Seguridad de la informacion

>> Seguridad de la Información

11

ÍndicePrólogo: .....................................................................................................................3

capítulo 1 ¿En qué consiste un análisis de riesgos?...................................................................41.1 Inventariar los activos.......................................................................................41.2 Detectar las amenazas.....................................................................................51.3 Localizar sus vulnerabilidades. .........................................................................51.4 Valorar el impacto. ...........................................................................................61.5 Calcular el riesgo..............................................................................................61.6 Implantar un control. ........................................................................................7

capítulo 2 Cómo podemos proteger nuestros activos ................................................................82.1 Riesgos de acceso. .........................................................................................82.1.1Contraseñas o (Passwords)............................................................................82.1.2 Sistemas Biométricos....................................................................................92.1.3 Certificados Digitales.....................................................................................92.2 Protección contra código malicioso. Virus........................................................92.3 Integridad.......................................................................................................102.4 Copias de seguridad-Backup.........................................................................112.4.1 Backup incremental ....................................................................................112.4.2 Copias en caliente.......................................................................................122.4.3 Cifrado de backups.....................................................................................12

capítulo 3 Recuperación de sistemas.......................................................................................13

capítulo 4 Gestión de la seguridad en las redes .......................................................................144.1 El Protocolo SSL, TSL . .................................................................................144.2 VPN. ..............................................................................................................154.3 Protección de redes inalámbricas. .................................................................15

capítulo 5 La Certificación digital como elemento de seguridad en nuestras empresas ...........165.1. Validación de los Certificados........................................................................175.2. Usos .............................................................................................................185.2.1. Autenticación .............................................................................................185.2.2. Firma Electrónica ......................................................................................185.2.3. Cifrado .......................................................................................................19

capítulo 6 Sello de tiempo.......................................................................................................20

capítulo 7 Glosario: .................................................................................................................21

2

El copyright de este documento es propiedad de Camerfirma.No está permitido su reproducción total o parcial ni su uso con otras organizaciones para ningún otro propósito,excepto autorización previa por escrito.


3

PrólogoLa seguridad de la información describe los procesos empleados para garantizar la disponibilidad, integridad yconfidencialidad de los datos ya sea en formato electrónico como en formato físico.

Seria fácil responder si nos preguntaran las medidas de seguridad que emplearíamos para proteger un objeto devalor tangible, como por ejemplo unas joyas. Seguro que se nos ocurrirían muchas acciones que impidieran queestas fueran robadas o dañadas. No sería así si la pregunta fuera sobre un activo electrónico, como un documentoen word o el acceso a los datos de nuestra información bancaria. En este caso no estaríamos tan seguros sobre lasacciones a tomar. La diferencia es que imaginamos y visualizamos claramente cuales son las amenazas que puedenacechar a nuestro activo cuando este es tangible, conocemos sus vulnerabilidades y por lo tanto las proteccionesadecuadas. Por el contrario, en el ámbito electrónico no tenemos tan claro estos parámetros: no conocemos lasvulnerabilidades de los sistemas que empleamos y quiénes pueden aprovecharse de éstas para acceder a nuestrainformación, por lo tanto nos encontramos inseguros ante cualquier situación de riesgo.

El objeto de esta guía es que las empresas conozcan los procedimientos, mecanismos y herramientas que puedenutilizar para adentrarse en el mundo electrónico con seguridad.

Hoy en día uno de los activos más importantes en nuestras empresas es la cantidad de información que manejamos:facturas, datos de clientes y proveedores, proyectos… y toda esta información la tenemos en formato digital.

Es ya sabido que la seguridad total no existe, y si existiera seguramente no podríamos comprarla. Es muy difícil llegara la seguridad 100% ya que a partir de un cierto punto los costes se disparan exponencialmente, por lo tantonuestras expectativas de seguridad deben encontrarse en un punto razonable que cubra la mayor parte de nuestrosriesgos. Debemos por lo tanto elegir soluciones adecuadas y proporcionadas sin caer por ejemplo en dedicar másrecursos económicos a proteger un activo del valor del propio activo.

El primer paso para conocer el estado de la seguridad de nuestros activos es realizar lo más detalladamente posibleun análisis de riesgos. Este análisis nos ayudará a localizar nuestros puntos débiles y aplicar medidas que los corrijan.

capítulo 1. ¿En qué consiste un análisis de riesgos?

1. ¿En qué consiste un análisis de riesgos?Un análisis de riesgos consiste en:

> Inventariar activos

> Detectar las amenazas

> Localizar sus vulnerabilidades

> Valorar el impacto

Pasemos a profundizar en estos conceptos:

1.1 Inventariar los activosPara empezar debemos sentarnos y valorar qué es lo queremos proteger. Esta valoración no es sólo económica, sinoque deberemos tener en cuenta otros valores intangibles como el honor y la imagen de nuestra empresa. Cuáles podríanser los activos a proteger:

> Datos personales.

> Derechos de propiedad intelectual como fotografías y videos.

> Datos de clientes.

> Datos técnicos de configuración de aplicaciones…

Realizaremos una valoración de cada uno de estos activos en base a la importancia que le demos a cada uno. Podemoshacer esta valoración asignando al activo un valor entre 1 y 5. Donde 1 es el valor más bajo y 5 es la valoración más alta.

4


1.2 Detectar las amenazasVamos a pensar ahora en las amenazas posibles que pueden afectar a nuestros activos. Si no existieran, no tendríamosque protegerlos. De la misma forma que si vivimos en el desierto no tendríamos que preocuparnos por riesgos deinundaciones.

¿Qué amenazas podemos encontrar?

