La incorporación acelerada de Tecnologías
de información en la empresas ha dado
paso a nuevos retos, entre los mas importantes encontramos la
seguridad de estos sistemas, la
constante intromisión de personas ajenas a la
información de las empresas ha motivado a las
compañías a adoptar todas las medidas de seguridad
pertinentes, la implementación puede ser costosa pero no
imaginamos ya la
comunicación de estas empresas sin su conexión
a intranets y su comunicación al exterior a través
del Internet es
pieza clave en sus operaciones
diarias.
El escenario de la comunicación y el intercambio
de la misma no es remoto, ni alejado de la realidad, es una
actividad diaria de las empresas.
La información contenida en este documento
informa de la operación de los Firewalls en las
Tecnologías de Información. Para que funcione la
seguridad
informática en una empresa es
imprescindible que se describan las políticas
y procedimientos en
materia de
seguridad y que se conozcan a todos niveles para que tanto
directores, como mandos medios y
operativos contribuyan al buen desarrollo de
la misma.
Una empresa que
utiliza Internet para el desarrollo de sus actividades encuentra
un medio rápido y económicamente rentable para
tener acceso a la información importante.
En el caso de Tecnología en
Salud la
revisión de estudios y equipos médicos disponibles
se hace inmensa y a través de estas herramientas
podemos hacerla ágil y eficiente.
Para una empresa los costos del
software, de
hardware y el
manejo de los datos
dictaminarán las políticas de seguridad que se
lleven a cabo.
Existen varios tipos de ataques y agresores en un
sistema
informático, los podemos dividir en dos grandes grupos[3]:
Ataques pasivos: No modifican la información
contenida en los sistemas. Ni el estado
del sistema ni su operación son alterados.
Ataques activos:
Estos implican la modificación de la información
contenida en un sistema. Esto puede alterar el estado del
sistema o su operación.
Un hacker será aquella persona con grandes conocimientos de
Internet, de programación en C y de sistemas
operativos robustos como Linux y Unix
y posee también mucho conocimiento en herramientas de
seguridad como Firewalls entre otros. Los hackers son violadores de seguridad, son
los piratas modernos pero al muy puro estilo
cibernético.En alguna ocasiones son contratados por las
mismas empresas para mejorar sus procesos de seguridad y en otras alteran
las operaciones de las empresas o roban la
información de estas sin su
consentimiento.- Hacker
- Cracker
- Agresores
Esta persona también tiene grandes conocimientos
en los temas de programación y seguridad informática pero se le paga para robar la
información o destruirla.
El virus es un programa que se replica a si mismo en
una
red o en un sistema. La infección del
sistema se realiza al copiar el código del virus dentro de otro
programa en el sistema o inclusive en otro sistema. Se
mete en programas ejecutables donde es
difícil su detección. Y obviamente al
ejecutar los programas se activa permitiendo la
propagación.- Virus
Un gusano es un programa que se replica a
sí mismo copiándose en cada host de la
red,
su objetivo es acceder de manera ilegal a
los sistemas. - Gusanos
Un caballo de Troya es un programa que cuando
se introduce al sistema realiza funciones no autorizadas y cuando las
concluye desempeña las funciones para las cuales
el programa si estaba autorizado.En una red, un gateway que copia mensajes en
un canal no autorizado es un caballo de Troya. Los
usuarios lo confunden con un programa
legítimo. - Caballos de Troya
Un bug va a ser cualquier error introducido de
manera accidental en un programa. Un bug en un sistema
operativo u otros programas se vuelve un gran
problema ya que afecta el funcionamiento en general del
sistema. - Bugs (Bicho)
- Trapdoors
- Ataques
Este atacante ingresa al sistema sin que su identidad
sea autentificada, produce acciones no
autorizadas y eventos
ilícitos como resultado de la ejecución de
comandos del
sistema. En muchas ocasiones es creado por el diseñador
del programa para las pruebas de
implementación del sistema y queda olvidado,
también puede ser un recurso para tener anclado al
cliente.
Un sistema debe tener protegida su información,
se tienen los siguientes atributos para la seguridad
[3]:
Confidencialidad.– se refiere a tener la
información restringida a aquellos sujetos que no tienen
autorización, solamente usuarios definidos por la dirección de la empresa
tendrán acceso a la información.
Integridad.– para la empresa es muy importante
que su información se mantenga sin modificación y
que los sujetos que estén autorizados para hacerlo
trabajen bajo estrictas normas de
operación.
