Fundamentos de la seguridad de la red: Introducción a la seguridad de la red
Las redes de comunicación se utilizan para transferir información valiosa y confidencial para una variedad de propósitos. Como consecuencia, atraen la atención de las personas que pretenden robar o utilizar mal la información, o alterar o destruir los sistemas que la almacenan o la comunican.
En este curso, estudiarás algunos de los principales problemas relacionados con el logro de un grado razonable de resistencia contra los ataques a la red. Algunos ataques están planificados y específicamente dirigidos, mientras que otros pueden ser oportunistas, como resultado de las actividades de espionaje.
Las amenazas a la seguridad de la red cambian continuamente a medida que se descubren las vulnerabilidades tanto en los sistemas establecidos como en los recién introducidos, y se necesitan soluciones para contrarrestar esas amenazas. Estudiar este curso debería brindarle una idea de los principios más duraderos de la seguridad de la red en lugar de las cuentas detalladas de las soluciones actuales.
Los objetivos de este curso son describir algunos factores que afectan la seguridad de las redes y las comunicaciones de datos, y sus implicaciones para los usuarios; e introducir algunos tipos básicos de servicios de seguridad y sus componentes, e indicar cómo se aplican en las redes.
Terminología
Cuando haya terminado de estudiar este curso, debe poder explicar el significado de todos los términos que figuran a continuación:
Vulnerabilidad a amenazas y ataques (CAP 2)
A lo largo de este curso usaremos los términos:
'vulnerabilidad',
'amenaza' y
'ataque'.
Vale la pena aclarar estos términos antes de continuar.
Vulnerabilidad
Una vulnerabilidad es un componente que deja un sistema abierto a la explotación (por ejemplo, un cable de red o una debilidad del protocolo).
Amenaza
Una amenaza indica la posibilidad de una violación de la seguridad.
Ataque
El término ataque se aplica a un intento de violación.
Importancia de las estrategias efectivas de seguridad de red
Una estrategia de seguridad efectiva necesariamente incluirá características altamente técnicas. Sin embargo, la seguridad debe comenzar con consideraciones más mundanas que a menudo no se tienen en cuenta. Por ejemplo:
• restringir el acceso físico a edificios, habitaciones, estaciones de trabajo con computadoras y
• tener en cuenta los aspectos "desordenados" del comportamiento humano, lo que puede hacer que las medidas de seguridad sean ineficaces.
La necesidad de seguridad en las redes de comunicación no es nueva. A fines del siglo diecinueve, un empresario de pompas fúnebres estadounidense llamado Almon Strowger descubrió que estaba perdiendo negocios con sus rivales porque los operadores telefónicos, responsables de la conexión manual de las solicitudes de llamadas, desviaron injustamente las llamadas de los recién desconsolados a sus competidores.
Strowger desarrolló sistemas de conmutación que llevaron a la introducción de las primeras centrales telefónicas automatizadas en 1897. Esto permitió a los usuarios hacer sus propias conexiones usando la marcación rotativa para señalar el destino requerido.
En años más recientes, las necesidades de seguridad se han intensificado. Las comunicaciones de datos y el comercio electrónico están remodelando las prácticas comerciales e introduciendo nuevas amenazas a la actividad corporativa. La defensa nacional también es vulnerable ya que los sistemas nacionales de infraestructura, por ejemplo el transporte y la distribución de energía, podrían ser blanco de terroristas o, en tiempos de guerra, estados nacionales enemigos.
Para que una organización logre el nivel de seguridad apropiado y a un costo aceptable, debe llevar a cabo una evaluación de riesgos detallada para determinar la naturaleza y el alcance de las amenazas existentes y potenciales.
Las contramedidas para las amenazas percibidas deben equilibrar el grado de seguridad que se logrará con su aceptabilidad para los usuarios del sistema y el valor de los sistemas de datos que se protegerán.
En una nota menos dramática, las razones por las cuales las organizaciones necesitan diseñar estrategias de seguridad de red efectivas incluyen lo siguiente:
• Las violaciones de seguridad pueden ser muy costosas en términos de interrupción del negocio y las pérdidas financieras que pueden resultar.
• Se transfieren volúmenes crecientes de información sensible a través de Internet o intranets conectadas a ella.
• Las redes que hacen uso de los enlaces de Internet son cada vez más populares porque son más baratas que las líneas arrendadas dedicadas. Esto, sin embargo, involucra a diferentes usuarios que comparten enlaces de Internet para transportar sus datos.
• Se exige cada vez más a los directores de las organizaciones empresariales que proporcionen seguridad efectiva en la información.
Actividad
Piense en una organización que conozca y en el tipo de información que puede contener para fines comerciales. ¿Cuáles son las responsabilidades particulares involucradas en mantener esa información confidencial?
Discusión
Cualquier organización importante tiene información que debe mantenerse segura, incluso si está limitada a los detalles de los empleados y la nómina.
