Contenido
Tema 44. Técnicas y procedimientos para la seguridad de los datos. 1
2. SEGURIDAD EN LOS SISTEMAS DE INFORAMACIÓN.. 2
3. TÉCNICAS Y PROCEDIMIENTOS DE SEGURIDAD FÍSICOS. 2
3.1 Sistemas de alimentación ininterrumpida (SAI). 2
3.3 Copias de seguridad (Backups). 3
4. TÉCNICAS Y PROCEDIMIENTOS DE SEGURIDAD LÓGICOS. 4
4.2 Firma digital y certificación. 4
4.4 Diccionario de seguridad. 5
5. TÉCNICAS Y PROCEDIMIENTOS DE SEGURIDAD EN REDES DE ÁREA LOCAL. 5
5.1 Protección de la infraestructura. 5
5.2 Protección de servidores. 5
6. TÉCNICAS Y PROCEDIMIENTOS PARA LA SEGURIDAD DE DATOS PERSONALES. 6
6.1 Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal 6
1. INTRODUCCIÓN
La seguridad en los sistemas de información basados en mainframes con grandes redes de ordenadores, en servidores multiusuario con redes de área local o aislados sistemas monousuario, siempre es fundamental para la supervivencia de cualquier organización.
Se comenzó a ocuparse de este problema en los 70.
Como resultado surgen el análisis y gestión del riesgo como recopilación de todas las actividades encaminadas a la medición y el cálculo de la seguridad.
2. SEGURIDAD EN LOS SISTEMAS DE INFORAMACIÓN
La seguridad de un sistema de información consistirá en una serie de actividades encaminadas a conseguir, para los datos que se manejan, los siguientes objetivos:
– Autentificación: garantía de que los datos son auténticos.
– Confidencialidad: garantía de que los datos no serán descubiertos por personas no autorizadas.
– Integridad: garantía de que los datos son modificados, creados y eliminados solamente por personas autorizadas.
– Disponibilidad: garantía de que los datos estarán disponibles cuando sean necesarios.
Estos objetivos son imprescindibles, sin embargo, los sistemas de seguridad pueden aportar, además, los siguientes servicios añadidos.
– Servicio de no-repudiación: garantiza que un usuario no pueda negar haber recibido o enviado un documento electrónico.
– Reclamación de origen: garantiza la identidad del autor de un documento electrónico.
– Reclamación de propiedad: garantiza la posesión de un documento electrónico.
– Accesibilidad: garantiza el acceso a los datos únicamente por personas autorizadas.
– Intercambio equitativo de valores: garantiza la recepción de un documento a cambio de otro (por ejemplo, un recibo por haber realizado un pago)
– Certificación de fechas: garantiza la fecha y hora de recepción, envío o creación de un documento.
La implantación de un sistema de seguridad implica que se tomen medidas de tipo: organizativo, como la publicación de normas de seguridad (Política de Seguridad)
Legislativo, como el establecimiento de sanciones para aquellas personas que no cumplan estas normas
Técnico, como la criptografía.
Dependiendo del tipo de elemento al que protegen, las distintas técnicas y procedimientos de seguridad pueden clasificarse en físicos y lógicos.
3. TÉCNICAS Y PROCEDIMIENTOS DE SEGURIDAD FÍSICOS
Dentro de este grupo se incluirán las técnicas encaminadas a la protección de los medios de comunicación y los soportes utilizados para el almacenamiento y transmisión de los datos.
Estos sistemas deberán hacer frente a situaciones como: inundaciones, interrupción del suministro eléctrico, fallos de equipos, daños físicos…
Se utilizan las siguientes técnicas:
3.1 Sistemas de alimentación ininterrumpida (SAI)
Los SAI`s proporcionan una protección global. Son dispositivos encaminados a la protección de fallos debidos a anomalías en el sistema de alimentación eléctrica; para ello construyen una onda de alimentación independiente en la red eléctrica a la vez que incluyen baterías que aseguran el suministro de corriente en el caso de un corte general mientras se procede a un correcto apagado del sistema.
3.2 Centros de respaldo
Son instalaciones independientes al CPD(centro de proceso de datos) donde puede dirigirse el personal en el caso de que el CPD quedará inutilizado. Desde allí deberán poder continuar con su trabajo mientras se soluciona el problema y asegurar así las labores de procesamiento.
Podrán ser propiedad de la Organización o un servicio contratado con una empresa externa.
Conservar en sala fría.
3.3 Copias de seguridad (Backups)
El sistema de seguridad de la organización dictará las normas que hay que seguir para la realización de las copias de seguridad de los datos, tanto para su periodicidad y procedimiento de recuperación, como para el tipo de soporte y su alimentación.