> Hackers> Fallos eléctricos> Empleados descontentos> Inundaciones> Terremotos

1.3 Localizar sus vulnerabilidades Una vez hemos seleccionado los activos a proteger debemos saber qué riesgos pueden tener con el fin de localizar susvulnerabilidades. Por ejemplo, los discos duros de un ordenador pueden fallar y dejarnos sin la información acumuladaen ellos, por lo tanto deberemos asegurarnos que podremos recuperar los datos en caso de que esto ocurra realizandocopias en CDROM, DVD o en un discos externos. Otro ejemplo de vulnerabilidad lo encontramos en las aplicacionesinformáticas, sabemos que no son perfectas y que deben ser actualizadas para incorporar las últimas correcciones.

Otras vulnerabilidades pueden ser:

> Falta de mecanismos de autenticación> Salas muy concurridas> La propia ubicación de la empresa> Redes desprotegidas

5

capítulo 1. ¿En qué consiste un análisis de riesgos?

1.4 Valorar el impactoTendremos que valorar el impacto de que una amenaza aproveche una vulnerabilidad de nuestro activo y produzca undaño. La valoración que realizamos es subjetiva y podemos ayudarnos de nuevo de una ponderación entre 1 y 5: 1impacto bajo y 5 impacto alto. Por ejemplo alguien se aprovecha de que tenemos una versión desactualizada de nuestroservidor de páginas en Internet para acceder al servidor y cambiarnos los datos de nuestra lista de precios.Consideraríamos este hecho como un impacto 5.

1.5 Calcular el riesgoUna vez que tenemos valorados todos estos parámetros estamos en disposición de calcular el riesgo de cadaamenaza. El riesgo es la probabilidad de que una amenaza utilice una vulnerabilidad de muestro activo y nos produzcaun impacto.

Nos ayudaremos de esta tabla para decidir dónde debemos tomar medidas y donde el riesgo no es suficiente para laimplantación de un control:

La tabla muestra 3 variables (probabilidad, impacto y valor del activo). En base a estos tres parámetros la tabla nos ofreceun valor. Este valor nos dirá si es razonable la implantación de un control que proteja nuestro activo. Los valoresresultantes están coloreados de amarillo (no necesita control), naranja (recomendado la implantación de control) y rojo(obligatorio).

Las tres variables son ponderadas:

> Valor del activo (de 1 a 5), donde 1 es el valor más bajo y 5 es el mas alto.

> Nivel de impacto si una amenaza concreta se materializase sobre el activo (de 1 a 5), donde 1 es un impacto bajo y 5es un impacto alto.

> Probabilidad de que se produzca un impacto concreto (de 1 a 5), donde 1 es una probabilidad baja y 5 es unaprobabilidad alta.

6


Pongamos un ejemplo: Consideremos un activo valioso en nuestra empresa, un activo de valor 5, por ejemplo el edificiodonde se alojan nuestras oficinas. El edificio tiene una probabilidad 1 (muy baja) de que sea afectado por un rayo ya queen la zona donde se ubica no se forman normalmente tormentas. Analizando el impacto vemos que tiene un nivel muyalto 5 (si cae un rayo nos quedamos sin edificio). En este caso aunque la probabilidad sea muy baja la tabla nos da unvalor 11 y por lo tanto deberíamos plantearnos poner un control, en este caso un pararrayos.

Un ejemplo dentro de nuestros activos electrónicos sería nuestra base de datos de clientes. Es un activo importante (5)y tiene una probabilidad muy baja de que sea afectado por un pirata informático (1) ya que el equipo no está conectadoa Internet. Como el impacto de perder los datos sería alto (5) vemos que el resultado que nos da la tabla es 11, estoquiere decir que recomienda poner controles a nivel interno como palabras de paso (contraseñas) para proteger elacceso no permitido y copias de seguridad para evitar posibles pérdidas de información.

1.6 Implantar un controlUna vez conocido el riesgo asociado y obtenido un valor alto estamos obligados a elegir entre:

> Eliminar el riesgo (poner un pararrayos).

> Atenuarlo (instalarnos cerca de otro edificio que tenga pararrayos).

> Asumirlo (esperar que no nos pase).

> Diferirlo (subcontratar los servicios).

En el caso de los activos electrónicos:

> Eliminar el riesgo (poner una palabra de paso para acceder a la base de datos).

> Atenuarlo (tener nuestro equipo en una sala cerrada con llave).

> Asumirlo (esperar que no nos pase).

> Diferirlo (albergar los servicios a una empresa externa).

Para eliminar o atenuar el riesgo contamos con herramientas o como los hemos llamado en el análisis de riesgos,controles.

7

capítulo 2. Cómo podemos proteger nuestros activos

2. Cómo podemos proteger nuestros activosUna vez hemos detectado los riesgos que pueden tener nuestros activos informáticos pasemos a ver cómo podemosprotegerlos con el fin de eliminarlos o atenuarlos.

2.1 Riesgos de accesoCuando hablamos de riesgos de acceso nos referimos a aquellos riesgos que implican el acceso a información orecursos por parte de personas no autorizadas.Para paliar estos riesgos contamos con soluciones tales como:

2.1.1 Contraseñas o (Passwords)El primer y más básico de los controles que incorporamos para proteger un activo electrónico.

El acceso por contraseña es el sistema de autenticación más usado y extendido, es un mecanismo que ha perduradodesde los orígenes de la informática. Este mecanismo consiste en pedir un nombre de usuario o identificativo y unacontraseña asociada. Esta contraseña debe coincidir con aquella guardada por el sistema informático al que se accede,para ese usuario en particular. Digamos que es un secreto que compartimos entre el sistema informático y el usuario.

El acceso por usuario y contraseña es un método de bajo coste y sencillo que ha permanecido mucho tiempo en vigory que se resiste a desaparecer. Es evidente que por el contrario las amenazas han evolucionado notablemente en elmundo informático: Hay muchísima más gente que antes con posibilidad de acceder a nuestro equipo. El sistema decontraseña es fácilmente atacable, sobretodo si no se siguen algunas recomendaciones:

> Evitar las claves genéricas de acceso.

> Bloqueos de contraseñas después de varios intentos fallidos.

