Protección de Datos y Seguridad Informática: Mejores Prácticas

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 11,88 KB

Protección de Datos y Comunicaciones en la Empresa

Datos

Se protegen porque:

  • Sin ellos, la empresa no puede funcionar con normalidad.
  • La empresa se pone en riesgo si los conoce la competencia.

Precauciones:

  • Realizar almacenamiento redundante, o sea, los mismos datos en dos o más dispositivos.
  • Cifrar ese almacenamiento, para que no sean útiles a quien no sepa descifrarlos.
  • Proteger contra software malicioso.

Comunicaciones

Para protegerlas, tomamos estas precauciones:

  • Controlar las conexiones a la red de la empresa, sobre todo en caso de teletrabajo.
  • Evitar correo no deseado (spam) y publicidad.
  • Usar canales cifrados.

Actualmente, se está imponiendo la migración a Internet o cloud computing, almacenamiento en web (Dropbox, Google Drive, … para usuarios individuales; S3 de Amazon para empresas).

Definiciones Clave en Seguridad Informática

Seguridad Física

Se refiere a equipos (ordenadores, servidores,…)

Amenazas:

  • Robos: Los equipos cuestan dinero y hay que protegerlos con vigilancia, tarjetas de identificación, …
  • Fallos de corriente: Se usarán baterías, grupos electrógenos,…
  • Desastres naturales: Incendios, inundaciones,… Sería bueno disponer de un segundo CPD (Centro de Proceso de Datos) para que la actividad de la empresa no se pare.

Seguridad Lógica

Es la que se refiere a las aplicaciones instaladas.

Amenazas:

  • Pérdida de datos: Las aplicaciones se prueban antes de decidir usarlas y se realizan copias de seguridad en varios puntos para poder recuperar datos.
  • Ataque a servidores: Los hackers intentan entrar a través del sistema operativo o de las aplicaciones.
  • Virus, troyanos y malware: El software no deseado hay que eliminarlo.

Seguridad Activa y Pasiva

  • Seguridad activa: Intenta proteger aplicando medidas.
  • Seguridad pasiva: Es la que permite recuperar información después de un ataque.

Principios de la Seguridad de la Información

  • Confidencialidad: La información solo puede ser usada por las personas que están autorizadas. Para garantizarla, hay tres posibilidades:
    • Autorización: Cada usuario tiene acceso diferente según su privilegio.
    • Cifrado: La información solo es útil para quien pueda descifrarla.
    • Autenticación: Es la confirmación de que una persona es quien dice ser.
  • Integridad: Los datos almacenados no pueden alterarse sin consentimiento del usuario que los maneja. Por ejemplo, el número de la cuenta del Banco.
  • Disponibilidad: El usuario debe tener posibilidad de acceder a los servicios en el horario establecido.
  • No repudio: En una relación entre dos partes (como por ejemplo un contrato), una parte no puede negar que participa en esa relación.

Esquema de Autenticación: Sabes-Tienes-Eres

Un esquema de autenticación muy utilizado es aquel que se basa en:

  • Algo que sabes: Una contraseña.
  • Algo que tienes: Una tarjeta, por ejemplo.
  • Algo que eres: Alguna característica física como, por ejemplo, huella dactilar, reconocimiento de voz, escáner de retina,…

AAA: Autenticación, Autorización y Accounting

Significa Autenticación (que alguien sea quien dice ser), Autorización (en función del privilegio que cada usuario tiene), Accounting (que permite conocer la información interna del sistema y la eficacia de las dos medidas anteriores, aplicando una máquina distinta).

Seguridad e2e (Extremo a Extremo)

La seguridad debe controlarse en:

  • Origen y destino, comprobando que las aplicaciones no están modificadas.
  • Canal de comunicación, cifrando y limitando el acceso.

Vulnerabilidades y Amenazas en Sistemas Informáticos

Vulnerabilidad

Es un defecto de una aplicación que puede ser aprovechado por un atacante, mediante un software (malware) que le permite controlar la máquina (exploit).

Hay tres tipos:

  • Reconocidas por el suministrador y con un parche que las corrige.
  • Reconocidas, pero sin parche. A veces hay un workaround, una solución temporal.
  • No reconocidas: son las más peligrosas.

Las actualizaciones automáticas son parches que se programan a través de Internet para reaccionar rápidamente ante alguna vulnerabilidad.

Malware

Software programado por un atacante para tomar el control de la máquina.

Puede ser:

  • Virus: Intenta inutilizar el ordenador actuando de forma aleatoria o programada.
  • Gusanos: Van infectando poco a poco los recursos: memoria, disco,….
  • Troyanos: Con ellos se habilita una especie de puerta trasera en el equipo, permitiendo conectar desde otro ordenador y ejecutar programas en el infectado.

Hay que eliminarlos siempre y, como medida de precaución, mantener activo el antivirus.

