lunes, 16 de marzo de 2009

¿Cómo se consigue la seguridad de la información?

Implantando un conjunto de salvaguardas mecanismos o acciones encaminados a reducir los riesgos de seguridad provocados por las amenazas a los sistemas de información.

Las salvaguardas a implantar se seleccionan teniendo en cuenta los atributos de la información a proteger (confidencialidad, integridad y disponibilidad).

En la selección de salvaguardas se consideran:

las características de las amenazas que atentan contra la información,
la vulnerabilidad o probabilidad de materialización de cada amenaza sobre los activos de información y
el impacto o daño producido por un posible incidente o agresión sobre un activo, visto como diferencia en las estimaciones de los estados de seguridad obtenidas antes y después del evento.
Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varias salvaguardas de seguridad.

Las salvaguardas se pueden clasificar en tres categorías principales:

administrativas
físicas
técnicas
Las salvaguardas administrativas incluyen las políticas y procedimientos de seguridad. Las políticas establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización mientras que los procedimientos estan relacionados con la renovación de claves de acceso, las autorizaciones para acceder a los recursos, la revisión y validación periódica de la vigencia del tipo acceso, la asignación de responsabilidades, conocimientos de la seguridad y formación técnica, gestión y supervisión de las tecnologías y soluciones aplicadas, la recuperación tras averías o fallos y la realización y aplicación de planes de contingencia. Los controles administrativos también incluyen la revisión de seguridad y los informes de auditoria, que se utilizan para identificar si los usuarios siguen las políticas y procedimientos. Finalmente, los controles administrativos incluyen la asignación de propiedad de los datos y los recursos. Cada persona de la organización debe de tener claras sus responsabilidades relativas a la seguridad de cada componente a su cuidado.

Las salvaguardas físicas limitan el acceso físico directo a los equipos. Incluyen cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo. Las salvaguardas físicas también incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida (UPS).

Las salvaguardas técnicas son controles que se implantan a través de soportes físicos o lógicos difíciles de vencer y que, una vez implantados, pueden funcionar sin la intervención humana.. El soporte lógico específico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, herramientas de gestión de red, contraseñas, tarjetas inteligentes, control de acceso de llamadas, sistemas de rellamada, seguimiento de huellas o trazas de auditoría y sistemas expertos de detección de intrusiones.

Todas las salvaguardas se pueden subdividir en preventivas y correctivas. Las primeras intentan evitar que ocurran acontecimientos indeseados, mientras que las salvaguardas correctivas se orientan a identificar los incidentes y reducir sus efectos después de que hayan sucedido.

Aunque siempre es preferible evitar un incidente de seguridad a tener que hacerle frente a posteriori, es necesario incorporar también salvaguardas correctivas para identificar los problemas con suficiente rapidez, reducir los daños al mínimo y poder valorar su magnitud con la máxima precisión posible.


¿Cómo definir los objetivos de seguridad en una empresa u organización?

Los objetivos de seguridad tienen que ser definidos por la organización dependiendo de:

a) La valoración de los riesgos a los que está sometida la organización para alcanzar sus objetivos. Esta valoración de riesgos permite identificar las amenazas contra los activos de información, su vulnerabilidad, la probabilidad de que se materialicen y el impacto potencial.
b) Otros requisitos de tipo legal, por estipulación de los estatutos, por normas o por otros requisitos de tipo contractual con sus clientes, contratistas o proveedores de servicios.
c) Por otros principios, objetivos o requisitos relacionados con el proceso de la información

Es necesario crear en la organización un sistema de seguridad que esté gobernado por un proceso de análisis y gestión de riesgos.

Los componentes principales de un Sistema de Seguridad en una gran organización son los siguientes:

· Gestión de la seguridad
· Organización del Sistema de Seguridad
· Personal
· Planes de contingencia
· Políticas de respaldo de la información
· Protección a la privacidad de los datos
· Protección antivirus
· Utilización del cifrado de la información
· Tratamiento de incidentes


¿Cómo definiría los objetivos de seguridad de un usuario independiente o de una pequeña empresa ?

En el caso de una pequeña empresa o de un usuario independiente, los sistemas de proceso de la información son utilizados por uno, o como mucho, por un número pequeño de usuarios y los activos de información son limitados. Con ello, se reduce la problemática de protección de la información y es más fácil identificar el conjunto de salvaguardas a ser implantadas para proteger a un nivel aceptable los distintos activos de información utilizados.

De todas formas, las diferencias de configuración del sistema o sistemas utilizados, las características y atributos de los activos de información a proteger y en definitiva los objetivos finales para los que se utiliza el sistema, determinan el sistema de seguridad a ser implantado.

Cada característica propia del sistema tratado va asociada a un conjunto de amenazas que pueden atentar contra la seguridad del sistema, y a su vez estas amenazas, aconsejan la posible implantación de un conjunto de salvaguardas que, cada una en su justa medida, reducen el riesgo a que están sometidos los activos de la información.

