Download Sistemas de Información Seguros

Ing. Johanna Macías
Electiva de Seguridad Informática


Sistema de Información
Características de un sistema Seguro:
◦
◦
◦
◦



Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad
Ataque
Tipos de Daños
Seguridad
◦ Objetivos



Los sistemas de información son un conjunto de componentes que
recolectan, procesan, almacenan, y distribuye la información para
apoyar la toma de decisiones y el control de la organización. Un
sistema de Información por lo tanto se compone por varios aspectos
que permiten la fluidez de los datos en toda la empresa y hacia
todos los entes garantizando a su vez la confiabilidad de los
mismos.
Como cualquier otro sistema, un SI tiene elementos de entradas
(insumos o datos), los procesos que transforman y organizan esa
entrada, salidas (información y resultados) y una vía de
comunicación para los demás entes. Además, se debe tomar en
cuenta no solo la interacción de los equipos informáticos sino
también del personal que hace uso de ellos.
Basándonos en esto podemos decir que un Sistema de Información
es el que mantiene la infraestructura de comunicación en una
organización.

Existen muchos autores que pueden
dividir o clasificar estos componentes
de otras formas igualmente validas.
Los componentes de un sistema
de información los podríamos
dividir en Lógicos, Físicos y
Operacionales.
• Los Lógicos es toda la
información que navega a través
del sistema junto a las
aplicaciones que hacen uro de
ellas.
• Los físicos componen todo
equipo mecánico, eléctrico y/o
electrónico que manipulan dicha
información.
• Los Operacionales, conjunto
de personal que interactúa con
la información en cada
departamento.
Un sistema de información para ser seguro
debe ofrecer las siguientes características:



Integridad: La información no puede ser
modificada por quien no está autorizado
Confidencialidad: La información solo debe ser
legible para los autorizados
Disponibilidad: Debe estar disponible cuando se
necesita


Ataques activos: Estos ataques implican algún tipo de
modificación de los datos o la creación de falsos datos:
Suplantación de identidad, Modificación de mensajes, Web
Spoofing Etc.
Ataques pasivos: En los ataques pasivos el atacante no
altera la comunicación, si no que únicamente la escucha o
monitoriza, para obtener de esta manera la información
que está siendo transmitida. .Los ataques pasivos son muy
difíciles de detectar, ya que no provocan ninguna alteración
de los datos. Sin embargo, es posible evitar su éxito
mediante el cifrado de la información y otros mecanismos.


Interrupción: Un recurso del sistema es destruido o se vuelve no
disponible. Éste es un ataque contra la disponibilidad. Ejemplos
de este ataque son los Nukes, que causan que los equipos
queden fuera de servicio. También la destrucción o sabotaje de
un elemento hardware, como cortar una línea de comunicación.
Intercepción: Una entidad no autorizada consigue acceso a un
recurso. Éste es un ataque contra la confidencialidad. Ejemplos de
este ataque son la obtención de datos mediante el empleo de
programas troyanos o la copia ilícita de archivos o programas
(intercepción de datos), o bien la lectura de las cabeceras de
paquetes de datos para desvelar la identidad de uno o más de
los usuarios mediante el Spoofing o engaño implicados en la
comunicación intervenida (intercepción de identidad).


Modificación: Una entidad no autorizada no sólo consigue acceder
a un recurso, si no que es capaz de manipularlo. Virus y troyanos
poseen esa capacidad. Éste es un ataque contra la integridad.
Ejemplos de este ataque son la modificación de cualquier tipo en
archivos de datos, alterar un programa para que funcione de
forma distinta y modificar el contenido de información que
esté siendo transferida por la red.
Fabricación: Una entidad no autorizada inserta objetos falsificados
en el sistema. Éste es un ataque contra la autenticidad. Ejemplos
de este ataque son la inserción de mensajes falsos en una red o
añadir datos a un archivo. Asimismo estos ataques se pueden
clasificar en términos de ataques pasivos y ataques activos.


La seguridad informática es el área de la informática que
se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta (incluyendo
la información contenida). Para ello existen una serie de
estándares, protocolos, métodos, reglas, herramientas y
leyes concebidas para minimizar los posibles riesgos a la
infraestructura o a la información.
La seguridad informática comprende software, bases de
datos, metadatos, archivos y todo lo que la organización
valore (activo) y signifique un riesgo si ésta llega a manos
de otras personas. Este tipo de información se conoce
como información privilegiada o confidencial.


La seguridad física es uno de los aspectos más olvidados a
la hora del diseño de un sistema informático. Si bien
algunos de los aspectos se prevén, otros, como la
detección de un atacante interno a la empresa que intenta
a acceder físicamente a una sala de operaciones de la
misma, no.
Así, la Seguridad Física consiste en la "aplicación de
barreras físicas y procedimientos de control, como
medidas de prevención y contramedidas ante amenazas a
los recursos e información confidencial“. Se refiere a los
controles y mecanismos de seguridad dentro y alrededor
del Centro de Cómputo así como los medios de acceso
remoto al y desde el mismo; implementados para proteger
el hardware y medios de almacenamiento de datos.



