FORMACIÓN ABIERTA

Objetivos

• Este tema tiene como finalidad concienciar sobre la importancia que tiene la pro- tección de los sistemas informáticos en la actualidad del Siglo XXI máxime cuando existen tantas amenazas latentes en el sector de las nuevas tecnologías de la informa- ción y comunicación.
• Para ello, resulta imprescindible conocer su existencia, las vulnerabilidades que ofre- cen los sistemas y conocer aunque sea de forma genérica cuales son los fundamentos de la seguridad lógica.
• Se dice que los riesgos que amenazan los sistemas digitales están integrados por tres importantes elementos, a saber los activos, las amenazas y sus vulnerabilidades. Por esta razón resulta imprescindible conocer qué significa cada uno de esos conceptos y adentrarse en los mecanismos de control de las vulnerabilidades que pueden afectar a las organizaciones que puedan ser objetivo de los ataques informáticos construyendo un mecanismo de defensa en profundiza que frustre sus consecuencias.
• Para ello resulta imprescindible elaborar las oportunas políticas de seguridad basa- das en los diversos modelos y mecanismos de seguridad probados empíricamente que se describen en el presenta tema.

Introducción

En la actualidad, todos somos conscientes de que si no tomamos ninguna medida de protección en nuestros sistemas informáticos la mayoría de las expectativas de seguridad se verán frustradas, ya que la información está expuesta a innumerables amenazas, cada una con una probabilidad de concurrencia y un riesgo asociado variables, como sucede con los ataques de los hackers externos, los virus, gusanos y troyanos, o la aparición de empleados descontentos o sobornados, aparición de fallos de hardware o de software

,las interrupciones en el suministro eléctrico o red, la declaración de fuegos, incendios e inundaciones.

La seguridad de la información, por ello, es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informáticos. Dicho de otro modo, mediante la aplicación de determinados principios de seguridad, se pretende implantar en los sistemas informá- ticos las medidas de seguridad capaces de contrarrestar las amenazas a que se encuentran expuestos los activos de la organización: la información y los elementos hardware y sof- tware que la soportan.

No se trata de implantar gratuitamente medidas de seguridad, tales como cortafuegos o cifrado de datos porque tal o cual tecnología de es habitual implementarla en los equi- pos informáticos. Se trata más bien de evaluar el alcance de los riesgos reales a los que la información está expuesta y evitarlos mediante la aplicación de las medidas necesarias y en el grado adecuado, con el fin de satisfacer las expectativas de seguridad generadas.

Conocemos, por tanto como riesgo, la probabilidad de que una amenaza se materia- lice aprovechando una vulnerabilidad causando daño (impacto) en un proceso o sistema. La no existencia de vulnerabilidades, algo irreal, conllevaría que un sistema fuera resis- tente a cualquier amenaza, es decir conseguiríamos el riesgo nulo.

FORMACIÓN ABIERTA

1.1.   La seguridad lógica

La seguridad informática no dista mucho de la seguridad tradicional. De igual modo que se pueden cometer delitos en el mundo físico, en el digital también se producen. Alguien puede sustraer dinero de cuentas bancarias, sustraer claves de acceso a sistemas informáticos, blanquear fondos de procedencia ilegal, etc. En definitiva, existen múlti- ples delitos que se pueden cometer en el entorno digital, todos ellos relacionados con la información que se aloja en sistemas o que se transmite por las redes de comunicaciones.

Las amenazas a la información en una red pueden caracterizarse modelando el siste- ma como un flujo de información desde una fuente, como por ejemplo un archivo o una región de la memoria principal, a un destino, como por ejemplo otro archivo o un usuario, la creación de información nueva introducida clandestinamente, su modificación alteran- do la original, su intercepción atacando la confidencialidad, o su interrupción fraudulenta.

Si queremos comprobar si un software es seguro se hace normalmente de tres formar: confiar ciegamente en las declaraciones de los fabricantes del sistema, red informática o software, hacer pruebas personalmente con el consiguiente esfuerzo técnico y personal, o recurrir a una auditoría neutral encargada de evaluar y certificar el cumplimiento de los requisitos de seguridad basada en normas internacionalmente estandarizadas.

