Boletín electrónico / Número 15 - Septiembre, 2005

English Version

¿Qué es la seguridad informática?

Una posible definición de seguridad informática es:

La seguridad de la información es un conjunto de procesos, procedimientos, tareas y actividades implementados conjuntamente con elementos de computación y telecomunicaciones para controlar y proteger contra amenazas que pongan en riesgo los recursos informáticos (información, equipos, etc.) ubicados en un sitio específico, durante su estadía en un medio de almacenamiento o durante su transmisión, en sus aspectos de  integridad, disponibilidad, confidencialidad y autenticidad.[1]

 De esta definición es importante resaltar lo siguiente:

  • Conjunto de procesos, procedimientos, tareas y actividades, lo cual indica que la seguridad es un sistema complejo y que implica el engranaje de muchas piezas.

  • Implementados con elementos de cómputo y telecomunicaciones, es muy importante el apoyo tecnológico pero no es lo único. Muchas organizaciones o personas dentro de las organizaciones creen que con el simple hecho de comprar una herramienta tecnológica de apoyo a la seguridad es suficiente para tener seguridad. Por ejemplo, compran un firewall o un software de antivirus y creen que con esto ya tienen seguras sus redes, pero si no configuran el firewall o el software de antivirus y no se tiene procedimientos de revisión de dichos elementos, políticas de seguridad, tareas periódicas de actualización, etc., ni el firewall ni el antivirus apoyarán la seguridad de los recursos informáticos.

  • Que pongan en riesgo los recursos informáticos, actualmente, lo más importante para una organización es la información y por eso la seguridad informática ha tomado tanto auge, pero no es lo único a proteger; los recursos físicos de computo como servidores, computadores, impresoras, etc. y por supuesto el recurso humano. De todos estos “recursos”  debe preocuparse la seguridad informática.

  • Más adelante se darán definiciones claras de integridad, disponibilidad, confidencialidad y autenticidad.

¿Por qué la seguridad informática ahora es tan importante?

Entendido ya lo que es la seguridad informática, es relevante hacer énfasis sobre su importancia actual para lo cual hablaremos un poco sobre la historia y evolución de la misma.

Cuando nace la informática, los computadores y su fuerte utilización en las empresas siempre se contaba con un mainframe en un centro de cómputo, el cual era administrado por expertos que eran los únicos que tenían acceso a él. Allí la seguridad consistía básicamente garantizar que los expertos fueran de confianza y que el lugar en donde estaba el computador tuviera las condiciones correctas de ambiente y acceso físico.

Luego de esta primera etapa aparecen las terminales “brutas”, las cuales son una simple extensión de la pantalla del servidor (inicialmente muy cerca del mainframe y luego hasta a varios kilómetros de distancia usando líneas de comunicaciones) y permitían que más de una persona hiciera uso del mismo. En este esquema, la seguridad, además de incluir el ambiente y acceso al mainframe, estaba relacionada con las personas que podían usar las terminales, que generalmente era un pequeño grupo selecto de personas, y a garantizar que el mainframe tuviera la capacidad de permitir el trabajo multiusuario pero todavía sin tratar problemas complejos de autenticación de usuarios y permisos de uso de recursos

En una siguiente etapa aparecen los computadores personales y la capacidad de almacenar datos en computadores cliente y allí se comienza a complicar un poco el tema de la seguridad pues ya los recursos informáticos (información, computadores, etc.) no están en un sitio cerrado, fácil de custodiar y controlar sino que están distribuidos por toda la oficina y son usados por muchas mas personas.

Posteriormente, aparecen las Redes de Área Local – LAN en donde los computadores se interconectan entre si y con los servidores,  permitiendo la movilidad de información de un lugar a otro de una manera fácil y sencilla y el tema de seguridad se vuelve muy relevante pues cualquier persona que tenga acceso a un computador de la red, potencialmente podría obtener información de otros computadores o de un servidor o potencialmente podría enviar a través de la red virus o software del estilo que comprometería la disponibilidad de los servicios y datos que se encuentren almacenados tanto en computadores como en servidores

Y finalmente, con la aparición de las redes WAN y en particular con Internet y la actual filosofía de interconexión en donde ya no importa en donde se este o que sistema se tenga, es posible acceder a otros computadores y servidores. Esta nueva filosofía tiene grandes ventajas, las cuales son conocidas por todos, pero también genera mayores inconvenientes o mas bien retos en cuanto a seguridad de los recursos informáticos, ahora es posible recibir ataques (intentos de acceso ilegales, denegaciones de servicio, virus, etc.) desde dentro de las organizaciones pero también desde cualquier lugar del mundo.

