1 Índice capítulo 1 Prólogo: .....................................................................................................................3 ¿En qué consiste un análisis de riesgos?...................................................................4 1.1 Inventariar los activos.......................................................................................4 1.2 Detectar las amenazas.....................................................................................5 1.3 Localizar sus vulnerabilidades. .........................................................................5 1.4 Valorar el impacto. ...........................................................................................6 1.5 Calcular el riesgo..............................................................................................6 1.6 Implantar un control. ........................................................................................7 capítulo 2 Cómo podemos proteger nuestros activos ................................................................8 2.1 Riesgos de acceso. .........................................................................................8 2.1.1Contraseñas o (Passwords)............................................................................8 2.1.2 Sistemas Biométricos....................................................................................9 2.1.3 Certificados Digitales.....................................................................................9 2.2 Protección contra código malicioso. Virus........................................................9 2.3 Integridad.......................................................................................................10 2.4 Copias de seguridad-Backup.........................................................................11 2.4.1 Backup incremental ....................................................................................11 2.4.2 Copias en caliente.......................................................................................12 2.4.3 Cifrado de backups.....................................................................................12 capítulo 3 Recuperación de sistemas .......................................................................................13 capítulo 4 Gestión de la seguridad en las redes .......................................................................14 4.1 El Protocolo SSL, TSL . .................................................................................14 4.2 VPN. ..............................................................................................................15 4.3 Protección de redes inalámbricas. .................................................................15 capítulo 5 La Certificación digital como elemento de seguridad en nuestras empresas ...........16 5.1. Validación de los Certificados........................................................................17 5.2. Usos .............................................................................................................18 5.2.1. Autenticación .............................................................................................18 5.2.2. Firma Electrónica ......................................................................................18 5.2.3. Cifrado .......................................................................................................19 capítulo 6 Sello de tiempo.......................................................................................................20 capítulo 7 Glosario: .................................................................................................................21 >> Seguridad de la Información 2 El copyright de este documento es propiedad de Camerfirma. No está permitido su reproducción total o parcial ni su uso con otras organizaciones para ningún otro propósito, excepto autorización previa por escrito. 3 Prólogo La seguridad de la información describe los procesos empleados para garantizar la disponibilidad, integridad y confidencialidad de los datos ya sea en formato electrónico como en formato físico. Seria fácil responder si nos preguntaran las medidas de seguridad que emplearíamos para proteger un objeto de valor tangible, como por ejemplo unas joyas. Seguro que se nos ocurrirían muchas acciones que impidieran que estas fueran robadas o dañadas. No sería así si la pregunta fuera sobre un activo electrónico, como un documento en word o el acceso a los datos de nuestra información bancaria. En este caso no estaríamos tan seguros sobre las acciones a tomar. La diferencia es que imaginamos y visualizamos claramente cuales son las amenazas que pueden acechar a nuestro activo cuando este es tangible, conocemos sus vulnerabilidades y por lo tanto las protecciones adecuadas. Por el contrario, en el ámbito electrónico no tenemos tan claro estos parámetros: no conocemos las vulnerabilidades de los sistemas que empleamos y quiénes pueden aprovecharse de éstas para acceder a nuestra información, por lo tanto nos encontramos inseguros ante cualquier situación de riesgo. El objeto de esta guía es que las empresas conozcan los procedimientos, mecanismos y herramientas que pueden utilizar para adentrarse en el mundo electrónico con seguridad. Hoy en día uno de los activos más importantes en nuestras empresas es la cantidad de información que manejamos: facturas, datos de clientes y proveedores, proyectos… y toda esta información la tenemos en formato digital. Es ya sabido que la seguridad total no existe, y si existiera seguramente no podríamos comprarla. Es muy difícil llegar a la seguridad 100% ya que a partir de un cierto punto los costes se disparan exponencialmente, por lo tanto nuestras expectativas de seguridad deben encontrarse en un punto razonable que cubra la mayor parte de nuestros riesgos. Debemos por lo tanto elegir soluciones adecuadas y proporcionadas sin caer por ejemplo en dedicar más recursos económicos a proteger un activo del valor del propio activo. El primer paso para conocer el estado de la seguridad de nuestros activos es realizar lo más detalladamente posible un análisis de riesgos. Este análisis nos ayudará a localizar nuestros puntos débiles y aplicar medidas que los corrijan. >> Seguridad de la Información 4 1. ¿En qué consiste un análisis de riesgos? Un análisis de riesgos consiste en: > Inventariar activos > Detectar las amenazas > Localizar sus vulnerabilidades > Valorar el impacto Pasemos a profundizar en estos conceptos: 1.1 Inventariar los activos Para empezar debemos sentarnos y valorar qué es lo queremos proteger. Esta valoración no es sólo económica, sino que deberemos tener en cuenta otros valores intangibles como el honor y la imagen de nuestra empresa. Cuáles podrían ser los activos a proteger: > Datos personales. > Derechos de propiedad intelectual como fotografías y videos. > Datos de clientes. > Datos técnicos de configuración de aplicaciones… Realizaremos una valoración de cada uno de estos activos en base a la importancia que le demos a cada uno. Podemos hacer esta valoración asignando al activo un valor entre 1 y 5. Donde 1 es el valor más bajo y 5 es la valoración más alta. capítulo 1. ¿En qué consiste un análisis de riesgos? 