Академический Документы
Профессиональный Документы
Культура Документы
Actualidad TIC
Seguridad Informtica
Desde la consolidacin de Internet como medio de interconexin global, los incidentes de seguridad relacionados con sistemas informticos vienen incrementndose de manera alarmante. Este hecho, unido a la progresiva dependencia de la mayora de organizaciones hacia sus sistemas de informacin, viene provocando una creciente necesidad de implantar mecanismos de proteccin que reduzcan al mnimo los riesgos asociados a los incidentes de seguridad. En este artculo, vamos a proporcionar una visin general de los aspectos ms relevantes de la seguridad informtica, observando esta disciplina desde un punto de vista estratgico y tctico. Para ello destacaremos la conveniencia de afrontar su anlisis mediante una aproximacin de gestin, concretamente con un enfoque de gestin del riesgo. Para completar esta visin introductoria a la seguridad informtica, mencionaremos las amenazas y las contramedidas ms frecuentes que deberan considerarse en toda organizacin.
En este artculo vamos a dar una visin general a los aspectos ms relevantes de la seguridad informtica, comenzando con una visin de la seguridad como parte integral de la gestin empresarial, continuaremos con la descripcin de las amenazas ms frecuentes que pueden comprometer los sistemas informticos y con la descripcin de las medidas ms efectivas para contrarrestarlas. Por ltimo, finalizaremos mencionando las actividades ms significativas que venimos realizando en el Instituto Tecnolgico de Informtica en materia de seguridad.
Introduccin
La seguridad informtica, de igual forma a como sucede con la seguridad aplicada a otros entornos, trata de minimizar los riesgos asociados al acceso y utilizacin de determinado sistema de forma no autorizada y en general malintencionada. Esta visin de la seguridad informtica implica la necesidad de gestin, fundamentalmente gestin del riesgo. Para ello, se deben evaluar y cuantificar los bienes a proteger, y en funcin de estos anlisis, implantar medidas preventivas y correctivas que eliminen los riegos asociados o que los reduzcan hasta niveles manejables. En general cualquier persona considerara poco razonable contratar a un agente de seguridad en exclusiva para proteger su domicilio. Posiblemente sera una medida de seguridad excelente para evitar accesos no autorizados a nuestro domicilio, sin embargo, muy pocos lo consideraran, simplemente por motivos econmicos. Tras evaluar el valor de los bienes a proteger, lo habitual sera considerar otras medidas ms acordes con el valor de nuestros bienes. Podramos pensar en una puerta blindada, un conserje compartido con otros vecinos o incluso un servicio de vigilancia privada basada en sensores, alarmas y acceso telefnico con una central de seguridad. Combinando estas medidas preventivas con otras correctivas como podra ser una pliza de seguro contra robo, alcanzaramos un nivel de seguridad que podra considerarse adecuado. Muchas veces sin hacerlo de forma explcita, habramos evaluado el valor de nuestros bienes, los riesgos, el coste de las medidas de seguridad disponibles en el mercado y el nivel de proteccin que ofrecen. En seguridad informtica, los principios mostrados con nuestro ejemplo de seguridad en el domicilio son igualmente aplicables. Las nicas diferencias aparecen por las particularidades tcnicas asociadas a los sistemas informticos. La valoracin econmica de los bienes a proteger puede ser muchas veces una tarea compleja, la casustica de los riesgos potenciales muy grande, y la complejidad y diversidad de las medidas de seguridad disponibles dificulta su seleccin. Sin embargo, el fondo sigue siendo el mismo, seguridad implica proteger alguna entidad frente a un conjunto de riesgos y en este caso riesgos relacionados con los sistemas informticos.
Artculos Tcnicos
comprometer la consecucin de los propios objetivos, donde la cuantificacin de los diferentes aspectos, muchas veces econmica, debe ser central.
uso de aplicaciones de gestin que comprometan la integridad de los datos, hasta catstrofes que inutilicen la totalidad de los sistemas. Las prdidas pueden aparecer por la actividad de intrusos externos a la organizacin, por accesos fraudulentos, por accesos no autorizados, por el uso errneo de los sistemas por parte de empleados propios, o por la aparicin de eventualidades en general destructivas. Los efectos de las diversas amenazas puedes ser muy variados. Unos pueden comprometer la integridad de la informacin o de los sistemas, otros pueden degradar la disponibilidad de los servicios y otros pueden estar relacionados con la confidencialidad de la informacin. En cualquier caso una correcta gestin de los riesgos debe implicar un profundo conocimiento de las vulnerabilidades de los sistemas y de las amenazas que los pueden explotar. Las propias caractersticas de las organizaciones deben influir en las medidas de seguridad que resulten ms adecuadas y ms eficientes en trminos de costes, para contrarrestar las amenazas o incluso para tolerarlas conociendo en todo caso sus implicaciones. A continuacin vamos a mostrar las amenazas ms frecuentes que deberan ser tenidas en cuenta por toda organizacin como fuentes potenciales de prdidas. Conviene destacar que la importancia de una u otra amenaza vara de forma significativa entre organizaciones distintas y que debera hacerse un estudio individualizado de sus repercusiones concretas y de la probabilidad de su aparicin.
1. Errores y omisiones
Los errores de los empleados al utilizar los sistemas pueden comprometer la integridad de la informacin que maneja la organizacin. Ni siquiera las aplicaciones ms sofisticadas estn libres de este tipo de problemas, que pueden reducirse con refuerzos en controles de integridad de los datos y con un adiestramiento adecuado del personal. Muchas veces, simples errores pueden comprometer no nicamente la integridad de los datos, sino incluso puede que causen la aparicin de nuevas vulnerabilidades en los sistemas. Este tipo de amenazas es si cabe ms relevante en las empresas que se dedican al sector de las nuevas tecnologas, desarrollando e implantando sistemas, muchas veces interconectados entre diversas organizaciones. Un simple error de programacin, en la administracin, o la carencia de la formacin necesaria para evaluar las implicaciones de seguridad de determinada aproximacin de desarrollo, puede causar vulnerabilidades que afecten no nicamente a las organizaciones usuarias de los sistemas, sino tambin a las propias empresas que los desarrollan que se podran ver muy perjudicadas en su imagen corporativa.
2. Intrusiones
Bajo esta amenaza se incluyen tanto actividades claramente fraudulentas, como meras intrusiones efectuadas por determinados individuos con el nico fin de probar sus habilidades o incluso actos de sabotaje, terrorismo informtico o espionaje industrial. Las actividades fraudulentas, incluido el robo, puede que sean las ms preocupantes para muchas organizaciones, sobre todo para aquellas que tengan bienes de elevado valor, gestionados mediante sistemas informticos. Ejemplos de este tipo de organizaciones pueden ser las entidades financieras, los organismos pblicos que generen acreditaciones oficiales o incluso empresas de distribucin o comercio electrnico, donde los sistemas informticos pueden ser
Amenazas
Los sistemas informticos son vulnerables a multitud de amenazas que pueden ocasionar daos que resulten en prdidas significativas. Los daos pueden variar desde simples errores en el
Actualidad TIC
propia naturaleza, tormentas elctricas o actividades reivindicativas descontroladas de determinados colectivos.
susceptibles de alteracin malintencionada con objeto de obtener provecho econmico. Los autores de las intrusiones pueden ser tanto externos a la propia organizacin, como internos. Es reseable destacar que muchos estudios sobre fraudes y robos mediante tecnologas de la informacin coinciden en sealar que la mayora de las actividades fraudulentas son realizadas por personal vinculado a la propia organizacin. Pueden ser empleados con acceso a sistemas o informacin no controlada, antiguos empleados con conocimientos tanto de los sistemas como de las medidas de seguridad internas o personas vinculadas en cierta forma con la organizacin y que gozan de determinados privilegios que muchas veces se esconden bajo aparentes relaciones cordiales con la propia empresa. En muchos casos las intrusiones generan importantes daos econmicos, pero en todos los casos causan una importante sensacin de desproteccin en toda la organizacin, que se agrava si no es posible identificar a los autores de las intrusiones, las tcnicas empleadas para cometerlas o los objetivos que persiguen. La creciente importancia de las intrusiones maliciosas en los sistemas informticos la podemos encontrar reflejada en el siguiente
90000 80000 70000 60000 50000 40000 30000 20000 10000 0 6 2573 2134 3734 132 252 406 773 1334 2340 2412 21756 9859
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002
4. Lgica maliciosa
Entre estas amenazas encontramos los virus, los gusanos, los caballos de Troya y las bombas lgicas. Aun existiendo diferencias tcnicas entre ellas, el nexo comn a todas estas amenazas consiste en que se trata de software creado en general para causar dao. Los costes asociados a su aparicin pueden ser significativos y varan en funcin de la virulencia de sus acciones. Pueden suponer simplemente prdidas debidas a la dedicacin de personal y recursos a su eliminacin o prdidas mucho mayores si resultan afectados, corrompidos o destruidos sistemas crticos para la organizacin.
Medidas de Seguridad
Existe un gran abanico de medidas de seguridad que pueden reducir el riesgo de prdidas debidas a la aparicin de incidentes en los sistemas informticos. Muchas veces al hablar de medidas de seguridad, solo se mencionan las meramente tcnicas, como cortafuegos, antivirus o sistemas de copias de respaldo. Sin embargo, las medidas ms efectivas suelen ser las medidas de gestin planteadas a medio y largo plazo desde un punto de vista estratgico y tctico. A continuacin mencionaremos brevemente las medidas y sistemas de seguridad ms frecuentes agrupndolas bajo dos aspectos. Medidas de gestin y medidas tcnicas. Las primeras deben ser implantadas por los gestores de las organizaciones como parte de los planes estratgicos y tcticos, mientras que las segundas se corresponden con herramientas y sistemas tcnicos diseados para evitar, controlar o recuperar los daos que pueden sufrir los sistemas por la aparicin de determinadas amenazas de seguridad.
Figura 1: Evolucin de las incidencias intervenidas por el CERT/CC (fuente: www.cert.org). grfico, donde se puede observar el alarmante incremento de incidentes de seguridad ocurrido en los ltimos aos. Concretamente el grfico muestra el nmero de incidentes ocasionados por intrusiones, y comunicados al CERT, un organismo de reconocido prestigio internacional dedicado a la prevencin y anlisis de los incidentes de seguridad aparecidos en Internet. Conviene destacar que las cifras nicamente muestran los datos comunicados al CERT, y que vienen a representar a las intrusiones efectuadas por parte de individuos externos a las propias organizaciones. Los datos se refieren a todo el mundo, sin embargo tambin destacamos que las cifras provienen mayoritariamente de grandes empresas, asentadas fundamentalmente en los Estados Unidos, Europa y Japn. Sin embargo, pese a lo parcial de las cifras, no deja de resultar ilustrativa la curva de crecimiento y las magnitudes de los incidentes constatados.
3. Accidentes y desastres
Eventualidades tan cotidianas como la simple rotura de una caera, la prdida de fluido elctrico o la rotura de equipos o mecanismos de comunicaciones pueden tener efectos claramente negativos sobre los sistemas de informacin. Debe incluso contemplarse la posibilidad de aparicin de eventos ms graves, como incendios, atentados terroristas, inundaciones causadas por la
1. Medidas de gestin
Los gestores de toda organizacin deberan contemplar la seguridad informtica como parte integral de las estrategias y tcticas corporativas. Una vez plasmada la importancia de los sistemas para la consecucin de los propios objetivos y los riesgos que puede suponer para la empresa la prdida de integridad de su informacin, la indisponibilidad de sus sistemas o la violacin de la confidencialidad
Artculos Tcnicos
de su informacin, pueden plantearse con mayor rigor el resto de medidas encaminadas a servir a los objetivos empresariales. Emanando de la vertiente estratgica de la informacin y de los sistemas corporativos, suelen generarse dos herramientas de gestin no menos importantes: las polticas de seguridad y el plan de contingencia. Las polticas de seguridad de una organizacin son las normas y procedimientos internos que deben seguir los integrantes de la organizacin para respetar los requerimientos de seguridad que deseen preservarse. Debe describirse la criticidad de los sistemas y de la informacin, los roles de cada puesto de trabajo y la mecnica de acceso a los sistemas, herramientas, documentacin y cualquier otra componente del sistema de informacin. Resulta frecuente desglosar las polticas de seguridad en procedimientos detallados para cada componente del sistema de forma individualizada, as por ejemplo, pueden crearse documentos que describan las polticas de tratamiento de correos electrnicos, polticas de uso de Internet, de copias de respaldo, de tratamiento de virus y otra