Upload
lehanh
View
218
Download
0
Embed Size (px)
Citation preview
SEGURIDAD INFORMÁTICA
Instituto Valenciano de Administración PúblicaNoviembre 2006
Angel Alonso Párrizas [email protected]
SEGURIDAD INFORMÁTICAIndice1. Normativa en la seguridad
de los sistemas de información2. Activos, amenazas, salvaguardas y
herramientas de seguridad.3. Políticas y buenas prácticas4. Aspectos prácticos y uso de herramientas5. Enlaces de interés
Parte 1.
Normativa en la seguridad de los sistemas de información
Constitución
... el artículo 18.4 de la Constitución Española establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, para ello, se ha definido un marco legal dentro del que deben actuar las personas jurídicas o personas físicas en el ejercicio de sus actividades profesionales.
Normativa
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. El Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de
medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
DECRETO 96/1998, de 6 de julio, del Gobierno Valenciano, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la administración de la Generalitat Valenciana
Orden de 3 de diciembre de 1999, de la Conselleria de Justicia y Administraciones Públicas por la que se aprueba el Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
DECRETO 87/2002, de 30 de mayo, del Gobierno Valenciano, por el que se regulan la utilización de la firma electrónica avanzada en la Generalitat Valenciana. (DOGV nº. 4265 de 06.06.2002)
LEY 59/2003, de 19 de diciembre de firma electrónica
¿Qué es la protección de datos de carácter personal?
Es una materia jurídica que desarrolla el artículo 18,1y4 de la Constitución Española y consiste en garantizar los derechos fundamentales de los afectados por el tratamiento de datos de carácter personal realizado por terceros.
Su ámbito se extiende a toda información referente a personas físicas identificadas o identificables (art 2,LOPD) en cualquier tipo de soporte (informático o no) y en todos los ámbitos tanto físicos como informáticos de la empresa ( locales, departamentos, archivos...)
Obliga a toda persona que trate los datos de otros y exige que se dé cumplimiento a todos los requisitos de legalidad, legitimación y seguridad que establecen la directiva 46/95, la ley 15/99 de 13 de Diciembre, el R.D.994/1.999 de 11 de Junio y demás normativa de aplicación.
¿Qué dice la ley?
La Ley dice que las organizaciones que tienen ficheros automatizados y documentales en los que tratan datos de carácter personal están obligadas a implantar en sus sistemas de tratamiento las medidas de seguridad reguladas en el R .D. 994/1.999.
La jurisdicción competente es la Agencia de Protección de Datos, autoridad de control española, ente totalmente autónomo e independiente de las instituciones políticas españolas.
¿Qué es la LOPD?
Es una ley del año 1.999 cuya finalidad es proteger todos los datos de carácter personal que pueda tener una empresa o profesional en su fichero, con el fin de que no sean utilizados inadecuadamente, ni tratados o cedidos a terceros sin consentimiento inequívoco del titular.
Su finalidad es proteger el Derecho a la identidad de las personas físicas.
¿Qué son los datos de carácter personal?
Dato de carácter personal es toda información sobre una persona física identificada o identificable (el nombre, la matrícula del coche, la dirección, los datos laborables, el currículum Vitae...).
Un fichero o un archivo de datos de carácter personal es un conjunto organizado de datos, bien sea manual, informático o en otro soporte.
¿Qué hay que hacer para cumplir la ley?
Para cumplir la ley hay que adaptar la forma de trabajar de la organización, en lo que se refiere al tratamiento de datos de carácter personal a los requerimientos que establece la normativa vigente, que básicamente se pueden resumir en 3 apartados:∙
− Legalizar el fichero en la Agencia Central de Protección de Datos
− Tener y aplicar el documento de seguridad que deben cumplir con los requisitos legales.
− Obtener la legitimación de todos los datos de carácter personal que posea la empresa y todos los nuevos que entren, es decir, tener el consentimiento de los afectados.
¿Quiénes son los Responsables de los datos?
Son las personas físicas o jurídicas que deciden sobre la finalidad, el contenido y el tratamiento de los datos.Dependiendo del volumen y características de la empresa, estas responsabilidades pueden recaer en una sola persona o en varias.
El Responsable de los datos decide sobre la finalidad, contenido, usos y aplicaciones del fichero y además responde de su legalidad y legitimación de acuerdo con lo dispuesto en la LO 15/99 de protección de datos de carácter personal, en la directiva de la CE 46/95, los Reglamentos y las instituciones y recomendaciones de la Agencia de Protección de Datos.