Disponibilidad.– es muy importante que la
información de los sistemas este disponible en cualquier
momento que lo necesiten los usuarios designados o procesos
autorizados.
2.1. Políticas de Seguridad
A la descripción, bajo la forma de reglas, en la
que se incluyan las propiedades de integridad, confidencialidad y
disponibilidad, en la medida requerida por una organización, se le conoce como
Políticas de seguridad. [2]
El objetivo de las políticas de seguridad es
definir qué están haciendo los usuarios con la
información de la empresa, se deberá hacer un buen
uso de los recursos de
hardware y software y por supuesto eficientizar los
costos.
Cada uno de los procesos
administrativos o técnicos que se manejen en los
sistemas de
información deberán contar con su propia
política
de seguridad, los atributos descritos con anterioridad
deberán ser aplicados al definir estas
políticas.
El departamento de informática deberá
tener amplios conocimientos en el uso y aplicación de las
herramientas de seguridad.
2.1.1. Servicios
Los servicios de
seguridad propuestos por OSI en la norma
ISO 7498-2 se
presentan a continuación:
2.1.1.1. Servicio de
Autentificación
Este nos sirve para verificar la identidad del sujeto y
manejo de datos, para implementarlo se emplean los passwords,
login, kryptoknight enter otros.
2.1.1.2. Servicio de Control de
acceso
Es una protección contra el uso no autorizado del
sistema. Se aplica a todo tipo de acceso a la información
como transferencia, escritura,
lectura y
ejecución. Cada acceso debe ser verificado en función de
los privilegios del sujeto y los atributos de la
información.
2.1.1.3. Servicio de Confidencialidad
Este servicio es muy importante ya que va a prevenir la
divulgación no autorizada de los datos del sistema. Se
aplica tanto a los datos de los hosts locales como a los datos en
tránsito sobre la red. Se utiliza mucho el encriptamiento
en la confidencialidad en conexión para evitar el secuestro de la
información. Cada archivo debe
tener derechos de
lectura y ejecución adecuados.
2.1.1.4 Servicio de Integridad de
Datos
Este servicio va a proteger los datos contra ataques
activos. Detecta cualquier modificación, inserción,
borrado o repetición de los datos, se puede tener
integridad de conexión con recuperación, integridad
de conexión sin recuperación, integridad de
recuperación en campos selectos, integridad en modo
no-conexión e integridad en modo no-conexión en
campos selectos.
2.1.1.5 Servicio de
No-repudiación
Este servicio va a no permitir a un emisor el negar
haber enviado un mensaje, ni permite a un receptor el negar haber
recibido un mensaje, se tienen dos formas: No-repudiación
con prueba de origen y No-repudiación con prueba de
entrega.
2.1.1.6 Servicio de Control de Flujo
A todo lo anterior debe agregarse uno adaptado a las
redes
clasificadas, un control de flujo de datos seguro. Va a
proteger contra flujos de datos prohibidos, sean accidentales o
intencionales.
2.2. Planeación
de la Seguridad
Se debe identificar que es lo que se va a proteger, por
tanto se tiene los siguientes pasos a ejecutar:
- Lista de objetos a definir como son las computadoras, el software, los routers y los
cables entre otros. - Categorizarlos
- Asignar una métrica.
- Priorizar: asignar cuál es el mas
importante.
La planeación se enfoca en cómo se va a
lograr la protección y cuando se va a proteger, debe
planearse en conjunto pero observando las características
propias del software, hardware, recuperación en caso de
desastre, la educación de los
usuarios, las necesidades de crecimiento, la auditoría para todos los procesos del
sistema de
información.
En la implementación se deberá evaluar las
opciones disponibles en el mercado en base a
niveles de servicio e información de la operación
de la empresa para identificar si poseen el nivel de capacitación adecuado para soportar el
servicio de apoyo al sistema.
Se deberá incluir un período de prueba y
entrenamiento
a todos niveles.
La revisión deberá incluir monitorizar la
red, la auditoría, la política de respaldo de
archivos y la
periodicidad que se tiene para efectuar una revisión de
las políticas teniendo al menos una cada seis
meses.
Se deberá tener en cuenta cuales son las
prioridades de la empresa, la seguridad que quiera o pueda
implementar, el rendimiento de la red, disponibilidad del
servicio entre otros.