> Cambios periódicos de la contraseña.

> Las claves de acceso deben cumplir una política rigurosa respecto a su composición (dígitos, signos y números) detal forma que no sean fácilmente atacables. Por otro lado las contraseñas deben ser a la vez fácilmente recordables afin de evitar tener que escribirlas en un papel.

La autenticación por contraseña es lo que se llama un sistema de factor simple (accedemos por algo que sabemos).Existen sistemas más fiables llamados de factor doble (algo que sabemos y algo que tenemos) incluso sistemas de factortriple (algo que sabemos, algo que tenemos y algo que somos como por ejemplo nuestra huella digital, o nuestro códigogenético).

Normalmente necesitamos gestionar más de una contraseña: la de entrada al equipo informático la del correo la demóvil, la de los servicios bancarios…etc. Para resolver esta situación es común utilizar la misma contraseña para todo.Esto es una brecha de seguridad importante ya que una vez alguien consiga una de las contraseñas podrá acceder a

8


todos nuestros servicios electrónicos. Si no queremos utilizar siempre la misma (algo radicalmente desaconsejable)podemos utilizar herramientas de gestión de contraseñas como PasswordSafe o Keepass de distribución gratuita yque permite la gestión de múltiples contraseñas recordando sólo una.

2.1.2 Sistemas BiométricosLos sistemas biométricos emplean rasgos físicos del usuario para autenticarnos ante un equipo informático. Podemosencontrarnos lectores de huellas digitales, de iris o reconocimientos de voz. Los sistemas biométricos son cada vez másprecisos, aunque debemos considerar las tasas de falsos positivos (cada vez menores) o sobre todo falsos negativos.Los sistemas biométricos más usados actualmente son los de huella digital.

Los sistemas biométricos pueden combinarse con otros sistemas de autenticación para dotarle de un factor adicional,por ejemplo tarjetas criptográficas.

2.1.3 Certificados DigitalesLos sistemas de certificación digital permiten conseguir una identificación de doble factor algo que tenemos (clavecriptográfica privada) y algo que sabemos (PIN de activación de la clave). Veremos más adelante los mecanismos deseguridad ofrecidos por los certificados digitales.

Estas tres primeras herramientas regulan el acceso directo a nuestros equipos o bases documentales. Pero existen otrosriesgos que van más allá del mero acceso físico.

2.2 Protección contra código malicioso. Virus Prácticamente todo el mundo es consciente de las amenazas que supone un acceso a Internet, ningún usuario a día dehoy accede a Internet sin tener al menos un antivirus instalado en su equipo. Sin embargo, el problema más común esque una vez instalado la sensación de seguridad crece de forma desproporcionada e injustificada. Un antivirus no es lasolución si éste no se actualiza de forma periódica. Para ello es necesario que nuestro proveedor disponga de un serviciode actualización en línea y que configuremos nuestro antivirus para que cada vez que nos conectemos a Internet busquenuevas actualizaciones.

Los virus se aprovechan de vulnerabilidades del sistema operativo o de las aplicaciones, por lo tanto es fundamental parala seguridad de los recursos informáticos tener instaladas las últimas versiones y parches de los sistemas y de lasaplicaciones usadas.

Los programas antivirus actuales suelen incorporar ya herramientas completas de antivirus, antispyware, antispam, anti-phising, cortafuegos y otros mecanismos de protección contra ataques habituales. Veamos en qué consisten algunosde ellos:

> Anti-Spyware. El Spyware son programas espías que se dedican a enviar información a terceros de los sitios a losque conectamos. Estos programas se pueden instalar sin nuestro conocimiento al visitar páginas maliciosas enInternet.

> Anti -SPAM. El spam es correo no deseado que inunda las cuentas de correo. Normalmente obtienen nuestro emailde formularios o de ordenadores que tienen nuestra cuenta como contacto.

9


> Firewall. Firewall personal. Gestión de políticas de acceso (entrada/salida) a las aplicaciones del equipo. Mediante unasreglas de actuación decimos al ordenador que peticiones de entrada salida están permitidas.

> Anti-Dialers. Los dialers se instalan como programas en nuestro equipo sin nuestro conocimiento y desvían, sin quenos enteremos, las conexiones que realizamos con nuestro ordenador a Internet hacia números de teléfono de pago.Este ataque es efectivo si tenemos configurado el sistema para acceder a Internet vía línea telefónica común yMODEM.

> Anti-Phishing. El phising utiliza links trucados para dirigirnos a sitios Web clonados, normalmente de entidadesbancarias. En estos sitios clonados nos piden los datos de acceso a nuestro servicio bancario en Internet con la excusade mejorar la seguridad. Una vez en posesión de nuestros datos acceden al servicio bancario real y realizantrasferencias de nuestros fondos.

2.3 IntegridadUna propiedad básica de los sistemas informáticos es la integridad. Esto quiere decir han de ser capaces de detectarcualquier modificación realizada en ellos. La modificación de un sistema operativo puede indicar que se ha producidouna intrusión en el mismo. Un sistema de verificación de integridad nos permitirá descubrir de forma rápida si algunaparte del sistema se ha visto modificada desde la última vez que realizamos el control.

Existen múltiples herramientas de seguridad que permiten controlar si un fichero o un conjunto de ficheros han sidomodificados. Dentro de las herramientas utilizadas para este fin, la más conocida sin duda es Tripwire, un desarrollo delproyecto COSAT de la Universidad de Purdue (EEUU). Esta herramienta está disponible bajo licencia libre.

Para proteger nuestras aplicaciones contamos con OpenSSL. OpenSSL es una herramienta que nos permite acceder afunciones criptográficas Podemos usar también funciones criptográficas de resumen como MD5, SHA1, RIPEMD...etc.que podemos encontrar en aplicativos como OpenSSL de distribución gratuita.

