Seguridad en equipos informáticos. IFCT0510

Capítulo 1

Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

Contenido

1. Introducción

2. Modelo de seguridad orientada a la gestión del riesgo relacionado con el uso de los sistemas de información

3. Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes

4. Salvaguardas y tecnologías de seguridad más habituales

5. La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas

6. Resumen

1. Introducción

El empleo de equipos informáticos está extendido prácticamente a la totalidad de empresas, negocios, y hogares. Los equipos informáticos intervienen de manera muy importante en la entrega de productos y servicios de una empresa. En muchos casos, los equipos informáticos ejecutan aplicaciones que manejan información importante, como datos financieros (números de cuentas de banco, saldos, o facturación), o datos de carácter estratégico (planes de negocio e inversión, nuevos productos, etc.). En otros casos, los equipos ordenan directamente acciones. Por ejemplo, en las fábricas, los equipos informáticos controlan procesos productivos, y dirigen máquinas. En empresas de logística y transporte de mercancías, toman decisiones mediante reglas programadas, y datos procedentes de sensores. Incluso intervienen en la ejecución de órdenes en sistemas de soporte vital humano, como en hospitales y laboratorios. Los equipos informáticos intervienen también en infraestructuras críticas, como plantas de producción y distribución eléctrica, centrales nucleares, sistemas de transporte aéreo o ferroviario, infraestructuras de telecomunicaciones, o en sistemas de defensa.

La influencia que se pueda ejercer sobre estos equipos informáticos, se traslada por lo tanto a los productos y servicios en los que intervienen. Por ejemplo, logrando copiar, alterar, o borrar los datos que procesan estos equipos informáticos, o interrumpiendo su actividad, se logra provocar un perjuicio en los productos y servicios en los que intervienen. Por tanto, existe una creciente necesidad actual de emplear mecanismos y técnicas de protección frente a posibles amenazas en los equipos informáticos, para defender los productos y servicios de la empresa.

2. Modelo de seguridad orientada a la gestión del riesgo relacionado con el uso de los sistemas de información

Una vez establecida la necesidad de proteger los equipos informáticos, se explicará metódicamente qué elementos intervienen cuando acontece un problema de seguridad (amenaza, vulnerabilidad e incidente de seguridad). En este contexto general, se establecerá una clasificación objetiva de los aspectos a proteger, o principios de seguridad, y de la metodología para fijar dicha protección, basándose en el riesgo de un incidente.

La seguridad de los equipos informáticos tiene como objetivo cubrir esta necesidad de protección, objetivo que comparte con disciplinas similares como la seguridad informática, la seguridad de la tecnología de la información y comunicaciones (TIC), y en última instancia, con máxima globalidad, la seguridad de la información. Sirvan las siguientes como definiciones de referencia de seguridad de la información, que engloban también a los equipos informáticos:

Para la norma ISO/IEC 27001:2017 (anteriormente conocida como ISO/ IEC 17799), referencia obligada en este manual, la seguridad de la información es la preservación de confidencialidad, integridad y disponibilidad de la información. Se trata pues, de proteger la información en varias facetas o propiedades.

El Ministerio de Hacienda y Administraciones Públicas, en su 3º versión de la Metodología de Análisis de Gestión de Riesgos de los Sistemas de Información MAGERIT v3) del 2012, que también será referida frecuentemente, define seguridad como la capacidad de las redes o de los sistemas de información, de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos, y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Actividades

1. Enumere equipos informáticos que podrían intervenir para que haya suministro eléctrico, de teléfono y/o conexión a internet, de gas natural y de agua, en un domicilio privado.

2. Imagine que va a tomar un avión o un tren. Enumere los equipos informáticos que están a la vista, desde que accede a la estación terminal, y hasta que alcance su asiento.

2.1. Amenazas, vulnerabilidades e incidentes de seguridad

De manera sencilla, las amenazas son las posibles acciones que dañarían los equipos informáticos. Por ejemplo, un incendio, un robo, o un usuario que borre el contenido de la información que se guarda.

Las amenazas no se pueden eliminar, porque existen de manera intrínseca al contexto y entorno en que existen los equipos informáticos. Por lo tanto, existe la obligación de analizarlas para poder reducir el daño que supondrían en los equipos informáticos.