5 1.2 Detectar las amenazas Vamos a pensar ahora en las amenazas posibles que pueden afectar a nuestros activos. Si no existieran, no tendríamos que protegerlos. De la misma forma que si vivimos en el desierto no tendríamos que preocuparnos por riesgos de inundaciones. ¿Qué amenazas podemos encontrar? > Hackers > Fallos eléctricos > Empleados descontentos > Inundaciones > Terremotos 1.3 Localizar sus vulnerabilidades Una vez hemos seleccionado los activos a proteger debemos saber qué riesgos pueden tener con el fin de localizar sus vulnerabilidades. Por ejemplo, los discos duros de un ordenador pueden fallar y dejarnos sin la información acumulada en ellos, por lo tanto deberemos asegurarnos que podremos recuperar los datos en caso de que esto ocurra realizando copias en CDROM, DVD o en un discos externos. Otro ejemplo de vulnerabilidad lo encontramos en las aplicaciones informáticas, sabemos que no son perfectas y que deben ser actualizadas para incorporar las últimas correcciones. Otras vulnerabilidades pueden ser: > Falta de mecanismos de autenticación > Salas muy concurridas > La propia ubicación de la empresa > Redes desprotegidas >> Seguridad de la Información 6 1.4 Valorar el impacto Tendremos que valorar el impacto de que una amenaza aproveche una vulnerabilidad de nuestro activo y produzca un daño. La valoración que realizamos es subjetiva y podemos ayudarnos de nuevo de una ponderación entre 1 y 5: 1 impacto bajo y 5 impacto alto. Por ejemplo alguien se aprovecha de que tenemos una versión desactualizada de nuestro servidor de páginas en Internet para acceder al servidor y cambiarnos los datos de nuestra lista de precios. Consideraríamos este hecho como un impacto 5. 1.5 Calcular el riesgo Una vez que tenemos valorados todos estos parámetros estamos en disposición de calcular el riesgo de cada amenaza. El riesgo es la probabilidad de que una amenaza utilice una vulnerabilidad de muestro activo y nos produzca un impacto. Nos ayudaremos de esta tabla para decidir dónde debemos tomar medidas y donde el riesgo no es suficiente para la implantación de un control: La tabla muestra 3 variables (probabilidad, impacto y valor del activo). En base a estos tres parámetros la tabla nos ofrece un valor. Este valor nos dirá si es razonable la implantación de un control que proteja nuestro activo. Los valores resultantes están coloreados de amarillo (no necesita control), naranja (recomendado la implantación de control) y rojo (obligatorio). Las tres variables son ponderadas: > Valor del activo (de 1 a 5), donde 1 es el valor más bajo y 5 es el mas alto. > Nivel de impacto si una amenaza concreta se materializase sobre el activo (de 1 a 5), donde 1 es un impacto bajo y 5 es un impacto alto. > Probabilidad de que se produzca un impacto concreto (de 1 a 5), donde 1 es una probabilidad baja y 5 es una probabilidad alta. capítulo 1. ¿En qué consiste un análisis de riesgos? 7 Pongamos un ejemplo: Consideremos un activo valioso en nuestra empresa, un activo de valor 5, por ejemplo el edificio donde se alojan nuestras oficinas. El edificio tiene una probabilidad 1 (muy baja) de que sea afectado por un rayo ya que en la zona donde se ubica no se forman normalmente tormentas. Analizando el impacto vemos que tiene un nivel muy alto 5 (si cae un rayo nos quedamos sin edificio). En este caso aunque la probabilidad sea muy baja la tabla nos da un valor 11 y por lo tanto deberíamos plantearnos poner un control, en este caso un pararrayos. Un ejemplo dentro de nuestros activos electrónicos sería nuestra base de datos de clientes. Es un activo importante (5) y tiene una probabilidad muy baja de que sea afectado por un pirata informático (1) ya que el equipo no está conectado a Internet. Como el impacto de perder los datos sería alto (5) vemos que el resultado que nos da la tabla es 11, esto quiere decir que recomienda poner controles a nivel interno como palabras de paso (contraseñas) para proteger el acceso no permitido y copias de seguridad para evitar posibles pérdidas de información. 1.6 Implantar un control Una vez conocido el riesgo asociado y obtenido un valor alto estamos obligados a elegir entre: > Eliminar el riesgo (poner un pararrayos). > Atenuarlo (instalarnos cerca de otro edificio que tenga pararrayos). > Asumirlo (esperar que no nos pase). > Diferirlo (subcontratar los servicios). En el caso de los activos electrónicos: > Eliminar el riesgo (poner una palabra de paso para acceder a la base de datos). > Atenuarlo (tener nuestro equipo en una sala cerrada con llave). > Asumirlo (esperar que no nos pase). > Diferirlo (albergar los servicios a una empresa externa). Para eliminar o atenuar el riesgo contamos con herramientas o como los hemos llamado en el análisis de riesgos, controles. >> Seguridad de la Información 8 2. Cómo podemos proteger nuestros activos Una vez hemos detectado los riesgos que pueden tener nuestros activos informáticos pasemos a ver cómo podemos protegerlos con el fin de eliminarlos o atenuarlos. 