Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Seguridad de la información

Anuncio 
1
Índice
capítulo 1
Prólogo: .....................................................................................................................3
¿En qué consiste un análisis de riesgos?...................................................................4
1.1 Inventariar los activos.......................................................................................4
1.2 Detectar las amenazas.....................................................................................5
1.3 Localizar sus vulnerabilidades. .........................................................................5
1.4 Valorar el impacto. ...........................................................................................6
1.5 Calcular el riesgo..............................................................................................6
1.6 Implantar un control. ........................................................................................7
capítulo 2
Cómo podemos proteger nuestros activos ................................................................8
2.1 Riesgos de acceso. .........................................................................................8
2.1.1Contraseñas o (Passwords)............................................................................8
2.1.2 Sistemas Biométricos....................................................................................9
2.1.3 Certificados Digitales.....................................................................................9
2.2 Protección contra código malicioso. Virus........................................................9
2.3 Integridad.......................................................................................................10
2.4 Copias de seguridad-Backup.........................................................................11
2.4.1 Backup incremental ....................................................................................11
2.4.2 Copias en caliente.......................................................................................12
2.4.3 Cifrado de backups.....................................................................................12
capítulo 3
Recuperación de sistemas .......................................................................................13
capítulo 4
Gestión de la seguridad en las redes .......................................................................14
4.1 El Protocolo SSL, TSL . .................................................................................14
4.2 VPN. ..............................................................................................................15
4.3 Protección de redes inalámbricas. .................................................................15
capítulo 5
La Certificación digital como elemento de seguridad en nuestras empresas ...........16
5.1. Validación de los Certificados........................................................................17
5.2. Usos .............................................................................................................18
5.2.1. Autenticación .............................................................................................18
5.2.2. Firma Electrónica ......................................................................................18
5.2.3. Cifrado .......................................................................................................19
capítulo 6
Sello de tiempo.......................................................................................................20
capítulo 7
Glosario: .................................................................................................................21
>> Seguridad de la Información
2
El copyright de este documento es propiedad de Camerfirma.
No está permitido su reproducción total o parcial ni su uso con otras organizaciones para ningún otro propósito,
excepto autorización previa por escrito.
3
Prólogo
La seguridad de la información describe los procesos empleados para garantizar la disponibilidad, integridad y
confidencialidad de los datos ya sea en formato electrónico como en formato físico.
Seria fácil responder si nos preguntaran las medidas de seguridad que emplearíamos para proteger un objeto de
valor tangible, como por ejemplo unas joyas. Seguro que se nos ocurrirían muchas acciones que impidieran que
estas fueran robadas o dañadas. No sería así si la pregunta fuera sobre un activo electrónico, como un documento
en word o el acceso a los datos de nuestra información bancaria. En este caso no estaríamos tan seguros sobre las
acciones a tomar. La diferencia es que imaginamos y visualizamos claramente cuales son las amenazas que pueden
acechar a nuestro activo cuando este es tangible, conocemos sus vulnerabilidades y por lo tanto las protecciones
adecuadas. Por el contrario, en el ámbito electrónico no tenemos tan claro estos parámetros: no conocemos las
vulnerabilidades de los sistemas que empleamos y quiénes pueden aprovecharse de éstas para acceder a nuestra
información, por lo tanto nos encontramos inseguros ante cualquier situación de riesgo.
El objeto de esta guía es que las empresas conozcan los procedimientos, mecanismos y herramientas que pueden
utilizar para adentrarse en el mundo electrónico con seguridad.
Hoy en día uno de los activos más importantes en nuestras empresas es la cantidad de información que manejamos:
facturas, datos de clientes y proveedores, proyectos… y toda esta información la tenemos en formato digital.
Es ya sabido que la seguridad total no existe, y si existiera seguramente no podríamos comprarla. Es muy difícil llegar
a la seguridad 100% ya que a partir de un cierto punto los costes se disparan exponencialmente, por lo tanto
nuestras expectativas de seguridad deben encontrarse en un punto razonable que cubra la mayor parte de nuestros
riesgos. Debemos por lo tanto elegir soluciones adecuadas y proporcionadas sin caer por ejemplo en dedicar más
recursos económicos a proteger un activo del valor del propio activo.
El primer paso para conocer el estado de la seguridad de nuestros activos es realizar lo más detalladamente posible
un análisis de riesgos. Este análisis nos ayudará a localizar nuestros puntos débiles y aplicar medidas que los corrijan.
>> Seguridad de la Información
4
1. ¿En qué consiste un análisis de riesgos?
Un análisis de riesgos consiste en:
> Inventariar activos
> Detectar las amenazas
> Localizar sus vulnerabilidades
> Valorar el impacto
Pasemos a profundizar en estos conceptos:
1.1 Inventariar los activos
Para empezar debemos sentarnos y valorar qué es lo queremos proteger. Esta valoración no es sólo económica, sino
que deberemos tener en cuenta otros valores intangibles como el honor y la imagen de nuestra empresa. Cuáles podrían
ser los activos a proteger:
> Datos personales.
> Derechos de propiedad intelectual como fotografías y videos.
> Datos de clientes.
> Datos técnicos de configuración de aplicaciones…
Realizaremos una valoración de cada uno de estos activos en base a la importancia que le demos a cada uno. Podemos
hacer esta valoración asignando al activo un valor entre 1 y 5. Donde 1 es el valor más bajo y 5 es la valoración más alta.
capítulo 1. ¿En qué consiste un análisis de riesgos?
5
1.2 Detectar las amenazas
Vamos a pensar ahora en las amenazas posibles que pueden afectar a nuestros activos. Si no existieran, no tendríamos
que protegerlos. De la misma forma que si vivimos en el desierto no tendríamos que preocuparnos por riesgos de
inundaciones.
¿Qué amenazas podemos encontrar?
