Introducción a la seguridad informática y criptografía clásica

TEMA I: INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN


LECCIÓN 1: FUNDAMENTOS DE LA SEGURIDAD

Autor: Dr. Jorge Ramió Aguirre.
Fecha de publicación: 15 de febrero de 2016.
La próxima Lección 2: Fundamentos de la criptografía, se publicará el lunes 22 de febrero de 2016.
Colaboración diseño Web: D. Jaime Sánchez Pedrós, becario Talentum Startups.

En esta primera lección del curso, vamos a ver qué se entiende por seguridad informática y qué por seguridad de la información; aunque son similares, no son iguales pero ambas se complementan. A continuación analizaremos los objetivos de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad. Y terminaremos con un test de autoevaluación. La lección tiene como elementos multimedia las píldoras formativas Thot número 1 ¿Seguridad Informática o Seguridad de la Información? y número 5 ¿Qué es la tríada CIA?

Temario


APARTADO 1. ¿SEGURIDAD INFORMÁTICA O SEGURIDAD DE LA INFORMACIÓN?

1.1. No es lo mismo seguridad informática que seguridad de la información

Está más que demostrado que la información es el mejor activo de una empresa u organización y que, por otra parte, ésta se enfrenta a una variada y cada vez más numerosa gama de amenazas. Como resulta obvio, a la misma conclusión llegaremos si se trata de nuestra información personal. Por lo tanto, la conclusión lógica a la que se llega tras un elemental primer análisis de los riesgos a los que se enfrenta dicha información, es que debemos protegerla en sus cuatro estados posibles, esto es cuando dicha información se crea, cuando se transmite, cuando se almacena y cuando se destruye, es decir durante todo su ciclo de vida.

Vamos a pensar un poco::
¿Por qué crees que tiene sentido proteger a la información cuando ésta se destruye? Pon algún ejemplo.

Hasta finales del siglo XX y muy especialmente en entornos no universitarios, era bastante común apreciar una confusión ante la definición y los alcances de la seguridad informática y la seguridad de la información, una situación que hacía suponer a mucha gente que ambos términos eran sinónimos y que, por tanto, significaban lo mismo. Como a fecha de hoy se sigue observando dicha confusión y dado que la diferencia entre ambas es ya muy marcada, resulta recomendable dedicar esta primera lección para aclarar conceptos, observar similitudes y resaltar sus diferencias. No obstante, ante la duda de usar un término u otro, tal como veremos en esta lección, hoy en día lo más correcto sería referirnos a todo esto como seguridad de la información, al ser este último término más amplio que el de seguridad informática.

Ejercicio 1.1:
Te piden que hagas un breve análisis de la seguridad de tu información personal. ¿Cuáles crees que podrían ser los riesgos a los que están expuestos la información que guardas y tus datos? ¿Cuáles serían los dispositivos o sistemas electrónicos que requerirían una mayor atención por tu parte: el ordenador de sobremesa, la laptop, la tableta, el teléfono móvil, un pendrive, el disco duro externo, tus datos en la nube?


1.2. Seguridad Informática

Cuando nos referimos a seguridad informática, estamos centrando nuestra atención sólo en los aspectos de seguridad que inciden o tienen que ver directamente con la informática; es decir, en los medios informáticos en los que se genera, gestiona, almacena o destruye esta información, pero sin profundizar en aspectos sistémicos de la gestión de esa seguridad. Ateniéndonos entonces en primera instancia a las temáticas propias de la seguridad informática, entendida ésta según lo indicado en el párrafo anterior, que por lo demás es como se conocía a esta especialidad en sus inicios desde el nacimiento de la computación, podríamos representarla en 7 grandes apartados, cada uno de ellos con entidad suficiente como para convertirse en una especialidad tecnológica:

1. Protección y seguridad de los datos
2. Criptografía
3. Seguridad y fortificación de redes
4. Seguridad en aplicaciones informáticas,programas y bases de datos
5. Gestión de seguridad en equipos y sistemas informáticos
6. Informática forense
7. Ciberdelito, ciberseguridad

Ejercicio 1.2
Con el objeto de familiarizarte con estos términos, introduce en Google los siete apartados característicos que se indican de la seguridad informática y lee la información del enlace que te parezca más serio.