Para causar el daño, la amenaza debe encontrar un punto en que afecte al equipo; este punto es una vulnerabilidad del equipo ante la amenaza. Es decir, las vulnerabilidades son las debilidades de los equipos ante las amenazas.

La vulnerabilidad, por lo tanto, permite o facilita que una amenaza dañe el equipo; mientras que la amenaza es cualquier hecho que, intencionadamente o no, aprovecha una vulnerabilidad para dañar un equipo.

Por último, cuando una amenaza o un conjunto de ellas sucede, y aprovecha una vulnerabilidad, se dice que ha ocurrido un incidente de seguridad, cuyo efecto es un daño o impacto al equipo informático.

Normalmente, las amenazas serán genéricas, y no se podrán eliminar por completo, mientras que las vulnerabilidades serán particulares de cada equipo, y sí permiten intervenir en ellas. Frente a los incidentes de seguridad, se deben disponer contramedidas o salvaguardas que fortalezcan el sistema. Las contramedidas persiguen conocer, prevenir, impedir, reducir y controlar el daño que podría tener un equipo.

No obstante, el punto de partida debe ser siempre el del caso peor: que tarde o temprano el incidente de seguridad se producirá. El trabajo de seguridad consiste tanto en reducir la frecuencia con la que ocurran los incidentes, como en reducir el daño cuando estos se produzcan. Para ello, es en las contramedidas donde se focalizará la atención y el trabajo práctico, analizando las opciones más efectivas para reducir la probabilidad de ocurrencia y los daños de un incidente, y maximizando así la relación beneficio/coste.

Actividades

3. Intente clasificar las siguientes amenazas según sean naturales o fabricadas, accidentales o intencionadas, y humanas o ambientales, justificando las suposiciones que se precisen añadir: incendio del edificio, seísmo, inundación por precipitaciones, guerra, robo, virus informático, y fallo en disco duro.

4. Identifique las amenazas y vulnerabilidades que permitieron la ocurrencia de los siguientes incidentes de seguridad, así como los daños producidos:

Un virus ha borrado archivos del sistema operativo, y ahora no arranca.

Un incendio destruyó los servidores del centro de proceso de datos, perdiéndose muchos archivos digitales.

El café se cayó sobre el teclado, produciendo un cortocircuito que apagó el ordenador, y se perdieron los documentos que no se habían guardado.

2.2. Principios de seguridad

Se ha visto que las amenazas no pueden eliminarse, por lo que, aunque se aplique una cantidad inmensa –y en la práctica irreal– de contramedidas, siempre persiste alguna vulnerabilidad que se podrá explotar.

Es imposible alcanzar la completa ausencia de inseguridad, o lo que es lo mismo, no existe la seguridad total.

De manera muy resumida, la seguridad pretende que los sistemas y equipos de información sean fiables, es decir, que su comportamiento sea predecible, acorde con su diseño y construcción. La fiabilidad o seguridad, de acuerdo con la definición de la norma ISO 27001:2017, mencionada en el epígrafe anterior, se apoya en tres aspectos o principios de seguridad esenciales:

La confidencialidad, es decir, que la información solo esté accesible para quien esté autorizado a ello.

La integridad, es decir, que la información sea exacta y completa, de manera que solo pueda modificarla quien esté autorizado a ello.

La disponibilidad, es decir, que la información esté accesible cuando sea necesario.

Los anteriores conceptos son fundamentales, y resumen los objetivos de la seguridad de la información. Es habitual referirse a ellos como la Triada de la Seguridad o CIA (empleando las iniciales de los términos en inglés confidentiality o confidencialidad, integrity o integridad, y availability o disponibilidad).

Por ejemplo, si la amenaza de un virus informático capaz de capturar el tráfico de red y reenviarlo, aprovecha la vulnerabilidad del sistema de correo electrónico de enviar las contraseñas sin cifrar, el atacante obtendría la contraseña del correo, y podría leerlo, viéndose comprometida la confidencialidad del correo electrónico.