> Hackers
> Fallos eléctricos
> Empleados descontentos
> Inundaciones
> Terremotos
1.3 Localizar sus vulnerabilidades
Una vez hemos seleccionado los activos a proteger debemos saber qué riesgos pueden tener con el fin de localizar sus
vulnerabilidades. Por ejemplo, los discos duros de un ordenador pueden fallar y dejarnos sin la información acumulada
en ellos, por lo tanto deberemos asegurarnos que podremos recuperar los datos en caso de que esto ocurra realizando
copias en CDROM, DVD o en un discos externos. Otro ejemplo de vulnerabilidad lo encontramos en las aplicaciones
informáticas, sabemos que no son perfectas y que deben ser actualizadas para incorporar las últimas correcciones.
Otras vulnerabilidades pueden ser:
> Falta de mecanismos de autenticación
> Salas muy concurridas
> La propia ubicación de la empresa
> Redes desprotegidas
>> Seguridad de la Información
6
1.4 Valorar el impacto
Tendremos que valorar el impacto de que una amenaza aproveche una vulnerabilidad de nuestro activo y produzca un
daño. La valoración que realizamos es subjetiva y podemos ayudarnos de nuevo de una ponderación entre 1 y 5: 1
impacto bajo y 5 impacto alto. Por ejemplo alguien se aprovecha de que tenemos una versión desactualizada de nuestro
servidor de páginas en Internet para acceder al servidor y cambiarnos los datos de nuestra lista de precios.
Consideraríamos este hecho como un impacto 5.
1.5 Calcular el riesgo
Una vez que tenemos valorados todos estos parámetros estamos en disposición de calcular el riesgo de cada
amenaza. El riesgo es la probabilidad de que una amenaza utilice una vulnerabilidad de muestro activo y nos produzca
un impacto.
Nos ayudaremos de esta tabla para decidir dónde debemos tomar medidas y donde el riesgo no es suficiente para la
implantación de un control:
La tabla muestra 3 variables (probabilidad, impacto y valor del activo). En base a estos tres parámetros la tabla nos ofrece
un valor. Este valor nos dirá si es razonable la implantación de un control que proteja nuestro activo. Los valores
resultantes están coloreados de amarillo (no necesita control), naranja (recomendado la implantación de control) y rojo
(obligatorio).
Las tres variables son ponderadas:
> Valor del activo (de 1 a 5), donde 1 es el valor más bajo y 5 es el mas alto.
> Nivel de impacto si una amenaza concreta se materializase sobre el activo (de 1 a 5), donde 1 es un impacto bajo y 5
es un impacto alto.
> Probabilidad de que se produzca un impacto concreto (de 1 a 5), donde 1 es una probabilidad baja y 5 es una
probabilidad alta.
capítulo 1. ¿En qué consiste un análisis de riesgos?
7
Pongamos un ejemplo: Consideremos un activo valioso en nuestra empresa, un activo de valor 5, por ejemplo el edificio
donde se alojan nuestras oficinas. El edificio tiene una probabilidad 1 (muy baja) de que sea afectado por un rayo ya que
en la zona donde se ubica no se forman normalmente tormentas. Analizando el impacto vemos que tiene un nivel muy
alto 5 (si cae un rayo nos quedamos sin edificio). En este caso aunque la probabilidad sea muy baja la tabla nos da un
valor 11 y por lo tanto deberíamos plantearnos poner un control, en este caso un pararrayos.
Un ejemplo dentro de nuestros activos electrónicos sería nuestra base de datos de clientes. Es un activo importante (5)
y tiene una probabilidad muy baja de que sea afectado por un pirata informático (1) ya que el equipo no está conectado
a Internet. Como el impacto de perder los datos sería alto (5) vemos que el resultado que nos da la tabla es 11, esto
quiere decir que recomienda poner controles a nivel interno como palabras de paso (contraseñas) para proteger el
acceso no permitido y copias de seguridad para evitar posibles pérdidas de información.
1.6 Implantar un control
Una vez conocido el riesgo asociado y obtenido un valor alto estamos obligados a elegir entre:
> Eliminar el riesgo (poner un pararrayos).
> Atenuarlo (instalarnos cerca de otro edificio que tenga pararrayos).
> Asumirlo (esperar que no nos pase).
> Diferirlo (subcontratar los servicios).
En el caso de los activos electrónicos:
> Eliminar el riesgo (poner una palabra de paso para acceder a la base de datos).
> Atenuarlo (tener nuestro equipo en una sala cerrada con llave).
> Asumirlo (esperar que no nos pase).
> Diferirlo (albergar los servicios a una empresa externa).
Para eliminar o atenuar el riesgo contamos con herramientas o como los hemos llamado en el análisis de riesgos,
controles.
>> Seguridad de la Información
8
2. Cómo podemos proteger nuestros activos
Una vez hemos detectado los riesgos que pueden tener nuestros activos informáticos pasemos a ver cómo podemos
protegerlos con el fin de eliminarlos o atenuarlos.
2.1 Riesgos de acceso
Cuando hablamos de riesgos de acceso nos referimos a aquellos riesgos que implican el acceso a información o
recursos por parte de personas no autorizadas.
Para paliar estos riesgos contamos con soluciones tales como:
2.1.1 Contraseñas o (Passwords)
El primer y más básico de los controles que incorporamos para proteger un activo electrónico.
El acceso por contraseña es el sistema de autenticación más usado y extendido, es un mecanismo que ha perdurado
desde los orígenes de la informática. Este mecanismo consiste en pedir un nombre de usuario o identificativo y una
contraseña asociada. Esta contraseña debe coincidir con aquella guardada por el sistema informático al que se accede,
para ese usuario en particular. Digamos que es un secreto que compartimos entre el sistema informático y el usuario.
El acceso por usuario y contraseña es un método de bajo coste y sencillo que ha permanecido mucho tiempo en vigor
y que se resiste a desaparecer. Es evidente que por el contrario las amenazas han evolucionado notablemente en el
mundo informático: Hay muchísima más gente que antes con posibilidad de acceder a nuestro equipo. El sistema de
contraseña es fácilmente atacable, sobretodo si no se siguen algunas recomendaciones:
> Evitar las claves genéricas de acceso.
> Bloqueos de contraseñas después de varios intentos fallidos.
> Cambios periódicos de la contraseña.
> Las claves de acceso deben cumplir una política rigurosa respecto a su composición (dígitos, signos y números) de
tal forma que no sean fácilmente atacables. Por otro lado las contraseñas deben ser a la vez fácilmente recordables a
fin de evitar tener que escribirlas en un papel.