Los componentes más generalizados y recomendables son:

a) Protección antivirus
La protección antivirus es hoy día uno de los sistemas más recomendables en cualquier tipo de sistema independiente de su tamaño. La gran proliferación de virus, gusanos, troyanos y otros módulos de software dañino pueden afectar tanto a sistemas conectados a redes de comunicación como aquellos que sin disponer de conexiones a redes externas, si disponen de dispositivos de lectura de soportes ópticos o magnéticos, capaces de importar cualquier tipo de virus.

b) Políticas de respaldo de la información
Como consecuencia de fallos técnicos, errores de usuario que pueden borrar de forma no deseada datos o por el efecto de algún virus, la información puede quedar borrada o ser alterada. La creación de archivos de respaldo de datos, garantiza que cualquier información borrada o destruída pueda ser recuperada de forma rápida y eficaz.

c) Sistema de cortafuegos
La conexión de un sistema o la red interna que conecta a un conjunto de sistemas a una red externa de tipo global, tal como Internet, permite el acceso a una gran cantidad de información. La interconexión de gran cantidad de redes de área local implica que cualquier puesto de trabajo podría acceder a cualquier tipo de información existente en cualquier red a no ser que disponga de un dispositivo, cortafuegos, capaz de limitar el acceso a aquellos puestos de trabajo que estén convenientemente autorizados.

Otros componentes de posible aplicación podrian ser:

a) Gestión de la seguridad
Recomendado a medida que los sistemas crecen en complejidad y número de usuarios

b) Organización del Sistema de Seguridad
Recomendado a medida que los sistemas se utilizan en organizaciones complejas con bastantes empleados.

c) Sistema de identificación y autenticación de usuarios:
Recomendado cuando los sistemas disponen de varios usuarios con áreas de responsabilidad diferentes o cuando se quiere identificar las acciones realizadas por cada usuario

d) Sistema de control de acceso:
Recomendado cuando los sistemas disponen de varios usuarios con áreas de responsabilidad diferentes y se quiere limitar a cada uno las funciones del sistema a las que está autorizado.

e) Personal
Recomendado en organizaciones con gran número de empleados, como sistema necesario para responsabilizar a cada empleado en sus obligaciones.

f) Planes de contingencia
Recomendado a medida que los sistemas realizan funciones de tipo crítico que no permiten que una determinada amenaza cause interrupciones en los servicios ofrecidos por la organización.

g) Protección a la privacidad de los datos
Recomendado en los casos en que la información tratada está catalogada como información afectada a la Ley Orgánica de Protección de Datos de Carácter Personal. (LOPDCP)

h) Utilización del cifrado de la información
Cuando se desea proteger la información almacenada o transmitida, de forma eficaz contra divulgaciones o modificaciones no deseadas, se puede recurrir a procedimientos y técnicas criptográficas.

i) Tratamiento de incidentes
Conjunto de procedimientos que permiten que cualquier incidente de seguridad de los sistemas de información sea tratado de forma lo más eficaz posible


¿Cuáles son los elementos básicos de seguridad de un PC doméstico?

Las primeras herramientas de seguridad de un pequeño sistema compuesto por un solo PC utilizado por varios usuarios o una pequeña red compartiendo recursos, ya sea en un entorno doméstico o de una PYME, tanto esté aislado como conectado a internet, están incluidas en el propio sistema y dependen de la forma como el usuario las gestione.

Cuando se pone en marcha la máquina, el primer programa que arranca es el BIOS, "Basic Input-Output System", (sistema básico de entrada-salida) que ya dispone de los primeros mecanismos de seguridad.

El BIOS es un programa incorporado en un chip de la placa base que se encarga de realizar el interface entre el hw y el sistema operativo y contiene las funciones básicas de manejo y configuración del ordenador

el primer elemento de seguridad que tenemos disponible en el BIOS es un control de acceso (pasword) para evitar que posibles intrusos utilicen nuestra maquina.

La opción de configurar un control de acceso está disponible, con distintas operativas todas ellas muy parecidas, en todos los modelos de BIOS.

El acceso a la BIOS hay que realizarlo inmediatamente después de encender nuestro ordenador, pulsando una tecla predeterminada que nos permite acceder a los menús de configuración del sistema, la tecla a pulsar nos la indica la primera pantalla que es generada por la propia BIOS.

El S.O. Windows permite la personalización de perfiles de usuarios con la correspondiente asignación de paswords que proporcionan una protección básica al sistema aunque no a los documentos en él almacenados. La ayuda de windows proporciona una información clara sobre la configuración de esta opción.

El uso de contraseñas o password se extiende también al acceso cualquier recurso compartido en el sistema especialmente a las carpetas de documentos lo que es especialmente útil cuando se dispone de una pequeña red de pcs que utilizan las facilidades de red de Microsoft y los usuarios no tienen una cualificación informática elevada.

Los documentos de Office pueden ser protegidos de cambios accidentales utilizando las facilidades que ofrece para archivar los documentos. En Archivo-guardar como pulsamos " "Opciones", y en la ventana que aparece podemos establecer una contraseña de lectura o escritura, incluso podemos permitir que el documento sea abierto para su lectura sin contraseña que solo sería necesaria para efectuar cualquier modificación en él.

La opción guardar como permite también establecer una medida de seguridad añadida, muy útil en muchas ocasiones ocasiones: la creación de una copia de seguridad de nuestro documento y la autorecuperación periódica del mismo que permite que si por cualquier circunstancia (cuelgue etc) se cerrará el archivo, no perdamos mucha información.

Windows no establece ninguna protección directa para carpetas, pero sí facilita algún mecanismo indirecto utilizando programas específicos como el programa de compresión Winzip ampliamente extendido e instalado en casi todos los sistemas.

Una vez colocados los archivos a proteger en la misma carpeta, la seleccionamos y pulsamos con el botón derecho del mouse, seleccionamos la orden "Add to Zip" en el desplegable y en la ventana que surge elegimos el directorio donde alojaremos el archivo comprimido resultante y pulsamos la etiqueta "Password" para establecer una contraseña.

