Seguretat informàtica
La seguretat informàtica o ciberseguretat és una branca de la informàtica que estudia com assegurar que els recursos dels sistemes informàtics siguin utilitzats de la forma en què es van definir. El seu objectiu és la creació de plataformes segures en què els agents que hi interaccionen (programes i usuaris) només puguin realitzar les accions que hi hagin estat autoritzades.
Les tecnologies de la informació i la comunicació faciliten que la informació pugui circular de forma continuada, en la majoria d'ocasions sense complicacions apreciables per l'usuari, però no deixa de ser un actiu valuós que cal protegir dels riscos a què està exposada.[1] La seguretat inclou tant la protecció de la informació com els seus elements crítics, inclosos els sistemes i el maquinari que utilitzen, emmagatzemen i la transmeten.[2] Per tant, tracta de garantir tant la seguretat física com la seguretat dels serveis i les comunicacions. Cal conèixer el sistema informàtic, components i el funcionament per identificar els riscos de seguretat de la informació, mesures de seguretat i reflexionar per identificar evolució dels riscos i dinàmica de la seguretat informàtica. La seguretat és protecció del perill. Una organització reeixida hauria de disposar de múltiples capes de seguretat per protegir la seva gent, operacions, infraestructura física, funcions, comunicacions i informació.[1]
Objectius
modificaLa seguretat informàtica ha d'establir normes que minimitzin els riscos a la informació o infraestructura informàtica. Aquestes normes inclouen horaris de funcionament, restriccions a certs llocs, autoritzacions, denegacions, perfils d'usuari, plans d'emergència, protocols i tot el necessari per assegurar un bon nivell de seguretat informàtica minimitzant l'impacte en l'acompliment dels treballadors i de l'organització en general i com a principal contribuent a l'ús de programes realitzats per programadors.
La seguretat informàtica està concebuda per protegir els actius informàtics, entre els quals es troben els següents:
- La infraestructura computacional: és una part fonamental per a l'emmagatzematge i gestió de la informació, així com per al funcionament mateix de l'organització. La funció de la seguretat informàtica en aquesta àrea és vetllar perquè els equips funcionin adequadament i anticipar-se en cas d'errors, robatoris, incendis, sabotatges, desastres naturals, fallades en el subministrament elèctric i qualsevol altre factor que atempti contra la infraestructura informàtica.
- Els usuaris: són les persones que utilitzen l'estructura tecnològica, zona de comunicacions i que gestionen la informació. S'ha de protegir el sistema en general perquè l'ús per part d'ells no pugui posar en dubte la seguretat de la informació i tampoc que la informació que manegen o emmagatzemen sigui vulnerable.
- La informació: aquest és el principal actiu. Utilitza i resideix en la infraestructura computacional i és utilitzada pels usuaris.
Els components principals d'un sistema informàtic
modificaL'anàlisi dels components del sistema informàtic és bàsic per establir un protocol de protecció, cal tenir en compte que és molt més que el maquinari i el programari informàtics, inclou múltiples components, tots els quals treballen conjuntament per donar suport a les operacions personals i professionals. Cadascun dels components del sistema té els seus propis punts forts i febles, així com les seves pròpies característiques i usos.[3]
- El programari
Inclou aplicacions, sistemes operatius i utilitats d'ordres variades. L'explotació d'errors en la programació del programari representa una part substancial dels atacs a la informació. La seguretat de la informació s'implementa amb massa freqüència com una idea posterior en lloc de desenvolupar-la com a component integral des del principi, fet que pot posar en risc el sistema.[3]
- El maquinari
Compren la tecnologia física que allotja i executa el programari, emmagatzema i transporta les dades i proporciona interfícies per a l'entrada i eliminació d'informació del sistema. Les polítiques de seguretat física tracten el maquinari com a dany o robatori d'actius físics. Sistemes físics de panys i claus, restringeixen l'accés i la interacció amb els components de maquinari d'un sistema d'informació.[4]
- Les dades
