Una posible definición de seguridad informática
es:
La seguridad de la información es un conjunto de
procesos, procedimientos, tareas y actividades implementados
conjuntamente con elementos de computación y telecomunicaciones para
controlar y proteger contra amenazas que pongan en riesgo los recursos
informáticos (información, equipos, etc.) ubicados en un sitio
específico, durante su estadía en un medio de almacenamiento o durante
su transmisión, en sus aspectos de integridad, disponibilidad,
confidencialidad y autenticidad.[1]
De esta definición es importante resaltar lo
siguiente:
-
Conjunto de procesos, procedimientos, tareas
y actividades, lo cual indica que la seguridad es un sistema
complejo y que implica el engranaje de muchas piezas.
-
Implementados con elementos de cómputo y
telecomunicaciones, es muy importante el apoyo tecnológico pero
no es lo único. Muchas organizaciones o personas dentro de las
organizaciones creen que con el simple hecho de comprar una
herramienta tecnológica de apoyo a la seguridad es suficiente para
tener seguridad. Por ejemplo, compran un firewall o un
software de antivirus y creen que con esto ya tienen seguras sus
redes, pero si no configuran el firewall o el software
de antivirus y no se tiene procedimientos de revisión de dichos
elementos, políticas de seguridad, tareas periódicas de
actualización, etc., ni el firewall ni el antivirus apoyarán
la seguridad de los recursos informáticos.
-
Que pongan en riesgo los recursos
informáticos, actualmente, lo más importante para una
organización es la información y por eso la seguridad informática ha
tomado tanto auge, pero no es lo único a proteger; los recursos
físicos de computo como servidores, computadores, impresoras, etc. y
por supuesto el recurso humano. De todos estos “recursos” debe
preocuparse la seguridad informática.
-
Más adelante se darán definiciones claras de
integridad, disponibilidad, confidencialidad y autenticidad.
¿Por qué la seguridad informática ahora es tan
importante?
Entendido ya lo que es la seguridad informática,
es relevante hacer énfasis sobre su importancia actual para lo cual
hablaremos un poco sobre la historia y evolución de la misma.
Cuando nace la informática, los computadores y su
fuerte utilización en las empresas siempre se contaba con un
mainframe en un centro de cómputo, el cual era administrado por
expertos que eran los únicos que tenían acceso a él. Allí la seguridad
consistía básicamente garantizar que los expertos fueran de confianza
y que el lugar en donde estaba el computador tuviera las condiciones
correctas de ambiente y acceso físico.
Luego de esta primera etapa aparecen las
terminales “brutas”, las cuales son una simple extensión de la
pantalla del servidor (inicialmente muy cerca del mainframe y
luego hasta a varios kilómetros de distancia usando líneas de
comunicaciones) y permitían que más de una persona hiciera uso del
mismo. En este esquema, la seguridad, además de incluir el ambiente y
acceso al mainframe, estaba relacionada con las personas que
podían usar las terminales, que generalmente era un pequeño grupo
selecto de personas, y a garantizar que el mainframe tuviera la
capacidad de permitir el trabajo multiusuario pero todavía sin tratar
problemas complejos de autenticación de usuarios y permisos de uso de
recursos
En una siguiente etapa aparecen los computadores
personales y la capacidad de almacenar datos en computadores cliente y
allí se comienza a complicar un poco el tema de la seguridad pues ya
los recursos informáticos (información, computadores, etc.) no están
en un sitio cerrado, fácil de custodiar y controlar sino que están
distribuidos por toda la oficina y son usados por muchas mas personas.
Posteriormente, aparecen las Redes de Área Local
– LAN en donde los computadores se interconectan entre si y con los
servidores, permitiendo la movilidad de información de un lugar a
otro de una manera fácil y sencilla y el tema de seguridad se vuelve
muy relevante pues cualquier persona que tenga acceso a un computador
de la red, potencialmente podría obtener información de otros
computadores o de un servidor o potencialmente podría enviar a través
de la red virus o software del estilo que comprometería la
disponibilidad de los servicios y datos que se encuentren almacenados
tanto en computadores como en servidores
Y finalmente, con la aparición de las redes WAN y
en particular con Internet y la actual filosofía de interconexión en
donde ya no importa en donde se este o que sistema se tenga, es
posible acceder a otros computadores y servidores. Esta nueva
filosofía tiene grandes ventajas, las cuales son conocidas por todos,
pero también genera mayores inconvenientes o mas bien retos en cuanto
a seguridad de los recursos informáticos, ahora es posible recibir
ataques (intentos de acceso ilegales, denegaciones de servicio, virus,
etc.) desde dentro de las organizaciones pero también desde cualquier
lugar del mundo.
