Seguretat de la informació
La seguretat de la informació és el conjunt de mesures preventives, reactives i correctives de les organitzacions i dels sistemes tecnològics que permeten protegir la informació buscant mantenir la confidencialitat, la disponibilitat i integritat d'aquesta.
El concepte de seguretat de la informació no ha de ser confós amb el de seguretat informàtica, ja que aquest últim només s'encarrega de la seguretat en el mitjà informàtic, però la informació pot trobar-se en diferents mitjans o formes, i no solament en mitjans informàtics.
Per a l'home com a individu, la seguretat de la informació té un efecte significatiu respecte al seu privadesa, la que pot cobrar diferents dimensions depenent de la cultura d'aquest.
El camp de la seguretat de la informació ha crescut i evolucionat considerablement a partir de la Segona Guerra Mundial, convertint-se en una carrera acreditada a nivell mundial. Aquest camp ofereix moltes àrees d'especialització, inclosos l'auditoria de sistemes d'informació, planificació de la continuïtat del negoci, ciència forense digital i administració de sistemes de gestió de seguretat, entre altres.
Història de la seguretat de la informació
modificaLa història de la seguretat de la informació comença amb la necessitat que tenia l'ésser humà de protegir les instal·lacions locals, el maquinari dels ordinadors (hardware) i el seu programari (software) de les possibles amenaces (definició de seguretat informàtica) quan, durant la Segona Guerra Mundial, els primers programaris eren utilitzats com transmissors del codi comunicatiu. Eren diferents nivells de seguretat els que s'utilitzaven per protegir aquestes instal·lacions informàtiques i els arxius que aquestes contenien: per exemple, per accedir informació que il·lustrava diferents posicions militars estratègiques s'havien de passar múltiples controls de plaques, claus i reconeixement facial per part de guàrdies de seguretat autoritzats. Aquests mètodes de seguretat i protecció informàtica van anar convertint-se en uns altres més complexos i amb una tecnologia més sofisticada quan la necessitat de mantenir la nació segura es feia cada cop més present.
Els primers mètodes de seguretat informativa eren senzills; eres mètodes que partien de seguretat física i de simples sistemes de classificació de personal amb una documentació específica. Aquests mètodes estaven a l'altura de les primeres amenaces que van sorgir: robatori dels equips computacionals, espionatge contra la informació de la maquinària i sabotatge.
Dècada 1960
modificaDurant la Guerra Freda, el nombre d'instal·lacions informàtiques que gaudien d'una connexió online, capaços de complir tasques més complexes i sofisticades, va començar a augmentar, davant la necessitat que es tenia d'habilitar una via comunicativa entre dues centrals computacionals menys incòmoda que la que es tenia fins aleshores (s'enviaven cintes magnètiques entre centrals). L'Agència d'Investigacions de Projectes Avançats de Defensa (en anglès, Advanced Research Projects Agency, ARPA), davant aquesta necessitat, va començar a examinar la viabilitat d'un sistema de comunicacions a la xarxa redundant. Va ser Larry Roberts, conegut com el fundador d'internet, qui va començar i desenvolupar aquest projecte, el qual va anomenar ARPANET (actualment conegut com el predecessor de l'internet).
Dècades 1970 i 1980
modificaDurant els anys 70 l'ús de l'ARPANET va créixer potencialment, així com el seu mal ús. Va ser al desembre de 1973 quan un dels precursors del desenvolupament de l'Ethernet, Robert M. ‘’Bob’’ Metcalfe, va diagnosticar seriosos problemes de seguretat al seu projecte: usuaris no autoritzats podien arribar a certs arxius d'altres usuaris individuals per no tenir el suficient control i protecció dels seus arxius, les contrasenyes i claus eren vulnerables, existia una falta de procediments de seguretat durant connexions telefòniques, no existia una identificació ni autorització d'usuaris prèvia al connectar-se a la xarxa... Si els números de telèfon es publicaven, el risc de tenir l'ARPANET hackejat era alt. Va ser al 1978, quan ja no es parlava de seguretat de la xarxa sino d'inseguretat a la xarxa, quan un estudi anomenat ‘’Protection Analysis: Final Report[1]’’ va ser publicat. En ell se centraven tots els errors de seguretat que es presentaven a la xarxa d'ARPANET. El Departament de Defensa va patrocinar el ‘’Rand Report R-609[2]’’, un paper classificat durant deu anys que llistava els diferents mecanismes i controls possibles per la protecció física de la informàtica i la computació. A la primavera de 1967 la seguretat informàtica va captar l'atenció de diferents investigadors, per qüestions militars i de defensa, i l'octubre d'aquell mateix any l'Agència d'Investigacions de Projectes Avançats de Defensa va crear un mètode que proporcionava un sistema amb la seguretat necessària per la protecció d'arxius classificats. Aquestes noves reformes de la seguretat van formar part del ja anomenat "Rand Report R-609", el qual va marcar història, doncs, a més de protegir les localitzacions físiques informàtiques, també garantien una seguretat dels arxius, limitaven l'accés a tots aquells usuaris que no tenien autorització a arribar a aquests arxius i involucrava a diferents nivells de personal de seguretat en la protecció d'aquests.