Si queremos conocer si un documento electrónico ha sido modificado realizamos sobre una copia correcta de este unaoperación resumen por ejemplo SHA-1 y obtendremos un cogido resumen. Guardamos este código y cuando queramosposteriormente tener una prueba de integridad realizaremos de nuevo la operación. El resultado de esta operación debeser el mismo de otra manera el documento ha sido alterado.

Un código resumen como se deduce del texto anterior es el resultado de aplicar un algoritmo matemático sobre unosdatos electrónicos. Este código resumen tiene las propiedades de identificar de manera única los datos electrónicos enlos que se basa, ya que si estos cambiasen el código resumen cambiaria también.

10


2.4 Copias de seguridad-BackupPara prevenir la pérdida de información en nuestras empresas un proceso que nos ayuda es la realización de copias deseguridad de nuestros activos.

Nadie puede valorar realmente una copia de seguridad a no ser que haya perdido en segundos los frutos obtenidosdespués de mucho trabajo. Incluso con esta terrible experiencia la realización de copias de backups es una asignaturapendiente para la mayoría de los usuarios de sistemas informáticos.

Las copias de seguridad son una de las herramientas más eficaces para recuperar el estado de un sistema a la situaciónanterior a una incidencia.

Siendo un proceso tan básico en la seguridad de la información, no existe una concienciación adecuada ni siquieradentro de los profesionales informáticos. Debemos tener actualizadas nuestras copias de seguridad si no éstas no nossirven para nada.

Hoy en día existen multitud de herramientas que permiten la automatización de las copias de backup pudiéndose realizarde manera transparente para el usuario y minimizando las perdidas de información.

SYNCBACKUP es una herramienta como otras muchas que permite la realización centralizada de backups. SYNCBACKpermite la recolección de información de los puestos de usuario a un sistema centralizado donde se van incorporandolos nuevos ficheros encontrados o las actualizaciones. La recuperación de los datos se puede realizar mediante el accesoal sistema central.

La recogida de información se puede programar de tal forma que esta se realice en momentos de menos carga detrabajo.

Tendremos que evaluar la “ventana de riesgo” entre copias de backup. Si realizamos una copia diaria, en el peor de loscasos podríamos perder información de un día completo de trabajo.

Existen servicios de backup remotos que recogen los datos de los equipos de usuario y lo almacenan en ubicacionesexternas. Este servicio por supuesto simplifica y abarata los costes de implantación pero incorpora un riesgo adicionalal enviar nuestros datos a empresas externas. En estos casos deberemos asegurarnos de que los datos sólo salencifrados y permanecen así en los equipos del proveedor.

2.4.1 Backup incrementalUna manera de utilizar de forma más eficiente los sistemas de backup es ir haciendo sólo copia de aquella informaciónañadida o modificada sobre los datos ya guardados, en vez de ir creando copias completas. Es lo que llamamosbackups incrementales.

Los backups incrementales necesitan de una gestión ordenada, disponiendo de copias completas duplicadas y lasdiferentes copias de los backups incrementales hasta llegar a una recuperación completa del sistema.

11


2.4.2 Copias en calienteEn algunos casos debido a la criticidad de los datos obliga a tener copias de estos en caliente. Una copia en caliente esuna copia replicada en el mismo momento de producirse algún cambio en los datos, lo que nos permite mantener unaventana de riesgo cercana a 0 desde que se produce una incidencia.

Para protegerlos de amenazas físicas la copia en caliente es recomendable ubicarla en un lugar remoto.

2.4.3 Cifrado de backupsLos dispositivos de almacenamiento que contienen información de copias de seguridad (CD, DVD, Cintas, Discos Duros,etc.) deben estar protegidos convenientemente. Es aconsejable tener una caja de seguridad ignifuga para sualmacenamiento en las instalaciones de la empresa y en instalaciones de seguridad externas. La caja de seguridad deun banco puede ser una solución aceptable y económica.

VICEVERSA es una herramienta de copia y sincronización de fichero de bajo precio que puede sernos útil a la hora dereplicar nuestros ficheros y mantenerlos cifrados para su posterior envío o custodia. http://www.tgrmn.com/

12


3. Recuperación de sistemas Una práctica muy común en la gestión de la seguridad de sistemas informáticos complejos es la de desarrollar un plande contingencias donde describamos el mayor número de situaciones problemáticas a las que nos podamos enfrentar.Para cada una de estas situaciones debemos describir las acciones que deberíamos realizar para resolverlas. Nosdaremos cuenta entonces de los elementos, que dada esa situación, necesitaríamos para resolverla y nos permitiráprepararnos antes de que se produzca la incidencia.

En algunos casos necesitamos recuperar un sistema completo, (bases de datos, sistemas operativos, configuraciones,aplicativos....etc.) que hemos perdido, a causa de un error irrecuperable en un disco, es decir reproducir desde cero todoel sistema.

La recuperación de un sistema es una tarea que requiere mucho tiempo y que difícilmente termina con el equipo en lamisma situación en que estaba en el momento de producirse el problema.

Evidentemente, tendremos que recurrir a copias de backup del sistema de las bases de datos, de las configuracionesde las aplicaciones, etc. Existen formas más eficaces de enfrentarnos a este problema como:

> Acronis trueimage para la recuperación de sistemas en entorno Windows y Linux.

> Symantec backup EXEC para la recuperación de datos.

Podemos acceder también a una solución cada vez más extendida como es la virtualización de entornos. El caso esque desde una imagen de nuestro sistema lo pudiéramos recuperar en cuestión de minutos.

La virtualización se refiere a crear máquinas virtuales dentro de maquinas reales (físicas). Una máquina física puede porlo tanto contener múltiples maquinas virtuales con distintos entornos operativos y ejecutando aplicaciones diferentes.Esto nos permite abstraernos de entorno físico de la máquina y tener imágenes grabadas de maquinas virtuales que sepueden reproducir en otro entorno físico de manera inmediata.