La autenticación por contraseña es lo que se llama un sistema de factor simple (accedemos por algo que sabemos).
Existen sistemas más fiables llamados de factor doble (algo que sabemos y algo que tenemos) incluso sistemas de factor
triple (algo que sabemos, algo que tenemos y algo que somos como por ejemplo nuestra huella digital, o nuestro código
genético).
Normalmente necesitamos gestionar más de una contraseña: la de entrada al equipo informático la del correo la de
móvil, la de los servicios bancarios…etc. Para resolver esta situación es común utilizar la misma contraseña para todo.
Esto es una brecha de seguridad importante ya que una vez alguien consiga una de las contraseñas podrá acceder a
capítulo 2. Cómo podemos proteger nuestros activos
9
todos nuestros servicios electrónicos. Si no queremos utilizar siempre la misma (algo radicalmente desaconsejable)
podemos utilizar herramientas de gestión de contraseñas como PasswordSafe o Keepass de distribución gratuita y
que permite la gestión de múltiples contraseñas recordando sólo una.
2.1.2 Sistemas Biométricos
Los sistemas biométricos emplean rasgos físicos del usuario para autenticarnos ante un equipo informático. Podemos
encontrarnos lectores de huellas digitales, de iris o reconocimientos de voz. Los sistemas biométricos son cada vez más
precisos, aunque debemos considerar las tasas de falsos positivos (cada vez menores) o sobre todo falsos negativos.
Los sistemas biométricos más usados actualmente son los de huella digital.
Los sistemas biométricos pueden combinarse con otros sistemas de autenticación para dotarle de un factor adicional,
por ejemplo tarjetas criptográficas.
2.1.3 Certificados Digitales
Los sistemas de certificación digital permiten conseguir una identificación de doble factor algo que tenemos (clave
criptográfica privada) y algo que sabemos (PIN de activación de la clave). Veremos más adelante los mecanismos de
seguridad ofrecidos por los certificados digitales.
Estas tres primeras herramientas regulan el acceso directo a nuestros equipos o bases documentales. Pero existen otros
riesgos que van más allá del mero acceso físico.
2.2 Protección contra código malicioso. Virus
Prácticamente todo el mundo es consciente de las amenazas que supone un acceso a Internet, ningún usuario a día de
hoy accede a Internet sin tener al menos un antivirus instalado en su equipo. Sin embargo, el problema más común es
que una vez instalado la sensación de seguridad crece de forma desproporcionada e injustificada. Un antivirus no es la
solución si éste no se actualiza de forma periódica. Para ello es necesario que nuestro proveedor disponga de un servicio
de actualización en línea y que configuremos nuestro antivirus para que cada vez que nos conectemos a Internet busque
nuevas actualizaciones.
Los virus se aprovechan de vulnerabilidades del sistema operativo o de las aplicaciones, por lo tanto es fundamental para
la seguridad de los recursos informáticos tener instaladas las últimas versiones y parches de los sistemas y de las
aplicaciones usadas.
Los programas antivirus actuales suelen incorporar ya herramientas completas de antivirus, antispyware, antispam, antiphising, cortafuegos y otros mecanismos de protección contra ataques habituales. Veamos en qué consisten algunos
de ellos:
> Anti-Spyware. El Spyware son programas espías que se dedican a enviar información a terceros de los sitios a los
que conectamos. Estos programas se pueden instalar sin nuestro conocimiento al visitar páginas maliciosas en
Internet.
> Anti -SPAM. El spam es correo no deseado que inunda las cuentas de correo. Normalmente obtienen nuestro email
de formularios o de ordenadores que tienen nuestra cuenta como contacto.
>> Seguridad de la Información
10
> Firewall. Firewall personal. Gestión de políticas de acceso (entrada/salida) a las aplicaciones del equipo. Mediante unas
reglas de actuación decimos al ordenador que peticiones de entrada salida están permitidas.
> Anti-Dialers. Los dialers se instalan como programas en nuestro equipo sin nuestro conocimiento y desvían, sin que
nos enteremos, las conexiones que realizamos con nuestro ordenador a Internet hacia números de teléfono de pago.
Este ataque es efectivo si tenemos configurado el sistema para acceder a Internet vía línea telefónica común y
MODEM.
> Anti-Phishing. El phising utiliza links trucados para dirigirnos a sitios Web clonados, normalmente de entidades
bancarias. En estos sitios clonados nos piden los datos de acceso a nuestro servicio bancario en Internet con la excusa
de mejorar la seguridad. Una vez en posesión de nuestros datos acceden al servicio bancario real y realizan
trasferencias de nuestros fondos.
2.3 Integridad
Una propiedad básica de los sistemas informáticos es la integridad. Esto quiere decir han de ser capaces de detectar
cualquier modificación realizada en ellos. La modificación de un sistema operativo puede indicar que se ha producido
una intrusión en el mismo. Un sistema de verificación de integridad nos permitirá descubrir de forma rápida si alguna
parte del sistema se ha visto modificada desde la última vez que realizamos el control.
Existen múltiples herramientas de seguridad que permiten controlar si un fichero o un conjunto de ficheros han sido
modificados. Dentro de las herramientas utilizadas para este fin, la más conocida sin duda es Tripwire, un desarrollo del
proyecto COSAT de la Universidad de Purdue (EEUU). Esta herramienta está disponible bajo licencia libre.
Para proteger nuestras aplicaciones contamos con OpenSSL. OpenSSL es una herramienta que nos permite acceder a
funciones criptográficas Podemos usar también funciones criptográficas de resumen como MD5, SHA1, RIPEMD...etc.
que podemos encontrar en aplicativos como OpenSSL de distribución gratuita.
Si queremos conocer si un documento electrónico ha sido modificado realizamos sobre una copia correcta de este una
operación resumen por ejemplo SHA-1 y obtendremos un cogido resumen. Guardamos este código y cuando queramos
posteriormente tener una prueba de integridad realizaremos de nuevo la operación. El resultado de esta operación debe
ser el mismo de otra manera el documento ha sido alterado.
