Riesgos para la seguridad de la información (resumen)

leer versión extendida ...

La información de una organización es uno de sus principales activos por lo que su seguridad debe estar garantizada. No debe pensarse que la seguridad de la información consiste solamente en evitar que ésta llegue a oídos de terceros, la seguridad de la información tiene otros aspectos que son muchas veces más importantes que la propia confidencialidad, por ejemplo su disponibilidad.

No toda información es igual de importante, ni todas las organizaciones manejan datos que exijan el mismo nivel de seguridad, pero ninguna organización se libra de la conveniencia de valorar si está gestionando sus datos correctamente.

Aunque las fallas en la seguridad de la información vienen originadas mayoritariamente por errores propios, debemos también pensar que podemos ser víctimas de ataques o desgracias externas que produzcan efectos no deseados en nuestros datos.

Para ser capaces de protegernos de las amenazas que pueden afectarnos debemos intentar analizarlas y clasificarlas según el agente que las produce (por ej. agua u otro líquido), el modo en que se materializan (siguiendo el ejemplo anterior, inundación, derrame de líquidos, etc) y el tipo y gravedad de las consecuencias (destrucción de un servidor, pérdida de datos, caída de un servicio). De esta manera podremos gestionar la seguridad de nuestros datos de forma más eficiente (Sistema de Gestión de la Seguridad de la Información - SGSI).

Empezando por los riesgos que corremos, vemos que los más comunes son:

-          envío de información falsa a terceros o a otros miembros de la organización

-          realización de operaciones en nombre de la organización

-          denegación de servicio (DoS – denial of service) por saturación de los recursos

-          manipulación de los datos de la organización (incluida la destrucción/inhabilitación)

-          borrado de huellas para enmascarar una acción no autorizada o a su autor

Amenazas físicas

Son aquellas que no tienen el origen en un programa o aplicación informática. Por lo general son amenazas genéricas que afectan a todas las actividades de la organización y el efecto principal que producen es la destrucción/inhabilitación temporal o definitiva de nuestros datos. Las soluciones necesarias desde el punto de vista del SGSI pueden diferir de las que tomaríamos si solo nos preocupáramos de la seguridad de otros activos o de las personas que trabajan o visitan nuestras instalaciones.

• Incendios: riesgo de destrucción de los soportes de almacenamiento y los servidores, las medidas preventivas tienen que ser inocuas para los equipos electrónicos.
• Inundaciones: el riesgo potencial es similar al del incendio. Es importante la ubicación de las instalaciones, sobretodo el centro de proceso de datos o CPD.
• Otros desastres: tempestades, tifones, terremotos, vandalismo, terrorismo, etc; suelen ser más improbables que los dos primeros.
• Interferencias radioeléctricas: el riesgo real suele ser pequeño.
• Fallos en la alimentación eléctrica: imposibilitan el acceso a los datos o al servicio.
• Robo: se deben proteger los equipos y los soportes (lógicos y en papel) del acceso de personal no autorizado, especialmente los servidores.

Amenazas lógicas

Son aquellas amenazas que nos acechan a través de código informático. Puede tratarse de código malicioso o código potencialmente peligroso (aplicaciones normales que pueden ser usadas de manera fraudulenta para controlar nuestro sistema).

Al hablar de amenazas lógicas el agente es siempre un código informático, aunque vale la pena diferenciar entre los distintos tipos que existen ya que las consecuencias y las medidas preventivas a tomar serán distintas según el caso:

- virus: programa que se introduce en nuestro sistema a través de la colaboración involuntaria de un usuario autorizado con el fin de dañar la información contenida en él.

- gusanos: serían virus con capacidad de difuminarse por ellos mismos en una red interna o en Internet.

-  troyanos: aplicación que se encuentra en nuestro sistema y que ha camuflado su funcionalidad real.

-  rootkits: código que se oculta en nuestro sistema para abrir canales de conexión para un ataque exterior.

- adware: son programas publicitarios que el propio usuario instala por descuido, son molestos pero no son peligrosos.

 

- spyware: adware usado para obtener información no lícita.

- aplicaciones potencialmente peligrosas: aplicaciones que pueden servir para controlar nuestro sistema. En ocasiones son herramientas que utilizan el propio personal técnico de la organización.

Estos agentes, actuando solos o en combinación, producen ataques de tipología muy variada:

- flooding o hamming (DoS): saturación de los recursos del sistema.

- connection flood (DoS): saturación de los canales de comunicación.

o ataques ICMP (DoS): saturación de una red aprovechando las características del protocolo ICMP (Internet Control Message Protocol).

- scanning o búsqueda de puertos: permite conocer las “puertas” de entrada al sistema y sus vulnerabilidades para un ataque posterior.

- suplantación de identidad (spoofing): se trata de hacerse pasar por un usuario autorizado sin tener derecho a ello.

o robo de contraseñas

§ cesión: la contraseña es dada voluntariamente por el usuario.

§ cartoneo ó trashing: es “tirada” por el usuario y recuperada por el atacante.

§ monitorización: seguimiento de la víctima.

· shoulder surfing: espiar por encima del hombro.

· señuelos: falsas pantallas de acceso al sistema.

· sniffing (interceptación del tráfico de red) y snooping (descarga/acceso a documentos de la red).

· looping: la reiteración del snooping.

§ ataques por fuerza bruta: verificación repetitiva de claves.

o man in the middle ó MitM: interceptación de una comunicación para introducir paquetes de datos falsos en la misma.

o secuestro de TCP: se altera o desincroniza la capa de transporte (TCP) en un intercambio de datos para que los datos legítimos sean rechazados y substituirlos así por otros falsos.

o envenenamiento de DNS (Domain Name Server): engañar al servidor de nombres de un sistema para que acceda a un destino diferente al deseado.

- ataques de día cero: es un método para introducir código malicioso en un sistema aprovechando sus vulnerabilidades antes de que sean descubiertas y parcheadas.

leer versión extendida ...