Ahora bien,  también es importante tener en cuenta la evolución en el uso de los computadores pues este ha cambiando desde sus inicios hasta ahora. Antes solo se usaban los computadores para aplicaciones muy particulares y específicas pero en la actualidad se usa para casi toda actividad y gracias a la interconexión hay gran variedad de datos viajando y siendo accedidos desde cualquier parte. Un ejemplo particular y tal vez de gran sensibilidad es la evolución de los bancos y el manejo del dinero, al principio todo debía hacerse a través de las oficinas del banco o mas atrás en la sucursal en donde se tenía la cuenta, pero actualmente toda la banca esta a la distancia de un clic  y es posible realizar cualquier tipo de transacción a través de los computadores y las redes.

Finalmente, también han cambiado las personas, antes solo unos pocos entendían y manejaban computadores, lo cual no es cierto ahora, es mas, ahora tenemos el problema adicional de que algunos pocos saben como violar la seguridad de un sistema en particular pero ellos publican un manual paso a paso de la forma de realizar las violaciones y ya no se necesita ser un experto para violar un sistema sino seguir las instrucciones de otro.

Por esta evolución es que podría justificarse la actual preocupación, cada vez más creciente, en el tema de seguridad informática ya que la protección de la información y de los recursos informáticos en general es un asunto más complejo de tratar y se requieren un trato mucho más cuidadoso y formal. Al punto de generarse proyectos completos de seguridad informática, especialidades en áreas particulares de la seguridad, empresas dedicadas a este tipo de actividades y cargos dentro de las empresas dedicadas al tema.

Tres tiempos para la seguridad

En seguridad informática, se pueden pensar en tres momentos diferentes para realizarla, los cuales no son excluyentes sino más bien complementarios y algunas veces dependientes de los recursos que la organización destine para el tema de protección y disponibilidad de la información y en general de los recursos informáticos, ellos son:

Prevenir

Consiste en evitar que un ataque tenga éxito, a esta categoría pertenecen todas las acciones que se realicen en la organización tendientes a no permitir que ocurra un incidente de seguridad. Ejemplo de esto son los mecanismos de autenticación de usuarios ante un sistema, estos mecanismos pretender evitar que accedan al sistema usuarios no permitidos mediante el uso de técnicas de usuario/clave, biométrico, tarjetas inteligentes, etc.

Detectar:

Ahora, cuando “no es posible o no se desea” prevenir un ataque, es posible que lo que se busque sea darse cuenta de que está recibiendo un ataque durante el mismo momento en el que se está presentado, en este caso lo que se desea es detectar el ataque para así tomar acciones al respecto. Ejemplo de esto son los bloqueos de cuenta de usuario cuando se han realizado intentos ilegales de acceso, digamos 3 intentos errados,  después de este número de intentos se bloquea la cuenta porque se presume  que hay un atacante que está tratando de acceder al sistema.

Una precisión que se puede hacer respeto a la primera frase del párrafo anterior es que no siempre es posible prevenir un ataque, sino que se debe esperar a que este suceda para tomar acciones al respecto o también se puede dar el caso en el que las herramientas de detección para un ataque o tipo de ataque en particular son muy costosas y la organización decide que solo se tomará acción sobre el hecho cuando este ocurra y no de manera preventiva.

Recuperar:

La tercera y última alternativa es recuperar, en este caso, ya se ha realizado el ataque y éste es ha terminado posiblemente. Ahora lo que se debe realizar es una revisión de lo que aconteció y tratar de poner en producción nuevamente todos los sistemas afectados, para lo cual se cuenta con dos alternativas:

  •  Parar el ataque (evitar que continúe)  y entrar a reparar cualquier daño causado por el ataque

  •  Continuar la operación normal e ir “defendiéndose” del ataque.

Requerimientos de seguridad

Los requerimientos básicos de seguridad son disponibilidad, integridad, confidencialidad o privacidad y autenticidad. A continuación se dará una pequeña definición de ellos

  • Disponibilidad: Es la garantía de que la información será accesible por los usuarios a los servicios de la red según su “perfil” en el momento requerido y sin “degradaciones”. (perfil: depende de que requieren para su desempeño laboral en la empresa)

  • Integridad: Tiene que ver con la protección que se da a los activos informáticos para que solo puedan ser modificados por las personas autorizadas: Escritura, Cambio de información, cambio de estatus, borrado y creación. Es diferente para cada empresa.

  • Confidencialidad o Privacidad: “Propiedad o requerimiento de la seguridad que exige que la información sea accedida por cada usuario con base en  lo que debe ver en razón a su área del negocio”[2].