Por ejemplo, si la amenaza del extravío de una tarjeta magnética de identificación, aprovecha la vulnerabilidad de que el sistema de autenticación de usuarios solo necesite de dicha tarjeta, quien la encuentre podría modificar la información de una base de datos, como si fuera el usuario autorizado, viéndose comprometida la integridad de la información.

Por ejemplo, si la amenaza de un corte de suministro eléctrico aprovecha la vulnerabilidad de que el equipo informático no dispone de un sistema de alimentación ininterrumpida, el equipo no se podría encender, viéndose comprometida la disponibilidad de la información cuando se necesite.

Recuerde

Las propiedades principales de la seguridad de la información son tres:

Confidencialidad

Integridad

Disponibilidad

A las tres propiedades principales de la seguridad de la información MAGERIT v3 las denomina dimensiones.

A estas dimensiones canónicas de la seguridad se pueden añadir otras derivadas que acerquen a la percepción de los usuarios de los sistemas de información:

Autenticidad: propiedad o característica consistente en que una entidad es quien dice ser o bien puede garantizar la fuente de la que proceden los datos. En este caso MAGERIT v3 hace referencia a la autenticidad de los usuarios de los servicios de acceso, es decir, la suplantación de identidad.

Trazabilidad: aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Esta dimensión es necesaria para analizar los incidentes, perseguir a los atacantes y aprender de la experiencia.

2.3. Riesgo de un incidente de seguridad

El riesgo es una medida del daño probable que causará una amenaza, que aprovecha una vulnerabilidad para causar un daño. Es mayor cuanto más frecuente sea la aparición de la amenaza, y cuanto mayor sea el daño del incidente que acarree. Una aproximación cuantitativa sencilla es emplear la siguiente fórmula:

Se puede reducir el riesgo, añadiendo las contramedidas que reduzcan las vulnerabilidades a las posibles amenazas. Cuantas más contramedidas se dispongan, es decir, cuantos más recursos se dediquen a la seguridad de los equipos informáticos, menor es el daño probable, o lo que es lo mismo, menor es el riesgo para el sistema de información.

Existirá un balance entre el riesgo de un incidente de seguridad y los recursos que se dediquen a reducir su daño probable. Este balance debe ser gestionado de una manera metódica por varias razones, pero principalmente por las siguientes:

Para poder analizar la viabilidad de la inversión en seguridad. Es necesario justificar la inversión de recursos en seguridad, y para ello, hay que poder determinar mediante un método los riesgos existentes, antes y después de la inversión.

Para poder analizar la mejora o no, en el cumplimiento de los objetivos de la seguridad de la información a lo largo del tiempo. Es necesario poder evaluar de una manera sistemática el estado de riesgo de los sistemas de información de una empresa, por ejemplo, en auditorías internas anuales, o quizá mediante auditorías externas, a las que esté obligada la empresa por alguna ley.

Este método sistemático, que se precisa para decidir cuánto riesgo asume la empresa, constituye lo que se denomina un modelo de seguridad. El modelo de seguridad persigue organizar los procesos de gestión de la seguridad de la información, en base a unas directrices (que pueden ser estrategias empresariales, normativas cuyo cumplimiento se quiera certificar para poder exportar los productos o prestar los servicios o, sencillamente, leyes que se esté obligado a cumplir), y algún método para calcular los riesgos del sistema de información.

Sabía que…

Para una correcta gestión de la seguridad de la información, se deberá definir en un documento una política de seguridad. Esta política proporciona a la Dirección de la empresa las directrices y ayudas en materia de seguridad de la información, procedentes de requerimientos comerciales, requerimientos legales, nacionales e internacionales, de objetivos de la organización y de otras regulaciones aplicables.

Resumidamente, un Modelo de Seguridad orientado a la gestión del riesgo, emplea el cálculo del riesgo, y unos criterios empresariales (normativa, legislación, etc.), para poder decidir si es viable reducir el riesgo que se asume, o no.

Aplicación práctica

Se parte de una empresa que provee alojamiento de páginas web, con un sistema de información valorado en 250.000 €. Un análisis de riesgos revela que hay dos amenazas:

Un fallo del suministro eléctrico, caracterizado por:

Impacto o daño = 10.000 €

Probabilidad de ocurrencia de la amenaza= 0,1

Un ataque dirigido desde internet, caracterizado por:

Impacto o daño =500.000 €

Probabilidad de ocurrencia de la amenaza= 0,005

El modelo de seguridad de la empresa tiene el criterio de optimizar la inversión concentrando los recursos en eliminar la mayor amenaza, y asumir el riesgo de las amenazas menores. Se pide que:

Se cuantifique el riesgo de cada amenaza.