¿Qué Derechos tienen las personas físicas?
Las personas físicas tienen una serie de derechos de obligado cumplimiento por las empresas que poseen datos de carácter personal, estos se concretan en los siguientes puntos:
∙ Derecho de acceso: El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.
∙ Derecho al contenido de la información: La información podrá obtenerse mediante la mera consulta de los datos por medio de visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específico.
∙ Derecho de rectificación y cancelación: El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
Reglamento de medidas de seguridad.RD 994/1999
Medidas de seguridad de nivel básico Medidas de seguridad de nivel medio Medidas de seguridad de nivel alto Dichos niveles se establecen atendiendo a la naturaleza de la
información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información
Decreto 96/1998
Regula− Organización de la función informática− Utilización de los sistemas de información− Registro de ficheros informatizados en el ámbito de la
administración de GV (UARFI)
Reglamento técnico.Seguridad de las aplicaciones Cifrado Uso del control de acceso Control de acceso. Accesos especiales y vigencia de
accesos Control de acceso. Contraseñas Control de acceso. Puertas falsas Control de acceso. Accesos de terceras partes Control de acceso. Inactividad del sistema Control de acceso. Sistemas operativos
Reglamento técnico Seguridad de las aplicaciones Integridad. Procesos con múltiples actualizaciones Integridad. Informaciones confidenciales Integridad. Protecciones antivirus Disponibilidad Trazabilidad Comunicaciones electrónicas de datos Transmisión de contraseñas Transmisión de informaciones sensibles Autenticación, integridad y no repudio en comunicaciones Tercera parte de confianza en las comunicaciones
Medidas de organización aplicables a la seguridad y conservación
Control de incidencias Alta, modificación y baja de usuarios Formación de usuarios Protección antivirus Operación de las aplicaciones Mantenimiento de aplicaciones Procedimientos de contingencia Elementos de seguridad Supervisión de elementos de seguridad
LSSI
Regula el régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica.
− Prestación de servicios− Comunicaciones comerciales por via electrónica− Solución judicial y extrajudicial de conflictos− Información y control
Firma electrónica
Se equipara a la firma hológrafa Certificado digital como medio para la firma Emisión por parte de los prestadores de servicios
de certificación GVA se constituye como una autoridad de
certificación
Delitos informáticos El delito informático se define a todo ilícito penal llevado a cabo
a través de medios informáticos, íntimamente ligado a los bienes jurídicos relacionados con las tecnologías de la información o que tiene como fin estos bienes.
El Código Penal de 1995 ha introducido modalidades delictivas: Descubrimiento y revelación de secretos (art. 197 CP). La
interceptación del correo electrónico u otros ficheros informáticos se asimila a la violación de la correspondencia.
Acceso no consentido, conocido como hacking directo. El acceso indebido o no autorizado con el único ánimo de vulnerar el password sin ánimo delictivo adicional no se encuentra penado.
Delitos informáticos Hacking indirecto, que supone un acceso no consentido al
ordenador o sistema informático como medio para cometer diferentes conductas delictivas. Se castiga por el delito finalmente cometido.
Espionaje informático empresarial (art. 278 CP). Cuando la información almacenada informáticamente supone un valor económico para la empresa porque confiere al titular una posición ventajosa en el mercado (secreto empresarial).
Daños informáticos o sabotaje (art. 264.2 CP). Se trata de los daños causados en el sistema mediante la introducción de virus y bombas lógicas.
Estafa informática (art. 238.2 CP). Empresas ficticias que se valen de la buena fe de las personas.
Delitos informáticos Delitos contra la propiedad intelectual (art. 270 CP),
como es el pirateo de programas de ordenador o el cracking. Delitos tradicionales existentes hasta ahora en el código penal y
que son de perfecta aplicación a los cometidos por medios informáticos: calumnia, injuria (a través de email o móvil), usurpación de identidad (adivinación o uso de contraseñas ajenas), robo, hurto (llaves falsas son las tarjetas magnéticas
Tipos de delitos informáticos reconocidos por las Naciones Unidas
Manipulaciones de los datos de salida (sustracción de datos) Manipulaciones de los programas (troyanos) Manipulaciones de los datos de entrada (falsificación o robo de
contraseñas) Fraudes por manipulaciones y repeticiones automáticas de
procesos Falsificaciones de documentos y de otros objetos (p.e. dinero)
que usan el ordenador como instrumento Sabotaje informático (virus, gusanos...)