  • Autenticidad: Propiedad fundamental de la información de ser confrontada en cualquier momento de su ciclo de vida contra su origen real (Verdadero/falso). Especialmente importante en sistemas económicos (banca, comercio electrónico, bolsa de valores, apuestas, etc.)[3]

 Otros requerimientos de seguridad son:

  • No repudio: Conocer exactamente quienes son los actores que participan en una transacción o una comunicación y no puedan negarlo en ningún momento. Ejemplo: Realizar un retiro de la cuenta de ahorros desde Internet o un cajero electrónico y luego negar que lo hizo

  • Consistencia: Este es un requerimiento que típicamente se solicita a las aplicaciones (aunque no son las únicas) y consiste en que siempre se comporten igual; es decir que una aplicación siempre tenga el mismo comportamiento ante un mismo evento específico y no que algunas veces cuando se presente el evento específico se comporte de una manera y otras veces, ante el mismo evento, se comporte de otra manera.

  • Registro: Este requerimiento se refiera a que toda acción dentro de un sistema informático (aplicaciones, redes, computadores, etc.) deje un rastro escrito, es decir que se pueda saber lo que se hace dentro del sistema y quién lo hace.

 Roles de seguridad

Dentro de la seguridad informática se encuentran básicamente cinco roles de seguridad a saber:

  • Administrador de seguridad: Es la persona encargada dentro de una organización de analizar, diseñar, desarrollar, implantar, probar y mejorar los mecanismos de seguridad que se requieren para proteger los activos informáticos de dicha organización. Es el responsable de que la seguridad sea efectiva y de realizar permanentemente revisiones de la misma en pro de su mejoramiento continuo. El trabajo que realiza en algunas ocasiones  lo hace con el apoyo de consultores o asesores de apoyo y con un grupo de expertos en seguridad a su cargo dentro de la organización

  • Auditor, asesor, consultor: Son generalmente personas externas a la organización que realizan revisiones a la seguridad implantada  y realizan recomendaciones para su mejoramiento. Son personas de apoyo para el administrador de seguridad porque le pueden dar consejos de implantaciones de seguridad, hacerlo caer en la cuenta de falencias de seguridad y apoyarlo en nuevos diseños e implantaciones al respecto

  • Forense: Son expertos que se encargan de realizar análisis de siniestros de seguridad ocurridos dentro de la organización para determinar lo que paso y quién lo hizo,  y si es el caso, aportar en procesos penales contra los atacantes

  • Atacante: Son las personas que buscan tener acceso ilegal a los activos informáticos de una organización. En este rol se pueden distinguir tres tipos:

    • Hacker: Son personas expertas en sistemas que saben de seguridad que lo que buscan es tener acceso a recursos informáticos generalmente con el fin de demostrarse a si mismo  y a otros que lo pudieron hacer y conseguir prestigio como expertos en seguridad.

    • Cracker: Son igualmente personas expertas en sistemas y que saben de seguridad y buscan tener acceso a los recursos informáticos con el objetivo de hacer daño a las organizaciones y obtener algún tipo de recompensa, por ejemplo robar datos de una empresa para vendérsela a la competencia, desprestigiar a la organización, robar dinero, etc.

    • Lamers: Esta es una nueva categoría, se trata de personas que no saben mucho de los sistemas de seguridad y se dedican a utilizar herramientas o aplicaciones desarrolladas por otros (hackers o crackers) para hacer daño a las organizaciones. Los lamers no saben de la técnica que hay detrás de un ataque o un mecanismo de violación de un sistema, solo siguen instrucciones respecto al uso de algunas herramientas y realizan fechorías con esto. Este tipo de atacantes puede hacerlo por el simple placer de hacerlo o con ánimo de obtener alguna retribución por sus acciones

 

Ingeniera Claudia Santiago C.
Centro de Estudios de Telemática
Escuela Colombiana de Ingeniería
Julio Garavito
 


[1]  Adaptación material de clase Ing. Jaime Rubio. Seguridad en redes de computadores. Diplomado en Telemática y Negocios por Internet - Escuela Colombiana de ingeniería. 1999.

[2] Idem

[3] Idem


 

Información adicional: Este documento es parte del material del curso a distancia de "Seguridad de redes" que se realizará a través del Centro Regional de Capacitación y nodo del Centro de Excelencia de la UIT: Escuela Colombiana de Ingeniería del 7 de noviembre al 9 de diciembre de 2005. CITEL/OEA ofrece 30 becas completas de la tasa de inscripción de US$ 160. El plazo máximo para presentar las aplicaciones en Washington, DC, Estados Unidos de América, es el 21 de octubre de 2005. Estas becas están sujetas a la disponibilidad de los fondos correspondientes del presupuesto regular de la OEA para el año 2005.

 


© Derechos Reservados 2005. Comisión Interamericana de Telecomunicaciones
Organización de los Estados Americanos.
1889 F St., N.W., Washington, D.C. 20006 - Estados Unidos
Tel. (202)458-3004 | Fax. (202) 458-6854 | citel@oas.org | http://citel.oas.org

Para cancelar la subscripción ir al siguiente link citel@oas.org