Seguir un mantenimiento adecuado, aplicar algunos criterios de optimización, y algunas otras precauciones forman también parte de la seguridad de nuestro sistema, entre otras acciones básicas es conveniente:

Eliminar de forma periódica y contínua los archivos innecesarios que ocupan espacios muy importantes en el disco duro y que muchas veces no se utilizan.

Usar las herramientas de detección de errores y de desfragmentación con la frecuencia adecuada, ( al menos una vez al mes), dependiendo de la frecuencia de uso, semanalmente si sometemos a nuestro disco a numerosas instalaciones y grabaciones, o si borramos grandes grupos de archivos.

Dejar terminar al scandisk al iniciar de nuevo el ordenador. en caso de cuelgue o apagado brusco del equipo

Evitar las instalaciones compulsivas de programas, con la a menudo consecuente descarga del crack correspondiente, lo que conlleva el riesgo de importar visitantes no deseados, además de contaminar el sistema con aplicaciones que, en muchas ocasiones, caen en el olvido para siempre jamás...

Gestionar el disco adecuadamente, la utilización un programa de gestión y otro de diagnóstico de nuestro sistema, puede ser un valioso apoyo.

Finalmente, optimicemos nuestro Windows, las condiciones con las que se instala son sustancialmente mejorables, los parches y actualizaciones son numerosos.


¿Qué son los cortafuegos?

Un cortafuegos está constituido por una combinación de componentes de hardware y de software, que permite conectar redes TCP/IP externas a otras redes internas del mismo tipo , protegiendo los recursos de las internas contra las amenazas generadas en las redes externas. Al utilizarse los cortafuegos, de forma generalizada, para conectar las redes internas de una empresa a Internet, los cortafuegos se denominan frecuentemente como "Cortafuegos Internet"

Existen distintos tipos de cortafuegos:

Filtros de paquetes
Los filtros de paquetes actúan en el nivel de red dentro de la arquitectura OSI..
Un cortafuegos de este tipo acepta o rechaza el tráfico de la red dependiendo de la información de las cabeceras de los paquetes de los protocolos TCP e IP. Este tipo de solución es más económica pero aporta un grado menor de protección que los otros tipos. Tiene la ventaja de afectar muy poco al rendimiento de la red.

Puntos débiles de los filtros de paquetes
1. Debido a que los filtros de paquetes no analizan los datos propios de los niveles superiores OSI, no se puede impedir ataques que utilizan las vulnerabilidades de las aplicaciones y otras funciones, por ejemplo los mandatos a nivel de aplicación.
2. Debido a la escasa información que dispone el cortafuegos, su funcionalidad de archivo de eventos queda muy limitada. Esta información se limita a la que permite aceptar o rechazar paquetes, es decir las direcciones de origen, de destino y tipo de paquetes.
3. La mayor parte de los filtros de paquetes no permiten esquemas de identificación de usuario. Esta limitación se asocia a la escasez de funciones a nivel superior del cortafuegos
4. Estos cortafuegos son vulnerables a ataques que utilizan las particularidades del TCP/IP. Muchos cortafuegos de filtros de paquetes no pueden detectar paquetes en los que la información de direcciones a nivel 3 del OSI ha sido modificada. Este tipo de ataques son utilizados por intrusos para soslayar los controles de seguridad existentes en los cortafuegos.
5. Debido al escaso número de variables utilizadas para las decisiones de control, estos cortafuegos están sometidos a las debilidades causadas por configuraciones incorrectas. Por ejemplo, frecuentemente se da el caso de configurar un cortafuegos de este tipo que permite tipos de paquetes, con origenes y destinos que deberían ser bloqueados basandose en la política de seguridad establecida.

Dispositivo de acceso a nivel de circuitos
Un sistema de control de acceso a nivel de circuito controla la fase de conexión entre clientes y servidores conocidos y otros sistemas para determinar la seguridad y autorización de la sesión requerida. Estos tipos de cortafuegos utilizan unos indicadores (SYN y ACK) y unos números de secuencia para identificar la sesión lógica. Este tipo de cortafuegos funciona a nivel sesión del modelo OSI (dos niveles por encima del nivel de red utilizado en el caso anterior)


Dispositivo de acceso a nivel de aplicación
Un cortafuegos que actúa como dispositivo de acceso a nivel de aplicación, es equivalente al de nivel de circuitos con dos diferencias fundamentales: Los Proxies son específicos de la aplicación y los proxies filtran a nivel aplicación dentro del modelo OSI.

Cortafuegos de inspección de condiciones
Este tipo de cortafuegos reune características de los tres tipos anteriores. Filtra paquetes según las direcciones de origen y de destino y los números de puerto. También controla los indicadores SYN y ACK y los números de secuencia de forma análoga a los dispositivos de acceso a nivel de circuito y por último cataloga el contenido de los paquetes a nivel de aplicación. Frecuentemente ofrece mejor rendimiento que los cortafuegos de los dos tipos mencionados anteriormente. Este tipo de cortafuegos actúa a nivel de red en el modelo OSI.


¿Quién debe utilizar un cortafuegos?

La recomendación de utilizar un cortafuegos hay que extenderla a cualquier tipo de sistema informático que tenga acceso a redes públicas como Internet, desde los que tienen un gran número de usuarios entrelazados por redes internas, hasta los sistemas domésticos compuestos por una sola máquina.