Ahora bien, también es importante tener en
cuenta la evolución en el uso de los computadores pues este ha
cambiando desde sus inicios hasta ahora. Antes solo se usaban los
computadores para aplicaciones muy particulares y específicas pero en
la actualidad se usa para casi toda actividad y gracias a la
interconexión hay gran variedad de datos viajando y siendo accedidos
desde cualquier parte. Un ejemplo particular y tal vez de gran
sensibilidad es la evolución de los bancos y el manejo del dinero, al
principio todo debía hacerse a través de las oficinas del banco o mas
atrás en la sucursal en donde se tenía la cuenta, pero actualmente
toda la banca esta a la distancia de un clic y es posible realizar
cualquier tipo de transacción a través de los computadores y las
redes.
Finalmente, también han cambiado las personas,
antes solo unos pocos entendían y manejaban computadores, lo cual no
es cierto ahora, es mas, ahora tenemos el problema adicional de que
algunos pocos saben como violar la seguridad de un sistema en
particular pero ellos publican un manual paso a paso de la forma de
realizar las violaciones y ya no se necesita ser un experto para
violar un sistema sino seguir las instrucciones de otro.
Por esta evolución es que podría justificarse la
actual preocupación, cada vez más creciente, en el tema de seguridad
informática ya que la protección de la información y de los recursos
informáticos en general es un asunto más complejo de tratar y se
requieren un trato mucho más cuidadoso y formal. Al punto de generarse
proyectos completos de seguridad informática, especialidades en áreas
particulares de la seguridad, empresas dedicadas a este tipo de
actividades y cargos dentro de las empresas dedicadas al tema.
Tres tiempos para la seguridad
En seguridad informática, se pueden pensar en
tres momentos diferentes para realizarla, los cuales no son
excluyentes sino más bien complementarios y algunas veces dependientes
de los recursos que la organización destine para el tema de protección
y disponibilidad de la información y en general de los recursos
informáticos, ellos son:
Prevenir
Consiste en evitar que un ataque tenga éxito, a
esta categoría pertenecen todas las acciones que se realicen en la
organización tendientes a no permitir que ocurra un incidente de
seguridad. Ejemplo de esto son los mecanismos de autenticación de
usuarios ante un sistema, estos mecanismos pretender evitar que
accedan al sistema usuarios no permitidos mediante el uso de técnicas
de usuario/clave, biométrico, tarjetas inteligentes, etc.
Detectar:
Ahora, cuando “no es posible o no se desea”
prevenir un ataque, es posible que lo que se busque sea darse cuenta
de que está recibiendo un ataque durante el mismo momento en el que se
está presentado, en este caso lo que se desea es detectar el ataque
para así tomar acciones al respecto. Ejemplo de esto son los bloqueos
de cuenta de usuario cuando se han realizado intentos ilegales de
acceso, digamos 3 intentos errados, después de este número de
intentos se bloquea la cuenta porque se presume que hay un atacante
que está tratando de acceder al sistema.
Una precisión que se puede hacer respeto a la
primera frase del párrafo anterior es que no siempre es posible
prevenir un ataque, sino que se debe esperar a que este suceda para
tomar acciones al respecto o también se puede dar el caso en el que
las herramientas de detección para un ataque o tipo de ataque en
particular son muy costosas y la organización decide que solo se
tomará acción sobre el hecho cuando este ocurra y no de manera
preventiva.
Recuperar:
La tercera y última alternativa es recuperar, en
este caso, ya se ha realizado el ataque y éste es ha terminado
posiblemente. Ahora lo que se debe realizar es una revisión de lo que
aconteció y tratar de poner en producción nuevamente todos los
sistemas afectados, para lo cual se cuenta con dos alternativas:
Requerimientos de seguridad
Los requerimientos básicos de seguridad son
disponibilidad, integridad, confidencialidad o privacidad y
autenticidad. A continuación se dará una pequeña definición de ellos
-
Disponibilidad: Es la garantía de
que la información será accesible por los usuarios a los servicios
de la red según su “perfil” en el momento requerido y sin
“degradaciones”. (perfil: depende de que requieren para su desempeño
laboral en la empresa)
-
Integridad: Tiene que ver con la
protección que se da a los activos informáticos para que solo puedan
ser modificados por las personas autorizadas: Escritura, Cambio de
información, cambio de estatus, borrado y creación. Es diferente
para cada empresa.
-
Confidencialidad o Privacidad:
“Propiedad o requerimiento de la seguridad que exige que la
información sea accedida por cada usuario con base en lo que debe
ver en razón a su área del negocio”[2].
-
Autenticidad: Propiedad
fundamental de la información de ser confrontada en cualquier
momento de su ciclo de vida contra su origen real (Verdadero/falso).