Se calcule el presupuesto en seguridad que resultaría justificado invertir.

Se calcule el riesgo que asume la empresa tras la inversión.

SOLUCIÓN

CÁLCULO DE RIESGOS:

Amenaza 1: riesgo = 10.000 x 0,1 = 1.000 €.

Amenaza 2: riesgo = 500.000 x 0,005 = 2.500 €.

La amenaza 2, pese a ser veinte veces menos probable que la amenaza 1, es la de mayor riesgo a causa de su elevado impacto.

PRESUPUESTO EN SEGURIDAD:

El modelo de seguridad indica que, por criterio de la empresa, debe eliminarse la mayor amenaza, que es la que tiene un riesgo de 2.500 €. El presupuesto que se puede dedicar a combatir la amenaza es de 2.500 €.

RIESGO TRAS LA INVERSIÓN:

El modelo de seguridad indica que, por criterio de la empresa, se asume el riesgo del resto de amenazas, es decir el de amenaza 1. El riesgo asumido resultante es de 1.000 €.

La siguiente aplicación práctica es un ejemplo sencillo del empleo de un modelo de seguridad orientado a la gestión del riesgo, que aúna los principales conceptos vistos hasta ahora, y que se desarrollarán más ampliamente en los próximos capítulos.

Para estudiar el riesgo, existen dos pasos claramente diferenciados:

El análisis de riesgos, que consiste en identificar amenazas, determinar las vulnerabilidades, y medir el impacto o daño que causaría un incidente. Se pueden emplear métodos cuantitativos (como en la aplicación práctica anterior), o cualitativos (valorando el riesgo en muy alto, alto, bajo, medio, etc.), para ordenar los riesgos.

La gestión de riesgos, que partiendo de los resultados del análisis de riesgos, y una vez determinados los criterios para aceptar un riesgo (legales, económicos, etc.), permite elegir las contramedidas de seguridad que se implantarán.

El análisis y gestión de riesgos aporta un valor extraordinario a la gestión de seguridad, reduciendo la probabilidad de fracaso de una empresa, y protegiéndola, al ser una herramienta que facilita que la actividad futura se realice de manera efectiva y controlada.

Sabía que…

La gestión de riesgos forma parte de la estrategia de administración de una empresa, y no se limita a la seguridad de la información, sino que puede aplicarse a la gestión de riesgos financieros o del mercado.

3. Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes

Las amenazas a las que está expuesto un sistema de información son muy diversas, por lo que, al menos en la fase inicial de la gestión de riesgos, conviene centrarse en las principales. Posteriormente, se podrá mejorar el modelo, aumentando el catálogo de amenazas. Para esa selección inicial, ayudará un amplio y polifacético conocimiento de la empresa: su organigrama, sus procesos productivos, su localización geográfica, su competencia, etc. Por ejemplo, si una empresa tiene dos sucursales, una en una zona de interior, y otra muy próxima al mar, para esta segunda sucursal, puede ser importante analizar el riesgo de exposición a un alto nivel de humedad relativa del aire.

Para determinar las amenazas, o encontrar nuevas, ayudará saber que pueden clasificarse como:

Amenazas naturales o artificiales.

Amenazas debidas al entorno (ambiente), o debidas al hombre.

Amenazas accidentales o intencionadas.

A continuación, se expone un conjunto de amenazas frecuentes, extraído del catálogo de amenazas de MAGERIT, que no pretende ser exhaustivo, aunque probablemente cubrirá la mayoría de situaciones generales, así como algunos de los riesgos principales, y salvaguardas usuales.

Desastres naturales

De origen industrial

Errores y fallos no intencionados

Ataques intencionados

Definición

Criptografía

Es el arte de escribir con clave secreta o de un modo enigmático. Aplicar a un mensaje técnicas de criptografía, o de encriptación, consiste en modificarlo mediante algún procedimiento secreto o privado, de manera que el resultado sea un enigma.