13

capítulo 4. Gestión de la seguridad en las redes

4. Gestión de la seguridad en las redesEn redes abiertas como Internet la seguridad de la información en tránsito es un elemento a tener en cuenta. La basesobre la que se sustenta Internet no es la seguridad, sino más bien su robustez y su disponibilidad.

Disponemos de varios mecanismos para asegurar las comunicaciones.

4.1 El Protocolo SSL, TSL SSL/TSL es un protocolo de comunicación segura que proporciona autenticación y privacidad de la información entreextremos sobre Internet mediante el uso de criptografía.

Sabremos cuando utilizamos estos protocolos porque tecleamos en el navegador https:// en vez del clásico http://.

Cuando enganchamos un equipo a Internet este se identifica mediante un número de dirección único llamado IP (InternetProtocol). Este número tiene el siguiente aspecto: 192.0.0.68. Marcando estos dígitos en un navegador podríamoscontactar con el equipo en cuestión. Este procedimiento obviamente es muy poco amigable. Para resolverlo se crearonunas especies de guías telefónicas llamadas servidores de nombres (DNS) que asocian un nombre de dominio a una IP.Por ejemplo www.miempresa.com, que es mas fácil de recordar que el numero IP, y que finalmente es lo que ponemosen el navegador.

Existen empresas que ofrecen los servicios de nombres de dominio asociando el nombre elegido a la dirección IP denuestro equipo. Antes de asignarnos el nombre, las empresas verifican que no este ya asignado y registran a loscontactos de solicitante, del dueño del citado dominio y obviamente cobran sus servicios. También como parte delproceso de adjudicación se pueden pedir comprobaciones sobre la propiedad de marca.

Para mejorar la seguridad de los acceso mediante dominios se han establecido los protocolos SSL/TSL.

El proceso se inicia mediante la presentación de un certificado digital por parte del servidor de páginas Web a la queestamos accediendo y que informa sobre la propiedad del dominio. Un dominio recordemos es el nombre con el que seidentifica el sitio Web, por ejemplo en www.miempresa.com, miempresa.com seria el dominio. También establece uncanal seguro cifrando la información enviada entre cliente y servidor.

El protocolo SSL, permite también la identificación por el mismo medio del usuario que accede a la Web. En este caso alcliente le será exigido un certificado digital válido como elemento de autenticación. Si el usuario presenta un certificado válidopara el servidor, el sistema le dejará acceder a los contenidos y lo rechazará en caso contrario. En este escenario obtenemos:

> una identificación del servidor

> identificación del cliente y

> un canal cifrado.

14


Como vemos unas garantías suficientes para ofrecer servicios vía Web seguros.

El establecimiento de estos protocolos no incorpora más gastos adicionales que la configuración del servidor de páginasWeb y la adquisición de los certificados de servidor seguro y cliente.

4.2 VPNLa mayoría de los productos de cortafuegos (Firewall) permiten la configuración de canales de conexión segura vía VPN(Virtual Private Network), Red Privada Virtual.

Se trata de fabricar un canal seguro extremo a extremo, de la misma forma que lo hace el protocolo SSL en entornosWEB. Las conexiones VPN permiten conectar de forma segura distintas oficinas utilizando redes públicas como Internet.La sensación es la de tener una propia red privada como indica su nombre.

La utilización de Internet reduce considerablemente los costes de comunicación en las empresas en detrimentotecnologías antiguas como las líneas punto a punto.

La configuración de una red VPN permite en muchos casos el desarrollo del tele-trabajo al ofrecer un canal seguro deacceso a los servidores centrales de la compañía desde el hogar del tele-trabajador.

También podemos conectar equipos de comunicación de dos sedes de una empresa con los propios enrutadores delas oficinas a través del establecimiento de una VPN encargándose estos dispositivos de hacer que las redes de las dossedes sean virtualmente la misma.

4.3 Protección de redes inalámbricasLas redes inalámbricas cada vez están copando una mayor cuota de mercado, esta tecnología evita tener que realizarcomplejas instalaciones de cableado y garantizar la movilidad de los dispositivos es un aliciente importante, pero el usode esta tecnología tiene sus desventajas:

> Todos los que estén en un radio de 100 m aproximadamente son intrusos potenciales.

> La información se transmite por el aire y, por lo tanto, puede ser "vista" por cualquiera que esté en el radio de 100 m.

> Nos podemos conectar equivocadamente (o voluntariamente) a redes que se encuentren abiertas en el radio de 100m y esto puede ser muy peligroso para la seguridad de nuestro equipo.

> Cualquier "vecino" puede captar los códigos y las contraseñas cuando los intentamos conectarnos a los servicioselectrónicos.

Visto lo anterior, deberemos configurar los mecanismos de seguridad para evitar los problemas asociados a estatecnología.

15

capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas

5. La Certificación digital como elemento de seguridad en nuestras empresasEl certificado digital es un elemento de control de riesgo electrónico en el proceso de identificación. La utilización deusuario y contraseña demuestran una fortaleza limitada al asegurar la identidad del usuario electrónico, sobre todocuando se utilizan contraseñas débiles formados por números o palabras del diccionario fácilmente atacables.

Como se ha apuntado anteriormente el certificado digital es un elemento de autenticación de doble factor, es decir “algoque se sabe” PIN de activación de la clave y “algo que se tiene” la clave.

El certificado digital se basa en tecnología criptográfica de clave pública. La tecnología de clave pública consiste en lageneración de dos claves criptográficas complementarias. Una clave es llamada “pública” ya que se dará a conocer atodos y otra “privada” que es custodiada y conocida solo por el usuario. Cuando se cifra un mensaje con una clave laotra clave complementaria puede descifrarlo y viceversa.

La custodia de la clave privada puede hacerse mediante un fichero software protegida por una contraseña o en unatarjeta criptográfica con una contraseña de acceso.