Las prestaciones del cortafuegos dependen de las características de la red a proteger.

Las grandes organizaciones ponen a disposición de proveedores y clientes determinados servicios de sus sistemas de información para agilizar sus relaciones comerciales u otros fines de la organización.

Este tipo de apertura y facilidad de comunicación entre las redes internas y las externas, facilita la posibilidad de una gran diversidad y cantidad de ataques a los sistemas y recursos de la organización desde el mundo exterior en forma de accesos no deseados. La vulnerabilidad ante estos accesos no deseados desde el exterior, crece exponencialmente con relación al número de sistemas y al de usuarios, dependiendo siempre de las características de la configuración de sus redes internas.

Para proteger los activos de la organización es necesario que se implante un sistema de protección compuesto por un conjunto de políticas, normas, procedimientos y elementos de seguridad entre ellos los cortafuegos que pueden ser considerados como una primera línea de defensa ante las amenazas externas.

La estructura de los cortafuegos depende en primer lugar de que el sistema incluya un servidor web o permita la conexión de usuarios de Internet a cualquier sistema interno, en ese caso se recomienda establecer lo que se denomina una "Zona Desmilitarizada", que está limitada en la parte externa por un router de tipo frontera u otro cortafuegos.

Los sistemas y usuarios internos deben quedar protegidos por otra línea de cortafuegos que delimita la "Zona Desmilitarizada Interna" que debe estar limitada hacia el exterior por un cortafuegos principal y un servidor de la "Red Privada Virtual" que controla las diferentes conexiones de usuarios y aplicaciones en la red interna, impidiendo el acceso desde el exterior de forma exclusiva a usuarios autorizados, a los que se obliga a utilizar un sistema de cifrado de la información.

Los usuarios remotos deben utilizar cortafuegos de tipo personal a la hora de conectarse a cualquier proveedor de servicios de Internet, independientemente del tipo de conexión, conmutada o de alta velocidad, que pueda utilizar.

Los cortafuegos instalados en una red de las características reseñadas deben se capaces de bloquear cualquier tipo de tráfico de mensajes desde el exterior, excepto en los casos en los que se hubiese autorizado de forma explícita, y de impedir como regla general cualquier conexión o protocolo que no sean necesarios. En particular se recomienda bloquear cualquier conexión de los tipos siguientes:
- Conexiones desde el exterior desde sistemas que no hayan sido autenticados dirigiéndose como dirección de destino a la dirección del propio cortafuegos.
- Conexiones desde el exterior desde sistemas con direcciones de origen que coinciden con direcciones existentes en la red interna.
- Conexiones desde el exterior desde sistemas con direcciones de origen que están reservadas a las redes privadas.
- Conexiones desde el exterior desde sistemas de origen no autenticados y que han generado tráfico característico de los protocolos SNMP. (Simple Network Management Protocol). que facilita una gran diversidad de ataques.
- Conexiones desde el exterior que contenga información propia de IP Source Routing, (encaminamiento desde el origen de tráfico IP) , que facilita una gran diversidad de ataques.
- Conexiones hacia el interior o hacia el exterior que tengan direcciones de origen o destino de 127.0.0.1 o la 0.0.0.0, que facilitan una gran diversidad de ataques.
- Conexiones hacia el interior o hacia el exterior que identifiquen direcciones para difusión múltiple (broadcast)

En relación con la adquisición, utilización y administración de los cortafuegos de cortafuegos, una gran empresa debe tener en cuenta las siguientes consideraciones:
· mantener y actualizar una política de cortafuegos que contemple todas las aplicaciones dependientes de la red. La actualización de esta política dependerá de la identificación de nuevas formas de ataque y vulnerabilidades de los sistemas propios, y de los cambios en las funciones de las aplicaciones de red.
· revisar de forma periódica (se sugiere de forma trimestral) las políticas de seguridad general y las de cortafuegos
· Cuando el cortafuegos forma parte del un sistema operativo de un suministrador de software, se debe eliminar cualquier aplicación incluída en dicho sistema operativo y que no sea necesaria. Se debe potenciar la seguridad del sistema operativo instalando cualquier parche relacionado con la seguridad desarrollado por el desarrollador del software.
· Se debe disponer de un sistema de respaldo de información del cortafuegos, por ejemplo a un dispositivo de grabación secuencial.

Ningún fichero de respaldo debe grabarse en los servidores de respaldo de las redes protegidas, ya que pueden causar perdidas de seguridad en las referidas redes.
· Los cortafuegos deben grabar los registros de eventos y sus administradores deberán analizar la información grabada diariamente. Debe utilizarse un mecanismo de sincronización de relojes, por ejemplo el Network Time Protocol, en los distintos sistemas para que los distintos registros dispongan de la misma hora.
· Cualquier organización debe estar dispuesta para tratar incidentes que puedan ser conceptuados como inevitables, independiente de las salvaguardas implantadas en el entorno de los cortafuegos.

Las necesidades y recomendaciones relativas a la aplicación de cortafuegos a medianas y pequeñas empresas, dependen en gran medida del tamaño y estructura de su red interna, número de sistemas y componentes y en particular las necesidades de conexión de los usuarios internos a Internet y de usuarios externos a servicios de información de la empresa.

Dentro de esta diversidad, podríamos contemplar el caso de una pequeña empresa que depende en gran medida de su conexión con Internet para el desarrollo de sus actividades de negocio, y que por otra parte dispusiese de requisitos de protección muy exigentes relacionados con distintos activos de información.