Tipos y Técnicas de Ataques Informáticos

Tipos de Ataque

  • Interrupción: Se produce un corte en alguna prestación.
  • Modificación: Se altera la información que se transmite para que llegue falseada a su destino.
  • Interceptación: El atacante se apodera de la información que transmitimos.
  • Fabricación: El atacante se hace pasar por destinatario para apoderarse de la información.

Técnicas de Ataque

  • Fuerza bruta: Se genera una aplicación que va probando combinaciones hasta conseguir la contraseña. Las medidas que se pueden usar son varias:
    • Usar contraseñas no personales con algún número o signo intermedio.
    • Cambiarla con frecuencia.
    • Usar intentos repetidos con esperas periódicas.
  • Phishing: Mediante un contacto (un correo, por ejemplo) el atacante se hace pasar por alguien conocido y trata de convencer a la víctima para que le proporcione información confidencial.
  • Ingeniería social: Si se conoce bien a una persona, se puede llegar a adivinar su contraseña, ya que se suele recurrir a datos conocidos al ponerla.
  • Keyloggers: Un troyano puede memorizar las teclas que pulsamos al poner la contraseña y transmitirla al atacante.
  • Spoofing: Se cambia algo de la máquina para hacerse pasar por otra.
  • Sniffing: El atacante consigue conectarse al mismo tramo de red.
  • DoS: Se intenta bloquear un servidor, por ejemplo, simulando una carga de trabajo excesiva.
  • DDoS: El mismo efecto anterior, pero realizado por varias máquinas situadas en distintos puntos.

Tipos de Atacantes

  • Hacker: Ataca por el placer que supone el reto de hacerlo.
  • Cracker: Es el que quiere hacer daño.
  • Script kiddie: Aprendices de hacker y cracker que se suman a cualquier ataque que aparece en la red sin saber a qué conduce.
  • Programadores de malware: Son expertos en software malicioso que aprovechan las vulnerabilidades de los sistemas.
  • Sniffers: Conocen los protocolos de comunicaciones para capturar tráfico de red.
  • Ciberterrorista: Cracker con intereses políticos.
  • Botnets: Son redes de ordenadores infectados que están a las órdenes de un sistema central (un programa gestionado desde una web) que los controla para sus fines. Suelen usarse para enviar spam, atacar una web o distribuir malware.

Buenas Prácticas en Seguridad Informática

Tareas del responsable de la seguridad de una red, cuyas funciones son:

  • Saber lo que hay que proteger dentro de la empresa, revisando la realización de las copias de seguridad, sobre todo.
  • Revisar la configuración, instalando solo lo estrictamente necesario.
  • Activar las configuraciones automáticas de las aplicaciones instaladas.
  • Planificar la actuación ante alguna catástrofe.
  • Dar formación a los usuarios.
  • Estar informado sobre mecanismos de seguridad nuevos.
  • Comprobar la lista de equipos conectados, para evitar que se conecten equipos nuevos no autorizados.
  • Revisar los log del sistema (el accounting o información interna generada).
  • Contratar una auditoría externa ante un error de concepto.
  • Configurar avisos por SMS o correo para notificar cualquier problema, si el sistema lo permite.

Los estándares sobre seguridad informática están contenidos en la normativa ISO/IEC 27002:2009 y en la ITIL, que contienen procedimientos de gestión y controles ante los riesgos de los sistemas informáticos.

Legislación sobre Seguridad Informática y Comercio Electrónico

  • Ley Orgánica de Protección de Datos de Carácter Personal (LOPD): Prohíbe la utilización de datos personales almacenados en cualquier tipo de fichero y establece tres tipos de medidas:
    • Nivel básico: Se aplican estas medidas de seguridad:
      • Para tratar los datos, hay que autenticar e identificar a usuarios.
      • Realizar copias de seguridad cada semana por lo menos.
      • Hacer una lista de incidencias.
    • Nivel medio: Para informes administrativos, financieros, penales, etc.:
      • Debe existir un control físico de acceso a los datos.
      • Hay que realizar una auditoría externa cada dos años como máximo.
    • Nivel alto: Datos sobre origen racial, ideología, historial médico, …
      • Registrar con todo detalle cualquier operación sobre el fichero.
      • Cifrar las comunicaciones.
  • Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) que regula:
    • Las comunicaciones por vía electrónica.
    • Las obligaciones de las empresas que prestan estos servicios.
    • Validez y eficacia.
    • Información anterior y posterior a un contrato.
    • Régimen sancionador.
  • Ley de Propiedad Intelectual (LPI) que establece los derechos de autor en la digitalización de contenidos para uso general. Es necesario disponer de la autorización del titular.
  • Administración electrónica: Adaptación de los estamentos públicos a los procedimientos en base a nuevas tecnologías, evitando el uso de papeles y desplazamientos y ahorrando tiempo.

Programas Recomendados para la Seguridad Informática

  • Sidedigger.
  • Exif reader.
  • Maltego: permite la creación de entidades personalizadas, lo que le permite representar cualquier tipo de información, además de los tipos de entidades básicas que son parte del software.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
phishing LSSI-CE LOPD hacking protección de datos Parte 2 seg ciberseguridad malware seguridad informática