El mecanismo técnico del funcionamiento de la tecnología de clave pública es el siguiente: cuando “A” usa la claveprivada para cifrar un mensaje este puede ser recuperado por “B” usando la clave publica de “A” de tal forma que si estose produce podemos asegurar que el mensaje ha sido originado por “A”, el poseedor de la clave privada.

Este hecho produce la autenticación del usuario “A” sin tener que enviar ningún dato privado por la red.

También podemos usar la tecnología de clave pública para cifrar el contenido de un documento o mensaje. Si “B” cifraun mensaje con la clave publica de “A” se asegurará que solo “A” con su clave privada puede acceder al contenido deldocumento.

16


El certificado digital es simplemente un documento electrónico emitido por una tercera parte de confianza (Prestador deServicios de Certificación, PSC) acreditando que la clave pública matemáticamente relacionada con la clave privada estaasociada a una identidad concreta.

Es importante valorar al emisor del certificado (PSC) para que el sistema de autenticación y cifrado tenga el soportesuficiente. Un mismo PSC puede emitir diferentes tipos de certificados para diferentes usos y ofreciendo garantíasdiferentes.

5.1 Validación de los certificadosUn aspecto importante a considerar en el uso de los certificados digitales es el proceso de validación de estos. Uncertificado digital tiene una duración temporal, dentro de este periodo de validez el certificado puede perder suefectividad por diferentes causas (robo, perdida de los datos de activación de la clave, cambio de datos...etc.) en estecaso el certificado debe ser revocado y el prestador debe hacerlo público. Una persona o una aplicación deben verificarun certificado digital antes de darlo como válido.

La forma que un prestador tiene para hacer público este hecho es mediante:

> CRL: Listas de revocación (Certification Revocation List). Son listas de certificados que estando en vigor han perdidosu efectividad.

> OCSP: (Online Certificate Status Protocol) Servicio de consulta del estado de los certificados. La consulta se realizaaccediendo a un servicio online y recibiendo una respuesta inmediata sobre el estado del certificado en cada momento.

Un certificado digital debe ser verificado en el momento de su uso efectivo (al autenticarse, al producir una firma o al cifrar

17

capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas

datos). Es entonces cuando debemos estar seguros de su validez. Por este hecho que se aconseja siempre que seaposible incorporar el estado del certificado en origen.

Algunos prestadores de certificación ofrecen el acceso al sistema de validación con una contraprestación económica,deberemos por lo tanto tener en cuenta este aspecto. AC Camerfirma por ejemplo no penaliza económicamente elacceso a las CRL emitidas ni al servicio OCSP.

El certificado digital como elemento de control de riesgo es muy efectivo en diferentes aspectos de la gestión de laseguridad en los sistemas de Información.

5.2 Usos5.2.1 AutenticaciónIdentificación para acceso físico a los equipos (móviles o de sobremesa). Para ello contamos con sistemas deSmartcard logon que se pueden configurar en redes corporativas, siempre que el certificado este incorporado enuna tarjeta o en un dispositivo USB. Además, en la misma tarjeta que da soporte al certificado se puedeincorporar:

> Tecnología RFID (identificación vía radio) para el acceso físico a áreas restringidas.

> Datos de identificación física al poder incorporar nuestra foto y datos personales.

> Una banda magnética para el control de acceso a las instalaciones o el control de entradas/salidas del personal.

La Certificación Digital puede identificar y cifrar canales de comunicación empleando protocolos SSL. Este protocolo esel usado en muchos servicios de páginas Web mediante accesos HTTPS. El certificado de Servidor asegura la identidaddel sitio Web y el cifrado del canal de datos. Este mecanismo es importante cuando recogemos datos personales porejemplo en formularios Web.

El certificado puede no sólo identificar al sitio Web sino que también (como hemos visto anteriormente al hablar delos canales SSL) puede hacerlo con el usuario que accede. Mediante la configuración de nuestro servidor de páginasweb podemos pedir una identificación mediante certificado digital a nuestro visitante en áreas restringidas de nuestroservicio. De esta forma en un sitio web podríamos tener la identificación del servidor la identificación del usuario y elcanal de datos cifrado.

5.2.2 Firma electrónicaEl certificado digital, es actualmente la referencia principal para realizar la firma electrónica. La firma electrónicaes un proceso por el cual, mediante medios electrónicos, asociamos la voluntad o el compromiso de unapersona con una serie de datos electrónicos, de la misma forma que hacemos con nuestra firma manuscritasobre papel.

La firma electrónica tiene aspectos jurídicos que es importante conocer:> Firma electrónica avanzada: Ofrece garantías técnicas de origen e integridad de los documentos o transacciones

18


electrónicas firmadas aunque no tiene valor jurídico directo sino que debe argumentarse la prueba en caso de unproceso legal.

> Firma electrónica reconocida o cualificada: Ofrece garantías de origen e integridad de los documentos otransacciones electrónicas firmadas. Tiene valor jurídico equivalente a la firma manuscrita.

La firma electrónica ofrece garantías de compromiso del firmante e integridad de los ficheros, documentos ytransacciones firmadas.

El certificado también puede servir para firmar electrónicamente programas que se ejecutan en los navegadores comoactivex, applets java, etc. de esta forma conoceremos: quien lo ha desarrollado, y si ha sido modificado el código antesde ejecutarlo. También puede firmar macros de Microsoft Office con el mismo objetivo.

5.2.3 CifradoOtra funcionalidad de los certificados digitales es la posibilidad de cifrar información. El cifrado de información es unproceso delicado y con alto riesgo ya que si no somos cuidadosos podemos perder fácilmente la información cifrada.

En el proceso de firma con los certificados digitales usamos la clave pública asociada al certificado para realizar el cifradode datos electrónicos, posteriormente necesitaremos la clave privada para recuperarlos. Es fundamental por lo tantotener acceso a esta clave en todo momento si no queremos perder el control sobre nuestros datos firmados. Paraasegurarnos de esto deberemos realizar copias de seguridad de la clave. Es altamente recomendable que si utilizamoslos certificados digitales para cifrar datos lo hagamos usando un certificado expresamente emitido este uso. En este casoel Prestador de Servicios de Certificación podrá guardar una copia de la clave privada por si nosotros la perdemos.