Así, podemos decir que la seguridad informática es la disciplina que se encarga de las implementaciones técnicas de la protección de la información con elementos físicos de hardware y software, básicamente en el entorno de la máquina, de la tecnología, de los equipos, de las infraestructuras del sistema y de los datos. Tales serían por ejemplo, técnicas de cifrado y firma digital de la información, gestión de identidades, tecnologías antimalware, uso de cortafuegos, detección de intrusos, implantación de seguridad perimetral, control y seguimiento de incidencias de seguridad en los equipos y redes, la seguridad en el web, etc.

Vamos a pensar un poco:
¿Por qué crees que existe una alta preocupación en los países ante las recientes amenazas relacionadas con ciberseguridad? ¿Qué es para ti la ciberseguridad? Busca información sobre ciberataques en Internet.


1.3. Seguridad de la Información

Cuando además de lo anterior tenemos en cuenta aquellos aspectos sistémicos de la gestión de la seguridad, como podrían ser por ejemplo en una empresa u organización las políticas y planes de seguridad con su respectivo análisis y gestión del riesgo, la continuidad del negocio, la adecuación al entorno legal y a las normativas internacionales, entonces es más propio hablar de seguridad de la información. Esto es debido a que en la actualidad existen otras temáticas muy importantes que están relacionadas con la seguridad de la información y la protección de los datos pero que, a diferencia de los apartados vistos anteriormente, su entorno no está físicamente tan cerca de los equipos informáticos y de las redes, sino de la gestión, de la gerencia y del buen gobierno de la empresa. Entre estos otros temas más propios de un entorno empresarial, se pueden contemplar también 7 grandes apartados, a saber:

1. Gestión de la seguridad de la información
2. Asesoría y auditoría de la seguridad
3. Análisis y gestión de riesgos
4. Continuidad de negocio
5. Buen gobierno
6. Comercio electrónico
7. Legislación relacionada con seguridad

Ejercicio 1.3
Repite el ejercicio hecho anteriormente con el objeto de familiarizarte con estos nuevos términos. La continuidad de negocio, como indica su nombre, consiste en la aplicación de metodologías y procedimientos que permitan implantar y gestionar la seguridad, de forma que nuestro negocio no se vea interrumpido. ¿Cuál sería el negocio a proteger si hablamos de tus datos personales?

Al referirnos ahora a seguridad de la información, está claro que el enfoque es el de una disciplina orientada a la gestión de esa información, como un bien o activo que requiere protección porque manifiesta vulnerabilidades, contemplando por tanto la evaluación de las amenazas que pueden explotar dichas vulnerabilidades y provocar un daño, el análisis y la posterior gestión de los riesgos, el uso de buenas prácticas, la adecuación a las normativas y legislaciones nacionales e internacionales, los controles y auditorías de esa seguridad, así como la concienciación entre los miembros de la organización y la generación de confianza, entendiendo este todo como un negocio y la importancia de la continuidad del mismo.

Vamos a pensar un poco:
¿Qué similitudes y diferencias puede haber entre los riesgos de un seguro tecnológico de la información y los riesgos de un seguro de hogar o de automóvil?


1.4. Objetivos complementarios

Con estas ideas generales sobre seguridad informática y seguridad de la información presentadas en los apartados anteriores, resulta claro que los objetivos que ambas persiguen se complementan, en tanto protegen el activo información en el más amplio sentido de la palabra, desde dos enfoques distintos pero complementarios. La dirección de seguridad informática estará centrada en el aspecto tecnológico y la dirección de seguridad de la información en el aspecto estratégico.

Vamos a pensar un poco:
¿En qué tipo de empresas crees que sería interesante que estas dos direcciones de seguridad recaigan en diferentes personas?

Por lo tanto, si a todo lo ya indicado reforzamos la idea de que uno de los parámetros más importantes en la seguridad y en la protección de la información es el negocio, y por consiguiente la continuidad del mismo, resultan claras las diferencias entre los enfoques que tienen ambos términos.

