Embed Size (px)
Citation preview
R a q u e l C a s t e l l a n o s
C r e s p o
A d m i n i s t r a c i ó n d e
s i s t e m a s i n f o r m á t i c o s
y r e d e s
Todo sobre seguridad
informática.
UNIDAD 1
UNIDAD 1
Adopción de pautas de seguridad
Página 2
ÍNDICE DE CONTENIDOS
Fiabilidad, confidencialidad, integridad y disponibilidad
Elementos vulnerables en el sistema informático: hardware, software y datos
Análisis de las principales vulnerabilidades de un sistema informático
Amenazas. Tipos:
Amenazas físicas
Amenazas Lógicas
Seguridad física y ambiental
Ubicación y protección física de los equipos y servidores
Sistemas de Alimentación Ininterrumpida
Sistemas biométricos. Funcionamiento y estándares
Seguridad lógica: copias de seguridad e imágenes de respaldo
Medios de almacenamiento.
- Soportes de almacenamiento.
- Almacenamiento redundante y distribuido: RAID y Centros de
Respaldo.
- Almacenamiento remoto: SAN, NAS y almacenamiento clouding.
- Políticas de almacenamiento.
Control de acceso lógico:
- Identificación, autenticación y autorización
- Política de contraseñas.
Auditorias de seguridad informática.
- Concepto. Tipos de auditorías.
- Pruebas y herramientas de auditoría informática.
Criptografía.
- Objetivos. Conceptos. Historia.
- Cifrado y Descifrado.
Medidas de seguridad:
- Política de seguridad.
- Seguridad activa y Seguridad pasiva.
Análisis forense en sistemas informáticos:
- Funcionalidad y fases de un análisis forense.
- Respuesta a incidentes.
- Análisis de evidencias digitales.
- Herramientas de análisis forense.
UNIDAD 1
Adopción de pautas de seguridad
Página 3
Fiabilidad, confidencialidad, integridad y disponibilidad
¿En qué consiste la fiabilidad?
Más allá del servicio que ofrezca un sistema informático, este sistema debe ser fiable para que los usuarios puedan utilizarlo en condiciones óptimas. El término "fiabilidad" indica cuán fiable es un sistema informático.
Una falla se produce cuando un servicio no funciona correctamente, es decir que se genera un estado de funcionamiento anormal o que no se adecua a las especificaciones. Se refiere a la probabilidad de que un sistema funcione normalmente durante un período de tiempo dado. Esto se denomina "continuidad del servicio".
¿En qué consiste la confidencialidad?
La confidencialidad se trata de darle a un archivo o a un conjunto de datos un nivel especial de seguridad para que solo pueda interpretarlos la persona o personas a quienes vaya dirigido o autorizado. Existen dos métodos de cifrado muy comunes:
UNIDAD 1
Adopción de pautas de seguridad
Página 4
Cifrado Asimétrico: es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
Cifrado Simétrico: se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.
¿En qué consiste la integridad?
La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que además permite comprobar que no se ha producido manipulación alguna en el documento original. Aplicado a las bases de datos seria la correspondencia entre los datos y los hechos que refleja.
Para asegurar la integridad de cualquier archivo existen una serie de herramientas como por ejemplo el comando SFC en Windows y Rootkit hunter en Linux. Más adelante en el PDF de las actividades correspondientes a este tema encontraremos la prueba de estas dos herramientas.
SFC: Este comando de Windows, fue muy conocido en Windows XP, ya que evitaba formatear el sistema operativo por las fallas que podían presentarse al momento de ser infectado por un virus o hecho por una actualización del Windows.
Este comando nos sirve para las siguiente problemáticas que tengamos en Windows:
Cuando tenemos algún crack de Windows 7 instalado y este vuelve inestable el Windows 7
Cuando evitamos formatear el equipo cuando fuimos afectado por un virus. Cuando se dañó algún archivo importante de Windows por un programa mal
instalado.
UNIDAD 1
Adopción de pautas de seguridad
Página 5
Rootkit Hunter: es un medio seguro y eficaz para detectar si somos víctima de un pirateo informático. Erradica puertas traseras, rootkits y exploits locales de tu sistema, escaneando ficheros y carpetas en busca de ficheros usados por los rootkits, haciendo comparaciones usando testeo MD5, buscando permisos erróneos en los ejecutables, y ficheros ocultos.
¿En qué consiste la disponibilidad?
Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran. Se refiere a la habilidad de la comunidad de usuarios para acceder al sistema, someter nuevos trabajos, actualizar o alterar trabajos existentes o recoger los resultados de trabajos previos. Si un usuario no puede acceder al sistema se dice que está no disponible. El término tiempo de inactividad (downtime) es usado para definir cuándo el sistema no está disponible.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc., mediante el uso de clústeres o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc.
Elementos vulnerables en el sistema informático: hardware, software y datos
Una vulnerabilidad o fallo de seguridad, es todo aquello que provoca que nuestros sistemas informáticos funcionen de manera diferente para lo que estaban pensados, afectando a la seguridad de los mismos, pudiendo llegar a provocar entre otras cosas la pérdida y robo de información sensible.
Ataques al hardware: Se pueden producir de forma intencionada o no. Incendios fortuitos en los sistemas, fallos físicos, rotura física de cables.
Ataques al software: Se pueden centrar contra los programas del sistema operativo, a los programas de utilidad o a los programas de usuario, existen gran variedad de ataques de software:
UNIDAD 1
Adopción de pautas de seguridad
Página 6
Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta.
Virus: Todos sabemos lo que son, cómo se comportan e incluso habremos sufrido sus consecuencias. Hoy en día, la conectividad entre ordenadores hace que existan muchísimos más de los 30 o 40 mil conocidos.