lgica maliciosa, polticas formativas en materia de seguridad para la plantilla, etc. Conviene destacar que las polticas de seguridad deben emanar de la estrategia corporativa y que se trata de documentos que deberan conocer todos los integrantes de la plantilla. Por su parte, el plan de contingencia describe los procedimientos que deben seguirse ante la aparicin de eventualidades significativas que puedan suponer graves consecuencias para la organizacin. Debe detallarse los pasos a seguir, por ejemplo en caso de destruccin total de los sistemas por inundacin, fuego, etc. Muchas veces la simple elaboracin del plan descubre defectos en los sistemas que pueden ser paliados con relativa facilidad. Por ejemplo puede descubrirse que no se mantienen copias de respaldo de informacin crucial para la empresa en lugares fsicamente seguros, o al menos en lugares distantes a la ubicacin de los sistemas susceptibles de daos.
sistemas de autenticacin biomtricos basados en el reconocimiento mecanizado de caractersticas fsicas de las personas. Por ltimo, todo esquema de seguridad debe contemplar en una u otra medida el cifrado de informacin sensible. A veces puede ser suficiente el cifrado de las contraseas, mientras que en otras resulta imprescindible el cifrado de las comunicaciones y de las bases de datos. Como medidas ms avanzadas, podemos mencionar la esteganografa, la deteccin de vulnerabilidades y la deteccin de intrusos. Las tcnicas esteganogrficas tratan de ocultar informacin. A diferencia de la criptografa, que trata de hacer indescifrable la informacin, la esteganografa trata de evitar que siquiera se note su existencia. Por ejemplo las empresas dedicadas a producir documentos digitales, pueden estar interesadas en incluir determinada marca invisible de forma que sea demostrable su autora y puedan perseguirse copias ilegales. Las herramientas de deteccin de vulnerabilidades suelen verse como herramientas de auditoria, que pueden mostrar las vas que con mayor probabilidad utilizaran los intrusos para acceder a los sistemas. Por ltimo, los sistemas de deteccin de intrusos tratan de descubrir, muchas veces en tiempo real, accesos no autorizados a los sistemas, tanto desde el exterior de la organizacin, como desde dentro de las propias instalaciones de la empresa.
2. Medidas tcnicas
Existen innumerables herramientas y sistemas de seguridad orientadas a preservar la integridad, confidencialidad y disponibilidad de informacin y sistemas. La oferta en este sentido es muy numerosa y toda organizacin debera dedicar un esfuerzo significativo a su estudio y seleccin. En este breve artculo, ms que describir con detalle todas las herramientas y medidas de seguridad aplicables y sus variaciones disponibles en el mercado, nos limitaremos a mencionar las tcnicas ms utilizadas, apuntando finalmente algunas de las ms novedosas. Entre las tcnicas ms consolidadas encontramos las copias de respaldo, los antivirus, los cortafuegos, los mecanismos de autenticacin y la criptografa. Las copias de respaldo y en general cualquier forma de redundancia, se encaminan a garantizar la disponibilidad de los sistemas frente a cualquier eventualidad. Los antivirus pretenden evitar la aparicin de lgica maliciosa y en caso de infeccin tratan de eliminarla de los sistemas. Entre los antivirus conviene destacar aquellos que inspeccionan los correos electrnicos evitando la infeccin de sus destinatarios. Por su parte, los cortafuegos tratan de reducir el nmero de vas potenciales de acceso a los sistemas corporativos desde el exterior, estableciendo limitaciones al nmero de equipos y de servicios visibles. Otra de las tcnicas imprescindibles en toda organizacin la forman los mecanismos de autenticacin. Estos mecanismos pueden variar desde esquemas simples basados en los pares usuario contrasea, hasta complejos sistemas distribuidos basados en credenciales o