Seguretat Informàtica: Guia Completa

La Seguretat Informàtica

La seguretat informàtica consisteix a assegurar que els recursos del sistema d'informació d'una organització siguin utilitzats de la manera que s'ha decidit i que l'accés a la informació allà continguda, així com la seva modificació, només sigui possible a les persones que es trobin acreditades i dintre dels límits de la seva autorització.

Principals Objectius de la Seguretat

• Detectar els possibles problemes i amenaces a la seguretat, minimitzant i gestionant els riscos.
• Garantir l'adequada utilització dels recursos i de les aplicacions dels sistemes.
• Limitar les pèrdues i aconseguir l'adequada recuperació del sistema en cas d'incident de seguretat.
• Complir amb el marc legal i amb els requisits imposats a nivell organitzatiu.

Conceptes Clau en Seguretat Informàtica

• Fiabilitat: Probabilitat que un sistema es comporti tal com s'espera d'ell.
• Confidencialitat: Assegura l'accés a la informació només a qui està autoritzat.
• Integritat: Certesa que les dades no han sofert modificacions sense autorització.
• Disponibilitat: Poder accedir a la informació quan es vulgui.
• Autentificació: Verificar que un document pertany a qui el document indica. Aplicat a la verificació d'identitat.
• No repudi o irrenunciabilitat: Lligat a l'autentificació, permet provar la participació de les parts en una comunicació. Hi ha dues possibilitats:
  • No repudi en origen
  • No repudi en destí

Disponibilitat > Confidencialitat > Integritat > Autentificació > No repudi

Tècniques d'Atac

• Malware
• Enginyeria social
• Scam
• Spam
• Sniffing
• Spoofing
• Pharming
• Phishing
• Password cracking
• Botnet
• Denegació de servei (DoS)

La seguretat és un problema integral. Els problemes no poden ser tractats aïlladament, ja que el sistema és tan segur com el seu punt més feble. Els elements vulnerables en el sistema informàtic principalment són el maquinari, el programari i les dades.

Les dades constitueixen el principal element a protegir, ja que són l'element més amenaçat i difícil de recuperar, fins i tot pot arribar a ser impossible. La seguretat informàtica comprèn el maquinari i el sistema operatiu, les comunicacions, mesures de seguretat física, els controls organitzatius i legals.

Amenaces

Amenaces Provocades per Persones

• De dintre de l'organització
• De fora de l'organització, experts en aspectes tècnics relacionats amb la informàtica, poden ser:
  • Hacker (White / Grey / Black, depenent del nivell destructiu)
  • Newbie
  • Wannaber
  • Lammer o Script-Kiddies
  • Luser

Amenaces Físiques o Ambientals

Afecten les instal·lacions i/o el maquinari i suposen el primer nivell. Exemples:

• Robatoris, sabotatges, destrucció de sistemes.
• Talls, pujades i baixades brusques del subministrament elèctric.
• Condicions atmosfèriques adverses: humitat relativa excessiva o temperatures altes.
• Catàstrofes com terratrèmols, inundacions, focs, fum o atemptats de baixa magnitud.
• Interferències electromagnètiques que afectin el normal comportament dels circuits i comunicacions.

Amenaces Lògiques o de Programari

És codi que d'alguna forma pot afectar o danyar el nostre sistema. Exemples:

• Rogueware o falsos programes de seguretat.
• Portes del darrere o backdoors.
• Virus.
• Cucs.
• Troians.
• Aplicacions conill o bacteris.
• Canals encoberts.

Auditoria de Seguretat Informàtica

Una auditoria de seguretat informàtica és l'estudi que comprèn l'anàlisi i la gestió de sistemes per a identificar i posteriorment corregir les diverses vulnerabilitats que podessin presentar-se en una revisió.

Objectius d'una Auditoria

• Revisar la seguretat dels entorns i sistemes.
• Verificar el compliment de la normativa i legislació vigents.
• Elaborar un informe independent.

Fases d'una Auditoria

1. Enumeració dels sistemes operatius, serveis, xarxes, topologies, protocols, etc.
2. Detecció, comprovació i avaluació de vulnerabilitats.
3. Mesures específiques de correcció.
4. Recomanacions d'implantació de mesures preventives.

Tipus d'Auditoria

• Auditoria de seguretat interna.
• Auditoria de seguretat perimètrica.
• Test d'intrusió.
• Anàlisi forense.
• Auditoria de codi d'aplicacions.

Metodologia per a Realitzar una Auditoria

1. Definir l'abast de l'auditoria.
2. Recopilació d'informació, identificació i realització.
3. Anàlisi de les evidències.
4. Informe d'auditoria.
5. Pla de millora.

Definicions

Seguretat física: Protegeix el maquinari dels possibles desastres naturals, incendis, sobrecàrregues elèctriques, etc.

Seguretat lògica: Complementa la seguretat física, protegint el programari dels equips informàtics, és a dir, les aplicacions i dades d'usuari, de robatoris, pèrdues de dades, modificacions no autoritzades, etc.

Seguretat activa: Conjunt de defenses o mesures l'objectiu de les quals és evitar o reduir els riscos que amenacen el sistema.

Seguretat passiva: Mesures que s'implanten per, un cop produït un incident de seguretat, minimitzar la seva repercussió i facilitar la recuperació del sistema.

Criptografia

Del grec ocult i escriure, és l'art de xifrar i desxifrar informació, comunicacions, etc.

Criptografia Simètrica

Utilitza la mateixa clau per xifrar i desxifrar els missatges. Les dues parts han de posar-se d'acord en la clau a utilitzar. Tota la seguretat està en la clau; és important que sigui el més complexa possible (longitud i conjunt de caràcters). Principals problemes: l'intercanvi de claus i el nombre de claus que es necessiten.

Criptografia Asimètrica

L'usuari ha de tenir una parella de claus: clau privada i clau pública. El que xifra una clau només ho pot desxifrar l'altra. Principals problemes: per a una mateixa longitud de clau i missatge es necessita més temps de procés; les claus han de ser més llargues que les simètriques; el missatge xifrat ocupa més espai que l'original.

Criptografia Híbrida

Per a resoldre el problema de la criptografia asimètrica de procés lent de xifrat i desxifrat, existeix aquest xifrat híbrid. Envia el missatge utilitzant xifrat simètric i la clau va xifrada en xifrat asimètric. Aquest sistema permet aconseguir confidencialitat i integritat.