En el otro extremo podría darse el caso de una empresa de mayores dimensiones, con escasa necesidad de utilizar los servicios aportados por Internet, y que por tanto puede reducir en gran medida la problemática de interconexión y el diseño de las distintas salvaguardas relacionadas con la seguridad de sus activos de información.
Para las empresas, independientemente de su tamaño, que contemplan su conexión a Internet como estratégica, y que por otra parte tienen altos requisitos de seguridad con relación a sus activos de información, quedaría totalmente justificada la implantación de un sistema de cortafuegos, complementada con la definición de las correspondientes políticas, normas y procedimientos. Las consideraciones de implantación, serían equivalentes a las expuestas en el caso de grandes empresas.
En el otro extremo cuando la conexión a Internet no figura como necesaria dentro de los objetivos de la organización se podría prescindir de cualquier sistema de interconexión entre las redes internas y las externas y por tanto no sería necesario la instalación de ningún dispositivo de cortafuegos.
Sin embargo, este último caso es cada vez es más singular y cualquier tipo de empresa encuentra cada vez más necesario la interconexión de sus sistemas internos con Internet. Con ello, las necesidades de protección de sus activos de información aumentan, y el diseño de un sistema de cortafuegos para la organización adquiere un papel más crítico.
Es por esta razón, por la que en estos casos, son aplicables, con los convenientes matices y condicionantes causados por las diferencias en los tamaños de las redes y posibilidades económicas, las mismas recomendaciones definidas para el caso de grandes empresas.

En relación con los usuarios domésticos hay que tener en cuenta que el tiempo medio que cualquier ordenador doméstico está conectado a Internet crece de forma contínua, parte motivado por los cada vez más atractivos servicios suministrados a través de Internet y por otra los factores económicos y de rendimiento que aportan las nuevas tecnologías de comunicaciones (RDSI, ADSL, etc.,). Cualquier tipo de ataque puede materializarse en cualquier momento en que el ordenador doméstico esté conectado a la red. Existen ataques que apenas necesitan un pequeño intervalo de conexión para realizar sus objetivos. Cuando la conexión es más duradera en tiempo, el atacante lo tiene más fácil, ya que no necesita ningún tipo de coordinación de las distintas acciones necesarias para ejecutar el ataque.

Se podría pensar que la información almacenada en el ordenador doméstico apenas tiene interés para cualquier atacante a no ser que sea información personal, el número de cuenta del banco, el número de tarjeta de crédito y las posibles contraseñas almacenadas. También podría ser de interés para el atacante, el contenido de los mensajes de correo electrónico en determinados casos.

Sin embargo estas razones no son las únicas que pretende cualquier atacante. Cualquier atacante puede buscar otros sistemas y en particular ordenadores domésticos para lanzar desde ellos sus ataques a los sistemas que son sus verdaderos objetivo. Con ello el atacante permanece en el anonimato, y sin embargo el que figura como atacante es el usuario doméstico que ni siquiera es consciente de haber participado en estas acciones. Con esto se puede entender las ventajas que aporta el disponer de cortafuegos que impidan el acceso no deseado al ordenador personal.

Por otra parte, también existen otros tipos de ataques cuyo objetivo es destruir la información necesaria para un correcto funcionamiento del sistema, que implicará a su vez volver a instalar el software básico.

Por último también conviene mencionar ataques del tipo de "denegación de servicio" cuyo objetivo es enviar una gran cantidad de información al ordenador doméstico que provoca que su unidad de proceso quede saturada de forma totalmente inútil y que lo incapacita para las actividades normales del sistema.

Con esto podemos entender las ventajas que aporta el disponer de un dispositivo que actúa como una pantalla de protección entre la red externa y el sistema o sistemas a proteger que la podemos asociar a una "red interna".


¿Cuál es el soporte más adecuado para almacenar la información histórica?

La información histórica debe ser almacenada en un soporte normalizado y perdurable, el que sea más adecuado a las necesidades de conservación a corto, medio o largo plazo teniendo en cuenta las siguientes recomendaciones:

· Utilizar soportes de almacenamiento óptico, a medio y largo plazo, ya que tienen gran capacidad de almacenamiento y permiten el acceso directo a la información.

· Utilizar soportes de almacenamiento magnético, a corto, medio y largo plazo, ya que tienen gran capacidad de almacenamiento, aunque sólo permiten un acceso secuencial a la información.

· Para el almacenamiento de documentos administrativos en condiciones que permitan garantizar su conservación, integridad y calidad se recomiendan los soportes ópticos no reescribibles, como es el caso de los CD y DVD del tipo WORM (Múltiple lectura única escritura); estos soportes duran muchos más años y no se ven afectados por el número de veces que se lean; también se conocen en el mercado como soportes "no repudiables".

· Por otra parte, existen cintas que sólo pueden escribirse una vez, pero se degradan con el tiempo y el uso, lo que obliga a unas condiciones restrictivas de acceso a los datos, así como a su almacenamiento en determinadas condiciones de humedad y temperatura.

· Exigir de los fabricantes la garantía de durabilidad de los soportes.

· Si bien la tendencia es hacia su tendencia es a la sustitución por el soporte electrónico existe la posibilidad de utilizar soportes de almacenamiento microfilm, de poliéster con destacadas propiedades mecánicas, buena estabilidad y excelente duración a largo plazo, pese a que no permiten modificaciones y la búsqueda de la información resulta complicada.