La majoria dels recents estudis sobre seguretat de la informació asseguren que el primer sistema operatiu integrat que aportaven un cert grau de seguretat va ser l'anomenat amb les sigles MULTICS (en anglès, Multiplexed Information and Compuing Service). Després d'ell va arribar un de més útil, l'UNIX, el qual portava incorporat la funció de posar constrasenya als ordinadors.
Va ser als finals dels anys 70 que l'ordinador arribava a totes les cases, amb la seva variant de l'ordinador personal (PC), el qual va provocar una descentralització de la informàtica i va potenciar la interconnectivitat entre ordinadors, cosa que va portar noves formes d'amenaça.
Dècada 1990
modificaA finals del segle 20 va tenir lloc la normalització d‘ordinadors amb xarxes i la possible connexió entre ells. És aquí quan sorgeix un internet, la primera xarxa global de xarxes, ja disponible pel públic general (no només per al govern, l'acadèmia i els professionals que es dedicaven al seu desenvolupament, com passava amb anterioritat). L'internet arribava a tots aquells ordinadors que es podien connectar a una xarxa telefònica o una xarxa d'àrea local (LAN). Va ser en aquesta dècada quan la tecnologia comença a ser un fenomen penetrant i expandit per tot el voltant del globus, la qual deixà pas a la comercialització de l'internet.
L'internet va ser, ja al principi, una xarxa d'interconnexió entre milions de xarxes basades en estàndards de facto, els quals es van adaptar a la indústria però no es preocupaven gaire per la seguretat de la informació. Abans de fer negoci d'aquesta xarxa de xarxes, quan només era utilitzada per científics del sector, ni una mínima seguretat (autentificació del mail, encriptació dels missatges...) semblava necessària. La seguretat no era una prioritat; i són, de fet, molts problemes que trobem avui dia a l'intenet fruit de la no preocupació de seguretat d'aquesta època. Mentre els ordinadors amb xarxa anaven convertint-se en la base de la informàtica, la seguretat física d'aquests va anar deixant de ser en voltant del hardware i el lloc on es trobaven, deixant l'emmagatzematge de les dades vulnerables davant les amenaces.
2000 – Present
modificaActualment, l'internet està replet de xarxes informàtiques en cert grau insegures que es troben en contínua comunicació entre elles i altres. Positivament, la seguretat de la informació que trobem emmagatzemada en un ordinador és contingent en el nivell de seguretat de qualsevol altre sistema al qual estigui connectat. En els últims anys s'han pogut veure avanços a la seguretat de la tecnologia informàtica, seguint relacionant-la amb la seguretat nacional, motivats per l'evolució de les amenaces que han sigut presentades. El continu perill d'amenaça d'un atac cibernètic ha fet preocupar a governs i grans companyies, cosa que ha provocat la instal·lació de nombrosos sistemes de control de serveis públics controlats mitjançant ordinador i altres tipus d'infraestructura crítica. També hi ha un augment de preocupació per part dels estats o nacions que participen en la guerra d'informació, doncs existeix la possibilitat de convertir-se en víctimes si es troben indefensos en el camp del tràfic i emmagatzemament d'informació.
Concepció de la seguretat de la informació
modificaEn la seguretat de la informació és important assenyalar que el seu maneig està basat a la tecnologia i devem saber que pot ser confidencial: la informació està centralitzada i pot tenir un alt valor. Pot ser divulgada, mal utilitzada, ser robada, esborrada o sabotejada. Això afecta la seva disponibilitat i la posa en risc. La informació és poder, i segons les possibilitats estratègiques que ofereix tenir accés a certa informació, aquesta es classifica com:
- Crítica: És indispensable per a l'operació de l'empresa.
- Valuosa: És un actiu de l'empresa i molt valuós.
- Sensible: Deu ser coneguda per les persones autoritzades
Existeixen dues paraules molt importants que són risc i seguretat:
- Risc: És la materialització de vulnerabilitats identificades, associades amb la seva probabilitat d'ocurrència, amenaces exposades, així com l'impacte negatiu que ocasioni a les operacions de negoci.
- Seguretat: És una forma de protecció contra els riscos.
La seguretat de la informació comprèn diversos aspectes entre ells la disponibilitat, comunicació, identificació de problemes, anàlisis de riscos, la integritat, confidencialitat, recuperació dels riscos.
Precisament la reducció o eliminació de riscos associat a una certa informació és l'objecte de la seguretat de la informació i la seguretat informàtica. Més concretament, la seguretat de la informació té com a objecte els sistemes l'accés, ús, divulgació, interrupció o destrucció no autoritzada d'informació.[3] Els termes seguretat de la informació, seguretat informàtica i garantia de la informació són usats freqüentment com a sinònims perquè tots ells persegueixen una mateixa finalitat en protegir la confidencialitat, integritat i disponibilitat de la informació. No obstant això, no són exactament el mateix existint algunes diferències subtils. Aquestes diferències radiquen principalment en l'enfocament, les metodologies utilitzades, i les zones de concentració. A més, la seguretat de la informació involucra la implementació d'estratègies que cobreixin els processos on la informació és l'actiu primordial. Aquestes estratègies han de tenir com a punt primordial l'establiment de polítiques, controls de seguretat, tecnologies i procediments per detectar amenaces que puguin explotar vulnerabilitats i que posin en risc aquest actiu, és a dir, que ajudin a protegir i salvaguardar tant informació com els sistemes que l'emmagatzemen i administren. La seguretat de la informació incumbeix a governs, entitats militars, institucions financeres, els hospitals i les empreses privades amb informació confidencial sobre els seus empleats, clients, productes, investigació i la seva situació financera.