Gusanos: Son programas que se replican, la línea que los separa de los virus es muy delgada.
Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de manera que el usuario habitual del mismo no tenga conocimiento de este ataque.
Caballos de Troya: El objetivo de estos programas no es el mismo para el que aparentemente están diseñados. Se utilizan normalmente para instalar puertas traseras.
En cuanto a seguridad de los datos una de las principales vulnerabilidades son los hackers o piratas informáticos, estos a través de los ataques hardware y software consiguen los datos que necesitan para llevar a cabo sus planes. Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser realizado por empleados internos que abusan de sus permisos de acceso, o por atacantes externos que acceden remotamente o interceptan el tráfico de red.
Análisis de las principales vulnerabilidades de un sistema informático
En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Las vulnerabilidades son el resultado de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales (conocidas como exploits).
UNIDAD 1
Adopción de pautas de seguridad
Página 7
Las vulnerabilidades se descubren en grandes sistemas, y el hecho de que se publiquen rápidamente por todo internet (mucho antes de que exista una solución al problema), es motivo de debate. Mientras más conocida se haga una vulnerabilidad, más probabilidades de que existan piratas informáticos que quieren aprovecharse de ellas.
Algunas vulnerabilidades típicas suelen ser: * Desbordes de pila y otros buffers. * Symlink races. * Errores en la validación de entradas como: inyección SQL, bug en el formato de cadenas, etc. * Secuestro de sesiones. * Ejecución de código remoto. * XSS
Tipos de amenazas: Amenazas físicas y lógicas
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento
(o transmisión) de la información se consideran seguros, todavía deben ser tenidos en
cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales
son a menudo imprevisibles o inevitables.
Estos fenómenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema
informático (porque no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito
de los recursos del sistema. Abren una puerta a intrusos o modifican los datos.
Estos programas pueden ser un virus informático, un gusano informático, un
troyano, una bomba lógica o un programa espía o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales
no tiene acceso permitido (cracker, defacer).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mal
intención derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas.
AMENAZAS FISICAS
Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial". Se refiere a los controles y mecanismos de seguridad dentro
UNIDAD 1
Adopción de pautas de seguridad
Página 8
y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el
mismo; implementados para proteger el hardware y medios de almacenamiento de
datos.
Las principales amenazas que se prevén en la seguridad física son:
1. Desastres naturales, incendios accidentales tormentas e inundaciones.
2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.
A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con
llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier
entorno.
Incendios Los incendios son causados por el uso inadecuado de combustibles, fallas de
instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de
sustancias peligrosas. El fuego es una de las principales amenazas contra la seguridad.
Es considerado el enemigo número uno de las computadoras ya que puede destruir
fácilmente los archivos de información y programas.
Inundaciones Se las define como la invasión de agua por exceso de escurrimientos superficiales o
por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o
artificial.
Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una
inundación provocada por la necesidad de apagar un incendio en un piso superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un
techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar
las puertas para contener el agua que bajase por las escaleras.
Condiciones Climatológicas
Señales de Radar La influencia de las señales o rayos de radar sobre el funcionamiento de una
computadora ha sido exhaustivamente estudiada desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy fuertes de
radar pueden inferir en el procesamiento electrónico de la información, pero únicamente
si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro
de procesamiento respectivo y, en algún momento, estuviera apuntando directamente
hacia dicha ventana.
Instalaciones Eléctricas Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las
principales áreas a considerar en la seguridad física. En la medida que los sistemas se
vuelven más complicados se hace más necesaria la presencia de un especialista para
evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de
seguridad industrial.
UNIDAD 1
Adopción de pautas de seguridad
Página 9
Ergometría
Acciones Hostiles
Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la
misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar
trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de
máquina.
La información importante o confidencial puede ser fácilmente copiada. Muchas
empresas invierten millones de dólares en programas y archivos de información, a los
que dan menor protección que la que otorgan a una máquina de escribir o una
calculadora.
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son
fácilmente copiados sin dejar ningún rastro.
Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las
computadoras han sido utilizadas como instrumento para dichos fines.
Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar programas de seguridad de alto nivel, han
encontrado que la protección contra el saboteador es uno de los retos más duros. Este
puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera
pasada la información desaparece, aunque las cintas estén almacenadas en el interior de
su funda de protección. Una habitación llena de cintas puede ser destruida en pocos
minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en
ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los
conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser
cortadas, etc.
Evaluar y controlar permanentemente la seguridad física del edificio es la base para o
comenzar a integrar la seguridad como una función primordial dentro de cualquier
organismo.
Tener controlado el ambiente y acceso físico permite:
disminuir siniestros
trabajar mejor manteniendo la sensación de seguridad
descartar falsas hipótesis si se produjeran incidentes
tener los medios para luchar contra accidentes
UNIDAD 1
Adopción de pautas de seguridad
Página 10
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el
estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de
la información brindada por los medios de control adecuados.
AMENAZAS LOGICAS
Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y
procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a
las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está
permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.
Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta
ha sido implementada en forma de "parche" tiempo después de su creación.
Existen agujeros de seguridad en los sistemas operativos.
Existen agujeros de seguridad en las aplicaciones.
Existen errores en las configuraciones de los sistemas.
Los usuarios carecen de información respecto al tema.
UNIDAD 1
Adopción de pautas de seguridad
Página 11
TABLA DE TIPOS DE ATAQUES LOGICOS
¿Cómo defenderse de estos Ataques?
La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a
Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son
"solucionables" en un plazo breve de tiempo.
La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de
ataques existentes y las actualizaciones que permanentemente lanzan las empresas
desarrolladoras de software, principalmente de sistemas operativos.
Ubicación y protección física de los equipos y servidores
Centro de procesamiento de datos
Equipamiento de comunicaciones en un CPD.
Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se
concentran los recursos necesarios para el procesamiento de la información de una
organización.
Dichos recursos consisten esencialmente en unas dependencias debidamente
acondicionadas, computadoras y redes de comunicaciones. Un CPD es un edificio o sala
de gran tamaño usada para mantener en él una gran cantidad de equipamiento
electrónico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de
tener acceso a la información necesaria para sus operaciones. Entre los factores más
importantes que motivan la creación de un CPD se puede destacar el garantizar la
continuidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas
colaboradoras, pues en estos ámbitos es muy importante la protección física de los
equipos informáticos o de comunicaciones implicadas, así como servidores de bases de
datos que puedan contener información crítica.
DISEÑO DE UN CPD
El diseño de un centro de procesamiento de datos comienza por la elección de su
ubicación geográfica, y requiere un equilibrio entre diversos factores:
UNIDAD 1
Adopción de pautas de seguridad
Página 12
Coste económico: coste del terreno, impuestos municipales, seguros, etc.
Infraestructuras disponibles en las cercanías: energía eléctrica, carreteras,
acometidas de electricidad, centralitas de telecomunicaciones, bomberos, etc.
Riesgo: posibilidad de inundaciones, incendios, robos, terremotos, etc.
Aún cuando se disponga del local adecuado, siempre es necesario algún despliegue de
infraestructuras en su interior:
Falsos suelos y falsos techos.
Cableado de red y teléfono.
Doble cableado eléctrico.
Generadores y cuadros de distribución eléctrica.
Acondicionamiento de salas.
Instalación de alarmas, control de temperatura y humedad con avisos SNMP o
SMTP.
Facilidad de acceso (pues hay que meter en él aires acondicionados pesados,
muebles de servidores grandes, etc.)
Una parte especialmente importante de estas infraestructuras son aquellas destinadas a
la seguridad física de la instalación, lo que incluye:
Cerraduras electromagnéticas.
Torniquetes.
Cámaras de seguridad.
Detectores de movimiento.
Tarjetas de identificación.
Una vez acondicionado el habitáculo se procede a la instalación de las computadoras,
las redes de área local, etc. Esta tarea requiere un diseño lógico de redes y entornos,
sobre todo en aras a la seguridad. Algunas actuaciones son:
Creación de zonas desmilitarizadas (DMZ).
Segmentación de redes locales y creación de redes virtuales (VLAN).
Despliegue y configuración de la electrónica de red: pasarelas, encaminadores,
conmutadores, etc.
Creación de los entornos de explotación, pre-explotación, desarrollo de
aplicaciones y gestión en red.
Creación de la red de almacenamiento.
Instalación y configuración de los servidores y periféricos.
Sistemas de alimentación ininterrumpida
Un sistema de alimentación ininterrumpida, SAI (en inglés Uninterruptible Power
Supply, UPS), es un dispositivo que gracias a sus baterías, puede proporcionar energía
eléctrica tras un apagón a todos los dispositivos que tenga conectados. Otra de las
UNIDAD 1
Adopción de pautas de seguridad
Página 13
funciones de los UPS es la de mejorar la calidad de la energía eléctrica que llega a las
cargas, filtrando subidas y bajadas de tensión y eliminando armónicos de la red en el
caso de usar corriente alterna.
Tipos
UPS de continua (activo)
Las cargas conectadas a los UPS requieren una alimentación de corriente continua, por
lo tanto éstos transformarán la corriente alterna de la red comercial a corriente continua
y la usarán para alimentar la carga y almacenarla en sus baterías. Por lo tanto no
requieren convertidores entre las baterías y las cargas.
UPS de corriente alterna (pasivo)
Estos UPS obtienen a su salida una señal alterna, por lo que necesitan un inversor para
transformar la señal continua que proviene de las baterías en una señal alterna.
Fallos comunes en el suministro de energía eléctrica
El papel del UPS es suministrar potencia eléctrica en ocasiones de fallo de suministro,
en un intervalo de tiempo "corto".(si es un fallo en el suministro de la red, hasta que
comiencen a funcionar los sistemas aislados de emergencia). Sin embargo, muchos
sistemas de alimentación ininterrumpida son capaces de corregir otros fallos de
suministro:
Corte de energía: pérdida total de tensión de entrada.
Sobretensión: tiene lugar cuando la tensión supera el 110% del valor nominal.
Caída de tensión: cuando la tensión es inferior al 85-80% de la nominal.
Picos de tensión.
Ruido eléctrico.
Inestabilidad en la frecuencia.
Distorsión armónica, cuando la onda sinusoidal suministrada no tiene esa forma
Sistemas biométricos. Funcionamiento y estándares
Sistemas Biométricos
Entenderemos por sistema biométrico a un sistema automatizado que realiza labores de
biometría. Es decir, un sistema que fundamenta sus decisiones de reconocimiento
mediante una característica personal que puede ser reconocida o verificada de manera
automatizada. En esta sección son descritas algunas de las características más
importantes de estos sistemas.
UNIDAD 1
Adopción de pautas de seguridad
Página 14
Modelo del proceso de identificación personal
Cualquier proceso de identificación personal puede ser comprendido mediante un
modelo simplificado. Este postula la existencia de tres indicadores de identidad que
definen el proceso de identificación:
1. Conocimiento: la persona tiene conocimiento (por ejemplo: un código),
2. Posesión: la persona posee un objeto (por ejemplo: una tarjeta), y
3. Característica: la persona tiene una característica que puede ser verificada (por
ejemplo: una de sus huellas dactilares).
Características de un indicador biométrico
Un indicador biométrico es alguna característica con la cual se puede realizar biometría.