Por ejemplo, los hospitales tienen la responsabilidad particular de garantizar que los registros médicos de los pacientes se mantengan seguros. Las instituciones académicas también deben garantizar que la información relacionada con el alumno, como los datos personales y el progreso académico, se mantenga confidencial y no pueda ser modificada por personas no autorizadas.
Existen muchos estándares relacionados con la forma en que se deben implementar los sistemas de seguridad, particularmente en las redes de comunicación de datos, pero no es práctico identificarlos aquí. Una visita al sitio web de British Standards Institution (http://www.bsonline.bsi-global.com) es un punto de referencia adecuado.
ISO / IEC 17799 (2000) Tecnología de la información - Código de prácticas para la gestión de la seguridad de la información establece la responsabilidad de la gestión para desarrollar una política de seguridad adecuada y la auditoría periódica de los sistemas.
BS 7799-2 (2002) Sistemas de gestión de la seguridad de la información: la especificación con orientación para el uso proporciona una especificación estándar para construir, operar, mantener y mejorar un sistema de gestión de la seguridad de la información, y ofrece certificación de las organizaciones que conforman.
Los directores de las empresas del Reino Unido deben informar su estrategia de seguridad en informes anuales a los accionistas y al mercado de valores; la falta de una estrategia o ineficaz es probable que reduzca el valor de las acciones comerciales.
Las organizaciones en el Reino Unido deben cumplir con la Ley de Protección de Datos de 1998. Esto requiere que la información sobre las personas, ya sea almacenada en la memoria de la computadora o en sistemas impresos, sea precisa y esté protegida contra el uso indebido y también esté abierta a una inspección legítima.
Antes de considerar los aspectos más técnicos de la seguridad de la red, volveremos a contar lo que normalmente ocurre cuando enciende su computadora todas las mañanas en su lugar de trabajo. Debe comparar esto con lo que sucede realmente cuando usa una computadora, y relacionarlo con los problemas discutidos en este curso.
Después de presionar el botón de inicio en la PC, ciertos elementos del sistema operativo se cargan antes de que se le pida que ingrese una contraseña. Esto fue establecido por los administradores de TI antes de que tomara la entrega de la PC. El entorno de Microsoft Windows comienza a cargarse y se le solicita que ingrese otra contraseña para que pueda acceder a la red de la organización.
Ocasionalmente se le puede decir que la contraseña caducará en unos días y que deberá reemplazarla por otra. Luego se solicita una contraseña adicional porque ha elegido restringir el acceso a los archivos en su máquina, aunque esto es opcional.
Mientras espera, verá un mensaje que le informa que las políticas del sistema se están cargando. Estas políticas en su lugar de trabajo están principalmente relacionadas con la provisión de configuraciones estándar de servicios y software, pero podrían usarse para establecer privilegios de acceso apropiados y especificar cómo puede usar los servicios.
A veces, el software antivirus inicia una actualización automática en la máquina para contrarrestar nuevas amenazas que se han identificado recientemente.
Ahora puede comenzar su trabajo en la computadora, aunque si decide consultar su cuenta de correo electrónico, o acceder a cierta información en la intranet de la organización, o tal vez tratar de comprar un artículo de un vendedor en línea, es posible que deba ingresar más nombres de usuario, detalles de la cuenta o contraseñas.
Es probable que esta secuencia de eventos sea bastante típica de los requisitos de muchos entornos de trabajo y, sin duda, apreciará la profusión de contraseñas y detalles de la cuenta que pueden resultar.
En esta breve narración, hemos omitido una dimensión de seguridad esencial pero fácilmente olvidada que afecta el acceso a las redes: la tarjeta de deslizamiento en la puerta de entrada de seguridad del departamento y el candado en la puerta de su habitación.
Aunque estos pueden considerarse mundanos y sin importancia, son aspectos esenciales de la seguridad de la red y una supervisión común cuando el foco está en medidas de seguridad electrónica más sofisticadas.
Un criterio importante, que es generalmente aplicable, es que un sistema puede considerarse seguro si el costo de obtener ilícitamente datos de él es mayor que el valor intrínseco de los datos. Esto afecta el nivel de seguridad que debe adoptarse razonablemente para proteger, por ejemplo, las transferencias multimillonarias entre bancos o el historial de un estudiante en una universidad.
En este curso, se presentarán algunos de los conceptos fundamentales que sustentan los enfoques para lograr la seguridad de la red. Communications-Electronics Security Group es la autoridad técnica nacional del gobierno del Reino Unido para garantizar la información.
Si necesita investigar asuntos relacionados con la adquisición y la implementación, debe consultar su sitio web (http://www.cesg.gov.uk), donde puede encontrar una introducción al Servicio de certificación y aseguramiento de la información y también a la información. Sistema de Evaluación y Certificación de Seguridad Tecnológica. Este último esquema le permite identificar productos que se han sometido a una evaluación de seguridad.