En cas que la informació confidencial d'una empresa, els seus clients, les seves decisions, el seu estat financer o nova línia de productes caiguin en mans d'un competidor; es torni pública de forma no autoritzada, podria ser causa de la pèrdua de credibilitat dels clients, pèrdua de negocis, demandes legals o fins i tot la fallida d'aquesta.
Per més de vint anys la Seguretat de la Informació ha declarat que la confidencialitat, integritat i disponibilitat (coneguda com la Tríade CIA, de l'anglès: "Confidentiality, Integrity, Availability") són els principis bàsics de la seguretat de la informació.
La correcta Gestió de la Seguretat de la Informació busca establir i mantenir programes, controls i polítiques, que tinguin com a finalitat conservar la confidencialitat, integritat i disponibilitat de la informació, si alguna d'aquestes característiques falla no estem davant res segur. Cal anotar, a més, que la seguretat no és cap fita, és més aviat un procés continu que cal gestionar coneixent sempre les vulnerabilitats i les amenaces que se cenyeixen sobre qualsevol informació, tenint sempre en compte les causes de risc i la probabilitat que ocorrin, així com l'impacte que pot tenir. Una vegada coneguts tots aquests punts, i mai abans, hauran de prendre's les mesures de seguretat oportunes.
La confidencialitat és la propietat que impedeix la divulgació d'informació a persones o sistemes no autoritzats. A grans trets, assegura l'accés a la informació únicament a aquelles persones que comptin amb la deguda autorització.
Per exemple, una transacció de targeta de crèdit en Internet requereix que el nombre de targeta de crèdit a ser transmesa des del comprador al comerciant i el comerciant d'una xarxa de processament de transaccions. El sistema intenta fer valer la confidencialitat mitjançant el xifrat del nombre de la targeta i les dades que conté la banda magnètica durant la transmissió d'aquests. Si una part no autoritzada obté el nombre de la targeta de cap manera, s'ha produït una violació de la confidencialitat.
La pèrdua de la confidencialitat de la informació pot adoptar moltes formes. Quan algú mira per sobre de la seva espatlla, mentre vostè té informació confidencial en la pantalla, quan es publica informació privada, quan un ordinador portàtil amb informació sensible sobre una empresa és robat, quan es divulga informació confidencial a través del telèfon, etc. Tots aquests casos poden constituir una violació de la confidencialitat.
És la propietat que busca mantenir les dades lliures de modificacions no autoritzades. (No és igual a integritat referencial en bases de dades.) Grosso modo, la integritat és el mantenir amb exactitud la informació tal qual va ser generada, sense ser manipulada o alterada per persones o processos no autoritzats.
La violació d'integritat es presenta quan un empleat, programa o procés (per accident o amb mala intenció) modifica o esborra les dades importants que són part de la informació, així mateix fa que el seu contingut romangui inalterat tret que sigui modificat per personal autoritzat, i aquesta modificació sigui registrada, assegurant la seva precisió i confiabilitat. La integritat d'un missatge s'obté adjuntant-li un altre conjunt de dades de comprovació de la integritat: la signatura digital és un dels pilars fonamentals de la seguretat de la informació.
La disponibilitat és la característica, qualitat o condició de la informació de trobar-se a la disposició dels qui han d'accedir a ella, ja siguin persones, processos o aplicacions. Grosso modo, la disponibilitat és l'accés a la informació i als sistemes per persones autoritzades al moment que així ho requereixin.
En el cas dels sistemes informàtics utilitzats per emmagatzemar i processar la informació, els controls de seguretat utilitzats per protegir-ho, i els canals de comunicació protegits que s'utilitzen per accedir a ella han d'estar funcionant correctament. L'alta disponibilitat de sistemes objectiu ha d'estar disponible a tot moment, evitant interrupcions del servei a causa de corts d'energia, fallades de maquinari, i actualitzacions del sistema.
Garantir la disponibilitat implica també la prevenció d'atac de denegació de servei. Per poder manejar amb major facilitat la seguretat de la informació, les empreses o negocis es poden ajudar amb un sistema de gestió que permeti conèixer, administrar i minimitzar els possibles riscos que atemptin contra la seguretat de la informació del negoci.
La disponibilitat a més de ser important en el procés de seguretat de la informació, és a més variada en el sentit que existeixen diversos mecanismes per complir amb els nivells de servei que es requereixi. Tals mecanismes s'implementen en infraestructura tecnològica, servidors de correu electrònic, de bases de dades, de web, etc, mitjançant l'ús de clusters o arranjaments de discos, equips en alta disponibilitat a nivell de xarxa, servidors mirall, replicació de dades, xarxes d'emmagatzematge (SAN), enllaços redundants, etc. La gamma de possibilitats dependrà del que volem protegir i el nivell de servei que es vulgui proporcionar.