Se persigue que, aunque el mensaje encriptado se haga público, no se revele el mensaje original; o al menos que el enigma divulgado ofrezca resistencia para conocer con facilidad el mensaje original.

4. Salvaguardas y tecnologías de seguridad más habituales

Las salvaguardas, o contramedidas, persiguen detectar, prevenir, impedir, reducir, y controlar una amenaza y el daño que pueda generar. Son elementos de defensa, para que las amenazas no causen tanto daño. Como en el caso de las amenazas, las salvaguardas se pueden clasificar según distintas categorías. Por ejemplo, existirán:

Salvaguardas preventivas o proactivas, que persiguen anticiparse a la ocurrencia del incidente.

Salvaguardas reactivas, que persiguen reducir el daño una vez ocurre el incidente.

Salvaguarda de no hacer nada, o de aceptar el riesgo existente para los equipos (cuando se cumplan los criterios de aceptación de riesgo de la empresa, y solo cuando esta decisión sea autorizada por la Dirección).

Por ejemplo, son salvaguardas preventivas las relacionadas con los controles de acceso de los usuarios a los equipos, como el uso de contraseñas. Controlando el acceso de los usuarios exclusivamente a la información que necesitan conocer para el desempeño de su trabajo, se previenen daños a la confidencialidad e integridad de la información.

Definición

Salvaguarda

Guarda que se pone para la custodia de una cosa. Custodia, amparo, o garantía.

Por ejemplo, son salvaguardas de carácter reactivo las copias de seguridad. Las copias no evitan que se produzca un incidente que derive en pérdida de información, pero sí reducen el daño limitando la pérdida a la información modificada desde la última copia de seguridad verificada.

Como aclaración de salvaguarda de no hacer nada, se tomará de ejemplo una empresa, cuya política de seguridad establece que se aprobarán los riesgos, cuando sean inferiores al 10 % del valor de los activos. Si el análisis de riesgos establece que este es del 5 % del valor de los equipos, puede decidirse asumirlo, y no interponer salvaguardas para reducirlo; pero siempre debe ponerse en conocimiento de la Dirección, que es el órgano responsable en última instancia del riesgo que se asume.

En los siguientes apartados, se introducirán algunas áreas de seguridad específicas, con sus tecnologías habituales y salvaguardas.

4.1. Seguridad de recursos humanos

Tanto antes del empleo, como durante el empleo, y a la terminación del mismo, conviene adoptar medidas, salvaguardas, o controles, para proteger la información que será accedida, e impactada por las personas. Se trata, por ejemplo, de establecer obligaciones y responsabilidades legales durante la contratación, o de establecer cómo actuar, de cara a la información, cuando una persona abandone la empresa. Dependiendo de cada circunstancia, podría corresponder aplicar, con mayor o menor exhaustividad, alguna de las siguientes salvaguardas habituales:

Definición de roles y responsabilidades que contraerá el trabajador.

Investigación de antecedentes.

Formación y capacitación de los trabajadores en seguridad de la información.

Definición de procesos disciplinarios.

Definir las responsabilidades a la terminación del contrato.

Devolución de activos.

Retirada de derechos de acceso a la información.

4.2. Seguridad ambiental

Los equipos informáticos deben disponer de un entorno adecuado. Por ejemplo, no es óptimo que un servidor empresarial comparta las mismas condiciones de temperatura y suministro eléctrico que los ordenadores de usuario. De ser posible, hay que proporcionarle un espacio mejor, porque el riesgo de una amenaza actuando sobre él es mayor. Si existe la posibilidad, debe proporcionarse un sistema de alimentación eléctrica ininterrumpido, y unas condiciones de temperatura adecuadas (por ejemplo entre 20º y 25º, que reduzcan el deterioro de sus componentes si se vieran forzados a trabajar a temperaturas elevadas). Debe intentar ubicarse en un recinto separado, que se denominará en adelante Centro de Proceso de Datos o CPD.