Competencias en Delincuencia Informática
Convenio del Consejo de Europa sobre Ciberdelincuencia, Budapest, 23/11/2001
Desde 1996, existe un grupo de agentes encargados de la investigación de este tipo de delitos: El grupo de delitos informáticos de la Guardia Civil. www.guardiacivil.org/telematicos
Parte 2.
Activos, amenazas, salvaguardas y herramientas de seguridad
Definición informal
¿Qué queremos defender?
¿Cómo puede ser dañado?
¿Quién / Qué puede dañarlo?
De manera más formal... un activo es...Los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por direción.
En esencia: “la información”.
Pero además alrededor de estos datos se pueden indentificar:Servicios: los que se prestan gracias a los datos y los que necesitan de los datos.Aplicaciones informáticas (software): manejan los datos.Equipos informáticos (hardware): permiten hospedar datos, aplicaciones y serviciosSoportes de información: hospedan datos, aplicaciones y servicios.Equipamiento auxiliar: Complementan el material informático.Redes de comunicación: permiten intercambiar datos.Instalaciones: acogen equipos informáticos y de comunicacionesPersonas: explotan u operan todos los elementos anteriores.
Amenaza:
Es cualquier elemento externo (entendiendo externo como algo no controlable) al entorno, que normalmente está asociado a un evento habitual, que si se da puede producir un ‘efecto negativo’ (deterioro..) total o parcial sobre el activo.
Hay accidentes naturales (terremotos, inundaciones..), desastres industriales (fallos eléctricos..) ante los cuales el sistema de información es víctima pasiva, pero no por ser pasivas hay que permanecer indefensos.
Hay amenazas causadas por las personas: errores y ataques intencionados.
El ‘efecto negativo’ es lo que se conoce como impacto (% de deterioro).
Amenazas: malware
Software desarrollado con el fin de tener algún objetivo específico sobre la víctima.
Cada vez más son organizaciones criminales las que usan el malware para sus objetivos.
− SPAM, DDoS, asalto a cuentas bancarias, distribución ilegal de adware (Software publicitario)
− El malware con fines lucrativos se ha bautizado como crimeware Cada vez es más sencillo el desarrollo de malware.
Amenazas más importantes 2005
Adware y Spyware 44%.
Troyanos 27 %
Gusanos 9%
Bots 8%
Backdoors 8%
Dialers 8%
Gusanos de correo
Amenaza que en el 2005 descendió con respecto al 2004, pero que sigue siendo importante.
Algunos casos conocidos son los gusanos:
− Mydoom, Bagle, Netsky, Sober, Mytob
Vía de propaganción:
− Email. Las consecuencias son: merma en los recursos del usuario, consumo de
ancho de banda, envíos de correos a contactos de la agenda de correo.
Bots I La familia de malware que durante el 2005 ha experimentado el mayor
crecimiento, por segundo año consecutivo, ha sido la de los llamados bots o robot
Características de los bots:
1. Esquema cliente / servidor. Se reciben ordenes de un atacante.2. Se suelen usar redes de IRC para controlar a la víctima3. Se pueden usar para ataques distribuidos de denegación de servicio
(DDoS), envío de spam, distribución ilegal de software publicitario o incluso el abuso de sistemas “pay per click”.
4. Se puede propagar bajo demanda. Suelen aprovechar vulnerabilidades en servicios remotos, carpetas compartidas y carpetas de P2P.
5. Pueden incluir captura de tráfico (Sniffers) y/o del teclado (Keylogger)
Bots II
Cada vez son más los gusanos de correo o mensajería instantánea que “transportan” bots como elemento fundamental de su carga vírica (payload). También hay que hacer mención a los casos de bots que son descargados sin consentimiento previo alguno, mediante el aprovechamiento de vulnerabilidades en los navegadores. En ambos casos la intención y, de hecho, el resultado son evidentes: conseguir saltar el cerco impuesto por el perímetro.
Contramedidas contra los bots La principal salvaguarda para los bots son los elementos de seguridad
perimetral:
− Proxys.
− Firewall.
En la mayoría de las organizaciones existen este tipo de elementos, pero es muy recomendable el uso de firewalls personales en cada ordenador.