Windows ofrece la posibilidad de configurar el sistema EFS de cifrado de archivos y discos duros mediante certificadosemitidos por terceras partes.

19

capítulo 6. Sello de tiempo

6. Sello de tiempoEl sellado de tiempo consiste en asociar un documento o transacción a una fecha y hora concreta recogida de una fuentefiable y firmado electrónicamente por un tercero de confianza o también llamado autoridad de sellado de tiempo. Un sellode tiempo es una evidencia electrónica de que un documento o transacción existía en una fecha concreta.

Este servicio complementa el uso de los certificados digitales para asegurar por un tercero (y no por la fecha recogidaen el ordenador del usuario) la fecha y hora en la cual se ha producido su uso y por tanto la aplicación correcta del estadodel certificado (revocado o activo).

Para ser completa una firma electrónica debe incorporar:

1.-La firma, los certificados implicados,

2.-El estado de estos mediante CRL/OCSP

3.-El sello de tiempo.

20


7. GlosarioActiveX Tecnología Web desarrollada por Microsoft que posibilita que un explorador interac-

túe con las aplicaciones de escritorio, típicamente para proporcionar funciones deinterfaz de usuario adicionales.

ActiveX es utilizado comúnmente por diseñadores Web para incrustar archivos mul-timedia en páginas Web.

El Spyware frecuentemente se descarga a través de un control ActiveX.

Si bien ActiveX se utiliza primordialmente en la Web, también puede utilizarse conaplicaciones de escritorio y otros programas. ActiveX está dentro del exploradorInternet Explorer de Microsoft

Activo Cualquier objeto de valor que ayude a la organización a proporcionar un servicio asus clientes, por ejemplo: efectivo, terrenos, edificios, equipo, inventarios (para sumi-nistros, como resultado de una operación de venta), mobiliario y cuentas por cobrar.

Amenazas Eventos que pueden desencadenar un incidente en la Organización, produciendodaños materiales o pérdidas inmateriales en sus activos.

Applet Pequeño programa Java que puede ser incrustado en una página HTML.

Autenticación Es el proceso de identificación de un individuo. Se basa en la idea de que cada indi-viduo tendrá una información única que le identifique o que le distinga de otros.

Autenticación de Factor Proceso de autenticación donde se debe incorporar dos elementos para realizarlo:algo que se tiene y algo que se conoce.

Autenticación de Factor Proceso de autenticación donde se debe incorporar un solo elemento para realizar-lo: algo que se conoce.

Autenticación de Factor Proceso de autenticación donde se debe incorporar tres elementos para realizarlo:algo que se tiene, algo que se conoce y algo que se es.

Back-Up (Copia de Seguridad) Es una medida correctiva consistente en realizar una copia dela información en un soporte externo al sistema de tal forma que pueda ser recupe-rada en caso de perdida.

Certificado Digital Documento de acreditación de identidad electrónica emitido por una autoridad decertificación donde se asocia una clave criptográfica asimétrica llamada clave publi-ca con la identidad del titular del certificado.

21

Doble

Simple

Triple

capítulo 7. Glosario

Clave Privada Clave criptográfica asimétrica complementaria a la clave publica que utiliza el pose-edor para la firma electrónica y el descifrado de datos.

Clave Publica Clave criptográfica asimétrica complementaria a la clave privada utilizada para verifi-car las firmas electrónicas realizadas con la clave privada y para cifrar datos.

Código Malicioso (Malware) Software capaz de realizar un proceso no autorizado sobre un sistema conun deliberado propósito de ser perjudicial. Virus, gusanos, troyanos son algunosejemplos de código malintencionado.

Control En Seguridad informática elemento que sirve para eliminar o mitigar los riesgos aso-ciados a una vulnerabilidad del sistema.

Copia de Seguridad Ver Back-up.

Cortafuegos Es una barrera o protección física y/o lógica que permite a un sistema salvaguardarsu información al acceder o ser accedido desde otras redes, como por ejemploInternet.

Crl LCR Lista de certificados revocados. Lista negra donde se incorporan los númerosde serie de los certificados que sin haber caducado han perdido su efectividad.

Dialers Se trata de un programa que marca un número de tarificación adicional usando elmódem. Estos son números tienen un coste superior al de una llamada nacional. Estos marcadores se suelen descargar tanto con autorización del usuario (utilizandopop-ups poco claros) como automáticamente. Además pueden ser programas eje-cutables o ActiveX.

Firewall Ver cortafuegos.

Funciones Resumen (Hash functions) Funciones que trasforman un conjunto, generalmente con un núme-ro elevado de elementos (incluso infinitos), en un conjunto de tamaño fijo y muchomás pequeño que el anterior y que lo identifica de forma univoca. Las funciones resu-men se utilizan para detectar cambios en datos electrónicos.

Haker Persona que entra de forma ilegal y sin el consentimiento del propietario en un siste-ma informático para obtener información. No conlleva la destrucción de datos ni lainstalación de virus.

Http (Hypertext Transfer Protocol). Protocolo de Transferencia de Hipertexto. HTTP es unprotocolo para distribuir y manejar sistemas de información hipermedia. HTTP hasido usado por los servidores World Wide Web desde su inicio en 1993.

Https Creado por Netscape Communications Corporation para designar documentos que

22


llegan desde un servidor Web seguro. Esta seguridad es dada por el protocolo SSL (Secure Socket Layer) basado en la tecnología de encriptación y autenticación des-arrollada por RSA Data Security Inc.

Integridad Característica que asegura que el mensaje o comunicación que se recibe llega tal ycomo se envió por el remitente, detectando fácilmente posibles modificaciones que pudieran haberse producido durante la transmisión.