2.1 Riesgos de acceso Cuando hablamos de riesgos de acceso nos referimos a aquellos riesgos que implican el acceso a información o recursos por parte de personas no autorizadas. Para paliar estos riesgos contamos con soluciones tales como: 2.1.1 Contraseñas o (Passwords) El primer y más básico de los controles que incorporamos para proteger un activo electrónico. El acceso por contraseña es el sistema de autenticación más usado y extendido, es un mecanismo que ha perdurado desde los orígenes de la informática. Este mecanismo consiste en pedir un nombre de usuario o identificativo y una contraseña asociada. Esta contraseña debe coincidir con aquella guardada por el sistema informático al que se accede, para ese usuario en particular. Digamos que es un secreto que compartimos entre el sistema informático y el usuario. El acceso por usuario y contraseña es un método de bajo coste y sencillo que ha permanecido mucho tiempo en vigor y que se resiste a desaparecer. Es evidente que por el contrario las amenazas han evolucionado notablemente en el mundo informático: Hay muchísima más gente que antes con posibilidad de acceder a nuestro equipo. El sistema de contraseña es fácilmente atacable, sobretodo si no se siguen algunas recomendaciones: > Evitar las claves genéricas de acceso. > Bloqueos de contraseñas después de varios intentos fallidos. > Cambios periódicos de la contraseña. > Las claves de acceso deben cumplir una política rigurosa respecto a su composición (dígitos, signos y números) de tal forma que no sean fácilmente atacables. Por otro lado las contraseñas deben ser a la vez fácilmente recordables a fin de evitar tener que escribirlas en un papel. La autenticación por contraseña es lo que se llama un sistema de factor simple (accedemos por algo que sabemos). Existen sistemas más fiables llamados de factor doble (algo que sabemos y algo que tenemos) incluso sistemas de factor triple (algo que sabemos, algo que tenemos y algo que somos como por ejemplo nuestra huella digital, o nuestro código genético). Normalmente necesitamos gestionar más de una contraseña: la de entrada al equipo informático la del correo la de móvil, la de los servicios bancarios…etc. Para resolver esta situación es común utilizar la misma contraseña para todo. Esto es una brecha de seguridad importante ya que una vez alguien consiga una de las contraseñas podrá acceder a capítulo 2. Cómo podemos proteger nuestros activos 9 todos nuestros servicios electrónicos. Si no queremos utilizar siempre la misma (algo radicalmente desaconsejable) podemos utilizar herramientas de gestión de contraseñas como PasswordSafe o Keepass de distribución gratuita y que permite la gestión de múltiples contraseñas recordando sólo una. 2.1.2 Sistemas Biométricos Los sistemas biométricos emplean rasgos físicos del usuario para autenticarnos ante un equipo informático. Podemos encontrarnos lectores de huellas digitales, de iris o reconocimientos de voz. Los sistemas biométricos son cada vez más precisos, aunque debemos considerar las tasas de falsos positivos (cada vez menores) o sobre todo falsos negativos. Los sistemas biométricos más usados actualmente son los de huella digital. Los sistemas biométricos pueden combinarse con otros sistemas de autenticación para dotarle de un factor adicional, por ejemplo tarjetas criptográficas. 2.1.3 Certificados Digitales Los sistemas de certificación digital permiten conseguir una identificación de doble factor algo que tenemos (clave criptográfica privada) y algo que sabemos (PIN de activación de la clave). Veremos más adelante los mecanismos de seguridad ofrecidos por los certificados digitales. Estas tres primeras herramientas regulan el acceso directo a nuestros equipos o bases documentales. Pero existen otros riesgos que van más allá del mero acceso físico. 2.2 Protección contra código malicioso. Virus Prácticamente todo el mundo es consciente de las amenazas que supone un acceso a Internet, ningún usuario a día de hoy accede a Internet sin tener al menos un antivirus instalado en su equipo. Sin embargo, el problema más común es que una vez instalado la sensación de seguridad crece de forma desproporcionada e injustificada. Un antivirus no es la solución si éste no se actualiza de forma periódica. Para ello es necesario que nuestro proveedor disponga de un servicio de actualización en línea y que configuremos nuestro antivirus para que cada vez que nos conectemos a Internet busque nuevas actualizaciones. Los virus se aprovechan de vulnerabilidades del sistema operativo o de las aplicaciones, por lo tanto es fundamental para la seguridad de los recursos informáticos tener instaladas las últimas versiones y parches de los sistemas y de las aplicaciones usadas. Los programas antivirus actuales suelen incorporar ya herramientas completas de antivirus, antispyware, antispam, antiphising, cortafuegos y otros mecanismos de protección contra ataques habituales. Veamos en qué consisten algunos de ellos: > Anti-Spyware. El Spyware son programas espías que se dedican a enviar información a terceros de los sitios a los que conectamos. Estos programas se pueden instalar sin nuestro conocimiento al visitar páginas maliciosas en Internet. > Anti -SPAM. El spam es correo no deseado que inunda las cuentas de correo. Normalmente obtienen nuestro email de formularios o de ordenadores que tienen nuestra cuenta como contacto. >> Seguridad de la Información 10 > Firewall. Firewall personal. Gestión de políticas de acceso (entrada/salida) a las aplicaciones del equipo. Mediante unas reglas de actuación decimos al ordenador que peticiones de entrada salida están permitidas. > Anti-Dialers. Los dialers se instalan como programas en nuestro equipo sin nuestro conocimiento y desvían, sin que nos enteremos, las conexiones que realizamos con nuestro ordenador a Internet hacia números de teléfono de pago. Este ataque es efectivo si tenemos configurado el sistema para acceder a Internet vía línea telefónica común y MODEM. > Anti-Phishing. El phising utiliza links trucados para dirigirnos a sitios Web clonados, normalmente de entidades bancarias. En estos sitios clonados nos piden los datos de acceso a nuestro servicio bancario en Internet con la excusa de mejorar la seguridad. Una vez en posesión de nuestros datos acceden al servicio bancario real y realizan trasferencias de nuestros fondos. 