La planificación para la seguridad de la información incluye entre sus primeras fa- ses la realización de un análisis de riesgos sobre los activos a proteger. Este análisis tiene como objetivo identificar los riesgos, cuantificar su impacto y evaluar el coste para mitigarlos. Existen muchas categorías de riesgos, como por ejemplo, el daño a la infor- mación, lo que representa una pérdida de integridad; revelación de información, lo que supone una pérdida de confidencialidad; o pérdida de información, que es una pérdida de disponibilidad.

Por otro lado, existen numerosos factores de riesgo, como por ejemplo daño físico, fallos técnicos en el funcionamiento, ataques internos o externos, errores humanos o erro- res de las aplicaciones.

Cada activo de la información analizado posee como mínimo una categoría de ries- go asociada a uno o más factores de riesgo, siendo la exposición la posibilidad de que  la amenaza se materialice. Para reducir esta exposición o mitigar el riesgo se aplican contramedidas¹.

Un riesgo para un sistema informático está compuesto por la terna de activo, amena- za y vulnerabilidad, relacionados según la fórmula de:

Riesgo = Amenaza + Vulnerabilidad².

Entendemos como activo al sistema o conjunto de sistemas sobre los que se desea calcular el riesgo asociado; amenaza, comprende los agentes que pueden atacar a un sis- tema; y vulnerabilidad, como punto en el que un recurso es susceptible de ataque.

Las amenazas a las que nos podemos encontrar se clasifican en:

1. Accidentales
   1. Fallos en los equipos
   1. Anomalías en el suministro de energía
   1. Malfuncionamiento de programas
2. Naturales
   1. Fuego
   1. Inundaciones
3. Intencionadas
   1. Fraudes
   1. Sabotajes
   1. Amenazas Pasivas
4. Interceptación (p. ej. captura de contraseñas)
   1. Amenazas activas:
   1. Generación (p.e. envío de correo fraudulento.)
   1. Modificación (p. ej. modificación de mensajes de correo)
   1. Interrupción (p. ej. bloquear el servicio de cobro de VISA)

1.1.1. Mecanismos de control de defensa en profundidad

Para ello se debe establecer en la empresa un mecanismo de defensa en profundidad que proteja íntegramente las tecnologías de la información de la organización. Las capas en las que se divide esta infraestructura, se dice son siete. En cada una de ellas se implan- tan una serie de mecanismos de protección que implica al personal, su tecnología y los procesos con la finalidad de mitigar los riesgos:

FORMACIÓN ABIERTA

Políticas y procedimientos de seguridad. Es la más desatendida y constituye la piedra angular de todas las demás. Constituye el programa de seguridad que la dirección de la organización debe divulgar a todo su personal.

Seguridad física y del entorno.           Constituyen las medidas de seguridad que intentan evitar que el atacante pueda acceder al sistema informático.

Defensa perimetral. El perímetro es el conjunto de puntos de la red interna de confianza gestionada por la propia organización en contacto con otras redes externas no fiables, no solo de Internet. Se pretende evitar que se acceda ilícitamente a la red desde el exterior atacando los servicios que suministran el acceso a la información.

Defensa de red.           Se intenta evitar que el atacante pueda tener acceso a la red interna de la organización mediante el ataque a cualquier puerto del equipo o monitorizar el trá- fico de la red.

Defensa de equipos. Para evitar que se pueda acceder al equipo a través de vulnerabili- dad en servicios del sistema operativo a la escucha.

Defensa de las aplicaciones. Se evita implantando una sólida infraestructura de meca- nismos de autenticación y autorización como son los cortafuegos.

Defensa de datos. Si se ha accedido al sistema y vulnerado todas sus protecciones la implantación de una estructura correcta de cifrado garantizarán la integridad del sistema.

SEGURIDAD LÓGICA

Para comprobar si nuestro sistema informático es seguro también podemos acudir a diferentes modelos como:

1.1.2. Modelos de control

1.1.1.1.  Modelo de confianza TCB

Este modelo se basa en el Criterio de Evaluación de Sistemas de computación con- fiable, en inglés: Trusted Computer System Evaluation Criteria (TCSEC). Se trata de un estándar creado por el departamento de defensa de los EE.UU que también es conocido como el Libro Naranja de Seguridad.

El modelo de Base de computación Confiable (Trusted Computing Base TCB) in- tegra todos aquellos componentes relacionados con la seguridad del sistema y contiene todos los elementos del sistema encargados de soportar las política de seguridad y el ais- lamiento de objetos (código y datos) en que se basa la protección³.