És la propietat que permet identificar el generador de la informació. Per exemple en rebre un missatge d'algú, estar segur que és d'aquest algú el que ho ha manat, i no una tercera persona fent-se passar per l'altra (suplantació d'identitat). En un sistema informàtic se sol aconseguir aquest factor amb l'ús de comptes d'usuari i contrasenyes d'accés.
Aquesta propietat es pot considerar com un aspecte de la integritat -si està signat per algú, està realment enviat pel mateix- i així figura en la literatura anglosaxona.
Serveis de seguretat
modificaL'objectiu d'un servei de seguretat és millorar la seguretat dels sistemes de processament de dades i la transferència d'informació en les organitzacions. Els serveis de seguretat estan dissenyats per contrarestar els atacs a la seguretat i fan ús d'un o més mecanismes de seguretat per proporcionar el servei.
Proporciona protecció contra la interrupció, per part d'alguna de les entitats implicades en la comunicació, d'haver participat en tota o part de la comunicació. El servei de Seguretat de No repudi o irrenunciabilitat està estandarditzat en l'ISO-7498-2.
No Repudi d'origen: L'emissor no pot negar que enviament perquè el destinatari té proves de l'enviament, el receptor rep una prova infalsificable de l'origen de l'enviament, la qual cosa evita que l'emissor, de negar tal enviament, tingui èxit davant el judici de tercers. En aquest cas la prova la crea el propi emissor i la rep el destinatari.
- Prova que el missatge va ser enviat per la part específica.
No Repudi de destinació: El receptor no pot negar que va rebre el missatge perquè l'emissor té proves de la recepció. Aquest servei proporciona a l'emissor la prova que el destinatari legítim d'un enviament, realment ho va rebre, evitant que el receptor ho negui posteriorment. En aquest cas la prova irrefutable la crea el receptor i la rep l'emissor.
- Prova que el missatge va ser rebut per la part específica.
Si l'autenticitat prova qui és l'autor d'un document i com és el seu destinatari, el "no repudi" prova que l'autor va enviar la comunicació (no repudi en origen) i que el destinatari la va rebre (no repudi en destinació). El no repudi evita que l'emissor o el receptor neguin la transmissió d'un missatge. Així, quan s'envia un missatge, el receptor pot comprovar que, efectivament, el suposat emissor va enviar el missatge. De manera similar, quan es rep un missatge, l'emissor pot verificar que, de fet, el suposat receptor va rebre el missatge. Definició segons la recomanació X.509 de la UIT-T Servei que subministra la prova de la integritat i de l'origen de les dades- tots dos en una relació infalsificable que poden ser verificats per un tercer a qualsevol moment.
Protocols de Seguretat de la Informació
modificaEls protocols de seguretat són un conjunt de regles que governen dins de la transmissió de dades entre la comunicació de dispositius per exercir una confidencialitat,integritat, autenticació i el no repudi de la informació. Es componen de:
- Criptografia (Xifrat de dades). S'ocupa de transposicionar o ocultar el missatge enviat per l'emissor fins que arriba a la seva destinació i pot ser desxifrat pel receptor.
- Lògica (Estructura i seqüència). Portar un ordre en el qual s'agrupen les dades del missatge el significat del missatge i saber quan es va enviar el missatge.
- Identificació (Autentication). És una validació d'identificació és la tècnica mitjançant la qual un procés comprova que el company de comunicació és qui se suposa que és i no es tracta d'un impostor.
Planificació de la seguretat
modificaAvui dia la ràpida evolució de l'entorn tècnic requereix que les organitzacions adoptin un conjunt mínim de controls de seguretat per protegir la seva informació i sistemes d'informació. El propòsit del pla de seguretat del sistema és proporcionar una visió general dels requisits de seguretat del sistema i es descriuen els controls en el lloc o els previstos per complir aquests requisits. El pla de seguretat del sistema també delinea les responsabilitats i el comportament esperat de tots els individus que accedeixen al sistema. Ha de reflectir les aportacions de diferents gestors amb responsabilitats sobre el sistema, inclosos els propietaris de la informació, el propietari de la xarxa, i l'alt funcionari de l'agència d'informació de seguretat (SAISO).
Els administradors de programes, els propietaris del sistema, i personal de seguretat en l'organització ha d'entendre el sistema de seguretat en el procés de planificació. Els responsables de l'execució i gestió de sistemes d'informació han de participar en el tractament dels controls de seguretat que han d'aplicar-se als seus sistemes.
Creació d'un pla de resposta a incidents
modificaÉs important formular un pla de respostes a incidents, suportar-ho al llarg de l'organització i provar-ho regularment. Un bon pla de respostes a incidents pot no només minimitzar els efectes d'una violació sinó també, reduir la publicitat negativa.
Des de la perspectiva de l'equip de seguretat, no importa si ocorre una violació o obertura (doncs tals esdeveniments són una part eventual de quan es fan negocis usant un mètode de poca confiança com ho és Internet), sinó més aviat quan ocorre. L'aspecte positiu d'entendre la inevitabilitat d'una violació als sistemes (qualsevol sistema on es processi informació confidencial, no aquesta limitat a serveis informàtics) és que permet a l'equip de seguretat desenvolupar un curs d'accions per minimitzar els danys potencials. Combinant un curs d'accions amb l'experiència li permet a l'equip respondre a condicions adverses d'una manera formal i oportuna.