Internet Una red mundial, de redes de computadoras. Es una interconexión de redes gran-des y chicas alrededor del mundo. Internet empezó en 1962 como una red para los militares llamada ARPANet, para que en sus comunicaciones no existan “puntos de falla”. Con el tiempo fue creciendo hasta convertirse en lo que es hoy en día, unaherramienta de comunicación con decenas de miles de redes de computadoras uni-das por el protocolo TCP/IP. Sobre esta red se pueden utilizar multiples servicioscomo por ejemplo emails, WWW, etc. que usen TCP/IP.

Java Lenguaje de programación desarrollado por Sun Microsystems y su principal objeti-vo fue crear un lenguaje que fuera capaz de ser ejecutado de una forma segura a tra-vés de Internet. Java no puede acceder arbitrariamente a direcciones de memoria yes un lenguaje compilado en un código llamado “byte-code”. Este código es inter-pretado "en vuelo" por el intérprete Java instalado en la máquina.

Login Clave de acceso que se le asigna a un usuario con el propósito de que pueda utili-zar los recursos de un ordenador.

Macro Una macro es una secuencia de operaciones o instrucciones que definimos para queun programa (por ejemplo, Word, Excel, o Access) realice de forma automática ysecuencial.

MD5 Algoritmo de función resumen unívoco de 128 bits desarrollado por RSA DataSecurity, Inc.

OCSP (Online Certificate Status Protocol). Protocolo de acceso a un servicio que nos ofre-ce información en tiempo real sobre el estado de un certificado digital.

Password (Contraseña). Una contraseña o clave, es una forma de autenticación que utiliza unainformación secreta para controlar el acceso hacia algún recurso.

Fishing, Phishing Se utiliza el término "phishing" para referirse a todo tipo de prácticas utilizadas paraobtener información confidencial (como números de cuentas, de tarjetas de crédito,contraseñas, etc.).

PIN Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a

23

capítulo 7. Glosario

un recurso.

PSC Persona física o jurídica que expide certificados, pudiendo prestar, además, otrosservicios en relación con la firma electrónica.

RFID RFID (Radio Frequency Identification) es un sistema inalámbrico utilizado para identi-ficar etiquetas. Estas etiquetas pueden ser transportados por las personas o monta-do sobre un objeto (tarjeta) o vehículos.

Riesgo Estimación del grado de exposición para que una amenaza se materialice sobre unoo más activos causando daños o perjuicios a la Organización.

RIPEMD (acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de inte-gridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin,Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996

Sello de Tiempo Un sello de tiempo es un documento electrónico que nos indica la fecha y la hora enque se ha producido una información electrónica. El sello, está matemáticamente vin-culado al documento electrónico sellado. El sello se produce utilizando una fuente detiempo fiable de fecha y hora.

SHA-1 Algoritmo de función resumen, normalizado en 1993. Está concebido para su usojunto con el estándar federal de firma digital. El SHA es similar en su forma de operación al MD-5, pero produce un resumen, de160 bits, más largo que el éste y que el de cualquier otro algoritmo de autenticaciónde los usados con anterioridad.

Sistema Biométrico Procedimiento de autenticación basado en la medición de alguna característica físi-ca o biológica de una persona.

Smart Card Smart Card: Tarjeta plástica con un circuito integrado (chip), accesible eléctricamen-te usando contactos de cobre.

Smart Card Logon Sistema de autenticación a una aplicación basada en tarjeta criptográfica.

SPAM Correo basura, el cual llega a nuestras casillas de correo sin que nosotros lo haya-mos solicitado.

Spyware Se denomina a los archivos o aplicaciones de software que son instalados en los sis-temas, algunas veces sin conocimiento u autorización de los usuarios. Estos progra-mas recogen una vez instalados la información del sistema infectado.

SSL (Secure Socket Layer). Es un protocolo desarrollado por Netscape CommunicationsCorporation para dar seguridad a la transmisión de datos en transacciones comer-

24


ciales en Internet. Utilizando la criptografía de llave pública, SSL provee autentifica-ción del servidor, encriptar de datos, e integridad de los datos en las comunicacio-nes cliente/servidor.

TSA (Time Stamp Authority) Autoridad de Sellado de Tiempo. Es un servicio que consis-te en la validación de una operación estampando día y hora firmando electrónica-mente la transacción como acreditación de la intervención realizada.

TSL Ver SSL

USB (Universal Serial Bus, Bus serie universal). Interfaz plug-and-play entre un ordenadory dispositivos periféricos (escáneres, impresoras, etc.).

Virus Los virus son programas que se instalan en el ordenador, normalmente de formaoculta al propietario, con fines maliciosos (por ejemplo, destruir archivos, o el disco,propagarse a otros ordenadores o provocar un mal funcionamiento del ordenador).

VPN (Virtual Private Network). Red privada construida sobre una red pública, y aún así pro-porcionando privacidad y/o autenticación a los usuarios de dicha red. Los equiposde la red privada utilizan encriptación para comunicarse con otros equipos, pero laencriptación excluye a los equipos del exterior de la red privada.

WEP Protocolo que proporciona seguridad al cifrar los datos que se envían por ondas deradio desde un dispositivo inalámbrico a otro. WEP codifica los datos que se envían por la red, de manera que los datos son ininteligibles para los demás. Una clave WEPo de encriptación, es una secuencia de caracteres alfanuméricos o dígitos hexade-cimales. Una clave WEP tiene 64 o 128 bits.

WIFI Wireless Fidelity (o Fidelidad Inalámbrica). Se refiere a un conjunto de estándarespara redes inalámbricas. Se creó para redes locales inalámbricas, pero en la actuali-dad también se emplea para acceder a Internet.

Wireless Conexiones sin cables vía radiofrecuencia.

25

Depósito Legal: M-54817-2008

Services

Seguridad de la informacion