¿Cuáles son las medidas más habituales de seguridad física de los sistemas de información?

¿Cuáles son las medidas más habituales de seguridad física de los sistemas de información?

La seguridad física suministra protección ante accesos no autorizados, daños e interferencias a las instalaciones de la organización y a la información.

Los requisitos sobre seguridad física varían considerablemente según las organizaciones y dependen de la escala y de la organización de los sistemas de información. Pero son aplicables a nivel general los conceptos de asegurar áreas, controlar perímetros, controlar las entradas físicas e implantar equipamientos de seguridad.

Las líneas de actuación recomendadas son:

En relación con la adecuación de locales:
· Definir de forma proporcionada las medidas que garanticen la seguridad de las áreas a proteger en relación con los requisitos de seguridad de la información que se almacene o procese.

· Construir barreras físicas del suelo al techo para prevenir entradas no autorizadas o contaminación del entorno. Las ventanas y puertas de las áreas seguras deben estar cerradas y controlarse periódicamente. Las ventanas deben protegerse externamente. Se pueden necesitar barreras adicionales y perimetrales entre áreas con diferentes requisitos de seguridad dentro del perímetro global de seguridad.

· Construir las instalaciones de forma discreta y minimizar las indicaciones sobre su propósito, evitando signos obvios (fuera o dentro del edificio) que identifiquen la presencia de las actividades cuya seguridad se desea. No informar al personal que no esté directamente implicado de las actividades que se hacen dentro de las áreas seguras.

· No identificar en directorios telefónicos y de los vestíbulos de la organización las localizaciones informáticas (excepto las oficinas y áreas de recepción).

· Proteger los locales de amenazas potenciales como fuego, humos, agua, polvo, vibraciones, agentes químicos o radiaciones electromagnéticas. Instalar en el área un equipamiento apropiado de seguridad: control de temperatura y humedad; detectores y alarmas de calor, humos y humedad; sistemas de extinción de incendios; salidas de emergencia; falso suelo para respiración de equipos, cableado equipamiento de extinción de incendios, etc. Considerar el uso de protecciones especiales para equipamientos situados en ambientes particularmente agresivos. Este equipamiento debe revisarse regularmente de acuerdo con las instrucciones de los fabricantes. El personal debe conocer su uso adecuado. Prohibir fumar y comer en salas de tipo centro de proceso de datos.

· Separar las áreas de carga y descarga de material de las áreas a proteger. En caso de que esto no sea posible, se deberán establecer los controles adecuados para impedir accesos no autorizados. Restringir los accesos al área de carga y descarga desde fuera del edificio, al personal autorizado y debidamente identificado.

· Documentar debidamente los procedimientos de emergencia y revisar esta documentación de forma regular.

En relación con la instalación de líneas de telecomunicaciones:
· Considerar medidas para proteger los cables de líneas de datos contra escuchas no autorizadas o contra daños (por ejemplo, evitando rutas a través de áreas públicas o fácilmente accesibles). Instalar las líneas de suministro y telecomunicaciones para servicios de los sistemas de información en instalaciones subterráneas, cuando sea posible, o tener medidas alternativas de protección adecuada. Considerar medidas adicionales para sistemas sensibles o críticos, como:
· Instalación de conductos blindados, salas cerradas, etc.
· Uso de rutas o medios de transmisión alternativos.

En relación con la ubicación de equipamiento, materiales y copias de respaldo:
· Situar en áreas seguras los equipos a proteger donde se minimicen los accesos innecesarios a las áreas de trabajo, distanciadas de las zonas de acceso público y de las zonas con aproximación directa de vehículos públicos. Definir perímetros de seguridad con las correspondientes barreras y controles de entrada. Su protección física debe impedir accesos no autorizados, daños y cualquier otro tipo de interferencias.

· Ubicar los terminales que manejen información y datos sensibles en lugares donde se reduzca el riesgo de que aquellos estén a la vista.

· Almacenar los materiales peligrosos y/o combustibles a una distancia de seguridad del emplazamiento de los ordenadores. Por ejemplo, los suministros informáticos como el papel no se deben almacenar en la sala de ordenadores (hasta que se necesiten). Inspeccionar el material entrante, para evitar amenazas potenciales, antes de llevarlo al punto de uso o almacenamiento.

· Ubicar el equipamiento alternativo y copias de respaldo en sitios diferentes y a una distancia conveniente de seguridad.

En relación con la entrada y salida física de personas y soportes de información:
· Controlar la entrada en exclusiva al personal autorizado a las áreas que se hayan definido como áreas a ser protegidas. Autorizar sólo con propósitos específicos y controlados los accesos a estas áreas, registrando los datos y tiempos de entrada y salida. Obligar a todo el personal que lleve una identificación visible dentro del área segura y que observe e informe de la presencia de personal extraño al área. En éstas se deben prohibir los trabajos no autorizados en solitario para evitar la oportunidad de acción maliciosa. Cerrar la puerta externa del área, cuando la interna esté abierta.

· Restringir el acceso a las áreas seguras del personal de los proveedores o de mantenimiento a los casos en que sea requerido y autorizado. Aun con acceso autorizado deben restringirse sus accesos y controlarse sus actividades (especialmente en zonas de datos sensibles).
· Definir normas y controles relativos a la posible salida/entrada física de soportes de información (impresos, cintas y disquetes, CDs, etc.).