El pla de resposta a incidents pot ser dividit en quatre fases:
- Acció immediata per detenir o minimitzar l'incident
- Investigació de l'incident
- Restauració dels recursos afectats
- Reporti de l'incident als canals apropiats
Una resposta a incidents ha de ser decisiva i executar-se ràpidament. A causa que hi ha molt poc espai per a errors, és crític que s'efectuïn pràctiques d'emergències i es mesurin els temps de resposta. D'aquesta forma, és possible desenvolupar una metodologia que fomenta la velocitat i la precisió, minimitzant l'impacte de la indisponibilitat dels recursos i el dany potencial causat pel sistema en perill.
Un pla de resposta a incidents té un nombre de requeriments, incloent:
- Un equip d'experts locals (un Equip de resposta a emergències de computació)
- Una estratègia legal revisada i aprovada
- Suport financer de la companyia
- Suporti executiu de la gerència superior
- Un pla d'acció factible i provat
- Recursos físics, tal com emmagatzematge redundant, sistemes en stand by i serveis de respatller
Consideracions legals
modificaAltres aspectes importants a considerar en una resposta a incidents són les ramificacions legals. Els plans de seguretat haurien de ser desenvolupats amb membres de l'equip d'assessoria jurídica o alguna forma de consultoria general. De la mateixa forma en què cada companyia hauria de tenir la seva pròpia política de seguretat corporativa, cada companyia té la seva forma particular de manejar incidents des de la perspectiva legal. Les regulacions locals, d'estat o federals estan més enllà de l'àmbit d'aquest document, però s'esmenten a causa que la metodologia per dur a terme l'anàlisi forense, serà dictat, almenys en part, per la consultoria jurídica. La consultoria general pot alertar al personal tècnic de les ramificacions legals d'una violació; els perills que s'escapi informació personal d'un client, registres mèdics o financers; i la importància de restaurar el servei en ambients de missió crítica tals com a hospitals i bancs.
Plans d'acció
modificaUna vegada creat un pla d'acció, est ha de ser acceptat i implementat activament. Qualsevol aspecte del pla que sigui qüestionat durant la implementació activa el més segur és que resulti en un temps de resposta pobra i temps fora de servei en l'esdeveniment d'una violació. Aquí és on els exercicis pràctics són invalorables. La implementació del pla hauria de ser acordada entre totes les parts relacionades i executada amb seguretat, tret que es cridi l'atenció pel que fa a alguna cosa abans que el pla sigui col·locat en producció.
La resposta a incidents ha d'anar acompanyada amb recol·lecció d'informació sempre que això sigui possible. Els processos en execució, connexions de xarxa, arxius, directoris i molt més hauria de ser auditat activament en temps real. Pot ser molt útil tenir una presa instantània dels recursos de producció en fer un seguiment de serveis o processos maliciosos. Els membres de CERT i els experts interns seran recursos excel·lents per seguir tals anomalies en un sistema.
El maneig de riscos
modificaDins de la seguretat en la informació es duu a terme la classificació de les alternatives per manejar els possibles regs que un actiu o bé pot tenir dins dels processos d'organització. Aquesta classificació porta el nom de maneig de riscos. El maneig de riscos, comporta una estructura ben definida, amb un control adequat i el seu maneig, havent-los identificat, prioritzats i analitzats, a través d'accions factibles i efectives. Per a això es compta amb les següents tècniques de maneig del risc:
- Evitar. El risc és evitat quan l'organització rebutja acceptar-ho, és a dir, no es permet cap tipus d'exposició. Això s'aconsegueix simplement amb no comprometre's a realitzar l'acció que origini el risc. Aquesta tècnica té més desavantatges que avantatges, ja que l'empresa podria abstenir-se d'aprofitar moltes oportunitats. Exemple:
- No instal·lar empreses en zones sísmiques
- Reduir. Quan el risc no pot evitar-se per tenir diverses dificultats de tipus operacional, l'alternativa pot ser la seva reducció fins al nivell més baix possible. Aquesta opció és la més econòmica i senzilla. S'aconsegueix optimitzant els procediments, la implementació de controls i el seu monitoreig constant. Exemple:
- No fumar a certes àrees, instal·lacions elèctriques anti flama, plans de contingència.
- Retenir, Assumir o Acceptar el risc. És un dels mètodes més comuns del maneig de riscos, és la decisió d'acceptar les conseqüències de l'ocurrència de l'esdeveniment. Pot ser voluntària o involuntària, la voluntària es caracteritza pel reconeixement de l'existència del risc i l'acord d'assumir les perdudes involucrades, aquesta decisió es dona per falta d'alternatives. La retenció involuntària es dona quan el risc és retingut inconscientment. Exemple d'assumir el risc:
- Amb recursos propis es financen les pèrdues.