Incendios: Los incendios son causados por el uso inadecuado de combustibles,
fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y
traslado de sustancias peligrosas.
El fuego es una de las principales amenazas contra la seguridad. Es considerado el
enemigo número uno de las computadoras ya que puede destruir fácilmente los
archivos de información y programas.
Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales
o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial.
Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de
una inundación provocada por la necesidad de apagar un incendio en un piso
superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir
un techo impermeable para evitar el paso de agua desde un nivel superior y
acondicionar las puertas para contener el agua que bajase por las escaleras.
Condiciones Climatológicas : Las condiciones atmosféricas severas se asocian a
ciertas partes del mundo y la probabilidad de que ocurran está documentada.
La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir
la construcción de un edificio. La comprobación de los informes climatológicos o
la existencia de un servicio que notifique la proximidad de una tormenta severa,
permite que se tomen precauciones adicionales, tales como la retirada de objetos
móviles, la provisión de calor, iluminación o combustible para la emergencia.



Señales de Radar
La influencia de las señales o rayos de radar sobre el funcionamiento de una
computadora ha sido exhaustivamente estudiada desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy
fuertes de radar pueden inferir en el procesamiento electrónico de la información,
pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del
centro de procesamiento respectivo y, en algún momento, estuviera apuntando
directamente hacia dicha ventana.
Instalaciones Eléctricas: Trabajar con computadoras implica trabajar con
electricidad. Por lo tanto esta una de las principales áreas a considerar en la
seguridad física. Además, es una problemática que abarca desde el usuario
hogareño hasta la gran empresa.
En la medida que los sistemas se vuelven más complicados se hace más necesaria
la presencia de un especialista para evaluar riesgos particulares y aplicar
soluciones que estén de acuerdo con una norma de seguridad industrial.
Ergometría: El enfoque ergonómico plantea la adaptación de los métodos, los
objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones
de trabajo a la anatomía, la fisiología y la psicología del operador. Entre los fines
de su aplicación se encuentra, fundamentalmente, la protección de los
trabajadores contra problemas tales como el agotamiento, las sobrecargas y el
envejecimiento prematuro.
Evaluar y controlar permanentemente la
seguridad física del edificio es la base
para o comenzar a integrar la seguridad
como una función primordial dentro de
cualquier organismo.
Tener controlado el ambiente y acceso
físico permite:
 disminuir siniestros
 trabajar mejor manteniendo la sensación
de seguridad
 descartar falsas hipótesis si se
produjeran incidentes
 tener los medios para luchar contra
accidentes


La Seguridad Lógica consiste en
la "aplicación de barreras y
procedimientos que resguarden
el acceso a los datos y sólo se
permita acceder a ellos a las
personas autorizadas para
hacerlo.”
Los controles anteriormente
mencionados se pueden hacer
a nivel sistema operativo, a
nivel aplicación, a nivel base de
datos o archivo, o a nivel
firmware.







Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una
supervisión minuciosa y no puedan modificar los
programas ni los archivos que no correspondan.
Asegurar que se estén utilizados los datos, archivos y
programas correctos en y por el procedimiento correcto.
Que la información transmitida sea recibida sólo por el
destinatario al cual ha sido enviada y no a otro.
Que la información recibida sea la misma que ha sido
transmitida.
Que existan sistemas alternativos secundarios de
transmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para
la transmisión de información.


Estos controles pueden implementarse en el Sistema Operativo,
sobre los sistemas de aplicación, en bases de datos, en un
paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema
operativo de la red, al sistema de aplicación y demás software de
la utilización o modificaciones no autorizadas; para mantener la
integridad de la información (restringiendo la cantidad de
usuarios y procesos con acceso permitido) y para resguardar la
información confidencial de accesos no autorizados.
◦
◦
◦
◦
◦
◦
◦
◦
◦
Identificación y Autentificación
Roles
Transacciones
Limitaciones a los Servicios
Modalidad de Acceso
Ubicación y Horario
Control de Acceso Interno
Control de Acceso Externo
Administración
Niveles de Seguridad Informática
 El estándar de niveles de seguridad mas utilizado
internacionalmente es el TCSEC Orange Book(2),
desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de
Defensa de los Estados Unidos.
 Los niveles describen diferentes tipos de
seguridad del Sistema Operativo y se enumeran
desde el mínimo grado de seguridad al máximo.
 Estos niveles han sido la base de desarrollo de
estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).




Segu Info Español
Guia de Seguridad
Libro Seguridad Informática
Articulo sobre seguridad Activa