Muchas
veces se comete el error de pensar que la seguridad consiste, básicamente, en
evitar las intrusiones en nuestro sistema. Sin duda alguna, como dice el dicho,
“más vale prevenir que curar”, pero además se debe tener en cuenta otros
factores que ayudan a mejorar la seguridad: detectar cuando se produce una
intrusión, poder restaurar nuestro sistema y poder identificar las acciones que
ha realizado un intruso. Según esto, también se puede definir la seguridad de
un sistema informático como los mecanismos de prevención, detección,
restauración y análisis que se lleven a cabo para garantizar la seguridad del
sistema.
·
Prevención: En esta etapa se toman las
acciones necesarias para prevenir una posible intrusión. Estas acciones se
pueden realizar tanto a nivel de software (actualización del sistema), a nivel
hardware (p.e. asegurar físicamente nuestro servidor) o de red (p.e. filtrado
de puertos).
·
Detección: Si por desgracia se produce
una intrusión en nuestro sistema, es recomendable detectar el momento en que se
produce, y tomar las medidas necesarias para que no pueda dañar nuestro sistema
(filtrar puertos, apagar el equipo, etc.).
·
Restauración: Una vez que nuestro
sistema ha sido atacado, entonces será necesario restaurarlo con las copias de
seguridad realizadas anteriormente.
Y por último, el análisis
forense: que nos permite determinar las acciones que ha realizado nuestro atacante:
desde ver que agujeros de seguridad ha utilizado para entrar en nuestro equipo,
hasta ver las acciones que ha realizado en nuestro sistema. De esta forma
podemos asegurar nuestro sistema ante posibles ataques futuros
En la siguiente imagen
podemos observar las distintas etapas de seguridad
En la siguiente imagen se puede observar que la
etapa de prevención se realiza antes de que se produzca un ataque, la etapa de
detección durante el ataque y las etapas de recuperación y análisis forense se
realizan después del ataque
Prevención
Los
mecanismos de seguridad preventivos son todas aquellas acciones que van
encaminadas a prevenir cualquier amenaza a la confidencialidad, integridad, no
repudio y disponibilidad de los elementos críticos del sistema. Por la propia
definición de estas características, también se debe proporcionar mecanismos de
autentificación y de control de acceso que garanticen la identificación,
autentificación y gestión de perfiles aplicables a los recursos para determinar
qué usuario y bajo qué condiciones pueden o no acceder al recurso solicitado
para la acción indicada.
Lo
primero que se debe tener en cuenta es la protección física de los diferentes
equipos del sistema informático. Cualquier equipo en general y, con especial
atención, los servidores y hardware de red, deben situarse en recintos
protegidos para que sólo el personal autorizado tenga acceso a ellos. Los
mecanismos aplicables varían desde una habitación con una cerradura y llave, a
los más sofisticados mecanismos de acceso por huella digital, cámaras de seguridad
y guardias que reaccionen ante violaciones de la política de acceso -estos dos
últimos más bien se deben englobar como sistemas de detección.
Desde
el punto de vista lógico, la seguridad está basada, principalmente, en aplicar,
por un lado, configuraciones, técnicas de identidad y listas de control de
acceso a la información en los sistemas y las comunicaciones y, por otro lado,
el empleo de algoritmos criptográficos.
Recuperación:
Copias de Seguridad
Los
mecanismos preventivos pueden evitar muchos problemas y ataques pero no
garantizan estar exentos de todo riesgo o daño. Tras detectar que la seguridad
ha sido comprometida, una de las tareas del administrador del sistema afectado
será recuperarlo y dejarlo tal y como estaba antes del incidente.
Lo
primero que un administrador debe realizar a la hora de diseñar un sistema de
copias de seguridad es planificar la estrategia a seguir para cumplir la
política de seguridad de la organización. Por ejemplo, en un ambiente
universitario dedicado a aulas de prácticas de informática, se puede establecer
que las copias de seguridad afecten, exclusivamente a los sistemas de ficheros
de los equipos de las aulas. De esta forma, ante una posible caída (situación
bastante probable) se pueden recuperar los equipos en el menor tiempo posible
pero se pierden los datos de los usuarios.
La finalidad de las
copias de seguridad puede ser recuperar todo el sistema completo. Lo que todo
administrador debe tener en cuenta es:
·
¿Qué se debe copiar? Como se ha
comentado, deberá ajustarse a lo definido en la política de seguridad de la
organización.
·
¿Dónde se encuentra? Si el sistema de
copias está centralizado en un equipo, no sólo debe saber el lugar del sistema
de ficheros en el que se encuentran los ficheros a copiar, como ocurre en el
caso de disponer de un sistema de copias local, sino que también debe conocer
en qué equipos de la red se encuentran.
·
¿Quién y dónde se realizará la copia? Se
debe conocer quién asume la responsabilidad de gestionar las copias de
seguridad y en qué soporte y dispositivo se realizará
·
Por último, se debe indicar bajo qué
condiciones se realizará la copia de seguridad y con qué frecuencia para que se
cubra perfectamente las necesidades de recuperación. Un sistema en el que los
datos que queremos copiar cambian frecuentemente, obliga a tener copias de
seguridad frecuentes para no correr el riesgo de perder información.
Técnicas de Análisis
Forense
Debido a la creciente importancia de los sistemas de información,
no sólo por la repercusión social sino también por la importancia de los datos
y operaciones que se realizan con sistemas informáticos, los estados han
legislado los llamados “delitos informáticos”. Con ello, al igual que ocurre en
otros ámbitos judiciales, para aplicar las penas marcadas en la ley, es
necesario la aportación de pruebas fidedignas que demuestren la culpabilidad de
los acusados
Por este
motivo y, sin llegar a reclamaciones judiciales, por el interés profesional
de los responsables de los sistemas en conocer qué, quién y cómo ha violado
la seguridad del sistema informático, surgen las técnicas de análisis forense.
|
|
Estas
técnicas, definen el conjunto de acciones encaminadas a averiguar qué ha
pasado con un equipo al que se le ha comprometido la seguridad y, por otra,
el procedimiento para recoger pruebas fiables y fidedignas que puedan ser
usadas en procedimientos judiciales.
Los
objetivos, por tanto, del análisis forense son:
·
Averiguar ¿Qué ha pasado?
·
¿Cómo se ha realizado la
intrusión?
·
¿Qué consecuencias ha tenido?
·
¿Quién ha sido?
·
Y todo ello con el procedimiento
utilizado y herramientas de apoyo fuera de toda duda y respetando las leyes
vigentes en materia, sobre todo de privacidad.
|