Ejercicio 1.4
Tu empresa debe contratar a dos personas para el área de seguridad, una con un enfoque estratégico y la otra con un enfoque tecnológico. Los candidatos presentan, además de una titulación superior, certificaciones en seguridad con nombres CISM, CISA, CISSP y CEH. ¿Cuáles crees que serían las certificaciones más idóneas para cada puesto de trabajo? Busca qué significan las siglas CISM, CISA, CISSP y CEH en Google.

Por último, es bueno recordar que la seguridad no es un producto sino un proceso, en el que intervienen todos los aspectos de la tecnología y también las personas, siendo estas últimas por lo general el eslabón más débil de toda la cadena. Aunque pongamos barreras a nuestros sistemas, fortifiquemos nuestras redes, cifremos y firmemos cuando corresponda nuestra información, tengamos adecuados sistemas de copias de seguridad, etc., si no entendemos que la seguridad es un proceso, que debe ser constantemente revisado y actualizado, no estaremos aplicando las correctas políticas de seguridad para proteger nuestro sistema y su información.

En la figura 1.1 encontrarás estas ideas resumidas en una píldora formativa Thoth. Repasa estos conceptos y memoriza los aspectos principales que se muestran en el vídeo.


Figura 1.1. Píldora formativa Thot 1: ¿Seguridad Informática o Seguridad de la Información?


APARTADO 2. ¿QUÉ ES LA TRÍADA CIA?

2.1. No es la CIA que piensas

Aunque las siglas CIA nos traiga inmediatamente a la mente imágenes de historias de espías, secretos y misterios, lo cierto es que en seguridad no estamos hablando de dicha Agencia Central de Inteligencia de los Estados Unidos, sino de las iniciales en inglés de los tres objetivos o principios básicos de la seguridad de la información, esto es la confidencialidad (Confidentiality), la integridad (Integrity) y la disponibilidad (Availability).

En la literatura y en Internet existen muchas definiciones de estos tres términos. Entre las más acertadas están obviamente las de la Organización Internacional de Estandarización ISO/IEC que se encuentran reflejadas en la norma ISO-27000.

Aunque la palabra activo ya ha aparecido en el capítulo anterior y todos tenemos más o menos una idea de su significado, vamos a definir ahora con más precisión qué se entiende por un activo. Esto es muy importante en la gestión de la seguridad, porque es la base sobre la cual vamos a valorar nuestros bienes, analizar sus vulnerabilidades, evaluar las amenazas, aplicar las contramedidas necesarias y, con ello, establecer políticas de seguridad que nos permitan gestionar el riesgo y proteger la información. Un activo es cualquier bien tangible o intangible, que tiene un valor para la organización. Por ejemplo, la información, los equipos, el software, sus instalaciones, las personas, el conocimiento y experiencia de cómo hacer las cosas (know-how), los productos y/o servicios que ofrece, su reputación, etc.

Ejercicio 2.1
De los siguientes activos de una empresa, indica cuáles son tangibles y cuáles son intangibles: impresoras, mesas y sillas, reputación, personal técnico, secretarias, página web, red telefónica, red de datos, vehículos, sistema de aire acondicionado, ordenadores de sobremesa, ordenadores personales, el know-how, contratos y convenios que mantiene con otras empresas, bases de datos de clientes, liderazgo en el sector.

Como hemos visto, hay activos como los intangibles que en principio no los consideramos como tales, pero que juegan un papel fundamental en el futuro de la empresa y por lo tanto debemos cuidar y proteger.

Vamos a pensar un poco:
¿Cómo crees que puede afectar a los intereses de la empresa una mala campaña de marketing que sin quererlo pone en duda la calidad de nuestro producto? ¿Qué activo puede verse más afectado, la reputación, el propio producto, la cadena de producción, nuestra relación directa con clientes, la relación con vendedores, ...?


2.2. Confidencialidad

Según la definición de la ISO, confidencialidad es la propiedad por la que el activo información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados.