Especialmente importante en sistemas económicos (banca, comercio
electrónico, bolsa de valores, apuestas, etc.)[3]
Otros requerimientos de seguridad son:
-
No repudio: Conocer exactamente
quienes son los actores que participan en una transacción o una
comunicación y no puedan negarlo en ningún momento. Ejemplo:
Realizar un retiro de la cuenta de ahorros desde Internet o un
cajero electrónico y luego negar que lo hizo
-
Consistencia: Este es un
requerimiento que típicamente se solicita a las aplicaciones (aunque
no son las únicas) y consiste en que siempre se comporten igual; es
decir que una aplicación siempre tenga el mismo comportamiento ante
un mismo evento específico y no que algunas veces cuando se presente
el evento específico se comporte de una manera y otras veces, ante
el mismo evento, se comporte de otra manera.
-
Registro: Este requerimiento se
refiera a que toda acción dentro de un sistema informático
(aplicaciones, redes, computadores, etc.) deje un rastro escrito, es
decir que se pueda saber lo que se hace dentro del sistema y quién
lo hace.
Roles de seguridad
Dentro de la seguridad informática se encuentran
básicamente cinco roles de seguridad a saber:
-
Administrador de seguridad: Es la
persona encargada dentro de una organización de analizar, diseñar,
desarrollar, implantar, probar y mejorar los mecanismos de seguridad
que se requieren para proteger los activos informáticos de dicha
organización. Es el responsable de que la seguridad sea efectiva y
de realizar permanentemente revisiones de la misma en pro de su
mejoramiento continuo. El trabajo que realiza en algunas ocasiones
lo hace con el apoyo de consultores o asesores de apoyo y con un
grupo de expertos en seguridad a su cargo dentro de la organización
-
Auditor, asesor, consultor: Son
generalmente personas externas a la organización que realizan
revisiones a la seguridad implantada y realizan recomendaciones
para su mejoramiento. Son personas de apoyo para el administrador de
seguridad porque le pueden dar consejos de implantaciones de
seguridad, hacerlo caer en la cuenta de falencias de seguridad y
apoyarlo en nuevos diseños e implantaciones al respecto
-
Forense: Son expertos que se
encargan de realizar análisis de siniestros de seguridad ocurridos
dentro de la organización para determinar lo que paso y quién lo
hizo, y si es el caso, aportar en procesos penales contra los
atacantes
-
Atacante: Son las personas que
buscan tener acceso ilegal a los activos informáticos de una
organización. En este rol se pueden distinguir tres tipos:
-
Hacker: Son personas expertas en
sistemas que saben de seguridad que lo que buscan es tener acceso
a recursos informáticos generalmente con el fin de demostrarse a
si mismo y a otros que lo pudieron hacer y conseguir prestigio
como expertos en seguridad.
-
Cracker: Son igualmente personas
expertas en sistemas y que saben de seguridad y buscan tener
acceso a los recursos informáticos con el objetivo de hacer daño a
las organizaciones y obtener algún tipo de recompensa, por ejemplo
robar datos de una empresa para vendérsela a la competencia,
desprestigiar a la organización, robar dinero, etc.
-
Lamers: Esta es una nueva categoría,
se trata de personas que no saben mucho de los sistemas de
seguridad y se dedican a utilizar herramientas o aplicaciones
desarrolladas por otros (hackers o crackers) para
hacer daño a las organizaciones. Los lamers no saben de la
técnica que hay detrás de un ataque o un mecanismo de violación de
un sistema, solo siguen instrucciones respecto al uso de algunas
herramientas y realizan fechorías con esto. Este tipo de atacantes
puede hacerlo por el simple placer de hacerlo o con ánimo de
obtener alguna retribución por sus acciones
Ingeniera Claudia Santiago C.
Centro de Estudios de Telemática
Escuela Colombiana de Ingeniería
Julio Garavito
[1] Adaptación material de clase Ing. Jaime Rubio.
Seguridad en redes de computadores. Diplomado en Telemática y
Negocios por Internet - Escuela Colombiana de ingeniería. 1999.
Información adicional: Este documento es parte del
material del curso a distancia
de "Seguridad de redes" que se realizará a través
del Centro Regional de Capacitación y nodo del Centro de
Excelencia de la UIT: Escuela Colombiana de Ingeniería del
7 de noviembre al 9 de diciembre de 2005. CITEL/OEA
ofrece 30 becas completas de la tasa de inscripción de US$ 160.
El plazo máximo para presentar las aplicaciones en Washington, DC,
Estados Unidos de América, es el 21 de octubre de 2005.
Estas becas están sujetas a la
disponibilidad de los fondos correspondientes del presupuesto
regular de la OEA para el año 2005.
|
|