2.3 Integridad Una propiedad básica de los sistemas informáticos es la integridad. Esto quiere decir han de ser capaces de detectar cualquier modificación realizada en ellos. La modificación de un sistema operativo puede indicar que se ha producido una intrusión en el mismo. Un sistema de verificación de integridad nos permitirá descubrir de forma rápida si alguna parte del sistema se ha visto modificada desde la última vez que realizamos el control. Existen múltiples herramientas de seguridad que permiten controlar si un fichero o un conjunto de ficheros han sido modificados. Dentro de las herramientas utilizadas para este fin, la más conocida sin duda es Tripwire, un desarrollo del proyecto COSAT de la Universidad de Purdue (EEUU). Esta herramienta está disponible bajo licencia libre. Para proteger nuestras aplicaciones contamos con OpenSSL. OpenSSL es una herramienta que nos permite acceder a funciones criptográficas Podemos usar también funciones criptográficas de resumen como MD5, SHA1, RIPEMD...etc. que podemos encontrar en aplicativos como OpenSSL de distribución gratuita. Si queremos conocer si un documento electrónico ha sido modificado realizamos sobre una copia correcta de este una operación resumen por ejemplo SHA-1 y obtendremos un cogido resumen. Guardamos este código y cuando queramos posteriormente tener una prueba de integridad realizaremos de nuevo la operación. El resultado de esta operación debe ser el mismo de otra manera el documento ha sido alterado. Un código resumen como se deduce del texto anterior es el resultado de aplicar un algoritmo matemático sobre unos datos electrónicos. Este código resumen tiene las propiedades de identificar de manera única los datos electrónicos en los que se basa, ya que si estos cambiasen el código resumen cambiaria también. capítulo 2. Cómo podemos proteger nuestros activos 11 2.4 Copias de seguridad-Backup Para prevenir la pérdida de información en nuestras empresas un proceso que nos ayuda es la realización de copias de seguridad de nuestros activos. Nadie puede valorar realmente una copia de seguridad a no ser que haya perdido en segundos los frutos obtenidos después de mucho trabajo. Incluso con esta terrible experiencia la realización de copias de backups es una asignatura pendiente para la mayoría de los usuarios de sistemas informáticos. Las copias de seguridad son una de las herramientas más eficaces para recuperar el estado de un sistema a la situación anterior a una incidencia. Siendo un proceso tan básico en la seguridad de la información, no existe una concienciación adecuada ni siquiera dentro de los profesionales informáticos. Debemos tener actualizadas nuestras copias de seguridad si no éstas no nos sirven para nada. Hoy en día existen multitud de herramientas que permiten la automatización de las copias de backup pudiéndose realizar de manera transparente para el usuario y minimizando las perdidas de información. SYNCBACKUP es una herramienta como otras muchas que permite la realización centralizada de backups. SYNCBACK permite la recolección de información de los puestos de usuario a un sistema centralizado donde se van incorporando los nuevos ficheros encontrados o las actualizaciones. La recuperación de los datos se puede realizar mediante el acceso al sistema central. La recogida de información se puede programar de tal forma que esta se realice en momentos de menos carga de trabajo. Tendremos que evaluar la “ventana de riesgo” entre copias de backup. Si realizamos una copia diaria, en el peor de los casos podríamos perder información de un día completo de trabajo. Existen servicios de backup remotos que recogen los datos de los equipos de usuario y lo almacenan en ubicaciones externas. Este servicio por supuesto simplifica y abarata los costes de implantación pero incorpora un riesgo adicional al enviar nuestros datos a empresas externas. En estos casos deberemos asegurarnos de que los datos sólo salen cifrados y permanecen así en los equipos del proveedor. 2.4.1 Backup incremental Una manera de utilizar de forma más eficiente los sistemas de backup es ir haciendo sólo copia de aquella información añadida o modificada sobre los datos ya guardados, en vez de ir creando copias completas. Es lo que llamamos backups incrementales. Los backups incrementales necesitan de una gestión ordenada, disponiendo de copias completas duplicadas y las diferentes copias de los backups incrementales hasta llegar a una recuperación completa del sistema. >> Seguridad de la Información 12 2.4.2 Copias en caliente En algunos casos debido a la criticidad de los datos obliga a tener copias de estos en caliente. Una copia en caliente es una copia replicada en el mismo momento de producirse algún cambio en los datos, lo que nos permite mantener una ventana de riesgo cercana a 0 desde que se produce una incidencia. Para protegerlos de amenazas físicas la copia en caliente es recomendable ubicarla en un lugar remoto. 2.4.3 Cifrado de backups Los dispositivos de almacenamiento que contienen información de copias de seguridad (CD, DVD, Cintas, Discos Duros, etc.) deben estar protegidos convenientemente. Es aconsejable tener una caja de seguridad ignifuga para su almacenamiento en las instalaciones de la empresa y en instalaciones de seguridad externas. La caja de seguridad de un banco puede ser una solución aceptable y económica. VICEVERSA es una herramienta de copia y sincronización de fichero de bajo precio que puede sernos útil a la hora de replicar nuestros ficheros y mantenerlos cifrados para su posterior envío o custodia. http://www.tgrmn.com/ capítulo 2. Cómo podemos proteger nuestros activos 13 3. Recuperación de sistemas Una práctica muy común en la gestión de la seguridad de sistemas informáticos complejos es la de desarrollar un plan de contingencias donde describamos el mayor número de situaciones problemáticas a las que nos podamos enfrentar. Para cada una de estas situaciones debemos describir las acciones que deberíamos realizar para resolverlas. Nos daremos cuenta entonces de los elementos, que dada esa situación, necesitaríamos para resolverla y nos permitirá prepararnos antes de que se produzca la incidencia. En algunos casos necesitamos recuperar un sistema completo, (bases de datos, sistemas operativos, configuraciones, aplicativos....etc.) que hemos perdido, a causa de un error irrecuperable en un disco, es decir reproducir desde cero todo el sistema. La recuperación de un sistema es una tarea que requiere mucho tiempo y que difícilmente termina con el equipo en la misma situación en que estaba en el momento de producirse el problema. Evidentemente, tendremos que recurrir a copias de backup del sistema de las bases de datos, de las configuraciones de las aplicaciones, etc. Existen formas más eficaces de enfrentarnos a