1.1.1.2.  Modelo de control de acceso

Cuando un atacante posee acceso directo a la información básicamente utiliza técni- cas criptográficas para hacer uso de la misma. Pero cuando este atacante no tiene acceso directo a la información debe utilizar técnicas de control de acceso. Este modelo pretende evitar este riesgo.

Como se ha comentado, el principal problema en la construcción de sistemas infor- máticos seguros consiste en el diseño de eficaces políticas de seguridad, su exacta repre- sentación en modelos y su estricto desarrollo en mecanismos.

Para comprender todo lo que concierne a las técnicas de control de acceso, primero debemos aclarar unos conceptos:

Objeto. Entidad pasiva que contiene, recibe o trata información. Sujeto. Entidad activa que actúa sobre un objeto.

Política de seguridad técnica. Conjunto de directrices que regula el tratamiento de los da- tos y el uso de recursos por un sistema de información. Se expresa mediante un lenguaje natural.

Modelo de seguridad. Expresión teórica formal (matemática) de una política de seguridad técnica.

FORMACIÓN ABIERTA

Mecanismo de seguridad. Algoritmo, que puede ser implementado en hardware o softwa- re, que representa un modelo de seguridad.

La política de control de accesos se basa en directrices que establecen bajo qué con- diciones un sujeto identificado en un sistema puede acceder a un objeto presente en él. El control de acceso puede, y en múltiples ocasiones para ser eficaz debe implementarse en diversos niveles.

A continuación describimos los diferentes modelos de control de accesos existentes:

Modelo de control de accesos. Se trata de un modelo de seguridad que expresa formal- mente una política de control de accesos. Entre los más importantes se encuentran el modelo de Harrison, Ruzzo y Ullman, el modelo de Graham y Denning.

Mecanismo de control de acceso. Es el mecanismo responsable de mediar los intentos de acceso de los sujetos sobre los objetos y monitorizar los comandos que otorgan, transfie- ren o revocan los derechos de los sujetos sobre los objetos.

Monitor de referencia. Es la máquina abstracta que materializa un mecanismo de seguri- dad y monitoriza todas las operaciones que hacen los sujetos sobre sus objetos.

En un esquema se pueden reproducir las operaciones que los sujetos tienen autoriza- das sobre los objetos según tengan autorización para la lectura (r) de la información, de escritura (w) o grabación o de ejecución (x).

Este sistema permite apreciar esquemáticamente quienes están autorizados por la organización para controlar el sistema informático de la empresa y así poder revocas si es preciso algunos o todos los permisos concedidos⁴.

1.1.1.3.  Modelo de confidencialidad: Bell-La Padula

El modelo más conocido se llama Bell-La Padula (1976). Originariamente se diseñó para estructuras informáticas de carácter militar. Este modelo se centra en dos actores, el primero, los Sujetos o entidades activas como pueden ser los usuarios, administradores, aplicaciones o procesos y en segundo lugar los Objetos que son entidades pasivas como datos, archivos, etc. Cada sujeto y objeto tiene asignado diferentes atributos de seguridad⁵.

Se establecen diferentes niveles de seguridad de forma que cada objeto (por ejemplo dato) se enmarca en un único nivel y cada persona también en el suyo en función de los atributos que se le concedan.

De esta forma, un proceso que se ejecuta en el nivel 3 solo lo pueden leer objetos de su nivel y los inferiores o sea hacia abajo.

Este modelo se desarrolló para mantener la confidencialidad pero no su integridad.

FORMACIÓN ABIERTA

Las propiedades de este modelo son:

Propiedad de seguridad simple: Ningún proceso puede leer información de un nivel superior.

Propiedad estrella: Ningún proceso puede escribir información en un nivel inferior⁶.

1.1.1.4.  Modelo de integridad: Biba

El autor de dicho modelo es Ken Biba, descrito en 1977. Su objetivo es el control de flujo de la información en lo referente a su integridad. En el modelo de Biba, se garantiza la integridad con propiedades opuestas a las del modelo anterior.