Cualquiera sea el indicador, debe cumplir los siguientes requerimientos [4]:
1. Universalidad: cualquier persona posee esa característica;
2. Unicidad: la existencia de dos personas con una característica idéntica tiene una
probabilidad muy pequeña;
3. Permanencia: la característica no cambia en el tiempo; y
4. Cuantificación: la característica puede ser medida en forma cuantitativa
Arquitectura de un sistema biométrico para identificación personal
Los dispositivos biométricos poseen tres componentes básicos. El primero se encarga de
la adquisición análoga o digital de algún indicador biométrico de una persona, como por
ejemplo, la adquisición de la imagen de una huella dactilar mediante un escáner. El
segundo maneja la compresión, procesamiento, almacenamiento y comparación de los
datos adquiridos (en el ejemplo una imagen) con los datos almacenados. El tercer
componente establece una interfaz con aplicaciones ubicadas en el mismo u otro
sistema. La arquitectura típica de un sistema biométrico se presenta en la figura 1. Esta
puede entenderse conceptualmente como dos módulos:
1. Módulo de inscripción (enrollment module) y
2. Módulo de identificación (identification module).
UNIDAD 1
Adopción de pautas de seguridad
Página 15
Sistemas biométricos actuales.
En la actualidad existen sistemas biométricos que basan su acción en el reconocimiento
de diversas características, como puede apreciarse en la figura 3. Las técnicas
biométricas más conocidas son nueve y están basadas en los siguientes indicadores
biométricos:
1. Rostro,
2. Termograma del rostro,
3. Huellas dactilares,
4. Geometría de la mano,
5. Venas de las manos,
6. Iris,
7. Patrones de la retina,
8. Voz,
9. Firma.
UNIDAD 1
Adopción de pautas de seguridad
Página 16
Seguridad lógica: copias de seguridad e imágenes de respaldo
La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la
protección de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información. La “seguridad lógica” involucra todas
aquellas medidas establecidas por la administración -usuarios y administradores de
recursos de tecnología de información- para minimizar los riesgos de seguridad
asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de
información. Los principales objetivos que persigue la seguridad lógica son:
Restringir el acceso a los programas y archivos
Asegurar que se estén utilizando los datos, archivos y programas correctos en y
por el procedimiento correcto.
Copia de seguridad
Una copia de seguridad o backup en tecnología de la información o informática es el
proceso de copia de seguridad - con el fin de que estas copias adicionales puedan
utilizarse para restaurar el original después de una eventual pérdida de datos.
Fundamentalmente son útiles para dos cosas. Primero, recuperarse de una catástrofe
informática. Segundo recuperar una pequeña cantidad de archivos que pueden haberse
eliminado accidentalmente o corrompido. La pérdida de datos es muy común: El 66%
de los usuarios de internet han sufrido una seria pérdida de datos.
Ya que los sistemas de respaldo contienen por lo menos una copia de todos los datos
que vale la pena salvar, deben de tenerse en cuenta los requerimientos de
UNIDAD 1
Adopción de pautas de seguridad
Página 17
almacenamiento. La organización del espacio de almacenamiento y la administración
del proceso de efectuar la copia de seguridad son tareas complicadas. Para brindar una
estructura de almacenamiento es conveniente utilizar un modelo de almacenaje de datos.
Actualmente (noviembre de 2010), existen muchos tipos diferentes de dispositivos para
almacenar datos que son útiles para hacer copias de seguridad, cada uno con sus
ventajas y desventajas a tener en cuenta para elegirlos, como duplicidad, seguridad en
los datos y facilidad de traslado.
Propuestas de copia de seguridad de datos
Decidir qué se va a incluir en la copia de seguridad es un proceso más complejo de lo
que parece a priori.
Si copiamos muchos datos redundantes agotamos la capacidad de almacenamiento
disponible rápidamente. Si no realizamos una copia de seguridad de los suficientes
datos, podría perderse información crítica.
La clave está en guardar copias de seguridad sólo de aquello que se ha modificado.
Archivos a copiar
Depósito del sistema de ficheros
Control de cambios
Incremental a nivel de bloque Un sistema más sofisticado de copia de seguridad de ficheros es el basado en
solamente copiar los bloques físicos del fichero que han sufrido algún cambio.
Incremental o diferencial binaria Son tecnologías de backup que se desarrollan en la década de 2000. El método
es similar a la Incremental a nivel de bloque, pero basada en reflejar las
variaciones binarias que sufren los ficheros respecto al anterior backup.
Manipulación de los datos de la copia de seguridad
Compresión La compresión es el mejor método para disminuir el espacio de almacenaje
necesario y de ese modo reducir el coste.
Redundancia Cuando varios sistemas guardan sus copias de seguridad en el mismo sistema de
almacenamiento, existe la posibilidad de redundancia en los datos copiados. Si
tenemos estaciones con el mismo sistema operativo compartiendo el mismo
almacén de datos, existe la posibilidad de que la mayoría de los archivos del
sistema sean comunes.
Des-duplicación Algunas veces las copias de seguridad están duplicadas en un segundo soporte
de almacenamiento.
Cifrado
UNIDAD 1
Adopción de pautas de seguridad
Página 18
La alta capacidad de los soportes de almacenamiento desmontables implica un
riesgo de perderse o ser robados. Si se cifra la información de estos soportes se
puede mitigar el problema.
Imágenes de respaldo Una imagen del Sistema, llamada también "imagen Ghost" o "Ghost" a causa de un
programa bastante conocido, es una copia de respaldo de todo el contenido de una
partición (incluso de un conjunto de particiones). Ninguna distinción es hecha en el
contenido. Se puede decir que una imagen del sistema es una "copia fiel" de la partición
en un instante T (siendo T la hora del respaldo).
Debemos hacer una distinción entre imagen del sistema y copia de respaldo de datos.