este problema como: > Acronis trueimage para la recuperación de sistemas en entorno Windows y Linux. > Symantec backup EXEC para la recuperación de datos. Podemos acceder también a una solución cada vez más extendida como es la virtualización de entornos. El caso es que desde una imagen de nuestro sistema lo pudiéramos recuperar en cuestión de minutos. La virtualización se refiere a crear máquinas virtuales dentro de maquinas reales (físicas). Una máquina física puede por lo tanto contener múltiples maquinas virtuales con distintos entornos operativos y ejecutando aplicaciones diferentes. Esto nos permite abstraernos de entorno físico de la máquina y tener imágenes grabadas de maquinas virtuales que se pueden reproducir en otro entorno físico de manera inmediata. >> Seguridad de la Información 14 4. Gestión de la seguridad en las redes En redes abiertas como Internet la seguridad de la información en tránsito es un elemento a tener en cuenta. La base sobre la que se sustenta Internet no es la seguridad, sino más bien su robustez y su disponibilidad. Disponemos de varios mecanismos para asegurar las comunicaciones. 4.1 El Protocolo SSL, TSL SSL/TSL es un protocolo de comunicación segura que proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Sabremos cuando utilizamos estos protocolos porque tecleamos en el navegador https:// en vez del clásico http://. Cuando enganchamos un equipo a Internet este se identifica mediante un número de dirección único llamado IP (Internet Protocol). Este número tiene el siguiente aspecto: 192.0.0.68. Marcando estos dígitos en un navegador podríamos contactar con el equipo en cuestión. Este procedimiento obviamente es muy poco amigable. Para resolverlo se crearon unas especies de guías telefónicas llamadas servidores de nombres (DNS) que asocian un nombre de dominio a una IP. Por ejemplo www.miempresa.com, que es mas fácil de recordar que el numero IP, y que finalmente es lo que ponemos en el navegador. Existen empresas que ofrecen los servicios de nombres de dominio asociando el nombre elegido a la dirección IP de nuestro equipo. Antes de asignarnos el nombre, las empresas verifican que no este ya asignado y registran a los contactos de solicitante, del dueño del citado dominio y obviamente cobran sus servicios. También como parte del proceso de adjudicación se pueden pedir comprobaciones sobre la propiedad de marca. Para mejorar la seguridad de los acceso mediante dominios se han establecido los protocolos SSL/TSL. El proceso se inicia mediante la presentación de un certificado digital por parte del servidor de páginas Web a la que estamos accediendo y que informa sobre la propiedad del dominio. Un dominio recordemos es el nombre con el que se identifica el sitio Web, por ejemplo en www.miempresa.com, miempresa.com seria el dominio. También establece un canal seguro cifrando la información enviada entre cliente y servidor. El protocolo SSL, permite también la identificación por el mismo medio del usuario que accede a la Web. En este caso al cliente le será exigido un certificado digital válido como elemento de autenticación. Si el usuario presenta un certificado válido para el servidor, el sistema le dejará acceder a los contenidos y lo rechazará en caso contrario. En este escenario obtenemos: > una identificación del servidor > identificación del cliente y > un canal cifrado. capítulo 4. Gestión de la seguridad en las redes 15 Como vemos unas garantías suficientes para ofrecer servicios vía Web seguros. El establecimiento de estos protocolos no incorpora más gastos adicionales que la configuración del servidor de páginas Web y la adquisición de los certificados de servidor seguro y cliente. 4.2 VPN La mayoría de los productos de cortafuegos (Firewall) permiten la configuración de canales de conexión segura vía VPN (Virtual Private Network), Red Privada Virtual. Se trata de fabricar un canal seguro extremo a extremo, de la misma forma que lo hace el protocolo SSL en entornos WEB. Las conexiones VPN permiten conectar de forma segura distintas oficinas utilizando redes públicas como Internet. La sensación es la de tener una propia red privada como indica su nombre. La utilización de Internet reduce considerablemente los costes de comunicación en las empresas en detrimento tecnologías antiguas como las líneas punto a punto. La configuración de una red VPN permite en muchos casos el desarrollo del tele-trabajo al ofrecer un canal seguro de acceso a los servidores centrales de la compañía desde el hogar del tele-trabajador. También podemos conectar equipos de comunicación de dos sedes de una empresa con los propios enrutadores de las oficinas a través del establecimiento de una VPN encargándose estos dispositivos de hacer que las redes de las dos sedes sean virtualmente la misma. 4.3 Protección de redes inalámbricas Las redes inalámbricas cada vez están copando una mayor cuota de mercado, esta tecnología evita tener que realizar complejas instalaciones de cableado y garantizar la movilidad de los dispositivos es un aliciente importante, pero el uso de esta tecnología tiene sus desventajas: > Todos los que estén en un radio de 100 m aproximadamente son intrusos potenciales. > La información se transmite por el aire y, por lo tanto, puede ser "vista" por cualquiera que esté en el radio de 100 m. > Nos podemos conectar equivocadamente (o voluntariamente) a redes que se encuentren abiertas en el radio de 100 m y esto puede ser muy peligroso para la seguridad de nuestro equipo. > Cualquier "vecino" puede captar los códigos y las contraseñas cuando los intentamos conectarnos a los servicios electrónicos. Visto lo anterior, deberemos configurar los mecanismos de seguridad para evitar los problemas asociados a esta tecnología. >> Seguridad de la Información 16 5. La Certificación digital como elemento de seguridad en nuestras empresas El certificado digital es un elemento de control de riesgo electrónico en el proceso de identificación. La utilización de usuario y contraseña demuestran una fortaleza limitada al asegurar la identidad del usuario electrónico, sobre todo cuando se utilizan contraseñas débiles formados por números o palabras del diccionario fácilmente atacables. Como se ha apuntado anteriormente el certificado digital es un elemento de autenticación de doble factor, es decir “algo que se sabe” PIN de activación de