− Es importante no confundir un firewall personal con un firewall de perímetro. El primero se trata de un elemento software que filtra únicamente el tráfico de entrada y salida en la estación en el que se instala, mientras que el segundo se trata de un elemento hardware y/o software que se encarga de filtrar todo el tráfico de entrada y salida en una red compuesta por uno o varios segmentos. Una propiedad interesante de los firewalls personales consiste en el control de acceso a la red de cada uno de los procesos en ejecución en el sistema en el que se instalan (tanto de tráfico entrante como saliente).
Spyware y malware espía
El robo de información de carácter confidencial y personal no es, ni mucho menos, una práctica nueva entre el malware, existiendo multitud de especimenes especialmente diseñados con dicho propósito. Entre los más recientes y peligrosos cabe destacar los troyanos orientados a la captura de datos bancarios y financieros.
Durante el 2005 se ha popularizado el uso del término Spyware para referirse a cualquier clase de malware que atenta contra la privacidad, la confidencialidad o la identidad de los usuarios.
El adware
El término Adware proviene de la síntesis de “Advertisement” y “Software”. El Adware, tal y como el mismo nombre sugiere, está concebido con el único propósito de promocionar o publicitar servicios y productos. Este tipo de software comenzó por un lado a incluirse en progranas tipo freeware o shareware (como moneda de cambio para su utilización gratuita), y por otro lado, empezó a vincularse a toda clase de websites que invitaban, engañaban o incluso forzaban a los navegantes para conseguir su instalación.
Phising
El phishing es un tipo de estafa electrónica cuyo objetivo es el robo de datos de índole personal, con la finalidad de obtener beneficios económicos directos o indirectos para quienes lo llevan a cabo.
El tipo de información que se intenta conseguir al perpetrar este tipo de estafas se centra fundamentalmente en datos financieros, pero también incluye toda clase de credenciales (usuario y contraseña) de websites de diversa índole y otro tipo de datos personales.
Ver vídeo Phising
SPAM y Phising
SPAM: Es el envío masivo de correos con publicidad. En algunos casos puede ser usado como vía de comunicación para el phising.
Se suele falsificar la dirección de origen para darle mayor credibilidad
El phising es ingeniería social.
Phising y crimeware
Conforme avanza la educación de los usuarios de no envíar sus credenciales por Internet, se desarrollan otros mecanismos para no depender de la ingeniería social.
− Utilización de malware instalado en el ordenador de la víctima para monitorizar sus accesos o tecleos y robar sus credenciales.
SPAM El spamming consiste en el envío masivo de mensajes de correo
electrónico, normalmente con la finalidad de promocionar servios, productos, estafas y timos de todo tipo. Quitando los posibles daños derivados del contenido de dichos correos no solicitados, el spam por si mismo supone una gran amenaza para Internet en cuanto a consumo de recursos (tiempo de proceso, memoria y ancho de banda). Dicha circunstancia se traduce en repercusiones económicas que hacen mella sobre los entornos corporativos y gubernamentales que dependen de alguna manera, directa o indirectamente, de La Red y del uso que hacen de ella.
En ocasiones se emplea el spam como medio para difundir malware que no posee características de propagación (como pueden ser troyanos, keyloggers, etc.), así como para el “lanzamiento” de malware que sí se propaga por si mismo. De hecho, el spam en si mismo, constituye el principal mecanismo para la difusión de phishing.
Gran parte del spam que circula por Internet, se origina en máquinas previamente comprometidas e infectadas con alguna clase de malware
Se estima que el spam representa en la actualidad entre el 60% 70% del volumen total de correo electrónico que circula por la Red.
Virus
Los virus son piezas de código que se insertan por sí mismos en una estación, incluyendo sistemas operativos, para propagarse. No pueden ejecutarse independientemente. Requieren que el programa que lo alberga se ejecute para activarse. RFC 1135.
Pueden dañar los datos directamente o pueden degradar la performance del sistema al utilizar sus recursos, los cuales ya no estarán disponibles a los usuarios
Diferentes tipos de efectos nocivos sobre el sistema afectado: eliminación, alteración de información, etc.
Se propagan a través de archivos infectados de una estación a otra por acción del usuario.
Propiedades de los virus
Replicación
Requiere de un programa o documento que lo albergue.
Modificación del código del documento o programa
Ocultos al usuario
Ejecución involuntaria, gracias al usuario
Ejecución involuntaria, gracias a funcionalidades/vulnerabilidades de la aplicación.