Un código resumen como se deduce del texto anterior es el resultado de aplicar un algoritmo matemático sobre unos
datos electrónicos. Este código resumen tiene las propiedades de identificar de manera única los datos electrónicos en
los que se basa, ya que si estos cambiasen el código resumen cambiaria también.
capítulo 2. Cómo podemos proteger nuestros activos
11
2.4 Copias de seguridad-Backup
Para prevenir la pérdida de información en nuestras empresas un proceso que nos ayuda es la realización de copias de
seguridad de nuestros activos.
Nadie puede valorar realmente una copia de seguridad a no ser que haya perdido en segundos los frutos obtenidos
después de mucho trabajo. Incluso con esta terrible experiencia la realización de copias de backups es una asignatura
pendiente para la mayoría de los usuarios de sistemas informáticos.
Las copias de seguridad son una de las herramientas más eficaces para recuperar el estado de un sistema a la situación
anterior a una incidencia.
Siendo un proceso tan básico en la seguridad de la información, no existe una concienciación adecuada ni siquiera
dentro de los profesionales informáticos. Debemos tener actualizadas nuestras copias de seguridad si no éstas no nos
sirven para nada.
Hoy en día existen multitud de herramientas que permiten la automatización de las copias de backup pudiéndose realizar
de manera transparente para el usuario y minimizando las perdidas de información.
SYNCBACKUP es una herramienta como otras muchas que permite la realización centralizada de backups. SYNCBACK
permite la recolección de información de los puestos de usuario a un sistema centralizado donde se van incorporando
los nuevos ficheros encontrados o las actualizaciones. La recuperación de los datos se puede realizar mediante el acceso
al sistema central.
La recogida de información se puede programar de tal forma que esta se realice en momentos de menos carga de
trabajo.
Tendremos que evaluar la “ventana de riesgo” entre copias de backup. Si realizamos una copia diaria, en el peor de los
casos podríamos perder información de un día completo de trabajo.
Existen servicios de backup remotos que recogen los datos de los equipos de usuario y lo almacenan en ubicaciones
externas. Este servicio por supuesto simplifica y abarata los costes de implantación pero incorpora un riesgo adicional
al enviar nuestros datos a empresas externas. En estos casos deberemos asegurarnos de que los datos sólo salen
cifrados y permanecen así en los equipos del proveedor.
2.4.1 Backup incremental
Una manera de utilizar de forma más eficiente los sistemas de backup es ir haciendo sólo copia de aquella información
añadida o modificada sobre los datos ya guardados, en vez de ir creando copias completas. Es lo que llamamos
backups incrementales.
Los backups incrementales necesitan de una gestión ordenada, disponiendo de copias completas duplicadas y las
diferentes copias de los backups incrementales hasta llegar a una recuperación completa del sistema.
>> Seguridad de la Información
12
2.4.2 Copias en caliente
En algunos casos debido a la criticidad de los datos obliga a tener copias de estos en caliente. Una copia en caliente es
una copia replicada en el mismo momento de producirse algún cambio en los datos, lo que nos permite mantener una
ventana de riesgo cercana a 0 desde que se produce una incidencia.
Para protegerlos de amenazas físicas la copia en caliente es recomendable ubicarla en un lugar remoto.
2.4.3 Cifrado de backups
Los dispositivos de almacenamiento que contienen información de copias de seguridad (CD, DVD, Cintas, Discos Duros,
etc.) deben estar protegidos convenientemente. Es aconsejable tener una caja de seguridad ignifuga para su
almacenamiento en las instalaciones de la empresa y en instalaciones de seguridad externas. La caja de seguridad de
un banco puede ser una solución aceptable y económica.
VICEVERSA es una herramienta de copia y sincronización de fichero de bajo precio que puede sernos útil a la hora de
replicar nuestros ficheros y mantenerlos cifrados para su posterior envío o custodia. http://www.tgrmn.com/
capítulo 2. Cómo podemos proteger nuestros activos
13
3. Recuperación de sistemas
Una práctica muy común en la gestión de la seguridad de sistemas informáticos complejos es la de desarrollar un plan
de contingencias donde describamos el mayor número de situaciones problemáticas a las que nos podamos enfrentar.
Para cada una de estas situaciones debemos describir las acciones que deberíamos realizar para resolverlas. Nos
daremos cuenta entonces de los elementos, que dada esa situación, necesitaríamos para resolverla y nos permitirá
prepararnos antes de que se produzca la incidencia.
En algunos casos necesitamos recuperar un sistema completo, (bases de datos, sistemas operativos, configuraciones,
aplicativos....etc.) que hemos perdido, a causa de un error irrecuperable en un disco, es decir reproducir desde cero todo
el sistema.
La recuperación de un sistema es una tarea que requiere mucho tiempo y que difícilmente termina con el equipo en la
misma situación en que estaba en el momento de producirse el problema.
Evidentemente, tendremos que recurrir a copias de backup del sistema de las bases de datos, de las configuraciones
de las aplicaciones, etc. Existen formas más eficaces de enfrentarnos a este problema como:
> Acronis trueimage para la recuperación de sistemas en entorno Windows y Linux.
> Symantec backup EXEC para la recuperación de datos.
Podemos acceder también a una solución cada vez más extendida como es la virtualización de entornos. El caso es
que desde una imagen de nuestro sistema lo pudiéramos recuperar en cuestión de minutos.
La virtualización se refiere a crear máquinas virtuales dentro de maquinas reales (físicas). Una máquina física puede por
lo tanto contener múltiples maquinas virtuales con distintos entornos operativos y ejecutando aplicaciones diferentes.
Esto nos permite abstraernos de entorno físico de la máquina y tener imágenes grabadas de maquinas virtuales que se
pueden reproducir en otro entorno físico de manera inmediata.
>> Seguridad de la Información
14
4. Gestión de la seguridad en las redes
En redes abiertas como Internet la seguridad de la información en tránsito es un elemento a tener en cuenta. La base
sobre la que se sustenta Internet no es la seguridad, sino más bien su robustez y su disponibilidad.
Disponemos de varios mecanismos para asegurar las comunicaciones.