la clave y “algo que se tiene” la clave. El certificado digital se basa en tecnología criptográfica de clave pública. La tecnología de clave pública consiste en la generación de dos claves criptográficas complementarias. Una clave es llamada “pública” ya que se dará a conocer a todos y otra “privada” que es custodiada y conocida solo por el usuario. Cuando se cifra un mensaje con una clave la otra clave complementaria puede descifrarlo y viceversa. La custodia de la clave privada puede hacerse mediante un fichero software protegida por una contraseña o en una tarjeta criptográfica con una contraseña de acceso. El mecanismo técnico del funcionamiento de la tecnología de clave pública es el siguiente: cuando “A” usa la clave privada para cifrar un mensaje este puede ser recuperado por “B” usando la clave publica de “A” de tal forma que si esto se produce podemos asegurar que el mensaje ha sido originado por “A”, el poseedor de la clave privada. Este hecho produce la autenticación del usuario “A” sin tener que enviar ningún dato privado por la red. También podemos usar la tecnología de clave pública para cifrar el contenido de un documento o mensaje. Si “B” cifra un mensaje con la clave publica de “A” se asegurará que solo “A” con su clave privada puede acceder al contenido del documento. capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas 17 El certificado digital es simplemente un documento electrónico emitido por una tercera parte de confianza (Prestador de Servicios de Certificación, PSC) acreditando que la clave pública matemáticamente relacionada con la clave privada esta asociada a una identidad concreta. Es importante valorar al emisor del certificado (PSC) para que el sistema de autenticación y cifrado tenga el soporte suficiente. Un mismo PSC puede emitir diferentes tipos de certificados para diferentes usos y ofreciendo garantías diferentes. 5.1 Validación de los certificados Un aspecto importante a considerar en el uso de los certificados digitales es el proceso de validación de estos. Un certificado digital tiene una duración temporal, dentro de este periodo de validez el certificado puede perder su efectividad por diferentes causas (robo, perdida de los datos de activación de la clave, cambio de datos...etc.) en este caso el certificado debe ser revocado y el prestador debe hacerlo público. Una persona o una aplicación deben verificar un certificado digital antes de darlo como válido. La forma que un prestador tiene para hacer público este hecho es mediante: > CRL: Listas de revocación (Certification Revocation List). Son listas de certificados que estando en vigor han perdido su efectividad. > OCSP: (Online Certificate Status Protocol) Servicio de consulta del estado de los certificados. La consulta se realiza accediendo a un servicio online y recibiendo una respuesta inmediata sobre el estado del certificado en cada momento. Un certificado digital debe ser verificado en el momento de su uso efectivo (al autenticarse, al producir una firma o al cifrar >> Seguridad de la Información 18 datos). Es entonces cuando debemos estar seguros de su validez. Por este hecho que se aconseja siempre que sea posible incorporar el estado del certificado en origen. Algunos prestadores de certificación ofrecen el acceso al sistema de validación con una contraprestación económica, deberemos por lo tanto tener en cuenta este aspecto. AC Camerfirma por ejemplo no penaliza económicamente el acceso a las CRL emitidas ni al servicio OCSP. El certificado digital como elemento de control de riesgo es muy efectivo en diferentes aspectos de la gestión de la seguridad en los sistemas de Información. 5.2 Usos 5.2.1 Autenticación Identificación para acceso físico a los equipos (móviles o de sobremesa). Para ello contamos con sistemas de Smartcard logon que se pueden configurar en redes corporativas, siempre que el certificado este incorporado en una tarjeta o en un dispositivo USB. Además, en la misma tarjeta que da soporte al certificado se puede incorporar: > Tecnología RFID (identificación vía radio) para el acceso físico a áreas restringidas. > Datos de identificación física al poder incorporar nuestra foto y datos personales. > Una banda magnética para el control de acceso a las instalaciones o el control de entradas/salidas del personal. La Certificación Digital puede identificar y cifrar canales de comunicación empleando protocolos SSL. Este protocolo es el usado en muchos servicios de páginas Web mediante accesos HTTPS. El certificado de Servidor asegura la identidad del sitio Web y el cifrado del canal de datos. Este mecanismo es importante cuando recogemos datos personales por ejemplo en formularios Web. El certificado puede no sólo identificar al sitio Web sino que también (como hemos visto anteriormente al hablar de los canales SSL) puede hacerlo con el usuario que accede. Mediante la configuración de nuestro servidor de páginas web podemos pedir una identificación mediante certificado digital a nuestro visitante en áreas restringidas de nuestro servicio. De esta forma en un sitio web podríamos tener la identificación del servidor la identificación del usuario y el canal de datos cifrado. 5.2.2 Firma electrónica El certificado digital, es actualmente la referencia principal para realizar la firma electrónica. La firma electrónica es un proceso por el cual, mediante medios electrónicos, asociamos la voluntad o el compromiso de una persona con una serie de datos electrónicos, de la misma forma que hacemos con nuestra firma manuscrita sobre papel. La firma electrónica tiene aspectos jurídicos que es importante conocer: > Firma electrónica avanzada: Ofrece garantías técnicas de origen e integridad de los documentos o transacciones capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas 19 electrónicas firmadas aunque no tiene valor jurídico directo sino que debe argumentarse la prueba en caso de un proceso legal. > Firma electrónica reconocida o cualificada: Ofrece garantías de origen e integridad de los documentos o transacciones electrónicas firmadas. Tiene valor jurídico equivalente a la firma manuscrita. La firma electrónica ofrece garantías de compromiso del firmante e integridad de los ficheros, documentos y transacciones firmadas. El certificado también puede servir para firmar electrónicamente programas que se ejecutan en los navegadores como activex, applets java, etc. de esta forma conoceremos: quien lo ha desarrollado, y si ha sido modificado el código antes de ejecutarlo. También puede firmar macros de Microsoft Office con el mismo objetivo. 