Por lo general, las copias de respaldo son hechas de forma continua o de manera muy
regular, seleccionando los directorios a respaldar y casi siempre de forma incremental.
En cambio, el sistema cambia muy poco por lo que no hay necesidad de crear una
imagen frecuentemente. Para crear una imagen, debemos elegir la partición y no los
directorios.
Medios de almacenamiento
Los materiales físicos en donde se almacenan los datos se conocen como medios de
almacenamiento o soportes de almacenamiento. Ejemplos de estos medios son los
discos magnéticos (disquetes, discos duros), los discos ópticos (CD, DVD), las cintas
magnéticas, los discos magneto-ópticos (discos Zip, discos Jaz, SuperDisk), las tarjetas
de memoria, etc.
Los componentes de hardware que escriben o leen datos en los medios de
almacenamiento se conocen como dispositivos o unidades de almacenamiento. Por
ejemplo, una disquetera o una unidad de disco óptico, son dispositivos que realizan la
lectura y/o escritura en disquetes y discos ópticos, respectivamente.
El propósito de los dispositivos de almacenamiento es almacenar y recuperar la
información de forma automática y eficiente.
El almacenamiento se relaciona con dos procesos:
Lectura de datos almacenados para luego transferirlos a la memoria de la
computadora.
Escritura o grabación de datos para que más tarde se puedan recuperar y utilizar.
Los medios de almacenamiento han evolucionado en forma notable desde las primeras
computadoras. En la actualidad existe una gran variedad tecnologías y dispositivos
nuevos, pero el disco rígido sigue siendo el "almacén" principal de la información en la
computadora.
Tarjetas perforadas
Cintas perforadas
Cintas magnéticas
Discos magnéticos
UNIDAD 1
Adopción de pautas de seguridad
Página 19
o Disquetes
o Discos duros
Discos duros externos
Discos ópticos
o CD
CD-ROM
CD-R
CD-RW
o DVD
DVD-R
DVD+R
DVD-RW
DVD+RW
o Blu-ray
Tarjetas de memoria
USB
o Secure Digital (SD)
o MultiMediaCard (MMC)
o Memory Stick (MS)
o CompactFlash (CF) I y II
o Microdrive (MD)
o SmartMedia (SM)
o xD-Picture Card
o Discos de estado sólido
Raid y Centros de respaldo
Almacenamiento Redundante y Distribuido [RAID]
Los sistemas de almacenamiento RAID consisten en un conjunto de técnicas hardware o
software que utilizan varios discos para guardar la información. Este sistema de
almacenamiento nos ayudara a garantizar algunos objetivos de la Seguridad
Informática, como la disponibilidad.
Este sistema de almacenamiento distribuye o duplica la información entre los discos que
lo componen de forma que se consiguen algunas mejoras:
Mayor capacidad.
Mayor tolerancia a fallos.
Mayor velocidad.
Mayor seguridad.
UNIDAD 1
Adopción de pautas de seguridad
Página 20
Tipos de RAID
RAID de Nivel 0 (RAID 0)
Los datos se distribuyen de forma equilibrada entre los 2 o más discos del sistema de
almacenamiento. Imaginémonos que tenemos una canción y un sistema RAID 0, cuando
el SO va a guardar esa canción la parte en segmentos que suelen ser del mismo tamaño
y los distribuye entre los dos discos duros, así una parte de la canción estará en un disco
duro y la otra en el otro disco duro. Esta técnica favorece la velocidad pero hay que
tener en cuenta que si uno de los dos discos duros falla la información es irrecuperable.
RAID de Nivel 1 (RAID 1)
Los datos de un disco se duplican en todos los demás. Los datos están disponibles en
dos o más discos al mismo tiempo. Es conocido también como espejo, la canción del
ejemplo anterior ahora estará almacenada completamente (sin segmentarla) en todos los
discos del RAID.
RAID de Nivel 5 (RAID 5)
Los datos se almacenan en varios discos y se guarda paridad de ellos. En la lectura se
leen los datos solamente, el bloque de paridad es leído cuando hay un fallo.
Un centro de respaldo es un centro de procesamiento de datos (CPD) específicamente
diseñado para tomar el control de otro CPD principal en caso de contingencia.
Diseño de un centro de respaldo
Un centro de respaldo se diseña bajo los mismos principios que cualquier CPD, pero
bajo algunas consideraciones más. En primer lugar, debe elegirse una localización
totalmente distinta a la del CPD principal con el objeto de que no se vean ambos
afectados simultáneamente por la misma contingencia. Es habitual situarlos entre 20 y
40 kilómetros del CPD principal. La distancia está limitada por las necesidades de
telecomunicaciones entre ambos centros.
En segundo lugar, el equipamiento electrónico e informático del centro de respaldo debe
ser absolutamente compatible con el existente en el CPD principal. Esto no implica que
el equipamiento deba ser exactamente igual. Normalmente, no todos los procesos del
CPD principal son críticos. Por este motivo no es necesario duplicar todo el
equipamiento. Por otra parte, tampoco se requiere el mismo nivel de servicio en caso de
emergencia. En consecuencia, es posible utilizar hardware menos potente. La pecera de
un centro de respaldo recibe estas denominaciones en función de su equipamiento:
Sala blanca: cuando el equipamiento es exactamente igual al existente en el CPD
principal.
Sala de back-up: cuando el equipamiento es similar pero no exactamente igual.
UNIDAD 1
Adopción de pautas de seguridad
Página 21
En tercer lugar, el equipamiento software debe ser idéntico al existente en el CPD
principal. Esto implica exactamente las mismas versiones y parches del software de
base y de las aplicaciones corporativas que estén en explotación en el CPD principal. De
otra manera, no se podría garantizar totalmente la continuidad de operación.