Ejecución de acciones hostiles contra el sistema
Modos de propagación de los virus
Esto es aplicable a la mayoría del malware
− Medio por el cual se propaga a otros sistemas:
Correo electrónico
Archivos ejecutables
Archivos de Office
Scripts, etc
Troyanos Basado en el concepto del Caballo de Troya que los griegos utilizaron para
destruir esa ciudad.
Son programas que ejecutan una determinada tarea, pero además incluyen inesperadas (indeseables) funciones.
Es similar a un virus, excepto que el troyano no se replica.
Algunos virus instalan programas troyanos durante el proceso de infección.
Propagación:
− Vienen escondidos en aplicaciones y/o programas que se descargan desde Internet de naturaleza dudosa, como parte de aplicaciones pirateadas, por medio de virus y/o gusanos, instalados por un hacker en una red vulnerada., por medio de applets de Java y ActiveX de Windows, por usuarios disconformes con su organización.
Otras amenazas I
Existen algunos tipos de amenazas que están categorizadas en algunos de los elementos anteriores
− Los correos engañosos “Hoax”− Las bromas por correo “Jokes”− Los timos por correo electrónico− El robo de cuentas de correo− La suplantación de correo
Otras amenazas II
Ingeniería social. (No solo en el phising)
Mala calidad del password (longitud y complejidad)
Recursos compartidos
Ordenadores encendidos sin bloqueo de pantalla.
Passwords escritas en papel
Passwords compartidas
Instalación de aplicaciones no coporativas.
Otras amenazas III
Excesiva confianza al leer el correo electrónico
Ejecución de aplicaciones de las que su origen es desconocido y a veces conocido (email con adjuntos víricos)
Tener previsualizados los correos en programas como Outlook.
Conclusiones y predicciones
El fin de una era fundamentalmente ociosa en el desarrollo del malware, en favor de una nueva época marcada por fines lucrativos, conlleva inevitablemente algunos cambios peligrosos.
La utilización de crimeware como balón de oxígeno para revitalizar la efectividad del phishing, es una de las tendencias que ha caracterizado el 2005 y que cabe esperar de cara al futuro. El 2006 será a buen seguro, el año del crimeware.
En general, resulta previsible un descenso paulatino de todas aquellas formas de fraude online basadas única y exclusivamente en la ingeniería social, si bien habría que excluir los temidos ataques dirigidos, como el “spear phishing”.
Además la tendencia es a exportar este tipo de ataques a otras plataformas:
− Telefonía móvil, consolas con conectividad a Internet, PDAs, etc.
Contramedidas al Malware
Contramedidas / salvaguaradas:
− Detección: Antivirus: http://alertaantivirus.red.es/utiles/ver.php?tema=U&articulo=1
AntiSpyware: http://alertaantivirus.red.es/utiles/ver.php?tema=U&articulo=10
AntiSpam: http://alertaantivirus.red.es/utiles/ver.php?tema=U&articulo=11
AntiDialers: http://alertaantivirus.red.es/utiles/ver.php?tema=U&articulo=7
AntiFraude (Phising): http://alertaantivirus.red.es/utiles/ver.php?tema=U&articulo=16
Elementos de seguridad I
Firewall de red: Permite o deniega el tráfico de red en función de unas reglas determinadas.
Firewall personal (Aplicación desarrollada para la protección del PC y de sus datos, estableciendo una barrera entre el PC e Internet para la detección de actividades sospechosas, de acuerdo con reglas establecidas)
− Defiende de posibles ataques y hackers
− Complementa las defensas antivirus
− Vigila la actividad de Internet y de la red
− Alerta de hechos hostiles
− Proporciona información detallada del tráfico sospechoso de Internet
− Ejemplo: http://www.sunbeltsoftware.com/Kerio.cfm
Elementos de seguridad II
Antivirus: Controla todo los procesos y ficheros del ordenador en busca de virus, troyanos, malware..
− Un ejemplo de antivirus gratuito es: AVG Antivirus http://www.grisoft.com/doc/1
Sistemas de detección de intrusos (IDS): monitoriza el tráfico de la red en busca de patrones que puedan ser indicios de ataques, virus..
Sistemas de prevención de intrusos: Son IDSs con capacidad reactiva, es decir, ante un ataque o intento de intrusión reaccionan denegando el tráfico o la ejecución de un proceso
Filtrado de contenidos: herramientas que permite filtrar direcciones webs en función de una clasificación determinada.