5.2.3 Cifrado Otra funcionalidad de los certificados digitales es la posibilidad de cifrar información. El cifrado de información es un proceso delicado y con alto riesgo ya que si no somos cuidadosos podemos perder fácilmente la información cifrada. En el proceso de firma con los certificados digitales usamos la clave pública asociada al certificado para realizar el cifrado de datos electrónicos, posteriormente necesitaremos la clave privada para recuperarlos. Es fundamental por lo tanto tener acceso a esta clave en todo momento si no queremos perder el control sobre nuestros datos firmados. Para asegurarnos de esto deberemos realizar copias de seguridad de la clave. Es altamente recomendable que si utilizamos los certificados digitales para cifrar datos lo hagamos usando un certificado expresamente emitido este uso. En este caso el Prestador de Servicios de Certificación podrá guardar una copia de la clave privada por si nosotros la perdemos. Windows ofrece la posibilidad de configurar el sistema EFS de cifrado de archivos y discos duros mediante certificados emitidos por terceras partes. >> Seguridad de la Información 20 6. Sello de tiempo El sellado de tiempo consiste en asociar un documento o transacción a una fecha y hora concreta recogida de una fuente fiable y firmado electrónicamente por un tercero de confianza o también llamado autoridad de sellado de tiempo. Un sello de tiempo es una evidencia electrónica de que un documento o transacción existía en una fecha concreta. Este servicio complementa el uso de los certificados digitales para asegurar por un tercero (y no por la fecha recogida en el ordenador del usuario) la fecha y hora en la cual se ha producido su uso y por tanto la aplicación correcta del estado del certificado (revocado o activo). Para ser completa una firma electrónica debe incorporar: 1.-La firma, los certificados implicados, 2.-El estado de estos mediante CRL/OCSP 3.-El sello de tiempo. capítulo 6. Sello de tiempo 21 7. Glosario ActiveX Tecnología Web desarrollada por Microsoft que posibilita que un explorador interactúe con las aplicaciones de escritorio, típicamente para proporcionar funciones de interfaz de usuario adicionales. ActiveX es utilizado comúnmente por diseñadores Web para incrustar archivos multimedia en páginas Web. El Spyware frecuentemente se descarga a través de un control ActiveX. Si bien ActiveX se utiliza primordialmente en la Web, también puede utilizarse con aplicaciones de escritorio y otros programas. ActiveX está dentro del explorador Internet Explorer de Microsoft Activo Cualquier objeto de valor que ayude a la organización a proporcionar un servicio a sus clientes, por ejemplo: efectivo, terrenos, edificios, equipo, inventarios (para suministros, como resultado de una operación de venta), mobiliario y cuentas por cobrar. Amenazas Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Applet Pequeño programa Java que puede ser incrustado en una página HTML. Autenticación Es el proceso de identificación de un individuo. Se basa en la idea de que cada individuo tendrá una información única que le identifique o que le distinga de otros. Autenticación de Factor Proceso de autenticación donde se debe incorporar dos elementos para realizarlo: algo que se tiene y algo que se conoce. Doble Autenticación de Factor Simple Autenticación de Factor Triple Back-Up Certificado Digital Proceso de autenticación donde se debe incorporar un solo elemento para realizarlo: algo que se conoce. Proceso de autenticación donde se debe incorporar tres elementos para realizarlo: algo que se tiene, algo que se conoce y algo que se es. (Copia de Seguridad) Es una medida correctiva consistente en realizar una copia de la información en un soporte externo al sistema de tal forma que pueda ser recuperada en caso de perdida. Documento de acreditación de identidad electrónica emitido por una autoridad de certificación donde se asocia una clave criptográfica asimétrica llamada clave publica con la identidad del titular del certificado. >> Seguridad de la Información 22 Clave Privada Clave criptográfica asimétrica complementaria a la clave publica que utiliza el poseedor para la firma electrónica y el descifrado de datos. Clave Publica Clave criptográfica asimétrica complementaria a la clave privada utilizada para verificar las firmas electrónicas realizadas con la clave privada y para cifrar datos. Código Malicioso (Malware) Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propósito de ser perjudicial. Virus, gusanos, troyanos son algunos ejemplos de código malintencionado. Control En Seguridad informática elemento que sirve para eliminar o mitigar los riesgos asociados a una vulnerabilidad del sistema. Copia de Seguridad Ver Back-up. Cortafuegos Es una barrera o protección física y/o lógica que permite a un sistema salvaguardar su información al acceder o ser accedido desde otras redes, como por ejemplo Internet. Crl LCR Lista de certificados revocados. Lista negra donde se incorporan los números de serie de los certificados que sin haber caducado han perdido su efectividad. Dialers Se trata de un programa que marca un número de tarificación adicional usando el módem. Estos son números tienen un coste superior al de una llamada nacional. Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando pop-ups poco claros) como automáticamente. Además pueden ser programas ejecutables o ActiveX. Firewall Ver cortafuegos. Funciones Resumen (Hash functions) Funciones que trasforman un conjunto, generalmente con un número elevado de elementos (incluso infinitos), en un conjunto de tamaño fijo y mucho más pequeño que el anterior y que lo identifica de forma univoca. Las funciones resumen se utilizan para detectar cambios en datos electrónicos. Haker Persona que entra de forma ilegal y sin el consentimiento del propietario en un sistema informático para obtener información. No conlleva la destrucción de datos ni la instalación de virus. Http (Hypertext Transfer Protocol). Protocolo de Transferencia de Hipertexto. HTTP es un protocolo para distribuir y manejar sistemas de información hipermedia. HTTP ha sido usado por los servidores World Wide Web desde su inicio en 1993. Https Creado por Netscape Communications Corporation para designar documentos que capítulo 7. Glosario 23 llegan desde un servidor Web seguro. Esta seguridad es dada por el protocolo SSL (Secure Socket Layer) basado en la tecnología de encriptación y autenticación desarrollada por RSA Data Security Inc. Integridad Característica que asegura que el mensaje o comunicación que se recibe llega tal y como se envió por el remitente, detectando fácilmente posibles modificaciones que pudieran haberse producido durante la transmisión. Internet Una red mundial, de redes de computadoras. Es una interconexión de redes grandes y chicas alrededor del mundo. Internet empezó en 1962 como una red para los militares llamada ARPANet, para que en sus comunicaciones no existan “puntos de falla”. Con el tiempo fue creciendo hasta convertirse en lo que es hoy en día, una herramienta de comunicación con decenas de miles de redes de computadoras unidas por el protocolo TCP/IP. Sobre esta red se pueden utilizar multiples servicios como por ejemplo emails, WWW, etc. que usen TCP/IP. Java Lenguaje de programación desarrollado por Sun Microsystems y su principal objetivo fue crear un lenguaje que fuera capaz de ser ejecutado de una forma segura a través de Internet. Java no puede acceder arbitrariamente a direcciones de memoria y es un lenguaje compilado en un código llamado “byte-code”. Este código es interpretado "en vuelo" por el intérprete Java instalado en la máquina. Login Clave de acceso que se le asigna a un usuario con el propósito de que pueda utilizar los recursos de un ordenador. Macro Una macro es una secuencia de operaciones o instrucciones que definimos para que un programa (por ejemplo, Word, Excel, o Access) realice de forma automática y secuencial. MD5 Algoritmo de función resumen unívoco de 128 bits desarrollado por RSA Data Security, Inc. OCSP (Online Certificate Status Protocol). Protocolo de acceso a un servicio que nos ofrece información en tiempo real sobre el estado de un certificado digital. Password (Contraseña). Una contraseña o clave, es una forma de autenticación que utiliza una información secreta para controlar el acceso hacia algún recurso. Fishing, Phishing Se utiliza el término "phishing" para referirse a todo tipo de prácticas utilizadas para obtener información confidencial (como números de cuentas, de tarjetas de crédito, contraseñas, etc.). Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a PIN >> Seguridad de la Información 24 un recurso. PSC Persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica. RFID RFID (Radio Frequency Identification) es un sistema inalámbrico utilizado para identificar etiquetas. Estas etiquetas pueden ser transportados por las personas o montado sobre un objeto (tarjeta) o vehículos. Riesgo Estimación del grado de exposición para que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. RIPEMD (acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996 Sello de Tiempo Un sello de tiempo es un documento electrónico que nos indica la fecha y la hora en que se ha producido una información electrónica. El sello, está matemáticamente vinculado al documento electrónico sellado. El sello se produce utilizando una fuente de tiempo fiable de fecha y hora. SHA-1 Algoritmo de función resumen, normalizado en 1993. Está concebido para su uso junto con el estándar federal de firma digital. El SHA es similar en su forma de operación al MD-5, pero produce un resumen, de 160 bits, más largo que el éste y que el de cualquier otro algoritmo de autenticación de los usados con anterioridad. Sistema Biométrico Procedimiento de autenticación basado en la medición de alguna característica física o biológica de una persona. Smart Card Smart Card: Tarjeta plástica con un circuito integrado (chip), accesible eléctricamente usando contactos de cobre. Smart Card Logon Sistema de autenticación a una aplicación basada en tarjeta criptográfica. SPAM Correo basura, el cual llega a nuestras casillas de correo sin que nosotros lo hayamos solicitado. Spyware Se denomina a los archivos o aplicaciones de software que son instalados en los sistemas, algunas veces sin conocimiento u autorización de los usuarios. Estos programas recogen una vez instalados la información del sistema infectado. (Secure Socket Layer). Es un protocolo desarrollado por Netscape Communications Corporation para dar seguridad a la transmisión de datos en transacciones comer- SSL capítulo 7. Glosario 25 ciales en Internet. Utilizando la criptografía de llave pública, SSL provee autentificación del servidor, encriptar de datos, e integridad de los datos en las comunicaciones cliente/servidor. TSA (Time Stamp Authority) Autoridad de Sellado de Tiempo. Es un servicio que consiste en la validación de una operación estampando día y hora firmando electrónicamente la transacción como acreditación de la intervención realizada. TSL Ver SSL USB (Universal Serial Bus, Bus serie universal). Interfaz plug-and-play entre un ordenador y dispositivos periféricos (escáneres, impresoras, etc.). Virus Los virus son programas que se instalan en el ordenador, normalmente de forma oculta al propietario, con fines maliciosos (por ejemplo, destruir archivos, o el disco, propagarse a otros ordenadores o provocar un mal funcionamiento del ordenador). VPN (Virtual Private Network). Red privada construida sobre una red pública, y aún así proporcionando privacidad y/o autenticación a los usuarios de dicha red. Los equipos de la red privada utilizan encriptación para comunicarse con otros equipos, pero la encriptación excluye a los equipos del exterior de la red privada. WEP Protocolo que proporciona seguridad al cifrar los datos que se envían por ondas de radio desde un dispositivo inalámbrico a otro. WEP codifica los datos que se envían por la red, de manera que los datos son ininteligibles para los demás. Una clave WEP o de encriptación, es una secuencia de caracteres alfanuméricos o dígitos hexadecimales. Una clave WEP tiene 64 o 128 bits. WIFI Wireless Fidelity (o Fidelidad Inalámbrica). Se refiere a un conjunto de estándares para redes inalámbricas. Se creó para redes locales inalámbricas, pero en la actualidad también se emplea para acceder a Internet. Wireless Conexiones sin cables vía radiofrecuencia. >> Seguridad de la Información Depósito Legal: M-54817-2008