Por último, pero no menos importante, es necesario contar con una réplica de los
mismos datos con los que se trabaja en el CPD original. Este es el problema principal de
los centros de respaldo, que se detalla a continuación.
Almacenamiento remoto: SAN, NAS y Almacenamiento Clouding
NAS (del inglés Network Attached Storage) es el nombre dado a una tecnología de
almacenamiento dedicada a compartir la capacidad de almacenamiento de un
computador (Servidor) con ordenadores personales o servidores clientes a través de una
red (normalmente TCP/IP), haciendo uso de un Sistema Operativo optimizado para dar
acceso con los protocolos CIFS, NFS, FTP o TFTP.
Generalmente, los sistemas NAS son dispositivos de almacenamiento específicos a los
que se accede desde los equipos a través de protocolos de red (normalmente TCP/IP).
También se podría considerar un sistema NAS a un servidor (Linux, Windows,...) que
comparte sus unidades por red, pero la definición suele aplicarse a sistemas específicos.
Los protocolos de comunicaciones NAS están basados en ficheros por lo que el cliente
solicita el fichero completo al servidor y lo maneja localmente, están por ello orientados
a información almacenada en ficheros de pequeño tamaño y gran cantidad. Los
protocolos usados son protocolos de compartición de ficheros como NFS, Microsoft
Common Internet File System (CIFS).
Muchos sistemas NAS cuentan con uno o más dispositivos de almacenamiento para
incrementar su capacidad total. Normalmente, estos dispositivos están dispuestos en
RAID (Redundant Arrays of Independent Disks) o contenedores de almacenamiento
redundante.
Una red de área de almacenamiento, en inglés SAN (storage area network), es una
red concebida para conectar servidores, matrices (arrays) de discos y librerías de
soporte. Principalmente, está basada en tecnología fibre channel y más recientemente
en iSCSI. Su función es la de conectar de manera rápida, segura y fiable los distintos
elementos que la conforman.
Una red SAN se distingue de otros modos de almacenamiento en red por el modo de
acceso a bajo nivel. El tipo de tráfico en una SAN es muy similar al de los discos duros
como ATA,SATA y SCSI. En otros métodos de almacenamiento, (como SMB o NFS),
el servidor solicita un determinado fichero, p.ej."/home/usuario/wikipedia". En una
SAN el servidor solicita "el bloque 6000 del disco 4". La mayoría de las SAN actuales
usan el protocolo SCSI para acceder a los datos de la SAN, aunque no usen interfaces
físicas SCSI. Este tipo de redes de datos se han utilizado y se utilizan tradicionalmente
en grandes main frames como en IBM, SUN o HP. Aunque recientemente con la
incorporación de Microsoft se ha empezado a utilizar en máquinas con sistemas
operativos Microsoft.
UNIDAD 1
Adopción de pautas de seguridad
Página 22
Una SAN es una red de almacenamiento dedicada que proporciona acceso de nivel de
bloque a LUNs. Un LUN, o número de unidad lógica, es un disco virtual proporcionado
por la SAN. El administrador del sistema tiene el mismo acceso y los derechos a la
LUN como si fuera un disco directamente conectado a la misma. El administrador
puede particionar y formatear el disco en cualquier medio que él elija.
Almacenamiento en clouding
En los últimos años el desarrollo de nuevas tecnologías y la continua expansión de
internet ha permitido la aparición de las llamadas aplicaciones en la nube que, por
definirlas de una manera sencilla, se trata de aplicaciones ofrecidas desde internet (que
por tanto no requiere de ningún tipo de instalación ni de conocimiento previo por parte
del usuario) y a través del navegador.
Una de las opciones más interesantes, en cuanto a aplicaciones en la nube se refiere, son
las enfocadas al respaldo y sincronización de datos. En este monográfico hablaremos de
cinco servicios distintos de almacenamiento en la nube:
1.Dropbox.
2. Windows Live Mesh/Skydrive.
3. Ubuntu One.
4. ZumoDrive.
5. ADrive
UNIDAD 1
Adopción de pautas de seguridad
Página 23
Políticas de almacenamiento
No es ninguna novedad el valor que tiene la información y los datos para nuestros
negocios . Los que resulta increíble de esto es la falta de precauciones que solemos tener
al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que en la
mayoría de los casos resulta ser una computadora pobremente armada tanto del punto de
vista de hardware como de software.
Si el monitor, la memoria e incluso la CPU de nuestro computador dejan de funcionar,
simplemente lo reemplazamos, y no hay mayores dificultades. Pero si falla el disco
duro, el daño puede ser irreversible, puede significar la pérdida total de nuestra
información. Es principalmente por esta razón, por la que debemos respaldar la
información importante. Imaginémonos ahora lo que pasaría si esto le sucediera a una
empresa, las pérdidas económicas podría ser cuantiosas. Los negocios de todos los tipos
y tamaños confían en la información computarizada para facilitar su operación. La
pérdida de información provoca un daño de fondo:
- Pérdida de oportunidades de negocio
- Clientes decepcionados
- Reputación perdida
- Etc.
La tecnología no está exenta de fallas o errores, y los respaldos de información son
utilizados como un plan de contingencia en caso de que una falla o error se presente.
Asimismo, hay empresas, que por la naturaleza del sector en el que operan (por ejemplo
Banca) no pueden permitirse la más mínima interrupción informática.
Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de
electricidad, errores de hardware y software, caídas de red, hackers, errores humanos,
incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas
interrupciones, la empresa sí puede prepararse para evitar las consecuencias que éstas
puedan tener sobre su negocio. Del tiempo que tarde en reaccionar una empresa
dependerá la gravedad de sus consecuencias.