Emmagatzemades, tractades i transmeses per un sistema informàtic s'han de protegir. Les dades solen ser l'actiu més valuós per a una organització i, per tant, són l'objectiu principal d'un atac intencionat. És probable que els sistemes desenvolupats en els darrers anys facin ús de sistemes de gestió de bases de dades. Quan s'utilitzen correctament, haurien de millorar la seguretat de les dades i de les aplicacions.[5]
- Usuaris
Cal una política d'educació, formació i conscienciació perquè la tecnologia s'empri adequadament per evitar que les persones danyin o perdin accidentalment o intencionadament la informació, en cas contrari continuaran sent l'enllaç més feble. L'enginyeria social pot aprofitar-se de la tendència natural comuna dels errors humans.[4]
- Procediments
Són instruccions escrites per dur a terme una tasca concreta. Quan un usuari no autoritzat obté els tràmits d'una organització, suposa una amenaça per a la integritat de la informació. Cal dotar les organitzacions per oferir una formació adequada per utilitzar els procediments de manera segura.[4]
- Xarxes
El component que mou les dades i informació entre els components del sistema d'informació i ha creat gran part de la necessitat d'augmentar la seguretat informàtica i de la informació. Abans de les xarxes, la seguretat física era el focus dominant a l'hora de protegir la informació. Quan els sistemes d'informació es connecten entre si per les xarxes de les organitzacions i a altres xarxes com Internet, apareixen ràpidament nous reptes de seguretat. Les eines tradicionals de seguretat física, restringeixen l'accés als components del maquinari del sistema, però ja no són suficients. Els passos per proporcionar seguretat a la xarxa, com ara la instal·lació d'un tallafoc de configuració, són essencials, així com la implementació de sistemes de detecció d'intrusions per fer que els propietaris del sistema siguin conscients dels compromisos en curs.[6]
Àrees de gestió de la seguretat
modificaUna organització hauria de disposar de múltiples capes de seguretat per protegir la seva gent, operacions, infraestructura física, funcions, comunicacions i informació. Les àrees de gestió de la seguretat tant de la informació, seguretat de dades i seguretat de xarxa.[7]
Seguretat de les dades
modificaEl control i l'ús de les dades a l'organització és realitzat per les parts següents:[8] - Propietaris de dades, que són responsables de la seguretat i l'ús d'un conjunt d'informació particular. - Custodi de dades, responsables de l'emmagatzematge, manteniment i protecció de la informació. - Fiduciaris de dades designats pels propietaris de dades per supervisar la gestió d'un conjunt d'informació particular i per coordinar-se amb els custodis de dades per al seu emmagatzematge, protecció i ús.[4] - Usuaris de dades, que treballen amb la informació per fer la seva feina diària i donar suport a la missió de l'organització
Seguretat de la informació
modificaVetlla per la protecció de la confidencialitat, integritat, disponibilitat dels actius d'informació, sigui en emmagatzematge, tractament o transmissió, mitjançant l'aplicació de polítiques, educació, formació i sensibilització i tecnologia.[9][10]
La confidencialitat assegura que només els usuaris amb drets, privilegis i necessitat d'accedir a la informació poden fer-ho. Per tal de protegir la confidencialitat es poden utilitzar diverses mesures com: Classificació de la informació, aplicació de polítiques generals de seguretat, educació dels custodis de la informació i usuaris finals. La confidencialitat és interdependent amb altres característiques. Es tracta d'un valor especialment crític per determinada informació personal d'empleats, clients o persones, especialment en sectors com assistència sanitària, banca, asseguradores.[11]
Seguretat de la xarxa
modificaForma part de la seguretat de les comunicacions; la protecció dels components, connexions i continguts de xarxes de veu i dades.[12]
Característiques de la seguretat informàtica
modificaLes tres característiques de seguretat de la informació que donen valor a les organitzacions: confidencialitat, integritat i disponibilitat,[13] s'ha de protegir en tot moment. Aquesta protecció s'obté mitjançant múltiples mesures que inclouen polítiques, educació, formació i sensibilització i tecnologia.