4.1 El Protocolo SSL, TSL
SSL/TSL es un protocolo de comunicación segura que proporciona autenticación y privacidad de la información entre
extremos sobre Internet mediante el uso de criptografía.
Sabremos cuando utilizamos estos protocolos porque tecleamos en el navegador https:// en vez del clásico http://.
Cuando enganchamos un equipo a Internet este se identifica mediante un número de dirección único llamado IP (Internet
Protocol). Este número tiene el siguiente aspecto: 192.0.0.68. Marcando estos dígitos en un navegador podríamos
contactar con el equipo en cuestión. Este procedimiento obviamente es muy poco amigable. Para resolverlo se crearon
unas especies de guías telefónicas llamadas servidores de nombres (DNS) que asocian un nombre de dominio a una IP.
Por ejemplo www.miempresa.com, que es mas fácil de recordar que el numero IP, y que finalmente es lo que ponemos
en el navegador.
Existen empresas que ofrecen los servicios de nombres de dominio asociando el nombre elegido a la dirección IP de
nuestro equipo. Antes de asignarnos el nombre, las empresas verifican que no este ya asignado y registran a los
contactos de solicitante, del dueño del citado dominio y obviamente cobran sus servicios. También como parte del
proceso de adjudicación se pueden pedir comprobaciones sobre la propiedad de marca.
Para mejorar la seguridad de los acceso mediante dominios se han establecido los protocolos SSL/TSL.
El proceso se inicia mediante la presentación de un certificado digital por parte del servidor de páginas Web a la que
estamos accediendo y que informa sobre la propiedad del dominio. Un dominio recordemos es el nombre con el que se
identifica el sitio Web, por ejemplo en www.miempresa.com, miempresa.com seria el dominio. También establece un
canal seguro cifrando la información enviada entre cliente y servidor.
El protocolo SSL, permite también la identificación por el mismo medio del usuario que accede a la Web. En este caso al
cliente le será exigido un certificado digital válido como elemento de autenticación. Si el usuario presenta un certificado válido
para el servidor, el sistema le dejará acceder a los contenidos y lo rechazará en caso contrario. En este escenario obtenemos:
> una identificación del servidor
> identificación del cliente y
> un canal cifrado.
capítulo 4. Gestión de la seguridad en las redes
15
Como vemos unas garantías suficientes para ofrecer servicios vía Web seguros.
El establecimiento de estos protocolos no incorpora más gastos adicionales que la configuración del servidor de páginas
Web y la adquisición de los certificados de servidor seguro y cliente.
4.2 VPN
La mayoría de los productos de cortafuegos (Firewall) permiten la configuración de canales de conexión segura vía VPN
(Virtual Private Network), Red Privada Virtual.
Se trata de fabricar un canal seguro extremo a extremo, de la misma forma que lo hace el protocolo SSL en entornos
WEB. Las conexiones VPN permiten conectar de forma segura distintas oficinas utilizando redes públicas como Internet.
La sensación es la de tener una propia red privada como indica su nombre.
La utilización de Internet reduce considerablemente los costes de comunicación en las empresas en detrimento
tecnologías antiguas como las líneas punto a punto.
La configuración de una red VPN permite en muchos casos el desarrollo del tele-trabajo al ofrecer un canal seguro de
acceso a los servidores centrales de la compañía desde el hogar del tele-trabajador.
También podemos conectar equipos de comunicación de dos sedes de una empresa con los propios enrutadores de
las oficinas a través del establecimiento de una VPN encargándose estos dispositivos de hacer que las redes de las dos
sedes sean virtualmente la misma.
4.3 Protección de redes inalámbricas
Las redes inalámbricas cada vez están copando una mayor cuota de mercado, esta tecnología evita tener que realizar
complejas instalaciones de cableado y garantizar la movilidad de los dispositivos es un aliciente importante, pero el uso
de esta tecnología tiene sus desventajas:
> Todos los que estén en un radio de 100 m aproximadamente son intrusos potenciales.
> La información se transmite por el aire y, por lo tanto, puede ser "vista" por cualquiera que esté en el radio de 100 m.
> Nos podemos conectar equivocadamente (o voluntariamente) a redes que se encuentren abiertas en el radio de 100
m y esto puede ser muy peligroso para la seguridad de nuestro equipo.
> Cualquier "vecino" puede captar los códigos y las contraseñas cuando los intentamos conectarnos a los servicios
electrónicos.
Visto lo anterior, deberemos configurar los mecanismos de seguridad para evitar los problemas asociados a esta
tecnología.
>> Seguridad de la Información
16
5. La Certificación digital como elemento
de seguridad en nuestras empresas
El certificado digital es un elemento de control de riesgo electrónico en el proceso de identificación. La utilización de
usuario y contraseña demuestran una fortaleza limitada al asegurar la identidad del usuario electrónico, sobre todo
cuando se utilizan contraseñas débiles formados por números o palabras del diccionario fácilmente atacables.
Como se ha apuntado anteriormente el certificado digital es un elemento de autenticación de doble factor, es decir “algo
que se sabe” PIN de activación de la clave y “algo que se tiene” la clave.
El certificado digital se basa en tecnología criptográfica de clave pública. La tecnología de clave pública consiste en la
generación de dos claves criptográficas complementarias. Una clave es llamada “pública” ya que se dará a conocer a
todos y otra “privada” que es custodiada y conocida solo por el usuario. Cuando se cifra un mensaje con una clave la
otra clave complementaria puede descifrarlo y viceversa.
La custodia de la clave privada puede hacerse mediante un fichero software protegida por una contraseña o en una
tarjeta criptográfica con una contraseña de acceso.
El mecanismo técnico del funcionamiento de la tecnología de clave pública es el siguiente: cuando “A” usa la clave
privada para cifrar un mensaje este puede ser recuperado por “B” usando la clave publica de “A” de tal forma que si esto
se produce podemos asegurar que el mensaje ha sido originado por “A”, el poseedor de la clave privada.
Este hecho produce la autenticación del usuario “A” sin tener que enviar ningún dato privado por la red.