UNIDAD 1
Adopción de pautas de seguridad
Página 24
Autenticación o mejor dicho acreditación, en términos de seguridad de redes de datos,
se puede considerar uno de los tres pasos fundamentales. Cada uno de ellos es, de forma
ordenada:
1. Autenticación: En la seguridad de ordenador, la autenticación es el
proceso de intento de verificar la identidad digital del remitente de una
comunicación como una petición para conectarse. El remitente siendo
autenticado puede ser una persona que usa un ordenador, un ordenador
por sí mismo o un programa del ordenador. En un web de confianza,
"autenticación" es un modo de asegurar que los usuarios son quién ellos
dicen que ellos son - que el usuario que intenta realizar funciones en un
sistema es de hecho el usuario que tiene la autorización para hacer así.
2. Autorización: Proceso por el cual la red de datos autoriza al usuario
identificado a acceder a determinados recursos de la misma.
3. Auditoría: Mediante la cual la red o sistemas asociados registran todos y
cada uno de los accesos a los recursos que realiza el usuario autorizados
o no.
El problema de la autorización a menudo, es idéntico a la de autenticación; muchos
protocolos de seguridad extensamente adoptados estándar, regulaciones obligatorias, y
hasta estatutos están basados en esta asunción. Sin embargo, el uso más exacto describe
la autenticación como el proceso de verificar la identidad de una persona, mientras la
autorización es el proceso de verificación que una persona conocida tiene la autoridad
para realizar una cierta operación. La autenticación, por lo tanto, debe preceder la
autorización. Para distinguir la autenticación de la autorización de término
estrechamente relacionada, existen unas notaciones de taquigrafía que son: A1 para la
autenticación y A2 para la autorización que de vez en cuando son usadas, también
existen los términos AuthN y AuthZ que son usados en algunas comunidades.
Políticas de contraseña
El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la
seguridad general de toda la organización. Por lo tanto, todas las empresas que deseen
garantizar un nivel de seguridad óptimo deben establecer una verdadera política de
protección de contraseña. Esto implica, particularmente, que los empleados elijan las
contraseñas a partir de ciertos requisitos, por ejemplo:
Que la contraseña tenga una longitud mínima
Que tenga caracteres especiales
Que combinen mayúsculas con minúsculas
Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en
las contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto
dificulta el trabajo de los hackers que tratan de craquear las contraseñas con el correr del
tiempo. También es una excelente forma de limitar la duración de la contraseña
craqueada.
Por último, es aconsejable que los administradores usen software que craquea
contraseñas en sus contraseñas de usuario para probar su solidez. Sin embargo, se debe
UNIDAD 1
Adopción de pautas de seguridad
Página 25
hacer dentro del marco de la política de protección y con discreción para tener el apoyo
de la gerencia y los usuarios.
Auditorias de seguridad informática
La auditoría informática es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante una
contingencia.
Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: la contratación de bienes y servicios, documentación
de los programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal
de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación
física de esta. También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de
los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y
fraudes.
UNIDAD 1
Adopción de pautas de seguridad
Página 26
La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios
formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y
licenciados en derecho especializados en el mundo de la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informatica
En la realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo.
Se suelen obtener mediante observación, cálculos, muestreos, entrevistas,
técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la
exactitud, integridad y validez de la información.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado
mediante el análisis de la muestra. Proporciona evidencias de que los controles
claves existen y que son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
Observación
Realización de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadístico
Flujogramas
Listas de chequeo
Mapas conceptuales
Objetivo de la criptografía
En esencia la criptografía trata de enmascarar las representaciones caligráficas de una
lengua, de forma discreta. Si bien, el área de estudio científico que se encarga de ello es
la Criptología.
Para ello existen distintos métodos. Por ejemplo enmascarar las referencias originales de
la lengua por un método de conversión gobernado por un algoritmo que permita el
proceso inverso o descifrado de la información. El uso de esta u otras técnicas, permite
un intercambio de mensajes que sólo puedan ser leídos por los destinatarios designados
como 'coherentes'. Un destinatario coherente es la persona a la que el mensaje se le
dirige con intención por parte del remitente. Así pues, el destinatario coherente conoce
el discretísmo usado para el enmascaramiento del mensaje. Por lo que, o bien posee los
medios para someter el mensaje criptográfico al proceso inverso, o puede razonar e
inferir el proceso que lo convierta en un mensaje de acceso público. En ambos casos, no
necesita usar técnicas criptoanalíticas.
Un ejemplo cotidiano de criptografía es el que usamos cuando mandamos una carta. El
mensaje origen queda enmascarado por una cubierta denominada sobre, la cual declara
el destinatario coherente, que además conoce el proceso inverso para hacer público el
mensaje contenido en el sobre.
UNIDAD 1
Adopción de pautas de seguridad
Página 27
Hay procesos más elaborados que, por decirlo de alguna manera, el mensaje origen trata
de introducir cada letra usada en un 'sobre' distinto. Por ejemplo, la frase 'texto de
prueba', pudiera estar representada por la siguiente notación cifrada: CF, F0, 114, 10E,
106, 72, F3, F6, 75, 10C, 111, 118, FB, F6, F5. El 'sobre' usado es de notación
hexadecimal, si bien, el cálculo hexadecimal es de acceso público, no se puede decir
que sea un mensaje discreto, ahora, si el resultado de la notación hexadecimal (como es
el caso para el ejemplo) es consecuencia de la aplicación de un 'método' de cierre del
'sobre' (como lo es la cola de sellado, o el lacre en las tradicionales cartas), el
destinatario debe de conocer la forma de abrirlo sin deteriorar el mensaje origen. En
otras palabras, debe de conocer la contraseña. Para el ejemplo, la contraseña es
'12345678'.
Conceptos
La palabra criptografía es un término genérico que describe todas las técnicas que
permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El
verbo asociado es cifrar.