La indústria de la seguretat informàtica s'ocupa per la protecció de les dades i la privacitat i acompliment de les regulacions corresponents (compliment normatiu), junt amb l'acompliment dels principis fonamentals de la seguretat de la informació i els altres aspectes és tan important avui com ho ha estat sempre, però la complexitat dels sistemes informàtics i l'evolució constant de les amenaces fa que el model de la tríada s'hagi d'adequar per abordar l'entorn en constant canvi. Danys accidentals o intencionats, destrucció, modificacions no intencionades o no autoritzades o altres usos indeguts d'amenaces en constant proliferació ha promogut el desenvolupament d'un model més robust que aborda les complexitats de l'entorn actual de seguretat de la informació.[4]
Tipus d'atacs
modificaEls atacs informàtics que amenacen a les característiques abans esmentades es poden classificar en:[14]
- Interrupció: Aquest atac atempta contra la disponibilitat d'un recurs informàtic, ja sigui hardware, un servei o informació.
- Intercepció: Els atacs d'intercepció vulneren la confidencialitat de les comunicacions de dades, ja s'està accedint a informació per a la qual no es té permís.
- Fabricació: La fabricació d'informació vulnera la característica d'autenticitat i no rebuig, ja que crea recursos nous per a suplantar els autèntics.
- Modificació: Finalment la modificació de la informació sense autorització vulnera la integritat de les dades, alterant-les d'alguna manera des de la seva font original fins al receptor d'aquestes.
Principals amenaces
modifica- Pirates informàtics[15]
- Programes nocius
- Correu brossa (SPAM)
Amenaces de seguretat física
modifica- Fallades del subministrament elèctric[16]
- Inclemències metereològiques (inundacions, desastres naturals, etc.)
- Fallades del sistema d'aire condicionat
- Accés no autoritzat.
- Incendis.
Alguns dels mecanismes que s'utilitzen en els atacs informàtics són:
Programes nocius
modifica- Virus: Són un tipus de programari maliciós que necessiten algun portador. Els més comuns són els arxius executables i es reprodueixen sobreescribint els mateixos programes i passen a altres ordinadors si es passa el software amb l'executable.[17]
- Troià (Trojan horses): Els troians no són capaços de reproduir-se per ells mateixos i poden infectar sistemes sent adjuntats a qualsevol tipus de software per un programador. Poden tenir l'objectiu d'obtenir informació de l'equip infectat o controlar-lo remotament.[17]
- Cuc (Worms): No depenen d'arxius portadors per a infectar sistemes i poden modificar el sistema operatiu per autoexecutar-se amb la inicialització del sistema. Els cucs infecten equips a través de l'enginyeria social o explotant alguna vulnerabilitat de l'objectiu.
- Programari espia (Spyware): És semblant al troià però està destinat a "espiar" les accions que realitza l'usuari i recol·lectar informació.
- Porta falsa (Backdoors): Permet l'accés al sistema operatiu ignorant els procediments d'autentificació.
- Programes salami o tècnica del salami: És un tipus de programari que desvia petites quantitats de béns, principalment diners, d'una font amb gran quantitat d'aquests béns. Són extremadament difícils de detectar.
- Bomba lògica: Són codis programats per un programador per a quan es compleixin unes condicions, aquest entri en acció i faci la seva tasca assignada.[18]
Referències
modifica- ↑ 1,0 1,1 Albós Raya, Amadeu. FUOC. Fonaments de seguretat informàtica, setembre 2019.
- ↑ Mattord i Whitman, 2021, p. 8.
- ↑ 3,0 3,1 Marco Galindo, M. Jesús. Escanejant la informàtica. Editorial UOC, 2010. ISBN 978-84-9788-107-4.
- ↑ 4,0 4,1 4,2 4,3 4,4 Mattord i Whitman, 2021.
- ↑ Planas, Jaume Sistac. Bases de dades. Editorial UOC, 2011-03-01. ISBN 978-84-9788-258-3.
- ↑ Stallings, William. Fundamentos de seguridad en redes: aplicaciones y estándares (en castellà). Pearson Educación, 1994-12. ISBN 978-84-205-4002-3.
