este sentido, las Polticas de Seguridad Informtica surgen como una herramienta
organizaciones cuya finalidad es concienciar a cada uno de los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos.
24
responsabilidades para las diversas actuaciones tcnicas y organizativas que se
requerirn.
Esta poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, a travs
de los cuales se definen las medidas a tomar para proteger la seguridad del sistema; pero
ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. Siempre
hay que tener en cuenta que la seguridad comienza y termina con personas y debe:
Cubrir todos los aspectos relacionados con la misma, ya que no tiene sentido -
aunque parezca una obviedad - proteger el acceso con una puerta blindada
si no se la ha cerrado con llave;
25