3.1 Internet
La red Internet ha ampliado los horizontes de los
sistemas de información, ha convertido a la
búsqueda de información en algo rutinario y
rápido, ha dado muchas ventajas en manejo de grandes
volúmenes de información e intercambio entre
usuarios y una gran conectividad a través de todo el
mundo. Existen también graves problemas por
la distribución de la información a
cualquier nivel quedando esto bajo la responsabilidad de los usuarios que en muchas
ocasiones no respetan las normas.
Otro problema es la tendencia a convertir a la Internet
como un medio accesible y cómodo para las transacciones
comerciales, la seguridad que deben tener estos sistemas es
permanente y en constante evolución. La presencia de hackers y crakers
en la red presenta nuevo retos para alcanzar una máxima
seguridad en el manejo de la información.
Las empresas tienen interconectadas todas sus redes
internas existentes, utilizando con frecuencia la misma
tecnología que Internet. Estas intranets solo son
accesibles sólo dentro de la empresa pero, por otra parte,
funcionan de la misma manera que Internet [1]
3.1.1. Ventajas
Se pueden mencionar los siguientes puntos que marcan la
ventaja en esta red:
- Transferencia de archivos, el manejo de envío
y recepción de archivos ahorra tiempo y
dinero en el
manejo de la información. - Acceso a la Información rápido y
económicamente accesible que un fax o
llamadas telefónicas. - Correo electrónico llamado e-mail es ahora una
de las formas mas productivas para comunicarse con personas de
todo el mundo en minutos lo cual provoca un panorama de
máxima eficiencia. - Análisis científicos, la
búsqueda en bases de datos
indexadas se ha vuelto rutinaria en los estudiantes y los
conceptos se incorporan mas rapidamente ya que se tiene un
fácil acceso a la información. - Análisis comerciales, la investigación de productos se
hace mas corta al igual que el intercambio de experiencias en
los diferentes productos. Se pueden comparar artículos,
grupos y compañías ampliando así la
capacidad de decisión de los tomadores de decisiones lo
cual crea ventajas competitivas y estimula las economías
de escala.
3.2. Intranet
Según José Luis García Trejo la
Intranet es un
término ampliamente utilizado para describir la
aplicación de tecnologías de Internet en redes
corporativas internas. Generalmente los negocios
utilizan Internet para publicar y compartir información de
manera más efectiva a través de la
aplicación de paradigmas de
presentación y relación de información
utilizados por Internet. Es la combinación de dos
tecnologías: la primera es una red de área local la
cual está asignada a una compañía o a un
grupo de
éstas, la segunda es la facilidad de uso encontrada en
Internet, específicamente en la tecnología
WWW.
En una red corporativa de grandes empresas actuales se
esta utilizando las tecnologías de Internet, la puesta a
disposición de la información a varios niveles de
la empresa ayuda a distribuir información clave como
políticas y procedimientos de la empresa así como
su visión y misión.
Dentro de las principales ideas del concepto Intranet
es el utilizar el navegador como interfase única para
todos los usuarios. De esta manera sin importar la plataforma y
el sistema operativo que emplea, el usuario no requiere aprender
de interfases diferentes para cada ocasión, lo cual reduce
significativamente los tiempos de capacitación, la
complejidad de la
administración y los costos.
El utilizar Internet como medio para acceder a la
Intranet provee a las compañías de una gran
flexibilidad, independientemente de donde se encuentre cualquiera
de los usuarios. Siempre que se tenga una conexión a
Internet y los privilegios de accesos necesarios, el usuario
puede acceder toda la información de la Intranet
corporativa como si estuviera conectado localmente.
3.3. Diferencia entre Internet e
Intranet
La diferencia entre Internet y la Intranet es que
ésta última es la red privada de una empresa y esta
dentro de la Internet. La Intranet hereda toda la
tecnología de Internet incluyendo el Groupware.
El Groupware se refiere al correo
electrónico, el flujo de información compartido
y el workflow que son la estructura de
procesos y la automatización.
Una Intranet, al igual que cualquier red al ir creciendo
va presentando mayor complejidad y la seguridad se vuelve
prioridad.
La conectividad inmediata de las PC´s se convierte
en un problema para los administradores de red y seguridad
informática. Las empresas con intranets funcionando poseen
una gran cantidad de información confidencial en
línea; el mal manejo de esta información puede
ocasionar graves daños y pérdidas a las
compañías. Otro peligro es la infiltración
de virus, bugs y gusanos entre otros pueden abrir orificios y
violar la seguridad, destruir los datos de las
compañías y hacer que los administradores pierdan
tiempo tratando de arreglar el daño
que se ha hecho. Generalmente estos ataques son ocasionados por
los mismos empleados que bajan programas sin control de la red
con el pensamiento
ignorante de que no sucederá nada.