- ↑ Raggad, Bel G. Information Security Management: Concepts and Practice (en anglès). CRC Press, 2010-01-29, p. 18-20. ISBN 978-1-4398-8263-4.
- ↑ Bidgoli, Hossein. Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management (en anglès). John Wiley & Sons, 2006-03-13. ISBN 978-0-470-05121-4.
- ↑ Workman, Michael. Information Security Management (en anglès). Jones & Bartlett Learning, 2021-10-29. ISBN 978-1-284-21165-8.
- ↑ Campbell, Tony. Practical Information Security Management: A Complete Guide to Planning and Implementation (en anglès). Apress, 2016-11-29. ISBN 978-1-4842-1685-9.
- ↑ B, Gupta, Brij. Modern Principles, Practices, and Algorithms for Cloud Security (en anglès). IGI Global, 2019-09-27, p. 147. ISBN 978-1-7998-1084-1.
- ↑ S.Jeelani, M. V. Ramana Murthy. Network Security: Perspectives And Challenges (en anglès). Archers & Elevators Publishing House. ISBN 978-81-938565-7-4.
- ↑ Joyanes, Luis. Industria 4.0: La cuarta revolución industrial (en castellà). Alpha Editorial, 2017-11-30, p. 114. ISBN 978-958-778-317-9.
- ↑ Fernández Rodríguez, José Julio; Jordán, Javier; Sansó-Rubert Pascual, Daniel. Seguridad y defensa hoy: construyendo el futuro (en castellà). Plaza Valdes, 2008, p. 19. ISBN 978-84-96780-45-3.
- ↑ Ferrer, Josep Domingo; Joancomartí, Jordi Herrera. Criptografia: Per als serveis telemàtics i el comerç electrònic. Editorial UOC, 2009-11-05, p. 23. ISBN 978-84-9788-871-4.
- ↑ Santos, Jesús Costas. Seguridad Informática (GRADO MEDIO) (en castellà). Ra-Ma Editorial, 2010-07-05, p. 50. ISBN 978-84-9964-313-7.
- ↑ 17,0 17,1 Cascado, Gloria Sánchez; Mingo, Gonzalo J. Ordinadors, programes informàtics i internet. Editex, 2017, p. 198. ISBN 978-84-9078-734-2.
- ↑ López, Purificación Aguilera. Seguridad informática (en castellà). Editex, 2010-06, p. 103. ISBN 978-84-9771-761-8.
Bibliografia
modifica- Campàs, Joan. Els hackers. Editorial UOC, 2007. ISBN 978-84-9788-563-8.
- Huguet, Miquel Colobran; Soldevila, Josep Maria Arqués; Galindo, Eduard Marco. Administració de sistemes operatius en xarxa. Editorial UOC, 2008. ISBN 978-84-9788-744-1.
- Schneier, Bruce. Beyond Fear: Thinking Sensibly About Security in an Uncertain World (en anglès). Springer Science & Business Media, 2006-05-10. ISBN 978-0-387-21712-3.
- Whitman, Michael E.; Mattord, Herbert J. Principles of Information Security (en anglès). Cengage Learning, 2021-07-06. ISBN 978-0-357-50656-1.
Vegeu també
modifica- Zombie (ordinador) - Ordinador connectat a Internet, la seguretat del qual ha estat compromesa.
- Bluetooth - Sistema de connexió sense fils de curt abast.
- Protocol criptogràfic.
- EsCert - esCERT-UPC (Equip de Seguretat per a la Coordinació d'Emergències a Xarxes Telemàtiques)
Enllaços externs
modifica- http://www.alquimiabinaria.cat/bloc Arxivat 2013-10-29 a Wayback Machine.
- http://www.isecom.org/osstmm/ Arxivat 2005-10-29 a Wayback Machine. (anglès)
- http://www.insecure.org/ (anglès)
- http://www.securityfocus.com/ (anglès)
- Challenges to entertain your mind and progress in the computer security (Hacker-Challenge) Arxivat 2014-01-05 a Wayback Machine. (anglès)