También podemos usar la tecnología de clave pública para cifrar el contenido de un documento o mensaje. Si “B” cifra
un mensaje con la clave publica de “A” se asegurará que solo “A” con su clave privada puede acceder al contenido del
documento.
capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas
17
El certificado digital es simplemente un documento electrónico emitido por una tercera parte de confianza (Prestador de
Servicios de Certificación, PSC) acreditando que la clave pública matemáticamente relacionada con la clave privada esta
asociada a una identidad concreta.
Es importante valorar al emisor del certificado (PSC) para que el sistema de autenticación y cifrado tenga el soporte
suficiente. Un mismo PSC puede emitir diferentes tipos de certificados para diferentes usos y ofreciendo garantías
diferentes.
5.1 Validación de los certificados
Un aspecto importante a considerar en el uso de los certificados digitales es el proceso de validación de estos. Un
certificado digital tiene una duración temporal, dentro de este periodo de validez el certificado puede perder su
efectividad por diferentes causas (robo, perdida de los datos de activación de la clave, cambio de datos...etc.) en este
caso el certificado debe ser revocado y el prestador debe hacerlo público. Una persona o una aplicación deben verificar
un certificado digital antes de darlo como válido.
La forma que un prestador tiene para hacer público este hecho es mediante:
> CRL: Listas de revocación (Certification Revocation List). Son listas de certificados que estando en vigor han perdido
su efectividad.
> OCSP: (Online Certificate Status Protocol) Servicio de consulta del estado de los certificados. La consulta se realiza
accediendo a un servicio online y recibiendo una respuesta inmediata sobre el estado del certificado en cada momento.
Un certificado digital debe ser verificado en el momento de su uso efectivo (al autenticarse, al producir una firma o al cifrar
>> Seguridad de la Información
18
datos). Es entonces cuando debemos estar seguros de su validez. Por este hecho que se aconseja siempre que sea
posible incorporar el estado del certificado en origen.
Algunos prestadores de certificación ofrecen el acceso al sistema de validación con una contraprestación económica,
deberemos por lo tanto tener en cuenta este aspecto. AC Camerfirma por ejemplo no penaliza económicamente el
acceso a las CRL emitidas ni al servicio OCSP.
El certificado digital como elemento de control de riesgo es muy efectivo en diferentes aspectos de la gestión de la
seguridad en los sistemas de Información.
5.2 Usos
5.2.1 Autenticación
Identificación para acceso físico a los equipos (móviles o de sobremesa). Para ello contamos con sistemas de
Smartcard logon que se pueden configurar en redes corporativas, siempre que el certificado este incorporado en
una tarjeta o en un dispositivo USB. Además, en la misma tarjeta que da soporte al certificado se puede
incorporar:
> Tecnología RFID (identificación vía radio) para el acceso físico a áreas restringidas.
> Datos de identificación física al poder incorporar nuestra foto y datos personales.
> Una banda magnética para el control de acceso a las instalaciones o el control de entradas/salidas del personal.
La Certificación Digital puede identificar y cifrar canales de comunicación empleando protocolos SSL. Este protocolo es
el usado en muchos servicios de páginas Web mediante accesos HTTPS. El certificado de Servidor asegura la identidad
del sitio Web y el cifrado del canal de datos. Este mecanismo es importante cuando recogemos datos personales por
ejemplo en formularios Web.
El certificado puede no sólo identificar al sitio Web sino que también (como hemos visto anteriormente al hablar de
los canales SSL) puede hacerlo con el usuario que accede. Mediante la configuración de nuestro servidor de páginas
web podemos pedir una identificación mediante certificado digital a nuestro visitante en áreas restringidas de nuestro
servicio. De esta forma en un sitio web podríamos tener la identificación del servidor la identificación del usuario y el
canal de datos cifrado.
5.2.2 Firma electrónica
El certificado digital, es actualmente la referencia principal para realizar la firma electrónica. La firma electrónica
es un proceso por el cual, mediante medios electrónicos, asociamos la voluntad o el compromiso de una
persona con una serie de datos electrónicos, de la misma forma que hacemos con nuestra firma manuscrita
sobre papel.
La firma electrónica tiene aspectos jurídicos que es importante conocer:
> Firma electrónica avanzada: Ofrece garantías técnicas de origen e integridad de los documentos o transacciones
capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas
19
electrónicas firmadas aunque no tiene valor jurídico directo sino que debe argumentarse la prueba en caso de un
proceso legal.
> Firma electrónica reconocida o cualificada: Ofrece garantías de origen e integridad de los documentos o
transacciones electrónicas firmadas. Tiene valor jurídico equivalente a la firma manuscrita.
La firma electrónica ofrece garantías de compromiso del firmante e integridad de los ficheros, documentos y
transacciones firmadas.
El certificado también puede servir para firmar electrónicamente programas que se ejecutan en los navegadores como
activex, applets java, etc. de esta forma conoceremos: quien lo ha desarrollado, y si ha sido modificado el código antes
de ejecutarlo. También puede firmar macros de Microsoft Office con el mismo objetivo.
5.2.3 Cifrado
Otra funcionalidad de los certificados digitales es la posibilidad de cifrar información. El cifrado de información es un
proceso delicado y con alto riesgo ya que si no somos cuidadosos podemos perder fácilmente la información cifrada.
En el proceso de firma con los certificados digitales usamos la clave pública asociada al certificado para realizar el cifrado
de datos electrónicos, posteriormente necesitaremos la clave privada para recuperarlos. Es fundamental por lo tanto
tener acceso a esta clave en todo momento si no queremos perder el control sobre nuestros datos firmados. Para
asegurarnos de esto deberemos realizar copias de seguridad de la clave. Es altamente recomendable que si utilizamos
los certificados digitales para cifrar datos lo hagamos usando un certificado expresamente emitido este uso. En este caso
el Prestador de Servicios de Certificación podrá guardar una copia de la clave privada por si nosotros la perdemos.
Windows ofrece la posibilidad de configurar el sistema EFS de cifrado de archivos y discos duros mediante certificados
emitidos por terceras partes.
