Sistemas de Información Seguros Ing. Johanna Macías Electiva de Seguridad Informática

Material de Clase Sistema de Información Características de un sistema Seguro: Integridad Confidencialidad Disponibilidad Irrefutabilidad Ataque Tipos de Daños Seguridad Objetivos

Sistema de Información Los sistemas de información son un conjunto de componentes que recolectan, procesan, almacenan, y distribuye la información para apoyar la toma de decisiones y el control de la organización. Un sistema de Información por lo tanto se compone por varios aspectos que permiten la fluidez de los datos en toda la empresa y hacia todos los entes garantizando a su vez la confiabilidad de los mismos. Como cualquier otro sistema, un SI tiene elementos de entradas (insumos o datos), los procesos que transforman y organizan esa entrada, salidas (información y resultados) y una vía de comunicación para los demás entes. Además, se debe tomar en cuenta no solo la interacción de los equipos informáticos sino también del personal que hace uso de ellos. Basándonos en esto podemos decir que un Sistema de Información es el que mantiene la infraestructura de comunicación en una organización.

Componentes de un Sistema de Información. Los componentes de un sistema de información los podríamos dividir en Lógicos, Físicos y Operacionales. Los Lógicos es toda la información que navega a través del sistema junto a las aplicaciones que hacen uro de ellas. Los físicos componen todo equipo mecánico, eléctrico y/o electrónico que manipulan dicha información. Los Operacionales, conjunto de personal que interactúa con la información en cada departamento. Existen muchos autores que pueden dividir o clasificar estos componentes de otras formas igualmente validas.

Sistema de Información Seguro Un sistema de información para ser seguro debe ofrecer las siguientes características: Integridad: La información no puede ser modificada por quien no está autorizado Confidencialidad: La información solo debe ser legible para los autorizados Disponibilidad: Debe estar disponible cuando se necesita

Tipos de Ataques Ataques activos: Estos ataques implican algún tipo de modificación de los datos  o la creación de falsos datos: Suplantación de identidad, Modificación de mensajes, Web Spoofing  Etc.   Ataques pasivos: En los ataques pasivos el atacante no altera la comunicación, si no que únicamente la escucha o monitoriza, para obtener de esta manera la información que está siendo transmitida. .Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos.

Peligros en la Seguridad Informática Interrupción: Un recurso del sistema es destruido o se vuelve no disponible. Éste es un ataque contra la disponibilidad. Ejemplos de este ataque son los Nukes, que causan que los equipos queden fuera de servicio. También la destrucción o sabotaje de un elemento hardware, como cortar una línea de comunicación. Intercepción: Una entidad no autorizada consigue acceso a un recurso. Éste es un ataque contra la confidencialidad. Ejemplos de este ataque son la obtención de datos mediante el empleo de programas troyanos o la copia ilícita de archivos o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes de datos  para desvelar la identidad de uno o más de los usuarios mediante el  Spoofing o engaño implicados en la comunicación intervenida  (intercepción de identidad).

Peligros en la Seguridad Informática Modificación: Una entidad no autorizada no sólo consigue acceder a un recurso, si no que es capaz de manipularlo. Virus y troyanos poseen esa capacidad. Éste es un ataque contra la integridad. Ejemplos de este ataque son la modificación de cualquier tipo en archivos de datos, alterar un programa para que funcione de forma distinta  y modificar el contenido de información que esté  siendo transferida  por la red. Fabricación: Una entidad no autorizada inserta objetos falsificados en el sistema. Éste es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes falsos en una red o añadir datos a un archivo. Asimismo estos ataques se pueden clasificar en términos de ataques pasivos y ataques activos.

Seguridad Informática: La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. Se protege desde los datos hasta todo lo que tenga acceso a él

Seguridad Física: La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial“. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Principios de la Seguridad Física Incendios: Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas. Inundaciones Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatológicas : Las condiciones atmosféricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran está documentada. La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construcción de un edificio. La comprobación de los informes climatológicos o la existencia de un servicio que notifique la proximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada de objetos móviles, la provisión de calor, iluminación o combustible para la emergencia.

Principios de la Seguridad Física Señales de Radar La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Eléctricas: Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales áreas a considerar en la seguridad física. Además, es una problemática que abarca desde el usuario hogareño hasta la gran empresa. En la medida que los sistemas se vuelven más complicados se hace más necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial. Ergometría: El enfoque ergonómico plantea la adaptación de los métodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatomía, la fisiología y la psicología del operador. Entre los fines de su aplicación se encuentra, fundamentalmente, la protección de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro.

Objetivos de la Seguridad Fisica Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso físico permite: disminuir siniestros trabajar mejor manteniendo la sensación de seguridad descartar falsas hipótesis si se produjeran incidentes tener los medios para luchar contra accidentes

Todo lo que no está permitido debe estar prohibido Seguridad Lógica La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.” Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo, o a nivel firmware. Todo lo que no está permitido debe estar prohibido

Objetivos de la Seguridad Lógica Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. Que la información recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. Identificación y Autentificación Roles Transacciones Limitaciones a los Servicios Modalidad de Acceso Ubicación y Horario Control de Acceso Interno Control de Acceso Externo Administración

Niveles de Seguridad Informática El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Links de Interes: Segu Info Español Guia de Seguridad Libro Seguridad Informática Articulo sobre seguridad Activa