La propiedad de seguridad simple, un proceso que se ejecuta en el nivel de seguridad solo puede escribir sobre objetos de su nivel o de niveles inferiores (se escribe hacia aba- jo). Este modelo controla el flujo de información en un sistema para preservar la integri- dad de los datos, estableciendo unas precisas reglas de control de acceso. A mayor nivel de etiqueta, mayor confianza en términos de integridad en el sujeto/objeto⁷.

1.1.1.5.  Modelos híbridos: Muralla China

Los autores son Brewer y Nash, descrito en el año 1989. Lo crearon con la intención de evitar que un usuario acceda a datos de empresas competidoras y preservar así la con- fidencialidad que está destinado a empresas cuyos clientes son corporaciones del mismo sector empresarial. Estas reglas de restricción son conocidas como murallas chinas.

El acceso del Sujeto a un Objeto se concede si este se encuentra en el mismo con- junto de datos de una empresa ya accedido antes por el sujeto, o bien no pertenece a una clase de conflicto de intereses ya accedida por el sujeto.

1.1.1.6.  Modelo seguridad multinivel (MLS)

Hablamos de sistemas multinivel (MLS) a aquellos sistemas operativos y bases de datos que contienen objetos con diferentes niveles de seguridad como la confidencialidad y la integridad, y registran sujetos con diferentes habilitaciones. Los privilegios de acceso a los objetos se conceden, o no, tras comprobar el nivel de sensibilidad del objeto con la habilitación del sujeto.

El objetivo de esos sistemas es el control estricto del flujo de información. Los pro- ductos que se basan en este tipo de sistema son Sistemas Operativos y Bases de Da-    tos de carácter militar, aunque algunos han sido comercializados después en mercados de carácter civil.

El origen de esta propuesta proviene de la organización internacional de carácter militar OTAN, con el propósito de etiquetar objetos de acuerdo a la sensibilidad de la información que contienen o pueden tratar. Además del etiquetado de sujetos de acuerdo a su habilitación de seguridad. Se establece de esta manera una jerarquización de sujetos y objetos⁸.

FORMACIÓN ABIERTA

Resumen

• Si no tomamos ninguna medida de protección en nuestros sistemas informáticos la mayoría de las expectativas de seguridad se verán frustradas.
• La probabilidad de concurrencia y un riesgo informático tiene multitud de variacio- nes en la actualidad.
• Resulta imprescindible, por ello, conocer qué significa cada uno de esos conceptos y adentrarse en los mecanismos de control de las vulnerabilidades que pueden afectar a las organizaciones que puedan ser objetivo de los ataques informáticos construyendo un mecanismo de defensa en profundiza que frustre sus consecuencias.
• La seguridad informática no dista mucho de la seguridad tradicional. De igual modo que se pueden cometer delitos en el mundo físico, en el digital también se producen.
• Si queremos comprobar si un software es seguro lo podemos comprobar de tres for- mas: confiar ciegamente en las declaraciones de los fabricantes del sistema, hacer pruebas personalmente o recurrir a una auditoría neutral encargada al efecto.
• La planificación para la seguridad de la información incluye entre sus primeras fases la realización de un análisis de riesgos sobre los activos a proteger y para reducir esta exposición o mitigar el riesgo se aplican contramedidas.
• Un riesgo para un sistema informático está compuesto por la terna de activo, ame- naza y vulnerabilidad entendiendo como activo al sistema o conjunto de sistemas sobre los que se desea calcular el riesgo asociado; amenaza, comprende los agentes que pueden atacar a un sistema; y vulnerabilidad, como punto en el que un recurso es susceptible de ataque.
• Las amenazas a las que nos podemos encontrar se clasifican en accidentales, natura- les, intencionadas y de interceptación.
• Para evitarlo se debe establecer en la empresa un mecanismo de defensa en profun- didad que proteja íntegramente las tecnologías de la información de la organización.
• Así, se deben implantar procedimientos basados en mecanismos dotados de políticas y procedimientos de seguridad, protección de la seguridad física y del entorno, de- fensa perimetral, defensa de red, de los equipos, de las aplicaciones y de los datos.

• Y para comprobarlo se deben efectuar auditorias basadas en diferentes modelos de control, como los de confianza, modelos de control de acceso, modelos de integri- dad, híbridos, tipo “muralla china” o de seguridad multinivel que permiten verificar cual es el nivel de protección de los sistemas informáticos y sus vulnerabilidades de acceso a la información.