Una forma de protección de la información
es utilizar los IPsec. Este método
protege a los datos en tránsito entre los sitios seguros, sin
embargo no es suficiente para mantener fuera de la LAN a los
virus y demás agresores del sistema.
Los Firewalls también conocidos como servidores de
seguridad son una forma de seguridad que obliga a que todo el
tráfico de una o varias LANs conectadas pasen a
través de un puente electrónico.
La idea básica de un firewall es
evitar que entren intrusos y salga información
secreta.
El Firewall puede ser un software, hardware o una
combinación de ambos. Los mejores firewalls trabajan con
el tipo de seguridad "stateful inspection" que es de lo mejor que
existe en estos tiempos.
Existen varios módulos que componen el sistema
Firewall:
- Módulo de inspección, este
reside en el kernel o núcleo del sistema operativo antes
de la capa de red, puede interceptar e inspeccionar todos los
paquetes antes de que estos residan en el sistema operativo.
Este módulo guarda y actualiza el estado y contexto de
la información de los paquetes y guarda la
información en tablas dinámicas de conexiones.
Por medio de este módulo se tiene acceso a las
políticas de seguridad. - Módulo del Firewall, este módulo
brinda el control de acceso para tener autentificación
por cliente, usuario y por sesión y además de
proveer el "network ardes translation", el cual reemplaza las
direcciones de origen y destino del paquete en la
red. - Módulo de manejo, provee la interfaz
gráfica para el usuario en donde el administrador
del Firewall representará de manera sencilla las
políticas de seguridad de la empresa. Desde aquí
se controlan los diferentes Firewalls con sus salidas
respectivas. Aquí se encuentran las bitácoras y
es estado de funcionamiento. - Módulo de encripción, este
módulo es uno de los medios de protección que se
tienen para la información, en Internet la
información esta muy libre, para evitar este tipo de
inseguridad
en la información se utiliza la
encriptación.
Existe software adicional que se puede integrar en
conjunto al firewall para poder reforzar
la seguridad además de mejorar algunas capacidades del
Firewall, algunos de estos programas son:
Websense, floodgate, programas antivirus,
stonebeat entre otros,
Todos estos módulos dependen del tipo de Firewall
que se esta contemplando para instalar y algunos no contemplan
todos estos módulos.
La seguridad de los sistemas de información
dependerá del tipo de sistema al que se recurra, existen
muchas opciones en el mercado, es responsabilidad de los
tomadores de decisiones investigar a fondo en cada una de ellas y
encontrar la factibilidad de
operación de la opción elegida, para de esta manera
hacer mas eficiente y segura la operación de la empresa y
económicamente rentable.
El uso de los Sistemas de Información para
maximizar las utilidades y reducir los precios se
vuelve imprescindible y por supuesto el manejo de la seguridad se
vuelve una pieza clave en la consecución de estos objetivos.
Cada vez mas los Sistemas de Información se
incorporan a todas las empresas, las empresas cada vez dependen
mas del uso de las intranets, y su incorporación a WWW es
inminente por eso asegurar su información se vuelve pieza
clave en su planeación estratégica para asegurar
que su información no caiga en manos inadecuadas, se
necesita personal
comprometido con la empresa, que sea pieza clave en el
aseguramiento de la información, por tal razón se
necesitan políticas y procedimientos de seguridad claros y
fáciles de comprender e implementar, es otro compromiso
que adquieren los administradores de red.
La frase de la información da poder cada vez se
acentúa mas en nuestra sociedad, por
eso debemos tener un claro manejo de la información, de
esta manera cuidaremos nuestro capital mas
importante, la información de nuestras
empresas.
1.Redes de Computadora
Andrew S. Tanenbaum
4ta edición
Prentice Hall
2004
2.Diseño
de Seguridad para Intranets
Tesis para Obtener el Título de Lic.en
Sistemas computarizados e informática
José Luis García Trejo
Universidad Iberoamericana 2000
3.ISO Information Processing Systems
OSI referente model, part 2: Security
Architecture, ISO Technical report
7498-2 1989
Realizó:
Ing. Claudia del Carmen Cárdenas
Alanis
Ingeniera Biomédica certificada en Ingeniería Clínica
Alumna de la maestría de Ingeniería
de Sistemas Empresariales
Universidad Iberoamericana mayo 2004