En otras palabras, podemos decir que el propósito de la confidencialidad es asegurar que sólo las personas autorizadas podrán acceder a esa información confidencial o secreta. En la actualidad la única manera de asegurar que esto se cumpla es utilizando técnicas de criptografía para proteger el secreto de la información, obviamente sólo si ésta fuese secreta o confidencial. Por lo tanto, el secreto será compartido sólo por los interlocutores válidos, es decir aquellos a quienes permitimos que puedan descifrar un criptograma que oculta la información verdadera, conocida como texto en claro, y por tanto desvelar dicho secreto. Por lo general, para lograr esta confidencialidad se usarán algoritmos criptográficos de clave secreta también llamados simétricos, cuya clave única deberá compartirse entre los destinatarios válidos.

El problema que se vislumbra en la última frase del párrafo anterior es: ¿cómo podemos compartir esa clave secreta con el o los destinatarios de la misma si no tenemos un encuentro personal y físico?

Este problema se nos presenta porque todo canal de comunicación es, por definición, inseguro: un teléfono fijo, teléfono móvil, Internet no seguro, un aguerrido mensajero. Independientemente de las medidas de seguridad que tenga dicho canal, si la información que viene cifrada tiene mucho valor para un tercero, de forma que los medios económicos y de tiempo que deba asignarle a la tarea de dar con esa clave le compensen el esfuerzo, es obvio lo va a intentar. Observa que no sólo hablamos de bienes materiales, la información es poder por sí sola.

Ejercicio 2.2
De los canales de comunicación posibles para enviar mensajes secretos, comenta cuáles pueden ser sus puntos débiles, de forma que puedas confirmar esa máxima de que todo canal de comunicación es por definición inseguro.

Este intercambio seguro de claves, o al menos computacionalmente seguro (ya se analizará este matiz), ha sido el problema eterno de la criptografía desde sus inicios en el siglo V antes de Cristo. Se encuentra una solución tan sólo en el año 1976 después de un invento de dos investigadores de la Universidad de Stanford, lo que da lugar al nacimiento de la criptografía de clave pública o asimétrica. Un tema que queda fuera del alcance de este este curso básico de seguridad y de intoducción a la cifra clásica.

Vamos a pensar un poco:
¿De qué te vale tener un algoritmo de clave secreta con una fortaleza muy alta para cifrar un importante secreto, si luego no lo puedes enviar a otra persona porque no sabes cómo enviarle de manera segura esa clave? Ponte en el papel de quienes usaban la criptografía para proteger datos de alto secreto antes de este invento en 1976.


2.3. Integridad

Nuevamente de la mano de la ISO, definiremos a la integridad como la propiedad de salvaguardar la exactitud y completitud de los activos.

En cuanto a la exactitud, nos referimos a que la información debe ser exacta, no modificada ni manipulada, y la completitud se refiere a que el documento o la información que en este caso nos interesa proteger, sea íntegra en el sentido que no le falte ni le sobre nada.

Ejercicio 2.3
Teniendo en cuenta ahora sólo la integridad tal y como se acaba de definir, indica algunos canales de comunicación a utilizar para enviar mensajes que cumplan con esa integridad y comenta cuáles pueden ser sus puntos débiles.

De esta manera, decimos que el propósito que persigue la integridad es garantizar que la información no sea alterada, eliminada o destruida por entidades o personas no autorizadas. Tendremos que preservar, además, los métodos utilizados para este procesamiento. En dichos métodos también jugará un importante papel la criptografía, en este caso la criptografía de clave pública o criptografía asimétrica. Por tanto, observa que dentro de la denominada criptografía clásica, que se remonta desde el siglo V antes de Cristo hasta mediados del siglo XX, obviamente era imposible cumplir con este objetivo de la integridad tal y como se ha definido, al nacer este tipo de criptografía en 1976.

Vamos a pensar un poco:
Si firmamos digitalmente un documento en el ordenador con nuestro DNIe, para lo cual aunque no nos demos cuenta estamos utilizando criptografía, ¿por qué crees que nuestra firma es válida ante terceros? ¿Quién dice que tú eres tú y no un impostor?