La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar
las letras que conforman el mensaje en una serie de números (en forma de bits ya que
los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos
números para:
•Modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el
mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial,
llamado texto simple.
•Asegurarse de que el receptor pueda descifrarlos. El hecho de codificar un
mensaje para que sea secreto se llama cifrado. El método inverso, que consiste
en recuperar el mensaje original, se llama descifrado.
El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado requiere
una clave de descifrado. Las claves generalmente se dividen en dos tipos:
1.-Las claves simétricas: son las claves que se usan tanto para el cifrado como para el
descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta.
2.-Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico
(también llamado cifrado con clave pública). En este caso, se usa una clave para el
cifrado y otra para el descifrado. En inglés, el término decryption (descifrado) también
se refiere al acto de intentar descifrar en forma ilegítima el mensaje (ya conozca o no el
atacante la clave de descifrado). Cuando el atacante no conoce la clave de descifrado,
hablamos de criptoanálisis.
UNIDAD 1
Adopción de pautas de seguridad
Página 28
Medidas de seguridad
Una Política de Seguridad es un conjunto de requisitos definidos por los responsables de
un sistema, que indica en términos generales que está y que no está permitido en el área
de seguridad durante la operación general del sistema.
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de
alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las
bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y
organizativas que se requerirán."
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde
se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, "
una política de seguridad es una forma de comunicarse con los usuarios. Siempre hay
que tener en cuenta que la seguridad comienza y termina con personas." Y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene
sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado
con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte
para proteger un lápiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y
eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y
actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya
mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control,
Autenticidad y Utilidad.
No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una
expresión legal que involucre sanciones a conductas de los empleados. Es más bien una
descripción de los que deseamos proteger y el porqué de ello.
Seguridad activa y pasiva
Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los sistemas
informáticos. Podemos encontrar diferentes recursos para evitarlos como:
-Una de esas técnicas que podemos utilizar es el uso adecuado de contraseñas, que
podemos añadirles números, mayúsculas, etc.
-También el uso de software de seguridad informática: como por ejemplo ModSecurity,
que es una herramienta para la detección y prevención de intrusiones para aplicaciones
web, lo que podríamos denominar como “firewall web”.
-Y la encriptación de los datos.
Seguridad pasiva: El nivel de seguridad Pasiva se refiere al conjunto de medidas
implementadas en los sistemas, las cuales alerten a los administradores sobre
incidencias que comprometan la seguridad. Su objetivo no es proteger el sistema, mas
bien pretende dar a conocer que un acontecimiento sospechoso está sucediendo. En esta
UNIDAD 1
Adopción de pautas de seguridad
Página 29
categoría de seguridad pasiva se encuentra la detección de intrusos o un sistema de
detección de intrusos.
Análisis forense en sistemas informáticos
El cómputo forense, también llamado informática forense, computación forense,
análisis forense digital o examinación forense digital es la aplicación de técnicas
científicas y analíticas especializadas a infraestructura tecnológica que permiten
identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso
legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,
autenticar datos y explicar las características técnicas del uso aplicado a los datos y
bienes informáticos.
Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de
punta para poder mantener la integridad de los datos y del procesamiento de los
mismos; sino que también requiere de una especialización y conocimientos avanzados
en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo
electrónico lo que ha sucedido.
La importancia de éstos y el poder mantener su integridad se basa en que la evidencia
digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un
archivo modificaría la última fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense
puede llegar a recuperar información que haya sido borrada desde el sistema operativo.
Pasos de la informática forense
El proceso de análisis forense a una computadora se describe a continuación:
Identificación
Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere
seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de
investigación. Incluye muchas veces la identificación del bien informático, su uso
dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y
manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del
apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los
resultados.
Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para
poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta
para poder mantener la integridad de la evidencia y la cadena de custodia que se
requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para
UNIDAD 1
Adopción de pautas de seguridad
Página 30
generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar en el siguiente
paso, toda la información contenida y borrada del disco duro. Para evitar la
contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de
hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una
alteración no deseada en los medios.
Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio
del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden
realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios
de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de
archivos específicos, recuperación e identificación de correos electrónicos, recuperación
de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.
Presentación
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el
reporte y la presentación a los abogados, la generación (si es el caso) de una pericial y
de su correcta interpretación sin hacer uso de tecnicismos.
Herramientas del análisis Forense
Sleuth Kit (Forensics Kit)
Py-Flag (Forensics Browser)
Autopsy (Forensics Browser for Sleuth Kit)
dcfldd (DD Imaging Tool command line tool and also works with AIR)
foremost (Data Carver command line tool)
Air (Forensics Imaging GUI)
md5deep (MD5 Hashing Program)
netcat (Command Line)
cryptcat (Command Line)
NTFS-Tools
qtparted (GUI Partitioning Tool)
regviewer (Windows Registry)
Viewer
X-Ways WinTrace
X-Ways WinHex
X-Ways Forensics
R-Studio Emergency (Bootable Recovery media Maker)
R-Studio Network Edtion
R-Studio RS Agent
Net resident
Faces
Encase
Snort
Helix
UNIDAD 1
Adopción de pautas de seguridad
Página 31
Herramientas para el análisis de discos duros
AccessData Forensic ToolKit (FTK) Guidance Software EnCase
Herramientas para el análisis de correos electrónicos
Paraben
Herramientas para el análisis de redes
E-Detective - Decision Computer Group SilentRunner - Accessdata
Herramientas para filtrar y monitorear el trafico de una red tanto interna como a
internet.
Herramientas para el análisis de USB
USBDeview
UNIDAD 1
Adopción de pautas de seguridad
Página 32
UNIDAD 1
Adopción de pautas de seguridad
Página 33