>> Seguridad de la Información
20
6. Sello de tiempo
El sellado de tiempo consiste en asociar un documento o transacción a una fecha y hora concreta recogida de una fuente
fiable y firmado electrónicamente por un tercero de confianza o también llamado autoridad de sellado de tiempo. Un sello
de tiempo es una evidencia electrónica de que un documento o transacción existía en una fecha concreta.
Este servicio complementa el uso de los certificados digitales para asegurar por un tercero (y no por la fecha recogida
en el ordenador del usuario) la fecha y hora en la cual se ha producido su uso y por tanto la aplicación correcta del estado
del certificado (revocado o activo).
Para ser completa una firma electrónica debe incorporar:
1.-La firma, los certificados implicados,
2.-El estado de estos mediante CRL/OCSP
3.-El sello de tiempo.
capítulo 6. Sello de tiempo
21
7. Glosario
ActiveX
Tecnología Web desarrollada por Microsoft que posibilita que un explorador interactúe con las aplicaciones de escritorio, típicamente para proporcionar funciones de
interfaz de usuario adicionales.
ActiveX es utilizado comúnmente por diseñadores Web para incrustar archivos multimedia en páginas Web.
El Spyware frecuentemente se descarga a través de un control ActiveX.
Si bien ActiveX se utiliza primordialmente en la Web, también puede utilizarse con
aplicaciones de escritorio y otros programas. ActiveX está dentro del explorador
Internet Explorer de Microsoft
Activo
Cualquier objeto de valor que ayude a la organización a proporcionar un servicio a
sus clientes, por ejemplo: efectivo, terrenos, edificios, equipo, inventarios (para suministros, como resultado de una operación de venta), mobiliario y cuentas por cobrar.
Amenazas
Eventos que pueden desencadenar un incidente en la Organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.
Applet
Pequeño programa Java que puede ser incrustado en una página HTML.
Autenticación
Es el proceso de identificación de un individuo. Se basa en la idea de que cada individuo tendrá una información única que le identifique o que le distinga de otros.
Autenticación de Factor
Proceso de autenticación donde se debe incorporar dos elementos para realizarlo:
algo que se tiene y algo que se conoce.
Doble
Autenticación de Factor
Simple
Autenticación de Factor
Triple
Back-Up
Certificado Digital
Proceso de autenticación donde se debe incorporar un solo elemento para realizarlo: algo que se conoce.
Proceso de autenticación donde se debe incorporar tres elementos para realizarlo:
algo que se tiene, algo que se conoce y algo que se es.
(Copia de Seguridad) Es una medida correctiva consistente en realizar una copia de
la información en un soporte externo al sistema de tal forma que pueda ser recuperada en caso de perdida.
Documento de acreditación de identidad electrónica emitido por una autoridad de
certificación donde se asocia una clave criptográfica asimétrica llamada clave publica con la identidad del titular del certificado.
>> Seguridad de la Información
22
Clave Privada
Clave criptográfica asimétrica complementaria a la clave publica que utiliza el poseedor para la firma electrónica y el descifrado de datos.
Clave Publica
Clave criptográfica asimétrica complementaria a la clave privada utilizada para verificar las firmas electrónicas realizadas con la clave privada y para cifrar datos.
Código Malicioso
(Malware) Software capaz de realizar un proceso no autorizado sobre un sistema con
un deliberado propósito de ser perjudicial. Virus, gusanos, troyanos son algunos
ejemplos de código malintencionado.
Control
En Seguridad informática elemento que sirve para eliminar o mitigar los riesgos asociados a una vulnerabilidad del sistema.
Copia de Seguridad
Ver Back-up.
Cortafuegos
Es una barrera o protección física y/o lógica que permite a un sistema salvaguardar
su información al acceder o ser accedido desde otras redes, como por ejemplo
Internet.
Crl
LCR Lista de certificados revocados. Lista negra donde se incorporan los números
de serie de los certificados que sin haber caducado han perdido su efectividad.
Dialers
Se trata de un programa que marca un número de tarificación adicional usando el
módem. Estos son números tienen un coste superior al de una llamada nacional.
Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando
pop-ups poco claros) como automáticamente. Además pueden ser programas ejecutables o ActiveX.
Firewall
Ver cortafuegos.
Funciones Resumen
(Hash functions) Funciones que trasforman un conjunto, generalmente con un número elevado de elementos (incluso infinitos), en un conjunto de tamaño fijo y mucho
más pequeño que el anterior y que lo identifica de forma univoca. Las funciones resumen se utilizan para detectar cambios en datos electrónicos.
Haker
Persona que entra de forma ilegal y sin el consentimiento del propietario en un sistema informático para obtener información. No conlleva la destrucción de datos ni la
instalación de virus.
Http
(Hypertext Transfer Protocol). Protocolo de Transferencia de Hipertexto. HTTP es un
protocolo para distribuir y manejar sistemas de información hipermedia. HTTP ha
sido usado por los servidores World Wide Web desde su inicio en 1993.
Https
Creado por Netscape Communications Corporation para designar documentos que
capítulo 7. Glosario
23
llegan desde un servidor Web seguro. Esta seguridad es dada por el protocolo SSL
(Secure Socket Layer) basado en la tecnología de encriptación y autenticación desarrollada por RSA Data Security Inc.
Integridad
Característica que asegura que el mensaje o comunicación que se recibe llega tal y
como se envió por el remitente, detectando fácilmente posibles modificaciones que
pudieran haberse producido durante la transmisión.
Internet
Una red mundial, de redes de computadoras. Es una interconexión de redes grandes y chicas alrededor del mundo. Internet empezó en 1962 como una red para los
militares llamada ARPANet, para que en sus comunicaciones no existan “puntos de
falla”. Con el tiempo fue creciendo hasta convertirse en lo que es hoy en día, una
herramienta de comunicación con decenas de miles de redes de computadoras unidas por el protocolo TCP/IP. Sobre esta red se pueden utilizar multiples servicios
como por ejemplo emails, WWW, etc. que usen TCP/IP.
Java
Lenguaje de programación desarrollado por Sun Microsystems y su principal objetivo fue crear un lenguaje que fuera capaz de ser ejecutado de una forma segura a través de Internet. Java no puede acceder arbitrariamente a direcciones de memoria y
es un lenguaje compilado en un código llamado “byte-code”. Este código es interpretado "en vuelo" por el intérprete Java instalado en la máquina.