Fuente: Criterios de seguridad, conservación y normalización de las aplicaciones para ejercicio de potestades. Ministerio de Administraciones Públicas


Criterios Generales de Seguridad

Criterios Generales de Seguridad

SEGURIDAD DE LA INFORMACIÓN es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar de forma accidental o intencionada.

La seguridad de la información se caracteriza como la protección frente a las amenazas de la:
· Confidencialidad, que garantiza que la información es accesible exclusivamente a quien está autorizado
· Integridad, que protege la exactitud y totalidad de la información y sus métodos de proceso
· Disponibilidad, que garantiza que los usuarios autorizados tienen acceso a la información y a otros activos de información asociados en el momento que lo requieren

Las amenazas pueden ser de los tipos siguientes:

a) Amenazas de fuerza mayor
b) Fallos de organización
c) Fallos humanos
d) Fallos técnicos
e) Actos malintencionados

Algunas de las amenazas mas frecuentes están relacionadas con el incumplimiento de las medidas de seguridad y con la administración incorrecta de los sistemas y la comisión de errores en su configuración y operación.

El incumplimieto de las medidas de seguridad, como consecuencia de actos negligentes o falta de controles adecuados, originan daños que podrían haber sido evitados o por lo menos minimizados. Según las responsabilidades del usuario y la importancia de la norma incumplida, los daños podrían llegar a ser de gravedad.

Algunos ejemplos típicos son:

-Mantener accesibles puertas de emergencia en locales protegidos por sistemas de control de acceso.

-Guardar la llave del armario de los soportes físicos con información confidencial en un sitio de fácil acceso.

-Dejar escritas en un papel, cerca de la estación de trabajo, las contraseñas y claves de acceso.

-No disponer de archivo de respaldo en el momemnto en que se produce la perdida de datos

LA administración incorrecta del sistema ya sea por negligencia o por ignorancia, y los errores en la configuración de los parametros y opciones de los programas, condicionan también su seguridad.

Algunos ejemplos típicos son:

-Instalar de forma inadecuada los nuevos paquetes software

-No analizar los archivos de eventos.

-No disponer de un sistema de auditorías

-Ser excesivamente permisivo en la adjudicación de autorizaciones de acceso.

-No tener un control exaustivo de los nombres de ususario, permitiendo su repetición.

-Utilizar de forma inadecuada, o no utilizar, las herramientas de seguridad disponibles en los Sistemas Operativos.

- No controlar los puntos de acceso a las redes.


Actualizaciones Software

Actualizaciones Software

La mayoría de los programas y aplicaciones necesitan actualizarse periódicamente.
Estas actualizaciones de software vienen justificadas por diferentes motivos:

Reparar vulnerabilidades y agujeros de seguridad para los que exista parche.
Proporcionar nuevas funcionalidades o mejoras en las anteriores.
Motivaciones dependientes de la aplicación:
Sistema Operativo: Con frecuencia se instala nuevo hardware en el equipo que requiere la actualización de su software controlador.
Antivirus: Requieren la actualización constante de sus patrones de firmas para poder reconocer nuevos códigos maliciosos.
La mayoría de los programas tienen la opción de que las actualizaciones se realicen automáticamente, lo que permite tener el programa actualizado sin la necesidad de comprobar manual y periódicamente si la versión del programa es la última disponible.


Desde el INTECO damos una recomendación sobre el software instalado en el sistema:
- tener siempre activada las actualizaciones automáticas -

Sin embargo, en caso de que desee realizar la descarga manual de las actualizaciones o, que por algún motivo, tenga desactivada la opción de actualizaciones automáticas; en los siguientes apartados encontrará enlaces a las actualizaciones, descarga y soporte de los principales programas y aplicaciones.

Sistemas Operativos.
Antivirus.
Otros programas.

Consejos de Seguridad

Siempre:

Manténgase informado sobre las novedades y alertas de seguridad.
Mantenga actualizado su equipo, tanto el Sistema Operativo como cualquier aplicación que tenga instalada.
Haga copias de seguridad con cierta frecuencia, para evitar la pérdida de datos importante.
Utilice software legal que le suelen ofrecer garantía y soporte.
Utilice contraseñas fuertes en todos los servicios, para dificultar la suplantación de su usuario (evite nombres, fechas, datos conocidos o deducibles, etc.).
Utilice herramientas de seguridad que le ayudan a proteger / reparar su equipo frente a las amenazas de la Red.
Cree diferentes usuarios, cada uno de ellos con los permisos mínimos necesarios para poder realizar las acciones permitidas.

Diferentes aproximaciones al control de contenidos

Las herramientas de control parental utilizan y combinan diferentes técnicas para el filtrado de contenidos que comentamos a continuación. Los métodos empleados y la facilidad de optimización por parte del usuario pueden variar mucho entre ellos.



Técnicas de filtrado:
Listas positivas y negativas: Listas de páginas Web a las que se permite acceder, listas blancas; o a las que se prohíbe el acceso, listas negras.
Las listas negras tienen como inconveniente que dado la rapidez con la que se añaden nuevas páginas a la Web es casi imposible tenerlas actualizadas instantaneamente. Además algunas páginas utilizan trucos como codificar la URL para que no coincidan con las de las listas saltandose asi la protección.

Por ello son más utilizadas por los fabricantes de herramientas las listas blancas que garantizan contenidos apropiados, aunque limitan sustancialmente el número de páginas que visitar.