2.4. Disponibilidad

Por último, según la ISO disponibilidad es la propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieran.

Por lo tanto, el propósito de la disponibilidad es asegurar que los usuarios autorizados puedan tener acceso a la información y a los medios asociados en el momento que lo deseen.

Vamos a pensar un poco::
Leíamos en la prensa del 25 de agosto de 2014 que PlayStation y Xbox fueron víctimas de un ataque por denegación de servicio. ¿A cuál de los tres principios de la seguridad ha afectado este ataque?

Ejercicio 2.4
¿Se te ocurre qué podrían haber hecho en sus sistemas PlayStation y Xbox antes de esa denegación de servicio para minimizar los alcances y perjuicios económicos y de imagen ocasionados por dicho ataque?

En la figura 1.2 tienes estas ideas resumidas en de las píldoras formativas Thoth. Repasa estos conceptos y memoriza los aspectos principales que se muestran en el vídeo.

Figura 1.2. Píldora formativa Thot 5: ¿Qué es la tríada CIA?


APARTADO 3. EVALUACIÓN DE LA LECCIÓN 1

3.1. Test de evaluación personal

En las siguientes 10 preguntas, elige la respuesta correcta. Sería muy recomendable que la primera vez que contestes este test lo hagas sin repasar la lección.

Para confirmar si tus respuestas son las correctas, accede y consulta las redes sociales de Crypt4you en twitter y en facebook. Las soluciones al test de esta primera lección se publicarán en dichas redes sociales el 22 de febrero de 2016.

1. Cuando fortificamos una red con un cortafuegos, decimos que es una acción:

a) Más propia de la seguridad de la información que de la seguridad informática.
b) Más propia de la seguridad informática que de la seguridad de la información.
c) Ninguna de las dos anteriores.
d) No relacionada con la seguridad.

2. Las políticas y la gestión del buen gobierno de la seguridad son más propias de:

a) La criptografía.
b) La seguridad informática.
c) La seguridad de la información.
d) La gestión de la seguridad en redes.

3. Los objetivos y acciones de la seguridad informática y la seguridad de la información:

a) Son incompatibles.
b) Deben plantearse y realizarse por separado.
c) Son antagónicos.
d) Se complementan.

4. Un activo es:

a) Un bien tangible para la organización.
b) Un bien intangible para la organización.
c) Un bien tangible o intangible para la organización.
d) Un empleado que demuestra mucha actividad.

5. Si un documento se cataloga como de alto secreto, deberá tener principalmente:

a) Confidencialidad.
b) Integridad.
c) Disponibilidad.
d) Ninguna de las tres anteriores.

6. Cuando firmamos digitalmente un documento, le estamos aportando:

a) Confidencialidad y disponibilidad.
b) Integridad y disponibilidad.
c) Integridad.
d) Confidencialidad, integridad y disponibilidad.

7. El hecho de autenticarse con un login y un password está relacionado con:

a) La confidencialidad.
b) La integridad.
c) La disponibilidad.
d) Ninguna de las tres anteriores.

8. Alguien afirma que un documento puede tener confidencialidad pero no integridad:

a) Está en lo cierto.
b) Es imposible porque una cosa lleva a la otra.
c) Es cierto pero sólo a nivel personal y no en empresas
d) Es cierto si además cumple con la disponibilidad.

9. La información está segura si ésta posee:

a) Principalmente disponibilidad.
b) Confidencialidad, integridad y disponibilidad.
c) Principalmente confidencialidad.
d) Principalmente integridad.

10. Un ordenador se infecta por un virus que, tras modificar algunos archivos, no deja acceder al equipo.

a) Decimos entonces que el sistema informático tiene un problema de confidencialidad.
b) Decimos entonces que el sistema informático tiene un problema de integridad.
c) Decimos entonces que el sistema informático tiene un problema de disponibilidad.
d) Decimos entonces que el sistema informático tiene un problema de disponibilidad e integridad.


Ir a: [Portada c4y]    [Introducción al curso] [Índice] [Lección 2]