Elementos de seguridad III
Proxy: controla salida de Internet de los usuarios autorizados.
Cifrado:
− Permite garantizar la confidencialidad (que nadie pueda monitorizar) de las comunicaciones.
HTTPS− Permite garantizar la autenticidad del origen del mensaje:
Por ejemplo en el correo electrónico mediante la firma electrónica− Permite garantizar la integridad del mensaje, es decir que no ha sido
modificado.
− Además garantiza el norepudio (que fue enviado por quién lo firma).
− Fechado de tiempo: dejar constancia de que un evento ocurrio en un momento concreto.
Política de passwords
Riesgo
“Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.”
...De otra manera la probabilidad de que una amenaza aproveche una vulnerabilidad teniendo un impacto sobre un activo...
Parte 3.
Políticas y buenas prácticas
Políticas y buenas prácticas
En el uso del ordenadorEn el uso de la red corporativaMecanismos de autenticaciónEl sistema operativo Windows XPUso de antivirusEl Microsoft OfficeUso del correo electrónicoUso de navegadores
Buenas prácticas: Uso de los ordenadores personales
No alterar la configuración física del equipo ni conectar otros dispositivos.No alterar la configuración software del equipo (instalar o desinstalar programas, desactivar el antivirus, …).Corroborar con el departamento de informática que en su equipo se aplican las actualizaciones de seguridad del sistema operativo y que su antivirus se actualiza automáticamente. Avisar al departamento de informática si se detecta cualquier anomalía en el equipo.
Buenas prácticas: Uso de la red corporativa
No conectar ordenadores no autorizados a la red corporativa.
Prohibido utilizar, copiar o transmitir información contenida en los sistemas informáticos para uso privado o cualquier otro distinto del servicio público al que estuviera destinada.
Utilización racional del ancho de banda.
No acceder a páginas de contenido “dudoso”.
Mecanismos de autenticación
La autenticación es el proceso de verificación de la identidad de una persona o entidad.
Usuario / contraseña: muy conocido y poco seguro.
Dos factores: basado en algo que se tiene y algo que se conoce.
Tres factores: basado en algo que se tiene, en algo que se conoce y en algo que se es.
Mecanismos de autenticación: Contraseñas
La custodia de las contraseñas es responsabilidad del usuario.
NUNCA compartir contraseñas o usuarios.
Calidad en las contraseñas.
Cambio de contraseña en Windows XP:
<CTRL> + <ALT> + <SUP>
Cierre de sesiones al abandonar el puesto de trabajo.
Mecanismos de autenticación: Certificados y tarjetas
El PIN o contraseña no viaja por la red de telecomunicaciones (queda en el PC del usuario).
Es más difícil la suplantación por tener que disponer de la tarjeta y conocer el PIN.
Es posible combinar con biometría y eliminar el PIN (como DNIe).
Mecanismos de autenticación: Certificados y tarjetas (2)
Tarjetas resistentes a ataque físico y capacidad de autodestrucción.Posibilidad de consolidar múltiples contraseñas. Menor coste de mantenimiento de credenciales por parte de responsables de aplicaciones.
Sistema Operativo: Windows XP
Cuentas de usuario
Permisos en directorios y ficheros
Copias de seguridad
Encriptación de directorios y ficheros
Extensiones de ficheros
Windows XP: Cuentas de usuario• Existen 3 tipos de cuentas de usuario, con distintos niveles de
permisos.
NONOSILeer archivos de otros usuarios
NOalgunosSIInstalar programas NOSISICambiar su contraseña
NONOSIAgregar o quitar hardware
NONOSICambiar archivos del sistema
NOalgunaSICambiar configuración del sistema
RestringidoEstándarAdministradorPermisos:
Windows XP: Permisos en archivos y carpetas
El sistema de archivos NTFS incorpora control de acceso.
Permite limitar el acceso de los usuarios a los datos de un equipo o la red mediante el uso de listas de control de acceso.
Para cambiar los permisos de un archivo o carpeta, es necesario ser el propietario, o bien disponer de los permisos necesarios.
Windows XP: Copias de seguridad
Objetivo: Proteger los datos locales ante fallos del disco o borrados accidentales.
La utilidad Copia de seguridad de Windows XP permite crear una copia duplicada de los datos del disco duro y archivarlos en un dispositivo de almacenamiento (unidad de red, CDR, DVDR, etc).
El usuario es responsable de la integridad de la información almacenada en el ordenador que tenga asignado.
Windows XP: Copias de seguridad. Sugerencias
Guardar la copia en una ubicación distinta a la del ordenador.
Mantener ordenados los datos que se guardan en la copia (eliminar archivos antiguos o duplicados) para que ocupe menos espacio.
Proteger la copia con una contraseña.
Realizar las copias periódicamente.
Windows XP: Encriptación de datos
El sistema de archivos NTFS ofrece la posibilidad de cifrado de archivos (EFS).
Cada archivo o carpeta cuenta con una clave de cifrado única indispensable para poder descifrar los datos.
El proceso de cifrado y descifrado de datos es transparente al usuario.
Windows XP: Tipos de ficheros: ExtensionesLa extensión de un fichero lo identifica ante el sistema operativo.Determina su función, su contenido y si lo maneja algún programa conocido.El sistema operativo puede “ocultar” la extensión y llevar a error al usuario.Para visualizar extensiones, desde el explorador:
Herramientas > Opciones > Ver
y desmarcar “Ocultar las extensiones de archivo para tipos conocidos”
Antivirus
Conceptos básicos
Funcionamiento
Características de un antivirus corporativo
Análisis bajo demanda
Actualización del antivirus
MS Office: Deshabilitar macros
Antivirus: Conceptos básicos
¿Qué es un virus?
¿Qué elementos infectan los virus?
Medios de entrada más habituales para los virus.
¿Qué es un antivirus?
Técnicas antivirus.
Antivirus: ¿Cómo funciona un antivirus?
Contiene unos ficheros donde almacenan una serie de patrones que sirven para identificar los virus (fichero de firmas).
El antivirus analiza cada uno de los ficheros entrantes en el sistema y busca dentro ellos esos patrones.
Si el fichero bajo análisis tiene alguno de los patrones, entonces se ha detectado el virus.
Antivirus: Características de un antivirus corporativo
Se activa al inicio del equipo.
Se actualiza automáticamente.
Comunica cualquier incidencia automáticamente al responsable informático.
Es fácilmente identificable el icono en la barra de tareas.
Antivirus: Análisis bajo demanda
Seleccionar el elemento a analizar desde la consola del antivirus:
Antivirus: Análisis bajo demanda (2)
Seleccionar el elemento a analizar desde el Explorador de Windows y pulsar botón derecho:
Antivirus: ActualizaciónSuele ser un proceso automatizado.
Es necesaria la conexión a Internet o a un servidor.
Se recomienda comprobar la fecha de actualización desde la consola:
MS Office: Deshabilitar macros
Algunos virus se ocultan en “macros” de archivos de MS Office (Word, Excel, Access o PowerPoint).Para desactivar las macros: Para desactivar las macros:
Herramientas > Macros > SeguridadHerramientas > Macros > Seguridad
y seleccionar “Alta”y seleccionar “Alta”
Uso del correo electrónico
El servicio de correo corporativo de la Generalitat Valenciana se basa en un sistema de mensajería centralizado.
Obligatoriedad de seguir una series de normas comunes.
Normas de uso del correo electrónicoLa cuota que se establece por usuario es de 100 Mb.
Inactividad de las cuentas: las cuentas que lleven más de 8 meses sin ser utilizadas por el usuario serán dadas de baja si no existe justificación previa y por escrito de tal inactividad.
Normas de uso del correo electrónicoEl usuario es responsable de mantener la confidencialidad de su cuenta y contraseña, y de toda actividad realizada con su cuenta. El correo electrónico no debe utilizarse como herramienta de difusión de información masiva. Para tales fines existen medios más adecuados (WEB , FTP, foros, news).Las cuentas creadas en los servidores de la Generalitat Valenciana tienen como objetivo el intercambio de mensajes propios del desempeño profesional. Queda prohibido su uso con fines comerciales o financieros y participar en “cartas en cadena”.
Normas de uso del correo electrónicoNo utilizar el correo para anunciar la aparición de nuevos virus, amenazas, etc. por parte de personal no autorizado.No esta permitido manipular las cabeceras de los mensajes con la finalidad de ocultar o falsear la identidad del remitente del mensaje.No se permite el uso de cuentas de correo distintas a las proporcionadas por la Generalitat dentro de la Generalitat.Es posible la consulta de la cuenta desde el exterior mediante el servicio Webmail
Uso del correo electrónicoRecomendacionesDebido al importante aumento de spam y virus que falsifican la dirección del remitente, se recomienda el uso de correos firmados que permiten validar al remitente.
El correo electrónico es una de las fuentes más importantes de difusión de virus, por lo que se recomienda no abrir mensajes recibidos de remitentes desconocidos y especialmente si tienen el asunto en ingles.
Uso del correo electrónicoMedidas tecnicas
El tamaño máximo de los mensajes está limitado a 20 MbNo están permitidos los envíos masivos, siendo rechazados los mensajes si el número máximo de destinatarios es superior a 100. En el caso de mensajes recibidos desde el exterior este límite es de 50 usuarios.
Uso del correo electrónicoMedidas tecnicas
Debido al incremento y la continua aparición de nuevos virus, son eliminados los mensajes con anexos susceptibles de ejecución. Las extensiones cortadas son:
Aplicaciones: exe, dll Scripts: vbs, shs, vbe, hta, pif, bat, lnk, scr, wsh Otros: com, vxd, hlp, sys, shs, ovl, ocx, cab, cmd, class, vdl, chm, cpl
Está filtrado el acceso mediante clientes Pop o Imap a cuentas externas a la Generalitat para evitar posibles puntos de entrada de virus. Para evitar la posible generación de spam desde servidores internos de la Generalitat y aparecer en listas negras, se limita el envío de correo hacia fuera de la Generalitat únicamente a los servidores de correo corporativos.
Uso del correo electrónicoListas de distibucion
Respecto a las listas de distribución definidas en el servidor de listas corporativo, se deben de seguir las siguientes normas:
Todas las listas serán moderadas, con lo que ha de quedar identificado el o los responsable de tal función.
Utilizar la lista únicamente para la finalidad para la que fue definida evitando un número elevado de envíos.
El tamaño de los mensajes deberá ser reducido, evitando en la medida de lo posible los anexos.
Correo Electronico• No vista previa• No abrir nunca correos de
remitentes no conocidos• No abrir nunca anexos no
solicitados• Visualización de correos sin
“abrirlos”• No reenviar correos. ( el
destinatario verá todos los que han visto este correo).
Correo Electronico
• Remitente de un correo. Correos firmados.
• Revision de la firma de un correo.
• Envio de correos con informacion confidencial. Cifrado.
Uso de navegadores
• Web seguras (SSL)– Solo aseguran que estamos
conectándonos a la URL descrita.
• Avisos de seguridad:
Navegadores
• Certificados de Usuario
• Descaga de software
• Instalación de controles Active X y Java Script
Parte 4.
Aspectos prácticos yuso de herramientas
Aspectos prácticos yuso de herramientas El uso del ordenador El uso de la red corporativa Mecanismos de autenticación El sistema operativo Windows XP Uso de antivirus El Microsoft Office Uso del correo electrónico Uso de navegadores
Parte 5.
Enlaces de interés
Enlaces de Interés (I)
Antivirus
Escaneo online gratuito:www.pandasoftware.es/activescan
Antivirus gratuito (castellano):http://www.grisoft.com/doc/1/lng/laes/tpl/tpl01
Información sobre virus:
http://www.virusprot.com http://www.kriptopolis.com http://www.zonavirus.com
Enlaces de Interés (II)
Delitos informáticos:
http://www.delitosinformaticos.com Grupo de delitos informáticos de la Guardia Civil:
http://194.179.107.38 BSA Business Software Alliance:
http://www.bsa.org/espana Asociación Contra la Pornografía Infantil:
http://www.asociacionacpi.org
Enlaces de Interés (III)
Asociaciones para Internautas/Seguridad/Datos:
Asociación Española de Usuarios de Internet:http://www.aui.es
Asociación de Internautas:http://www.internautas.org
Navegaciónsegura.es (Red.es):http://navegacionsegura.red.es
Agencia de Protección de Datos:https://www.agpd.es
Enlaces de Interés (IV)
Legislación Informática: Ley Orgánica de Protección de Datos de Carácter Personal
Real Decreto 994/1999, de 11 de Junio. Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal
ORDEN de 3 de diciembre de 1999, de la Conselleria de Justicia y Administraciones Públicas. Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones y Medios de Tratamiento Automatizado de la Información.
Decreto 96/1998, de 6 de julio. Organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la administración de la G.V.
DECRETO 87/2002, de 30 de mayo, del Gobierno Valenciano, por el que se regulan la utilización de la firma electrónica avanzada en la G.V.