Es importante para los padres conocer el criterio de bloqueo utilizado por el creador de la lista. Hemos de confiar en él y sus criterios pueden no coincidir con los nuestros, siendo muy permisivos o bloqueando en exceso las páginas, perdiendo funcionalidad en la navegación. Algunas aplicaciones permiten al usuario incluir y/o quitar direcciones a su antojo para así completar las listas.


Bloqueo de palabras clave: Bloqueo de páginas que contengan determinadas palabras relacionadas con contenido inapropiado, del tipo "porno", "sexo", "drogas"...

Este método bloquea palabras aisladas que no están en un contexto determinado, así que si solo confiamos en este procedimiento podremos bloquear páginas apropiadas por el simple hecho de contener alguna de estas palabras clave.


Bloqueo de aplicaciones: Herramientas que permiten bloquear la entrada o salida de información en ciertas aplicaciones y/o servicios como WWW, Mensajería instantanea, FTP, Correo electrónico, Chat...

Que decir tiene que bloqueando las aplicaciones impediremos un uso inapropiado de ellas, pero por las mismas impediremos cualquier forma de uso apropiada para el menor. Algunas herramientas permiten filtrar únicamente datos especificos que salen del ordenador hacia Internet, los padres indican al programa que datos bloquear (apellidos, dirección, telefono, datos bancarios...) para que el menor ya sea accidentalmente o por desconocimiento no pueda suministrarlos a terceros.


Etiquetado de las páginas: Mediante un sistema de autoetiquetado de contenidos se indica a las herramientas de filtrado que bloquear y que no. La tecnología de etiquetado más popular y estandarizada es RDF, una terminología descriptiva por la que los mismos proveedores de contenidos indican mediante etiquetas que tipo de información está presente o ausente en sus sitios Web. De este modo los educadores pueden fácilmente configurar las herramientas de control para que solo se acceda a aquellas páginas marcadas con contenido no perjudicial para los menores.

ICRA (Internet Content Rating Association) y SafeSurf son dos de los principales sistemas de clasificación mediante etiquetas.

Lo positivo del autoetiquetado es que es estándar e independiente del idioma, muy optimizable, y además es el educador el que determina que tipos de contenidos bloquear y cuales no.

La problemática de esta iniciativa reside en concienciar a las creadores de contenido de la importancia de categorizar el tipo de material del Web. De ese cometido se encarga actualmente el proyecto Quatro (Garantía de Calidad y Descripción de Contenidos) que se desarrolla en el marco del programa europeo Safer Internet, y en el que participa la plataforma española IQUA (Agencia de Calidad de Internet).


Monitorización: Realizan una monitorización de las páginas visitadas por los menores para que los educadores puedan supervisar más tarde sus hábitos de navegación.

Estas herramientas pueden ser usadas con o sin el conocimiento de los usuarios del ordenador. Recomendamos a los padres comentar y discutir el uso de estas a los menores para que puedan aprender sobre un uso apropiado de Internet, confien en ellos y no puedan sentir más adelante el resentimiento de que han sido espiados por sus padres.


Control de tiempos: Limitan el tiempo que puede estar el menor conectado a Internet, permiten limitar por horas y días de la semana. Útil cuando no queramos que pasen mucho tiempo conectados o si queremos que solo se conecten en periodos en los que haya un adulto presente.

Control Parental

La llegada de Internet ha provocado una revolución en el desarrollo de las comunicaciones y de la información, conformando un punto de encuentro entre gentes y contenidos, un lugar desde donde acceder y compartir una inmensa cantidad de información digitalizada.

Mientras que Internet es una herramienta casi indispensable en nuestra vida diaria, relaciones sociales, formación y ocio; también es un reflejo de la sociedad actual en la que vivimos, con sus claros y oscuridades. La facilidad de acceso a la información que hace a la Web tan especial genera también en los padres una preocupación legítima sobre el tipo de contenido que se puede encontrar en ella, inapropiado para determinadas edades (pornografía, drogas...) e incluso reprobable (violencia, racismo, xenofobia...).

Los menores haciendo uso de su curiosidad y su capacidad de asimilación a las nuevas tecnologías exploran el Web ajenos a lo que les rodea. Bajo nuestro punto de vista los padres y educadores han de tener en cuenta este aspecto de la red, hablando abiertamente con los menores sobre el uso de Internet y proporcionandoles un entorno apropiado donde satisfacer sus inquietudes, alejados de contenidos indeseables (que al mismo tiempo pueden ser legales).

Como ayuda a los padres y educadores hay disponibles en la red aplicaciones de control y monitorización capaces de bloquear el acceso a contenidos no apropiados para menores.

Según un experto los virus informáticos serán los primeros «seres vivos» de Internet

Según un experto los virus informáticos serán los primeros «seres vivos» de Internet

En unos meses, «o quizás ahora mismo y aún no nos hemos dado cuenta», los virus que infectan los ordenadores aprenderán a mutar para burlar los sistemas anti-virus convencionales, convirtiéndose así en los primeros «seres vivos» de Internet, según el físico Juan Julián Merelo.

Este doctor en física, del departamento de Arquitectura y Tecnología de la Universidad de Granada, dirigió esta semana un encuentro en los cursos de verano de San Lorenzo de El Escorial sobre «Computación natural», con el fin de dar a conocer las perspectivas de este método. Esta ciencia, «muy nueva y completamente interdisciplinar» consiste en inspirarse en la naturaleza para resolver problemas en cualquier campo (informático, industrial o científico), que no se pueden resolver de forma analítica, explicó Merelo.