- Transferir. És buscar un respatller i compartir el risc amb altres controls o entitats. Aquesta tècnica s'usa ja sigui per eliminar un risc d'un lloc i transferir-ho a un altre, o per minimitzar el mateix, compartint-ho amb altres entitats. Exemple:
- Transferir els costos a la companyia asseguradora
Mitjans de transmissió d'atacs als sistemes de seguretat
modificaEl millor en solucions de la seva classe permet una resposta ràpida a les amenaces emergents, tals com:
- Malware i spam propagat per e-mail.
- La propagació de malware i botnets.
- Els atacs de phishing allotjats en llocs web.
- Els atacs contra l'augment de llenguatge de marcat extensible (XML) de tràfic, arquitectura orientada a serveis (SOA) i serveis web.
Aquestes solucions ofereixen un camí a la migració i la integració. Com les amenaces emergents, cada vegada més generalitzada, aquests productes es tornen més integrats en un enfocament de sistemes.
Un enfocament de sistemes de configuració, la política, i el seguiment es reuneix compliment de les normatives en curs i permet als sistemes rendibles de gestió. L'enfocament de sistemes de gestió de la seguretat, disposa:
- Configuració de la política comuna de tots els productes
- Amenaça la intel·ligència i la col·laboració d'esdeveniments
- Reducció de la complexitat de configuració
- Anàlisi de riscos eficaços i operatius de control
En l'actualitat gràcies a la gran quantitat possibilitats que es té per tenir accés als recursos de manera remota i al gran increment en les connexions a la internet els delictes en l'àmbit de TU s'han vist incrementat, sota aquestes circumstàncies els riscos informàtics són més latents. Els delictes comesos mitjançant l'ús de la computadora han crescut en grandària, forma i varietat. Els principals delictes fets per computadora o per mitjà de computadores són:
- Fraus
- Falsificació
- Venda d'informació
Entre els fets criminals més famosos als Estats Units estan:
- El cas del Banc Wells Fargo on s'evidencio que la protecció d'arxius era inadequada, l'error de la qual cost USD 21.3 milions.
- El cas de la NASA on dos alemanys van ingressar en arxius confidencials.
- El cas d'un noi de 15 anys que entrant a la computadora de la Universitat de Berkeley a Califòrnia va destruir gran quantitat d'arxius.
- També s'esmenta el cas d'un estudiant d'una escola que ingresso a una xarxa canadenca amb un procediment d'admirable senzillesa, atorgant-se una identificació com un usuari d'alta prioritat, i tom el control d'una embotelladora del Canadà.
- També el cas de l'empleat que va vendre la llista de clients d'una companyia de venda de llibres, la qual cosa va causar una pèrdua de 3 milions d'USD.
- També el cas d'estudiants d'Enginyeria electrònica on van accedir al sistema d'una Universitat de Colòmbia i van canviar les notes dels seus companys generant estralls en aquesta Universitat i retardant labors, la qual cosa va deixar grans perdudes econòmiques i de temps.[4]
Els virus, troians, spyware, malware i altre codi anomenat maliciós (per les funcions que realitza i no per tractar-se d'un codi erroni), tenen com a objectiu principal executar accions no sol·licitades per l'usuari, les quals poden ser des de, l'accés a una pàgina no desitjada, el redireccionament d'algunes pàgines d'internet, suplantació d'identitat o fins i tot la destrucció o dany temporal als registres del sistemes, arxius i/o carpetes pròpies. El virus informàtic és un programa elaborat accidental o intencionadament, que s'introdueix i es transmet a través qualsevol mitjà extraïble i transportable o de la mateixa xarxa en la qual es trobi un equip infectat, causant diversos tipus de danys als sistemes.
Històricament els virus informàtics van ser descoberts per la premsa el 12 d'octubre de 1985, amb una publicació del New York Times que parlava d'un virus que va ser es va distribuir des d'un BBS i aparentment era per optimitzar els sistemes IBM basats en targeta gràfica EGA, però en executar-ho sortia la presentació però al mateix temps esborrava tots els arxius del disc dur, amb un missatge en finalitzar que deia "Caigut".
Aquesta dada es considera com el naixement del seu nom, ja que els programes amb codi integrat, dissenyats per fer coses inesperades han existit des que existeixen les pròpies computadores. Les primeres referències de virus amb finalitats intencionals van sorgir en 1983 quan Digital Equipament Corporation (DEC) va emprar una subrutina per protegir el seu famós processador de textos Decmate II, que l'1 d'abril de 1983 en cas de ser còpia il·legal esborrava tots els arxius de la seva unitat de disc.
Actors que amenacen la seguretat
modifica- Un hacker és qualsevol persona amb amplis coneixements en tecnologia, bé pot ser informàtica, electrònica o comunicacions, manté permanentment actualitzat i coneix a fons tot el relacionat amb programació i sistemes complexos; és un investigador nat que s'inclina abans de res per conèixer el relacionat amb cadenes de dades xifrades i les possibilitats d'accedir a qualsevol tipus de "informació segura". La seva formació i les habilitats que posseeixen els dona una experticia major que els permet accedir a sistemes d'informació segurs, sense ser descoberts, i també els dona la possibilitat de difondre els seus coneixements perquè les altres persones s'assabentin de com és que realment funciona la tecnologia i coneguin les debilitats dels seus propis sistemes d'informació.