Las amenazas vistas en el apartado anterior, en la categoría de desastres naturales, y amenazas de origen industrial, precisan de salvaguardas, de las que las más habituales son:

Medidas que eviten el fuego, el humo o el agua: sistema anti-incendio y antiinundaciones, bien solo de alarma, o incluso de extinción del incendio, o de evacuación del agua.

Medidas que eviten las vibraciones, golpes, y caídas accidentales: como la fijación en armarios industriales para fijación de equipos informáticos, o armarios tipo rack).

Medidas para proporcionar temperatura y humedad adecuadas, como equipos de aire acondicionado, y alarmas por exceso, o por defecto (riesgo de condensación).

Medidas que eviten fallos de suministro eléctrico (corte del suministro, variaciones de tensión por encima o por debajo del suministro nominal, caídas de rayos, etc.).

Seguridad del cableado, tanto en los materiales empleados, como en su disposición o tendido, siguiendo pautas de un sistema de cableado estructurado, que aseguren una correcta acometida al CPD, un trazado interior adecuado, y unas conexiones a los equipos correctas, de manera practicable, ordenada, e identificada.

Un mantenimiento preventivo de los equipos, según indicaciones del fabricante, y al menos con chequeos periódicos generales (vías de salida de aire de los chasis, revisiones de temperatura de los procesadores y/o placa base, revisiones de leds, u otros indicadores del buen funcionamiento de discos duros, fuentes de alimentación, etc.).

Asegurar condiciones de seguridad para desplazamientos del equipo fuera del CPD (vigilancia, exposición a campos electromagnéticos, condiciones de embalaje, y transporte).

Seguridad al final del ciclo de vida del equipo, incluida su destrucción segura.

Recuerde

Las amenazas no pueden impedirse en su totalidad, por lo que deben contemplarse, anticipando la situación de que sucedan, más tarde o más temprano, según su probabilidad de ocurrencia.

Actividades

5. Investigue qué salvaguardas ambientales puede incorporar un ordenador en sus subsistemas: placa base, fuente de alimentación, discos duros, y chasis interno.

4.3. Seguridad física

El acceso físico a los ordenadores y equipos aumenta el riesgo de cualquier incidente. Debe aplicarse el criterio de conceder acceso exclusivamente a quien lo necesite por sus funciones y, a ser posible, concederlo solamente cuándo y cómo lo necesite (por ejemplo en un horario determinado, y/o en presencia de otra persona). Así, en general, los usuarios no deben tener acceso físico a servidores, o a equipos de comunicaciones; tampoco los desarrolladores de aplicaciones, ni administradores de bases de datos, ni la Dirección de la empresa, deberían tener acceso físico a servidores o equipos de comunicaciones, porque, en todos esos casos, su trabajo no lo exige.

Las consecuencias de un ataque con acceso físico, serán normalmente de máxima gravedad, porque se puede lograr el máximo nivel de acceso posible a toda la información. Entre los infractores, se pueden encontrar los propios usuarios o trabajadores de la empresa, antiguos empleados que conserven sistemas de acreditación que les den acceso, y personas externas, como ladrones, salteadores, o hackers.

Habitualmente, el incidente más frecuente por acceso físico es accidental o no intencionado: se trata de errores humanos protagonizados por personal del departamento de informática o TIC, por personal de servicios auxiliares (limpieza, seguridad o mantenimiento), o incluso por proveedores o visitas.

Se trata, por tanto, de proteger a los equipos de accidentes que ocurren cuando hay acceso humano a los equipos. Entre las salvaguardas más habituales para proteger el acceso físico, se encuentran las siguientes:

Establecer un perímetro de seguridad física (local, habitaciones), con elementos constructivos acordes (puertas, paredes, ventanas, techos, suelos, etc.).

Mecanismos de control de ingreso físico (acreditaciones, cerraduras automáticas, etc.).

Establecer y definir áreas de acceso público, de entrega, de carga, etc.

Protección contra locales o actividades cercanas (incendios, explosiones, vías de vehículos, o cargas en movimiento).

Actividades

6. Reflexione sobre el riesgo de que el local donde se alojan los equipos informáticos de una entidad financiera esté ubicado junto a una gasolinera, disponga de ventanas (protegidas o no), incluya muchas cámaras de seguridad, y rótulos con el nombre de la entidad financiera en la fachada.