3.4 Tarjetas de seguridad
Las tarjetas de seguridad identificativas usadas por los trabajadores permitirán el acceso restringido a las instalaciones donde se encuentre el sistema de información. Estas tarjetas almacenan información del personal que las usa (horario laboral e instalaciones en las que desarrolla su trabajo)
3.5 Mochilas
Son dispositivos físicos que se colocan en los conectores de E/S de los equipos y que realizan un cifrado de los datos que se graben a través de un determinado dispositivo. El soporte donde se almacenan los datos grabados sólo será legible en el equipo donde se realizó la grabación.
4. TÉCNICAS Y PROCEDIMIENTOS DE SEGURIDAD LÓGICOS
Dentro de este grupo se incluirán las técnicas encaminadas a la protección contra las amenazas a los dispositivos lógicos. Pueden ser robo o manipulación no autorizado de datos, sabotajes…
Existen las siguientes técnicas:
4.1 Cifrado de datos
Métodos de protección más fiable. Consiste en la transformación de los datos, de forma que una persona que no deba tener acceso a ellos no sea capaz de entenderlos.
Simétricos: Las claves de cifrado y descifrado coinciden.
Asimétricos: Las claves no coinciden.
El método más conocido para el cifrado de datos es la clave privada, con la cual se codifica el mensaje.
También existen métodos asimétricos de clave privada, donde se utilizan 2 claves, una pública que conocen todos los destinatarios del mensaje y una privada¸ de forma que cualquier mensaje cifrado con una de las dos claves sólo se puede descifrar con la otra.
Cifrado endeble: método utilizado en sistemas de seguridad medios.
4.2 Firma digital y certificación
Se utilizan para comprobar la autenticidad de los mensajes recibidos. Consiste en la aplicación de una función hash al mensaje de forma que se obtenga un resumen que será cifrado con una clave propia de la persona que lo envía.
Existen dos tipos de firma digital:
– Firma electrónica básica: Identifica el autor de un documento mediante la inclusión de un conjunto de datos recogidos de forma electrónica.
– Firma electrónica avanzada: Permite identificar al firmante y detectar cualquier cambio.
4.3 Control de accesos
Consiste en impedir que personas o sistemas no autorizados puedan acceder a ciertos datos.
Medidas concretas: reconocimiento de voz, retina, huellas dactilares, tarjetas magnéticas, contraseñas, claves de acceso…
4.4 Diccionario de seguridad
Consiste en la utilización de una base de datos cifrada, con información sobre los privilegios de los usuarios a la que solamente tendrá acceso el administrador de seguridad.
4.5 Antivirus
Programas especializados en la detección y eliminación de sw maligno (viruses)
Existen varios tipos:
– Virus: Se autocopian y se añaden a una aplicación y se ejecutan.
– Gusano o Worm: Busca huecos en la memoria y se autocopia hasta saturarla.
– Bomba lógica: Permanece inactivo mientras no se cumpla una condición.
– Caballo de troya: Programa que viene disimulado dentro de otro no dañino.
5. TÉCNICAS Y PROCEDIMIENTOS DE SEGURIDAD EN REDES DE ÁREA LOCAL
Las redes que permiten la comunicación entre varios equipos, pueden convertirse en elementos vulnerables en cuanto a seguridad de un sistema.
5.1 Protección de la infraestructura
Las medidas de protección deben ir encaminadas a no permitir la saturación de las líneas con datos extraños y a la protección de los elementos de interconexión (routers, cortafuegos, servidores proxy…)
Para proteger la red en este sentido se procede a la protección de los paquetes de actualización de rutas que envían los protocolos. Hay 3 niveles:
– Contraseñas “en claro”: para protección más baja.
– Sumas de verificación criptográficas: para nivel de seguridad medio.
– Cifrado: para un acceso a mayor nivel, pero con un consumo alto de recursos.
5.2 Protección de servidores
Consiste en la utilización de 2 sistemas distintos, uno dedicado a los servicios internos, y otro a los externos. Se asegura que ningún usuario externo tenga la posibilidad de acceder a datos internos.
5.2.1 Cortafuegos y Servidores proxy
–Cortafuegos: mecanismos encaminados a controlar los accesos a/o desde una red.
– Routers de filtrado: Encaminan información por la red, y pueden decidir si enviar o no un determinado paquete.
– Servidor proxy: Podrá contar con sus propias medidas de seguridad y permitir o restringir a los usuarios el acceso a cierta información o ciertos de servicios, realizar cifrado de datos…
6. TÉCNICAS Y PROCEDIMIENTOS PARA LA SEGURIDAD DE DATOS PERSONALES.
Cuando los datos con los que trabaja el sistema de información son datos personales, la ley impone un reglamento por el que se establecen las normas de seguridad que se deben cumplir para evitar su alteración, perdida, tratamiento o acceso no autorizado.
La ley LORTAD prevé, garantizar la seguridad de los datos de carácter personal y que eviten su alteración.
6.1 Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal
Hay 3 niveles de seguridad para los datos de carácter personal: