Seguridade informática

A seguridade informática, tamén coñecida como ciberseguridade,^[1] é unha área relacionada coa informática e a telemática que se enfoca na protección da infraestrutura computacional e todo o vinculado coa mesma. Especialmente céntrase na información contida nunha computadora ou na circulante a través das redes de computadoras. Para isto existen unha serie de estándares, protocolos, métodos, regras, ferramentas, e leis concibidas para minimizar os posibles riscos á infraestrutura ou á propia información. A ciberseguridade comprende software (bases de datos, metadatos, ficheiros), hardware, redes de computadoras, e todo o que a organización entenda e valore como un risco se a información confidencial involucrada puidera chegar a mans doutras persoas, por exemplo, converténdose así en información privilexiada.

Seguridade informática
Instancia de sector económico tipo de seguranza disciplina académica sector económico
Subclase de seguridade seguridade da información computer industry (en)
Estudado por Avaliación da seguridade das tecnoloxías da información
Practicado por consultor de seguridade informática departamento de tecnoloxía da información especialista en ciberseguridade director de sistemas de información
Parte de ciberseguridade
Composto por ordenador Internet das cousas teléfono móbil rede de computadores informática forense
[ Wikidata ] [ C:Commons ]

A definición de seguridade da información non debe confundirse coa de «seguridade informática». Esta última só se encárga da seguridade no medio informático, pero a información pode atoparse en diferentes medios ou formas, non exclusivamente en medios informáticos.

A seguridade da información baséase en métodos e procesos que procuran protexer os arquivos de información nas súas diferentes formas e estados, mentres que a seguridade informática trata sobre métodos e procesos técnicos para protexer a confidencialidade, dispoñibilidade e integridade da información.

A seguridade informática tamén inclúe á práctica de previr os ataques maliciosos ás computadoras e servidores, aos dispositivos móbiles, aos sistemas electrónicos, ás redes e os datos, etc.^[1]

Resumidamente, a seguridade nun ambiente de rede é a habilidade de identificar e eliminar vulnerabilidades. Unha definición xeral de seguridade debe tamén pór atención á necesidade de salvagardar a vantaxe organizacional, incluíndo información e equipos físicos como as mesmas computadoras. Ninguén a cargo da seguridade debe determinar quen ou cando pode tomar accións apropiadas sobre un elemento en específico. Cando se trata da seguridade dunha compañía, o que é apropiado varía segundo a organización. Independentemente, calquera compañía cunha rede debe ter unha política de seguridade que promova a conveniencia e a coordinación.

No campo da ciberseguridade, desenvolvéronse modelos de avaliación de riscos para xestionar de forma efectiva os aspectos relacionados co risco cibernético. Un destes modelos é o "cubo de McCumber" presentado por John McCumber no 1991. Este modelo revolucionario describiu os factores de risco da ciberseguridade nunha representación tridimensional semellante a un cubo. Cada unha das caras visibles do mesmo representa tres aspectos diferentes do risco cibernético que deben ser xestionados de maneira efectiva. Cada intersección no espazo tridimensional do cubo representa a combinación de tres compoñentes distintos (un compoñente de cada cara). É dicir, cada punto de unión do cubo representa a intersección de tres aspectos clave relacionados co risco cibernético. En particular, o minicubo situado na parte frontal, representa a intersección entre confidencialidade, tecnoloxía e procesamento. Este enfoque remarca a idea de implementar controis tecnolóxicos para salvagardar a privacidade dos datos durante o procesamento. O modelo do cubo de McCumber empregouse como unha ferramenta valiosa na avaliación e xestión de riscos da seguridade cibernética, permitindo ás organizacións identificar e abordar dun xeito máis efectivo as vulnerabilidades e ameazas na súa contorna dixital.

Cubo de McCumber

Historia

Con Internet e con outros avances tecnolóxicos importantes dos últimos anos, a ciberseguridade converteuse nun termo moi coñecido. No 1967, representantes da Corporación RAND e a Axencia de Seguridade Nacional publicaron por primeira vez unha investigación sobre as ameazas á seguridade no campo do tempo compartido de computadoras.^[2]

Obxectivos

A seguridade informática ten como obxectivo establecer normas e medidas que minimicen os riscos á información e á infraestrutura informática. Estas normas inclúen aspectos como horarios de funcionamento, restricións de acceso, autorizacións, denegacións, perfís de usuario, plans de emerxencia, protocolos e todo o necesario para garantir un nivel axeitado de seguridade sen comprometer o rendemento dos traballadores e a organización en xeral.

En termos de activos protexidos, a seguridade informática é concibida para protexer os activos informáticos, entre os que se atopan os seguintes:

• A infraestrutura computacional: é unha parte fundamental para o almacenamento e a xestión da información, así como para o funcionamento da organización. A función da seguridade informática nesta área é velar porque os equipos funcionen adecuadamente e anticiparse en caso de erros, roubos, incendios, sabotaxes, desastres naturais, fallos na subministración eléctrica e calquera outro factor que atente contra a infraestrutura informática.
• Os usuarios: son as persoas que empregan a estrutura tecnolóxica, a zona de comunicacións e que xestionan a información. Debe protexerse o sistema en xeral para que o uso por parte deles non poida pór en dúbida a seguridade da información nin que a información que manexan ou almacenan sexa vulnerable.
• A información: este é o principal activo. Utiliza e reside na infraestrutura computacional e é empregada polos usuarios. A seguridade informática ocúpase de protexer a confidencialidade, integridade e dispoñibilidade da información.

Roles e responsabilidades na Ciberseguridade e o Marco do ENS

Dentro do ámbito da ciberseguridade, contar con roles e responsabilidades claramente definidos é fundamental para garantir unha xestión efectiva da seguridade da información. Neste senso, o Esquema Nacional de Seguridade (ENS) establece os roles básicos que deben existir nas organizacións para velar pola protección da información.

Segundo a Guía de Seguridade das TIC CCN-STIC 801, ademais das tres figuras principais mencionadas no artigo 10 do ENS (que son o Responsable da Información, o Responsable do Servizo e o Responsable da Seguridade), existen outros roles tamén importantes que poden desempeñar un papel relevante na xestión da seguridade da información.

Un destes roles é o Responsable do Sistema de Información, cuxa responsabilidade pode estar situada dentro da propia organización ou compartimentada entre a organización e terceiros (poden ser provedores de servizos públicos ou privados) no caso de sistemas de información externalizados. O Responsable do Sistema de Información debe garantir o emprego axeitado e o funcionamento correcto dos sistemas de información, así como implementar as medidas de seguridade precisas.

É importante remarcar que as competencias e responsabilidades dos roles arriba mencionados poden variar segundo a organización e o contexto específico. Porén, é fundamental que estes roles estean claramente definidos e que exista unha coordinación efectiva entre eles para poder asegurar unha xestión integral da seguridade da información.

O Marco do ENS proporciona unha guía e referencia para as organizacións á hora de implementar medidas de seguridade da información. Establécense nel os requisitos mínimos de seguridade que deben cumprir os sistemas e os servizos empregados polas administracións públicas, así como as pautas a seguir para avaliar e xestionar os riscos asociados á seguridade da información.

Ameazas ou riscos cibernéticos

Non só deben ser consideradas as ameazas que xorden da programación e do funcionamento dun dispositivo de almacenamento, transmisión ou proceso, tamén existen outras circunstancias non informáticas que deben ser tomadas en conta. Moitas son a miúdo imprevisibles ou inevitables, polo que as únicas proteccións posibles son as redundancias e a descentralización, por exemplo mediante determinadas estruturas de redes no caso das comunicacións ou servidores en clúster para garantir a dispoñibilidade.

As ameazas poden ser causadas por:

• Usuarios: causa do maior problema ligado á seguridade dun sistema informático. Nalgúns casos as súas accións causan problemas de seguridade, aínda que na maioría dos casos é porque teñen permisos sobredimensionados, non se lles restrinxiron accións innecesarias, etc.
• Programas maliciosos: programas destinados a prexudicar ou a facer un uso ilícito dos recursos do sistema. É instalado no computador, abrindo unha porta a intrusos ou modificando datos. Estes programas poden ser un virus informático, un verme informático, un troyano, unha bomba lóxica, un programa espía ou spyware, ... En xeral coñécense como malware.
• Erros de programación: a maioría dos erros de programación que se poden considerar unha ameaza informática é pola súa condición de poder ser usados como exploits polos crackers, aínda que se dan casos onde o mal desenvolvemento é, en si mesmo, unha ameaza. A actualización de parches dos sistemas operativos e das aplicacións permite evitar este tipo de ameazas.
• Intrusos: persoas que conseguen acceder aos datos ou programas aos cales non están autorizados (crackers, defacers, hackers, script kiddie ou script boy, viruxers, etc.).
• Sinistro (roubo, incendio, inundación): unha mala manipulación ou mala intención derivan na perda do material ou dos arquivos.
• Persoal técnico interno (técnicos de sistemas, administradores de bases de datos, técnicos de desenvolvemento, etc.): os motivos que se atopan entre os habituais son: disputas internas, problemas laborais, despedimentos, fins lucrativos, espionaxe, etc.
• Fallos electrónicos ou lóxicos dos sistemas informáticos en xeral.

Enxeñaría social

A enxeñaría social é a práctica de obter información confidencial a través da manipulación de usuarios lexítimos. É unha técnica que poden usar certas persoas para obter información, acceso ou privilexios en sistemas de información, con resultados similares a un ataque a través da rede, saltándose toda a infraestrutura creada para combater programas maliciosos. Ademais, é un ataque máis eficiente, xa que é máis complexo de calcular e prever.

O principio que sustenta a enxeñaría social é o mesmo ca en calquera sistema: "os usuarios son o elo débil".

Tipos de ameazas

Existen moitos xeitos de clasificar un ataque, ademais cada ataque pode recibir máis dunha clasificación. Por exemplo, un caso de phishing pode chegar a roubar o contrasinal dun usuario dunha rede social e con ela realizar unha suplantación da identidade para un posterior acoso (phishing, suplantación e acoso), pero o roubo do contrasinal pode usarse simplemente para cambiar a foto do perfil e deixalo todo nunha broma (sen que deixe de ser delito en ningún dos dous casos, polo menos en países con lexislación sobre o tema, como o é España).

Ameazas pola orixe

O feito de conectar un sistema a unha contorna externa xera a posibilidade de que algún atacante poida entrar nela e furtar información ou alterar o funcionamento da rede. Porén, o feito de que a rede non estea conectada a unha contorna externa, como Internet, non garante a seguridade da mesma. De acordo co Computer Security Institute (CSI) de San Francisco, aproximadamente entre o 60 e o 80 por cento dos incidentes de rede son causados dende dentro da mesma. Baseado na orixe do ataque podemos dicir que existen dous tipos de ameazas:

• Ameazas internas: xeralmente estas ameazas poden ser máis serias que as externas, por razóns como:

• Se é por usuarios ou persoal técnico, coñecen a rede e saben como é o seu funcionamento, a localización da información, os datos de interese, etc. Ademais teñen algún nivel de acceso á rede polas mesmas necesidades do seu traballo, o que lles permite realizar movementos mínimos.
• Os sistemas de prevención de intrusos ou IPS, e firewalls son mecanismos non efectivos en ameazas internas por non estar, xeralmente, orientados ao tráfico interno. Que o ataque sexa interno non implica que sexa exclusivamente por persoas internas da rede, podería ser por vulnerabilidades que permiten acceder á rede directamente: rosetas accesibles, redes inalámbricas desprotexidas, equipos sen vixilancia, etc.

• Ameazas externas: aquelas ameazas que se orixinan fóra da rede. Ao non ter información certeira da rede, un atacante ten que realizar certos pasos para poder coñecer que é o que hai nela e buscar a maneira de atacala. A vantaxe que se ten neste caso é que o administrador da rede pode previr unha boa parte dos ataques externos. É neste punto onde a ciberseguridade perimetral cobra importancia, porque axuda a protexer a rede e os sistemas informáticos dunha organización contra os ataques externos.

Ameazas polo efecto

O tipo de ameazas segundo o efecto que causan a quen recibe os ataques poderían clasificarse en:

• Roubo de información.
• Destrución de información.
• Anulación do funcionamento dos sistemas ou efectos que tendan a iso.
• Suplantación da identidade, publicidade de datos persoais ou confidenciais, cambio de información, venda de datos persoais, etc.
• Roubo de diñeiro, estafas...

Ameazas polo medio empregado

As ameazas pódense clasificar polo modus operandi do atacante, aínda que o efecto pode variar para un mesmo tipo de ataque:

• Virus informático: malware que ten por obxectivo alterar o funcionamento normal da computadora sen o permiso ou o coñecemento do usuario. Os virus, habitualmente, substitúen arquivos executables por outros infectados co código deste. Os virus poden destruír, de maneira intencionada, os datos almacenados nunha computadora, aínda que tamén existen outros máis inofensivos, que só se caracterizan por ser molestos.
• Phishing.^[3]
• Enxeñaría social.
• Denegación de servizo.
• Spoofing: de DNS, de IP, de DHCP, etc.

Ameaza informática do futuro

Se nun momento o obxectivo dos ataques foi cambiar as plataformas tecnolóxicas, as tendencias cibercriminais indican que a nova modalidade é manipular os certificados que conteñen a información dixital. A área semántica, que era reservada para os humanos, converteuse agora no núcleo dos ataques debido á evolución da Web 2.0 e ás redes sociais, factores que levaron ao nacemento da xeración 3.0.

Dise que “a Web 3.0 outorga contidos e significados de tal xeito que poden ser comprendidos polas computadoras, as cales (por medio de técnicas de intelixencia artificial) son capaces de emular e de mellorar a obtención de coñecemento, até o momento reservada ás persoas”. É dicir, trátase de dotar de significado ás páxinas web, de aí o nome de web semántica ou sociedade do coñecemento, como evolución da xa pasada sociedade da información.

Neste senso, as ameazas informáticas que veñen no futuro xa non se producen coa inclusión de troyanos nos sistemas ou con softwares espías, senón co feito de que os ataques profesionalizaronse e manipulan o significado do contido virtual.

• “A Web 3.0, baseada en conceptos como elaborar, compartir e significar, está a representar un desafío para os hackers que xa non utilizan as plataformas convencionais de ataque, senón que optan por modificar os significados do contido dixital, provocando así a confusión lóxica do usuario e permitindo deste xeito a intrusión nos sistemas”. A ameaza xa non solicita a clave da banca do desprevindo usuario, senón que directamente modifica o balance da conta, asustando ao internauta e, a partir de alí, efectua o roubo do capital”.
• Obtención de perfís dos usuarios por medios, nun principio, lícitos: seguimento das procuras realizadas, históricos de navegación, seguimento con xeoposicionamiento dos móbiles, análises das imaxes dixitais subidas a Internet, etc.

Para non ser presa desta nova onda de ataques máis sutís, recoméndase:

• Manter as solucións activadas e actualizadas.
• Evitar realizar operacións comerciais en computadoras de uso público ou en redes abertas.
• Verificar os arquivos adxuntos de mensaxes sospeitosas e evitar a súa descarga en caso de dúbida.
• DMS no Data Center.

Análise de riscos

A análise de riscos informáticos é un proceso que comprende a identificación de activos informáticos e as vulnerabilidades e ameazas aos que se atopan expostos, así como a súa probabilidade de ocorrencia e o impacto das mesmas, a fin de determinar os controis axeitados para aceptar, diminuír, transferir ou evitar a ocorrencia do risco.

Tendo en conta que a explotación dun risco causaría danos ou perdas financeiras ou administrativas a unha empresa ou organización, precísase poder estimar a magnitude do impacto do risco ao que se atopa exposta mediante a aplicación de controis. Devanditos controis, para que sexan efectivos, deben ser implementados en conxunto formando unha arquitectura de seguridade coa finalidade de preservar as propiedades de confidencialidade, integridade e dispoñibilidade dos recursos obxectos de risco.

Elementos dunha análise de risco

O proceso de análise de risco xera habitualmente un documento coñecido como matriz de risco. Neste documento móstranse os elementos identificados, a maneira en que se relacionan e os cálculos realizados. Esta análise é indispensable para lograr unha correcta administración do risco. A administración do risco fai referencia á xestión dos recursos da organización.

Existen diferentes tipos de riscos como o risco residual e o risco total, así como tamén o tratamento do risco, a avaliación do risco e a xestión do risco entre outras. A fórmula para determinar o risco total é:

RT (Risco Total) = Probabilidade x Impacto Medio

A partir desta fórmula poderemos determinar o seu tratamento, e despois de aplicar os controis será posible obter o risco residual.

Tipos de risco

Risco estratéxico

Ten relación coa forma en que se administra a organización. O manexo do risco estratéxico enfócase en asuntos globais relacionados coa misión e co cumprimento dos obxectivos estratéxicos, a clara definición das políticas de deseño e a conceptualización da organización por parte da alta xerencia.

Risco de imaxe

Relaciónase coa percepción e a confianza por parte da sociedade cara á organización.

Risco operativo

Comprende os riscos procedentes do funcionamento e operatividade dos sistemas de información, da definición de procesos de negocio, da estrutura da organización e da articulación entre áreas ou dependencias.

Risco financeiro

Relaciónase co manexo dos recursos da organización que inclúen:

• A execución presupuestal.
• A elaboración dos estados financeiros.
• Os pagos.
• Os manexos de excedentes e o manejo sobre os bens.

Risco de cumprimento

Asóciase coa capacidade da organización para cumprir cos requisitos legais, estruturais, éticos e, en xeral, co seu compromiso ante a sociedade e o estado.

Risco tecnolóxico

Está relacionado coa capacidade tecnolóxica da organización para satisfacer as súas necesidades actuais e futuras.

Análise de impacto ao negocio

O reto é asignar estratexicamente os recursos para cada equipo de seguridade xunto cos bens que interveñan, baseándose no impacto potencial para o negocio, respecto dos diversos incidentes que se deben resolver.^[4]

Para determinar o establecemento de prioridades, o sistema de xestión de incidentes precisa saber o valor dos sistemas de información que poden ser potencialmente afectados por incidentes de seguridade. Isto pode implicar que alguén dentro da organización asigne un valor monetario a cada equipo e arquivo na rede ou asignar un valor relativo a cada sistema e a información sobre el. Dentro dos valores para o sistema pódense distinguir: confidencialidade da información, integridade (aplicacións e información) e finalmente dispoñibilidade do sistema. Cada un destes valores é un sistema independente do negocio, supoñamos o seguinte exemplo, un servidor web público pode posuír a característica de confidencialidade baixa (xa que toda a información é pública) pero necesita alta dispoñibilidade e integridade para poder ser confiable. En contraste, un sistema de planificación de recursos empresariais (ERP) é, habitualmente, un sistema que posúe alta puntuación nas tres variables.

Os incidentes individuais poden variar moito en termos de alcance e de importancia.

Mecanismo de seguridade

Un mecanismo de seguridade (tamén coñecido como ferramenta de seguridade ou de control) é unha técnica que se utiliza para implementar un servizo, é dicir, é aquel mecanismo que está deseñado para detectar, previr ou recobrarse dun ataque de seguridade. Os mecanismos de seguridade implementan varios servizos básicos de seguridade ou combinacións destes servizos básicos. Os servizos de seguridade especifican "que" controis son requiridos e os mecanismos de seguridade especifican "como" deben ser executados estes controis.

Dentro das diferentes categorías de mecanismos de seguridade, un dos aspectos relevantes é a ciberseguridade perimetral. Esta enfócase en protexer o perímetro dunha rede contra ameazas e ataques cibernéticos. Consiste en establecer medidas de seguridade nos puntos de entrada e saída da rede, como firewalls, sistemas de detección e prevención de intrusións (IDS/IPS), sistemas de prevención de perda de datos (DLP) e outros dispositivos e técnicas de seguridade.

Non existe un único mecanismo capaz de prover todos os servizos, porén, a maioría deles fai uso de técnicas criptográficas baseadas no cifrado da información. Os mecanismos de seguridade son accións levadas a cabo co obxectivo de reducir o risco asociado ás vulnerabilidades. Estas accións poden ser preventivas, detectivas, ou recuperables.

Un dos riscos máis ignorados na era da dixitalización é o roubo de vantaxes competitivas, sobre todo en áreas corporativas con alta rotación de empregados. No extremo, a propiedade intelectual (PI) de departamentos baseados en algoritmos está a un só "copiar e pegar" de caer en mans dun competidor.^[5]

1. Protección de algoritmos: as tecnoloxías tradicionais non deseñadas para protexer intrinsecamente contra este tipo de roubo de PI, a miúdo requiren protocolos ad hoc forzados para protexer a información sensible. Pero aquí é onde entra a lóxica de Data MAPs, baseados en tecnoloxía federada. En microservicios de software en unidades aínda máis pequenas e distribuíndoas entre varias aplicacións, os algoritmos son fragmentados en pezas que residen en diferentes nodos a través de servidores. Deste xeito, varios equipos poden contribuír á evolución iterativa dun algoritmo masivo sen que ningún equipo teña unha visión completa de todo o sistema mentres é orquestrado de forma nativa. Os protocolos federados dificultan exponencialmente o roubo da propiedade intelectual.
2. Protección de datos: no que respecta aos datos, os protocolos de federación incompletos presentan un problema importante. Poderíase dicir que, no contexto da dixitalización, a federación non foi o suficientemente ambiciosa: a mera distribución de datos entre servidores departamentais para garantir a calidade e a dispoñibilidade non é suficiente para brindar unha protección integral. En lugar disto, os datos departamentais deben distribuírse entre varios servidores de tal maneira que, se se produce unha violación, só se véxan comprometidas recompilacións de datos aleatorios e non relacionados. Por exemplo, unha violación podería expor o nome dun cliente, a dirección dunha oficina, os comentarios de RR. HH. dun empregado e o custo dunha campaña de mercadotecnia, pero non o suficiente como para causar un dano probable. Unha estratexia de xestión de datos baseada en algoritmos garantiría a dispoñibilidade dos datos, mentres que a reorganización continua de recompilacións de datos entre nodos agregaría ruído a calquera servidor comprometido. A implementación da algoritmización no núcleo I ofrece un mecanismo de defensa sólido a través da federación de algoritmos en varios nodos. Esta estrutura non só protexe contra o hackeo e a explotación externa, senón que tamén mitiga os riscos operativos. Xa sexa a través das vantaxes inherentes do modelo federado ou ao aproveitar este marco para crear novas tecnoloxías de seguridade adaptables, as empresas agora poden protexer as súas operacións de maneiras que os sistemas tradicionais non son capaces de proporcionar.^[5]

Clasificación por función e obxectivo

Existen distintos tipos de mecanismos de seguridade, que se clasifican segundo a súa función e o seu obxectivo. En xeral, divídense en dúas categorías:

a) Mecanismos de seguridade xeneralizados

Relaciónanse directamente cos niveis de seguridade necesarios e algúns deles relaciónanse co manexo da seguridade. Permiten determinar o grao de seguridade do sistema, xa que son aplican para cumprir a política xeral de seguridade.

b) Mecanismos de seguridade específicos

Estes mecanismo definen a implementación de servizos concretos. Os máis importantes son:

• Confidencialidade: garante que a información só sexa accesible por persoas autorizadas.
• Non repudio: asegura que unha entidade non poida negar a autoría ou recepción dunha comunicación.
• Integridade: protexe a información contra modificacións non autorizadas.
• Autenticación: verifica a identidade dun usuario ou sistema.
• Control de acceso: regula o acceso aos recursos de información.
• Dispoñibilidade: garante que os sistemas e recursos estean dispoñibles cando se requiran.

Clasificación por accións que realizan

Pos outra banda, os mecanismos de seguridade poden clasificarse segundo as accións que realizan:

a) Controis disuasivos

Estes reducen a probabilidade dun ataque deliberado ao implementar medidas que disuaden aos posibles atacantes.

b) Controis preventivos

Os controis preventivos protexen as vulnerabilidades (tratando de evitar a súa explotación) e fan que un ataque fracase ou reduza o seu impacto. Estes controis inclúen a implementación de políticas de seguridade, a aplicación de parches e actualizacións, a configuración segura dos sistemas e o uso de tecnoloxías como firewalls e sistemas de prevención de intrusiones (IPS).

c) Controis correctivos

Os controis correctivos reducen o efecto dun ataque cando xa ocorreu. Inclúen a recuperación de datos, a restauración de sistemas e a implementación de medidas correctivas para evitar futuros incidentes de seguridade.

d) Controis detectores

Estes controis enfócanse en descubrir os ataques cando teñen lugar e activar os controis preventivos ou correctivos correspondentes. Inclúen sistemas de detección de intrusos (IDS), análises de rexistros (logs) e sistemas de monitoreo de seguridade.

Posta en marcha dunha política de seguridade

Actualmente as lexislacións nacionais dos Estados obrigan ás empresas e ás institucións públicas a implantar unha política de seguridade. Por exemplo, en España, a Lei Orgánica de Protección de Datos de carácter persoal (LOPD) e a súa normativa de desenvolvemento, protexe ese tipo de datos estipulando medidas básicas que impidan a perda de calidade da información ou o seu roubo. Tamén en España, o Esquema Nacional de Seguridade establece medidas tecnolóxicas para permitir que os sistemas informáticos que prestan servizos aos cidadáns cumpran cuns requirimentos de seguridade acordes ao tipo de dispoñibilidade dos servizos que se prestan.

Xeralmente ocúpase exclusivamente de asegurar os dereitos de acceso aos datos e aos recursos coas ferramentas de control e mecanismos de identificación. Estes mecanismos permiten saber que os operadores teñen só os permisos que se lles deu.

A seguridade informática debe ser estudada para que non lles impida o traballo aos operadores no que lles sexa necesario e para que poidan utilizar o sistema informático con toda confianza. Por iso no referente a elaborar unha política de seguridade, convén:

• Elaborar regras e procedementos para cada servizo da organización.
• Definir as accións a emprender e elixir as persoas a contactar en caso de detectar unha posible intrusión.
• Sensibilizar aos operadores cos problemas ligados á seguridade dos sistemas informáticos.

Os dereitos de acceso dos operadores deben ser definidos polos responsables xerárquicos e non polos administradores informáticos, os cales teñen que conseguir que os recursos e dereitos de acceso sexan coherentes coa política de seguridade definida. Ademais, como o administrador adoita ser o único que coñece perfectamente o sistema, debe derivar á directiva calquera problema e información relevante sobre a seguridade, e finalmente aconsellar estratexias a pór en marcha, así como ser o punto de entrada da comunicación aos traballadores sobre problemas e recomendacións en termos de seguridade informática.

Técnicas para asegurar o sistema

Dous firewalls permiten crear unha DMZ onde aloxar os principais servidores que dan servizo á empresa e relaciónana con Internet. Por exemplo, os servidores web, os servidores de correo electrónico, etc. O router é o elemento exposto directamente a Internet e, por tanto, o máis vulnerable.

O activo máis importante que se posúe é a información e, por tanto, deben existir técnicas que a pretexan, máis aló da seguridade física que se estableza sobre os equipos nos cales se almacena. Estas técnicas bríndaas a seguridade lóxica, que consiste na aplicación de barreiras e procedementos que resgarden o acceso aos datos e só permitan acceder a eles ás persoas autorizadas para facelo.

Cada tipo de ataque e cada sistema concreto precisa dun medio de protección ou máis (na maioría dos casos é unha combinación de varios deles).

A continuación enuméranse unha serie de medidas consideradas básicas para asegurar un sistema tipo, se ben para necesidades específicas requírense medidas extraordinarias e de maior profundidade:

• Utilizar técnicas de desenvolvemento que cumpran cos criterios de seguridade ao uso para todo o software que se implante nos sistemas, partindo de estándares e de persoal suficientemente capacitado e comprometido coa seguridade.
• Implantar medidas de seguridade físicas: sistemas antincendios, vixilancia dos centros de procesamento de datos, sistemas de protección contra inundacións, proteccións eléctricas contra apagamentos e sobretensiones, sistemas de control de accesos, etc.
• Codificar a información: criptoloxía, criptografía e criptociencia. Isto débese realizar en todos aqueles traxectos polos que circule a información que se quere protexer, non só naqueles máis vulnerables. Por exemplo, se os datos dunha base moi confidencial protexéronse con dous niveis de devasas, cifrouse todo o traxecto entre os clientes e os servidores e entre os propios servidores, utilízanse certificados e, con todo, déixanse sen cifrar as impresións enviadas á impresora de rede, teriamos un punto de vulnerabilidade. En termos de encriptación, para unha maior protección ante un posible ataque recoméndanse utilizar os algoritmos máis actualizados. Dende principios do século XXI, un dos algoritmos máis usados é Advance EncrypActualmentetion Standard (AES), tamén coñecido como AES-256. De acordo co provedor de rede privada virtual NordVPN, só sería posible romper este encriptado tras probar ${\displaystyle 2^{256}}$ combinacións diferentes, o que o fai virtualmente imposible. Outros protocolos de encriptación son IKEv2/IPsec ou OpenVPN.
• Contrasinais difíciles de pescudar que, por exemplo, non poidan ser deducidas a partir dos datos persoais do individuo ou por comparación cun dicionario, e que se cambien coa suficiente periodicidade. Os contrasinais, ademais, deben ter a suficiente complexidade como para que un atacante non poida deducila por medio de programas informáticos. O uso de certificados dixitais mellora a seguridade fronte ao simple uso de contrasinais.
• Vixilancia de rede. As redes transportan toda a información, polo que ademais de ser o medio habitual de acceso dos atacantes, tamén son un bo lugar para obter a información sen ter que acceder ás fontes da mesma. Pola rede non só circula a información de ficheiros informáticos como tal, tamén se transportan por ela: correos electrónicos, conversacións telefónicas (VoIP), mensaxería instantánea, navegacións por Internet, lecturas e escrituras a bases de datos, etc. Por todo iso, protexer a rede é unha das principais tarefas para evitar o roubo de información. Existen medidas que abarcan desde a seguridade física dos puntos de entrada até o control de equipos conectados, por exemplo 802.1x. No caso de redes inalámbricas a posibilidade de vulnerar a seguridade é maior e deben adoptarse medidas adicionais.
• Redes perimetrais de seguridade, ou DMZ, permiten xerar fortes regras de acceso entre os usuarios e servidores non públicos e os equipos publicados. Desta forma, as regras máis débiles só permiten o acceso a certos equipos e nunca aos datos, que quedarán tras dous niveis de seguridade.
• Tecnoloxías repelentes ou protectoras: devasa, sistema de detección de intrusos - antispyware, antivirus, chaves para protección de software, etc.
• Manter os sistemas de información coas actualizacións que máis impacten na seguridade.
• Copias de seguridade e, incluso, sistemas de respaldo remoto que permiten manter a información en dúas localizacións de forma asíncrona.
• Controlar o acceso á información por medio de permisos centralizados e mantidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Os medios para conseguilo son:
  • Restrinxir o acceso (de persoas da organización e das que non o son) aos programas e arquivos.
  • Asegurar que os operadores poidan traballar pero que non poidan modificar os programas nin os arquivos que non correspondan (sen unha supervisión minuciosa).
  • Asegurar que se utilicen os datos, arquivos e programas correctos en/e/polo procedemento elixido.
  • Asegurar que a información transmitida sexa a mesma que reciba o destinatario ao cal se enviou e que existan sistemas e pasos de emerxencia alternativos de transmisión entre diferentes puntos.
  • Organizar a cada un dos empregados por xerarquía informática, con claves distintas e permisos ben establecidos, en todos e cada un dos sistemas ou aplicacións empregadas.
  • Actualizar constantemente os contrasinais de accesos aos sistemas de cómputo, como se indicou máis arriba, e mesmo utilizando algún programa que axude aos usuarios á xestión da gran cantidade de contrasinais que teñen que xestionar nas contornas actuais. Estes programas coñécense habitualmente como xestores de identidade.
  • Redundancia e descentralización.
  • Cadeado Intelixente: USB inalámbrico empregado para brindarlle seguridade á computadora. A mesma bloquéase cando o usuario que ten este aparello afástase máis de tres metros. O kit contén un USB inalámbrico e un software para instalar que detecta cando o usuario está lonxe e cando está máis preto do tres metros, habilitando novamente a computadora.

Respaldo de información

A información constitúe o activo máis importante das empresas, podendo verse afectada por moitos factores coma furtos, incendios, erros de disco, virus e outros. Dende o punto de vista da empresa, un dos problemas máis importantes que debe resolver é a protección permanente da súa información crítica.

A medida máis eficiente para a protección dos datos é determinar unha boa política de copias de seguridade ou backups. Esta debe incluír copias de seguridade completas (os datos son almacenados na súa totalidade a primeira vez) e copias de seguridade incrementais (só se copian os ficheiros creados ou modificados dende a última copia de seguridade). É vital para as empresas elaborar un plan de copia de seguridade en función do volume de información xerada e da cantidade de equipos críticos.

Un bo sistema de respaldo debe contar con certas características indispensables:

• Continuo: o respaldo de datos debe ser completamente automático e continuo. Debe funcionar de forma transparente, sen intervir nas tarefas que se atopa a realizar o usuario.
• Seguro: moitos softwares de respaldo inclúen cifrado de datos, o cal debe ser feito localmente no equipo antes do envío da información.
• Remoto: os datos deben quedar aloxados en dependencias afastadas da empresa.
• Mantemento de versións anteriores dos datos: débese contar cun sistema que permita a recuperación de, por exemplo, versións diarias, semanais e mensuais dos datos.

Hoxe en día os sistemas de respaldo de información en liña e servizo de respaldo remoto, están a gañar terreo nas empresas e organismos gobernamentais. A maioría dos sistemas modernos de respaldo de información en liña contan coas máximas medidas de seguridade e dispoñibilidade de datos. Estes sistemas permiten ás empresas crecer en volume de información derivando a necesidade do crecemento da copia de respaldo ao provedor do servizo.

Protección contra virus

Os virus son un dos medios máis tradicionais de ataque aos sistemas e á información que manteñen. Para poder evitar o contaxio débense vixiar os equipos e os medios de acceso a eles, principalmente a rede.

Control do software instalado

Ter instalado na máquina unicamente o software preciso reduce riscos. Do mesmo xeito, telo controlado tamén asegura a calidade da procedencia do mesmo (o software obtido de forma ilegal ou sen garantías aumenta os riscos). En todo caso un inventario de software proporciona un método axeitado de asegurar a reinstalación en caso de desastre. O software con métodos de instalación rápidos facilita tamén a reinstalación en caso de continxencia.

Control da rede

Os puntos de entrada na rede son xeralmente o correo electrónico, as páxinas web e a entrada de ficheiros dende discos ou dende computadoras alleas como portátiles.

Manter ao máximo posible o número de recursos de rede que estean só en modo lectura impide que computadores infectados propaguen algún virus. Igualmente pódense reducir os permisos dos usuarios ao mínimo.

Pódense centralizar os datos de tan xeito que detectores de virus en modo <i id="mwAaQ">batch</i> poidan traballar durante o tempo inactivo das máquinas.

Controlar o acceso a Internet pode detectar, xa na fase de recuperación, como se introduciu o virus no sistema.

Protección física de acceso ás redes

Independentemente das medidas adoptadas para protexer aos equipos dunha rede de área local e o software que reside neles, débense tomar medidas que impidan que usuarios non autorizados poidan acceder. As medidas habituais dependen do medio físico a protexer.

A continuación enuméranse algúns dos métodos, sen entrar no tema da protección da rede fronte a ataques ou intentos de intrusión dende redes externas, tales como Internet.

Redes cableadas

As rosetas de conexión dos edificios deben estar protexidas e vixiadas. Unha medida básica é evitar ter puntos de rede conectados aos switches. Con todo, sempre pode ser substituído un equipo por outro non autorizado, polo que precísanse medidas adicionais: norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de DHCP por asignación reservada, etc.

Redes inalámbricas

Neste caso o control físico faise máis difícil, aínda que poden tomarse medidas de contención da emisión electromagnética para circunscribila a aqueles lugares que consideremos apropiados e seguros. Ademais considéranse medidas de calidade o uso do cifrado (WPA, WPA v.2, uso de certificados dixitais, etc.), os contrasinais compartidos e, tamén neste caso, os filtros de direccións MAC. Estas son varias das medidas habituais que cando se aplican en conxunto aumentan a seguridade de forma considerable fronte ao uso dun único método.

Sanitización

Proceso lóxico ou físico mediante o cal elimínase información considerada sensible ou confidencial dun medio xa sexa físico ou magnético. Pode ser co obxecto de desclasificalo, reutilizar o medio ou destruír o medio no que se atopa.

Uso de hardware confiable

Coñécese como hardware confiable a todo dispositivo deseñado para ofrecer unha serie de facilidades que permiten manexar de maneira segura información crítica. Non se debe entender que sexan confiables como que contan con mecanismos infalibles de seguridade, teñen as súas limitacións. O único que indica isto é que achegan certas facilidades que melloran a seguridade e dificultan os ataques. O Trusted Computing Group é un conxunto de empresas que definen especificacións de hardware co obxectivo de ter plataformas máis seguras.

Recompilación e análise de información de seguridade

Para manter un sistema seguro precísanse establecer mecanismos para monitorizar os distintos eventos e informacións que estean relacionados coa seguridade do sistema. É moi útil ter unha visión centralizada deste tipo de información para así poder analizala nunha soa localización. Para isto desenvolvéronse sistemas de xestión de información de seguridade (en inglés: security information management, SIM), encargados do almacenamento a longo prazo, a análise e a comunicación dos datos de seguridade; sistemas de xestión de eventos de seguridade (security event management, SEM), encargados do monitoreo en tempo real, correlación de eventos, notificacións e vistas da consola da información de seguridade; e sistemas de xestión de eventos e información de seguridade, os cales agrupan as funcionalidades dos dous tipos de sistemas anteriores.

Organismos oficiais de seguridade informática

Existen organismos oficiais encargados de asegurar servizos de prevención de riscos e asistencia aos tratamentos de incidencias. Un exemplo é o Computer Emergency Response Team Coordination Center do Software Engineering Institute da Universidade Carnegie Mellon, que é un centro de alerta e reacción fronte a ataques informáticos, destinados ás empresas ou administradores, aínda que en xeral estas informacións son accesibles a todo o mundo.

España

O Instituto Nacional de Ciberseguridad (INCIBE) é un organismo dependente de Red.es e do Ministerio de Enerxía, Turismo e Axenda Dixital de España.^[6] O seu obxectivo é afianzar a confianza dixital, elevar a ciberseguridade e a resiliencia e contribuír ao mercado dixital de maneira que se impulse o emprego seguro do ciberespacio en España. ^[7]

Unión Europea

A Comisión Europea decidiu crear o Centro Europeo de Ciberdelincuencia (EC3) como punto central da loita policial da UE contra a delincuencia cibernética, contribuíndo a unha reacción máis rápida ante os delitos en liña. Este centro abriu de xeito efectivo o 1 de xaneiro de 2013 e ten como obxectivo principal prestar apoio aos Estados membros e ás institucións da UE na construción dunha capacidade operacional e analítica para a investigación, así como a cooperación cos socios internacionais.

Alemaña

O 16 de xuño de 2011, o ministro do Interior alemán, inaugurou oficialmente o novo Centro Nacional de Defensa Cibernética (NCAZ, ou Nationales Cyber- Abwehrzentrum) que se atopa en Bonn. O NCAZ coopera estreitamente coa Oficina Federal para a Seguridade da Información (Bundesamt für Sicherheit in der Informationstechnik, ou BSI); a Oficina Federal de Investigación Criminal (Bundeskriminalamt, BKA); o Servizo Federal de Intelixencia (Bundesnachrichtendienst, ou BND); o Servizo de Intelixencia Militar (Amt für dean Militärischen Abschirmdienst, ou MAD) e outras organizacións nacionais en Alemaña. Segundo o ministro, a principal tarefa da nova organización fundada o 23 de febreiro de 2011 é detectar e previr os ataques contra a infraestrutura nacional.