4.4. Seguridad de acceso lógico

El acceso lógico se refiere al acceso a la información de manera remota, es decir, sin emplear un periférico conectado directamente al equipo. Por ello, interviene forzosamente una red de comunicaciones, que extiende el acceso al servidor más allá del CPD, donde estén confinados sus periféricos de entrada y salida. Las principales medidas de seguridad que se pueden interponer para reducir el riesgo de un incidente de seguridad, aprovechando una vulnerabilidad en el acceso lógico, son las siguientes:

Definir una política de control de acceso, que identifique la información relacionada con actividades comerciales, los responsables de concederconfigurar-revocar los accesos, el procedimiento de solicitud, etc.

Existencia de un registro de usuarios, y de los servicios a los que acceden. Es importante mantener un registro actualizado de los usuarios, de los servicios, y de los accesos autorizados de los usuarios a los servicios.

Gestión de privilegios de acceso, sobre la base de solo lo que necesitan saber.

Gestión de claves de usuario, tanto de las características técnicas o de complejidad, como de la prohibición de divulgación de las mismas.

Revisiones periódicas de los derechos de acceso de los usuarios.

El establecimiento de responsabilidades del usuario, en cuanto al uso de claves secretas, equipos desatendidos, políticas de mesas y pantallas limpias (que no muestren información que no sea de carácter público).

La existencia de una política de uso de los servicios de red (internet, correo electrónico, etc.).

Mecanismos de autenticación y registro para las conexiones externas a la empresa o remotas, como técnicas de redes privadas virtuales (VPN).

Separaciones de redes, por ejemplo, en base a servicios de información, o grupos de usuarios o sistemas.

Controles de las conexiones que realizan los usuarios hacia fuera de la empresa.

Controles de acceso al sistema operativo, como la identificación y autenticación del usuario, un sistema automático de gestión de contraseñas, la restricción del uso de las utilidades del sistema operativo, el cierre de sesiones por inactividad, y la limitación de los periodos válidos para los inicios de sesión.

Controles de acceso a las aplicaciones y la información, como controles de lectura, escritura, modificación de archivos, y carpetas; o el aislamiento de la información confidencial, por ejemplo, en sistemas con cifrado integrado.

Establecimiento de una política para trabajo en movilidad, que incluya las comunicaciones móviles y el teletrabajo.

Actividades

7. Plantee un hipotético registro de usuarios y de los servicios a los que acceden, en una empresa con 10 trabajadores, 3 departamentos, y 5 servicios entregados por los equipos informáticos (acceso a internet, correo electrónico, impresión, base de datos de contabilidad, y base de datos de clientes).

5. La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas

A la vista de la multitud de amenazas y salvaguardas consideradas, no se puede enfrentar el problema mediante un conjunto de medidas de seguridad aisladas para objetos concretos. Es decir, se pueden interponer multitud de salvaguardas y mecanismos de seguridad, pero estas salvaguardas por sí mismas, no aportan suficientes garantías de continuidad a la empresa. Es necesaria una gestión adecuada de esas medidas, que incluirá los procesos, revisiones, recalificaciones, y adaptaciones para la realidad cambiante de la empresa, su entorno, sus amenazas y sus debilidades.

Para la construcción de un sistema de seguridad, no bastan los conceptos tecnológicos, sino que se necesitan también aspectos de gestión, aspectos legales, aspectos éticos, u otros específicos de la naturaleza y ambiente interno y externo de la empresa.

Es en este punto en el que surge el concepto de Sistema de Gestión de Seguridad de la Información (SGSI), como un sistema de gestión usado para establecer y mantener un entorno seguro. Se trata, sencillamente, de analizar la empresa, y fijar sus necesidades de seguridad iniciales, de poner en práctica las medidas de protección para lograr alcanzar estas necesidades, de ser capaz de medir si se han alcanzado o no, y de detectar las mejoras en las medidas de protección para alcanzar las necesidades.

La anterior secuencia describe una repetición continua de fases de planificación (en inglés, plan), ejecución (en inglés, do), medida (en inglés, check) y corrección (en inglés, act), constituyendo un ciclo de mejora continua de Deming (P-D-C-A), como muestra la siguiente imagen.

Se