Login
Clave de acceso que se le asigna a un usuario con el propósito de que pueda utilizar los recursos de un ordenador.
Macro
Una macro es una secuencia de operaciones o instrucciones que definimos para que
un programa (por ejemplo, Word, Excel, o Access) realice de forma automática y
secuencial.
MD5
Algoritmo de función resumen unívoco de 128 bits desarrollado por RSA Data
Security, Inc.
OCSP
(Online Certificate Status Protocol). Protocolo de acceso a un servicio que nos ofrece información en tiempo real sobre el estado de un certificado digital.
Password
(Contraseña). Una contraseña o clave, es una forma de autenticación que utiliza una
información secreta para controlar el acceso hacia algún recurso.
Fishing, Phishing
Se utiliza el término "phishing" para referirse a todo tipo de prácticas utilizadas para
obtener información confidencial (como números de cuentas, de tarjetas de crédito,
contraseñas, etc.).
Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a
PIN
>> Seguridad de la Información
24
un recurso.
PSC
Persona física o jurídica que expide certificados, pudiendo prestar, además, otros
servicios en relación con la firma electrónica.
RFID
RFID (Radio Frequency Identification) es un sistema inalámbrico utilizado para identificar etiquetas. Estas etiquetas pueden ser transportados por las personas o montado sobre un objeto (tarjeta) o vehículos.
Riesgo
Estimación del grado de exposición para que una amenaza se materialice sobre uno
o más activos causando daños o perjuicios a la Organización.
RIPEMD
(acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160
bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin,
Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996
Sello de Tiempo
Un sello de tiempo es un documento electrónico que nos indica la fecha y la hora en
que se ha producido una información electrónica. El sello, está matemáticamente vinculado al documento electrónico sellado. El sello se produce utilizando una fuente de
tiempo fiable de fecha y hora.
SHA-1
Algoritmo de función resumen, normalizado en 1993. Está concebido para su uso
junto con el estándar federal de firma digital.
El SHA es similar en su forma de operación al MD-5, pero produce un resumen, de
160 bits, más largo que el éste y que el de cualquier otro algoritmo de autenticación
de los usados con anterioridad.
Sistema Biométrico
Procedimiento de autenticación basado en la medición de alguna característica física o biológica de una persona.
Smart Card
Smart Card: Tarjeta plástica con un circuito integrado (chip), accesible eléctricamente usando contactos de cobre.
Smart Card Logon
Sistema de autenticación a una aplicación basada en tarjeta criptográfica.
SPAM
Correo basura, el cual llega a nuestras casillas de correo sin que nosotros lo hayamos solicitado.
Spyware
Se denomina a los archivos o aplicaciones de software que son instalados en los sistemas, algunas veces sin conocimiento u autorización de los usuarios. Estos programas recogen una vez instalados la información del sistema infectado.
(Secure Socket Layer). Es un protocolo desarrollado por Netscape Communications
Corporation para dar seguridad a la transmisión de datos en transacciones comer-
SSL
capítulo 7. Glosario
25
ciales en Internet. Utilizando la criptografía de llave pública, SSL provee autentificación del servidor, encriptar de datos, e integridad de los datos en las comunicaciones cliente/servidor.
TSA
(Time Stamp Authority) Autoridad de Sellado de Tiempo. Es un servicio que consiste en la validación de una operación estampando día y hora firmando electrónicamente la transacción como acreditación de la intervención realizada.
TSL
Ver SSL
USB
(Universal Serial Bus, Bus serie universal). Interfaz plug-and-play entre un ordenador
y dispositivos periféricos (escáneres, impresoras, etc.).
Virus
Los virus son programas que se instalan en el ordenador, normalmente de forma
oculta al propietario, con fines maliciosos (por ejemplo, destruir archivos, o el disco,
propagarse a otros ordenadores o provocar un mal funcionamiento del ordenador).
VPN
(Virtual Private Network). Red privada construida sobre una red pública, y aún así proporcionando privacidad y/o autenticación a los usuarios de dicha red. Los equipos
de la red privada utilizan encriptación para comunicarse con otros equipos, pero la
encriptación excluye a los equipos del exterior de la red privada.
WEP
Protocolo que proporciona seguridad al cifrar los datos que se envían por ondas de
radio desde un dispositivo inalámbrico a otro. WEP codifica los datos que se envían
por la red, de manera que los datos son ininteligibles para los demás. Una clave WEP
o de encriptación, es una secuencia de caracteres alfanuméricos o dígitos hexadecimales.
Una clave WEP tiene 64 o 128 bits.
WIFI
Wireless Fidelity (o Fidelidad Inalámbrica). Se refiere a un conjunto de estándares
para redes inalámbricas. Se creó para redes locales inalámbricas, pero en la actualidad también se emplea para acceder a Internet.
Wireless
Conexiones sin cables vía radiofrecuencia.
>> Seguridad de la Información
Depósito Legal: M-54817-2008
Documentos relacionados
Desde los inicios de la informática ha existido siempre la necesidad
Desde los inicios de la informática ha existido siempre la necesidad
El siguiente esquema muestra la distribución de las cinco copias de
El siguiente esquema muestra la distribución de las cinco copias de
Presentación 3
Presentación 3
Plan de Documentos Importantes
Plan de Documentos Importantes
200602-comunicacion segura con Linux
200602-comunicacion segura con Linux
PASOS PARA LA CONFIGURACIÓN RED INALÁMBRICA MGEP 1
PASOS PARA LA CONFIGURACIÓN RED INALÁMBRICA MGEP 1
Para : Dr. HÉCTOR POSADA VIANA Director Territorial Atlántico De
Para : Dr. HÉCTOR POSADA VIANA Director Territorial Atlántico De
Politica Cuentas de Usuarios y Contraseñas
Politica Cuentas de Usuarios y Contraseñas
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
ANEXO II (Artículo 3°) NIVELES DE SEGURIDAD NIVEL DE
ANEXO II (Artículo 3°) NIVELES DE SEGURIDAD NIVEL DE
Descargar
Anuncio
Anuncio