Estados Unidos

O 1 de maio de 2009, o senador Jay Rockefeller (D-WV) introduciu a "Lei de Seguridade Cibernética de 2009 - S. 773" (texto completo) no Senado, o proxecto de lei, co-escrito cos senadores Evan Bayh (D-IL), Barbara Mikulski (D-MD), Bill Nelson (D-FL) e Olympia Snowe (R-ME), remitiuse á Comisión de Comercio, Ciencia e Transporte, que aprobou unha versión revisada do mesmo proxecto de lei (a "Lei de ciberseguridade de 2010") o 24 de marzo de 2010. O proxecto de lei procura aumentar a colaboración entre o sector público e o sector privado en temas de ciberseguridade, en especial as entidades privadas que poseen as infraestruturas que son fundamentais para os intereses de seguridade nacionais (nas comillas conta John Brennan, o Asistente do Presidente para a Seguridade Nacional e Contraterrorismo: "a seguridade da nosa nación e a prosperidade económica dependen da seguridade, a estabilidade e a integridade das comunicacións e a infraestrutura de información, que son en gran parte privados que operan a nivel mundial" e fala da resposta do país a un "ciber - Katrina"), aumentar a conciencia pública sobre as cuestións de seguridade cibernética, e fomentar a investigación e a ciberseguridade a fondo. Algúns dos puntos máis controvertidos do proxecto de lei inclúen o parágrafo 315, que outorga ao Presidente o dereito a "solicitar a limitación ou o peche do tráfico de Internet cara e dende o Goberno Federal comprometindo o sistema de información de Estados Unidos ou das infraestruturas críticas da rede". A Electronic Frontier Foundation, unha organización en defensa dos dereitos dixitais sen ánimo de lucro con sede nos Estados Unidos, caracteriza o proxecto de lei como a promoción dun "enfoque potencialmente perigoso que favorece a dramática sobre a respuesta sobria".

México

A UNAM-CERT é un grupo de profesionais encargado de avaliar as vulnerabilidades dos sistemas de Información en México. Ademais son un grupo de acción rápida que atende calquera ataque, intrusión ou resguardo de información sobre a estrutura informática pertencente á Universidade Nacional Autónoma de México.

Colombia

O 11 de abril do 2016 o Consello Nacional de Política Económica e Social da República de Colombia, publica oficialmente o documento CONPES 3854^[8] dentro do cal estipúlase a política nacional de seguridade dixital. Neste desígnase ao MINTIC como encargado de adiantar xornadas de sensibilización en seguridade dixital, así como de deseñar un modelo de xestión dos riscos de seguridade dixital.

Por outro lado, o Ministerio de Defensa Nacional MINDEFENSA deberá realizar un plan de fortalecemento das capacidades operativas, administrativas, humanas, científicas, de infraestrutura física e de infraestrutura tecnolóxica do colCERT.

O Departamento nacional de planeamento DNP será o coordinador xeral da implementación de seguridade dixital en todas as entidades públicas do estado e da adopción voluntaria por entidades privadas. Ademais contará co apoio do Departamento Administrativo da Función Pública (DAFP).

Saídas profesionais de Ciberseguridade ou Seguridade Informática

As saídas profesionais ou laborais da Ciberseguridade son moi variadas e cada vez máis demandadas debido aos cambios continuos da era dixital e aos constantes ataques que sofren a diario as empresas, gobernos e usuarios sobre os seus datos. Isto tamén se reforzou coa lei de protección de datos do 2018. Algunhas saídas profesionais que podemos atopar son:^[9]

• Administradores de seguridade de rede

Enfócase principalmente en protexer a infraestrutura de redes de ameazas e accesos non autorizados.

• Seguridade de aplicacións

Principalmente céntrase en asegurar que as aplicacións sexan seguras contra vulnerabilidades e ataques (probas de penetración ou pentesting, análise de código estático, ...).

• Criptografía

Co uso de técnicas matemáticas asegúrase a información e as comunicacións por medio de probas de autenticación ou firmas dixitais.

• Xestión de Identidade e Acceso

Controla o acceso a certos recursos dentro dunha organización específica empregando autenticación multifactor, xestión de identidades e control de acceso baseado en roles.

• Resposta a incidentes

Trata de detectar e mitigar ataques para minimizar o impacto que poden causar, protexendo a confidencialidade e a integridade dos datos. É responsable dende a detección inicial usando sistemas de administración de eventos e información de seguridade, até a eliminación de ameazas, a restauración de sistemas e a comunicación efectiva interna e externa sobre o incidente.

• Seguridade da nube

Baséase en aplicar medidas e prácticas para protexer os sistemas, datos e aplicacións que se atopan en contornas computacionais. Inclúe dende xestionar identidades e accesos até planificar a retención de datos.

• Análise forense

Investígase sobre os incidentes cibernéticos recollendo e analizando evidencias que se van atopando, por exemplo mediante análise de redes e recuperación de datos.

• Enxeñaría de seguridade

Consiste no deseño e construción de sistemas seguros, empregando arquitectura de seguridade, probas de seguridade e automatización.

Cales son as competencias requiridas para estes postos?^[10]

• Manexo de diferentes sistemas operativos, redes e linguaxes de programación.
• Implantar protocolos criptográficos.
• Analizar ameazas e desenvolver técnicas de prevención.
• Coñecemento da normativa.
• Seguridade en infraestruturas de defensa e auditorias de sistemas.
• Análise forense e de malware.
• Coñecemento en contornas tecnolóxicas como SCADA ou Smart GRid.
• Xestión de incidentes mediante networking, IDS, IPS, análises de logs e de tráfico de rede.