- Un pirata informàtic-, és aquella persona amb comportament compulsiu, que alardea de la seva capacitat per rebentar sistemes electrònics i informàtics. Un pirata és un hàbil coneixedor de programació de Programari i Maquinari; dissenya i fabrica programes de guerra i maquinari per rebentar programari i comunicacions com el telèfon, el correu electrònic o el control d'altres computadors remots.
- Un lamer És una persona que alardeja de pirata informàtic, cracker o hacker i solament intenta utilitzar programes de fàcil maneig realitzats per autèntics hackers.
- Un copyhacker és una persona dedicada a falsificar i crackear maquinari, específicament en el sector de targetes intel·ligents. La seva estratègia radica a establir amistat amb els veritables Hackers, per copiar-los els mètodes de ruptura i després vendre'ls els bucaners. Els copyhackers s'interessen per posseir coneixements de tecnologia, són aficionats a les revistes tècniques i a llegir tot el que hi ha a la xarxa. La seva principal motivació és els diners.
- Un "bucaner" és un comerciant que depèn exclusivament de la xarxa per a la seva activitat. Els "bucaners" no posseeixen cap mena de formació a l'àrea dels sistemes, si posseeixen un ampli coneixement en àrea dels negocis.
- Un phreaker es caracteritzen per posseir vasts coneixements a l'àrea de telefonia terrestre i mòbil, fins i tot més que els propis tècnics de les companyies telefòniques; recentment amb l'auge dels telèfons mòbils, han hagut d'entrar també al món de la informàtica i del processament de dades.
- Un newbie o "novençà de xarxa" és un individu que sense proposar-li-ho ensopega amb una pàgina de hacking i descobreix que en ella existeixen àrees de descàrrega de bons programes de hackeig, baixa tot el que pugues i comença a treballar amb ells.
- Un script kiddie o skid kiddie, és un simple usuari d'Internet, sense coneixements sobre hackeig o crackeig que, encara que aficionat a aquests tema, no els coneix en profunditat limitant-se a recopilar informació de la xarxa i a buscar programes que després executa, infectant en alguns casos de virus als seus propis equips.
- Un ximple o descurat, és un simple usuaris de la informació, amb coneixements sobre hackeig o crackeig, o sense, que accidentalment esborra danya o modifica la informació, ja sigui en un manteniment de rutina o supervisió.
Altres conceptes
modificaAltres conceptes relacionats són:[5]
- Auditabilitat: Permetre la reconstrucció, revisió i anàlisi de la seqüència d'esdeveniments
- Identificació: verificació d'una persona o cosa; reconeixement.
- Autenticació: Proporcionar una prova d'identitat; pot ser alguna cosa que se sap, que s'és, es té o una combinació de totes.
- Autorització: El que es permet quan s'ha atorgat accés
- No repudi: no es pot negar un esdeveniment o una transacció.
- Seguretat en capes: La defensa a profunditat que contingui la inestabilitat
- Control d'Accés: limitar l'accés autoritzat solament a entitats autenticades
- Mètriques de Seguretat, Monitoreig: Mesurament d'activitats de seguretat
- Govern: proporcionar control i direcció a les activitats
- Estratègia: els passos que es requereixen per aconseguir un objectiu
- Arquitectura: el disseny de l'estructura i les relacions dels seus elements
- Gerència: Vigilar les activitats per garantir que s'aconsegueixin els objectius
- Risc: l'explotació d'una vulnerabilitat per part d'una amenaça
- Exposicions: Àrees que són vulnerables a un impacte per part d'una amenaça
- Vulnerabilitats: deficiències que poden ser explotades per amenaces
- Amenaces: Qualsevol acció o esdeveniment que pot ocasionar conseqüències adverses
- Risc residual: El risc que roman després que s'han implementat contra mesures i controls
- Impacte: els resultats i conseqüències que es materialitzi un risc
- Criticitat: La importància que té un recurs per al negoci
- Sensibilitat: el nivell d'impacte que tindria una divulgació no autoritzada
- Anàlisi d'impacte al negoci: avaluar els resultats i les conseqüències de la inestabilitat
- Controls: Qualsevol acció o procés que s'utilitza per mitigar el risc
- Contra mesures: Qualsevol acció o procés que redueix la vulnerabilitat
- Polítiques: declaració d'alt nivell sobre la intenció i l'adreça de la gerència
- Normes: Establir els límits permissibles d'accions i processos per complir amb les polítiques
- Atacs: tipus i naturalesa d'inestabilitat en la seguretat
- Classificació de dades: El procés de determinar la sensibilitat i Criticitat de la informació
Govern de la Seguretat de la Informació
modificaUn terme a prendre en compte a l'àrea de la seguretat de la informació és el seu Govern dins d'alguna organització començant per determinar els riscos que li concerneixen i la seva forma de reduir i/o mitigar impactes adversos a un nivell acceptable mitjançant l'establiment d'un programa ampli i concís en seguretat de la informació i l'ús efectiu de recursos la guia principal dels quals siguin els objectius del negoci, és a dir, un programa que asseguri una adreça estratègica enfocada als objectius d'una organització i la protecció de la seva informació.
Tecnologies
modificaLes principals tecnologies referents a la seguretat de la informació en informàtica són:[6]
- Tallafocs
- Administració de comptes d'usuaris
- Detecció i prevenció d'intrusos
- Antivirus
- Infraestructura de clau publica
- Capes de Socket Segura (SSL)
- Connexió única "Single Sign on- SSO"
- Biometria
- Xifrat
- Compliment de privadesa
- Accés remot
- Signatura digital
- Intercanvi electrònic de Dades "EDI" i Transferència Electrònica de Fons "EFT"
- Xarxes Virtuals Privades "VPNs"
- Transferència Electrònica Segura "SET"
- Informàtica Forense
- Recuperació de dades
- Tecnologies de monitoreig
Estàndards de seguretat de la informació
modificaAltres estàndards relacionats
modifica- COBIT
- ITIL
- ISO/IEC 20000 — Tecnologia de la informació, Gestió del servei. BSI va ser pionera amb el desenvolupament de la BS 15000 en 2002, norma en la qual es va basar l'ISO 20000
Certificacions
modifica- CISM: Certified Information Security Manager
- CISSP: Certified Information Systems Security Professional Certification
- GIAC: Global Information Assurance Certification
- CPTE Certified Penetration Testing Engineer
- CPTC Certified Penetration Testing Consultant
- CPEH Certified Professional Ethical Hacker
- CISSO Certified Information Systems Security Officer
- CSLO Certified Security Leadership Officer
Certificacions independents en seguretat de la informació
modifica- CISA- Certified Information Systems Auditor, ISACA
- CISM- Certified Information Security Manager, ISACA
- Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
- CISSP - Certified Information Systems Security Professional, ISC2
- SECURITY+, COMPTia - Computing Technology Industry Association
- CEH - Certified Ethical Hacker
- PCI DSS - PCI Data Security Standard
Vegeu també
modifica- Centre de Seguretat de la Informació de Catalunya
- Informació classificada
- Privadesa
- Servei d'intel·ligència
- Contraespionatge
- Auditoria
- Sistema de Gestió de la Seguretat de la Informació
- Dret de les Tics
- Llei Orgànica de protecció de dades de caràcter personal
- Seguretat informàtica
- Seguretat per nivells
Per a més informació
modifica- Anderson, K., "IT Security Professionals Must Evolve for Changing Market", SC Magazine, October 12, 2006.
- Aceituno, V., "On Information Security Paradigms", ISSA Journal, September 2005.
- Dhillon, G., Principles of Information Systems Security: text and cases, John Wiley & Sons, 2007.
- Easttom, C., Computer Security Fundamentals (2nd Edition) Pearson Press, 2011.
- Lambo, T., "ISO/IEC 27001: The future of infosec certification", ISSA Journal, November 2006.
Bibliografia
modifica- Allen, Julia H. The CERT Guide to System and Network Security Practices. Boston, MA: Addison-Wesley, 2001. ISBN 0-201-73723-X.
- Krutz, Ronald L.; Russell Dean Vines The CISSP Prep Guide. Gold. Indianapolis, IN: Wiley, 2003. ISBN 0-471-26802-X.
- Layton, Timothy P. Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications, 2007. ISBN 978-0-8493-7087-8.
- McNab, Chris. Network Security Assessment. Sebastopol, CA: O'Reilly, 2004. ISBN 0-596-00611-X.
- Peltier, Thomas R. Information Security Risk Analysis. Boca Raton, FL: Auerbach publications, 2001. ISBN 0-8493-0880-1.
- Peltier, Thomas R. Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications, 2002. ISBN 0-8493-1137-3.
- WHITEMAN, MICHAEL E. Principles of Information Security (en anglès). Fourth, 2011, p. 617. ISBN 978-1-111-13821-9.
- Dhillon, Gurpreet. Principles of Information Systems Security: text and cases. NY: John Wiley & Sons, 2007. ISBN 978-0-471-45056-6.
- Gómez Vieites, Álvaro (2007). Enciclopedia de la Seguridad Informática.
Referències
modifica- ↑ Bisbey, Richard «Protection Analysis: Final Report». Protection Analysis: Final Report, 5-1978, pàg. 31.
- ↑ «Security Controls for Computer Systems: Report of Defense Science Board Task Force on Computer Security - RAND Report R-609-1» (en anglès). [Consulta: 3 desembre 2018].
- ↑ 44 O.S.C § 3542 (b)(1) (2006)
- ↑ Estudiants Hackejen Sistema Acadèmic a Neiva - Colòmbia
- ↑ ISACA MANUAL DE PREPARACIÓ A l'EXAMEN CISM 2008. Information Systems Audit and Control Association, 2008, p. 16. ISBN 978-1-60420-000-3.
- ↑ ISACA MANUAL DE PREPARACIÓ A l'EXAMEN CISM 2008. Information Systems Audit and Control Association, 2008, p. 17. ISBN 978-1-60420-000-3.
Enllaços externs
modifica- CriptoRed Arxivat 2015-10-12 a Wayback Machine. Xarxa Temàtica de Criptografia i Seguretat de la Informació (més de 400 documents, llibres, programari i vídeos freeware)
- Vídeo sobre la privacitat a Internet i els seus secrets