Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Lic. Fabiana María Riva Junio de 2011 1 UNIDAD NRO. 2 SEGURIDAD DE LA INFORMACIÓN Y AUDITORIA El objetivo de esta unidad es introducir al alumno en el manejo de los conceptos del Seguridad de la Información y adquirir conocimientos, metodologías y herramientas para la implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales. Objetivos específicos: • Comprender los riesgos a los que están afectados los recursos a gestionar en áreas de sistemas y tecnologías de información • Conocer marcos metodológicos actuales referentes a la Gestión de Riesgos de TI • Conocer normas actuales referidas a la Seguridad de la Información • Comprender la necesidad de los procesos de auditoría en áreas de Sistemas y Tecnologías de la Información Bibliografía utilizada: • Guía de los Fundamentos de la Dirección de Proyectos (PMBOK). Cuarta Edición. Project Management Institute. Año 2009. Capítulo 11. • MAGERIT V.2: Metodología Automatizada de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Ministerio de Administración Pública de España. Junio de 2006 disponible en: http://administracionelectronica.gob.es • SERIE ISO 27000. Portal de ISO 27001 disponible en http://www.iso27000.es/ • COBIT V.4.1.: IT Governance Institute Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Estados Unidos. Año 2007. Disponible en: http://www.isaca.org/spanish/Pages/default.aspx • Recursos de Control - Seguridad Informática. Apunte para la Cátedra de Administración de Recursos. Ing. Jorge Sessa. Año 2005. • Publicaciones de diversos autores disponibles en: http://www.segu-info.com.ar/ • Plataforma educativa de ESSET Latinoamérica: http://edu.eset-la.com/ • Informes del Ing. Carlos Ormella Meyer disponibles en: http://www.angelfire.com/la2/revistalanandwan/ • Capability Maturity Model Integration, Versión 1.3. Software Engineering Institute. Carnegie Mellon University. Noviembre de 2010. Disponible en http://www.sei.cmu.edu/cmmi/tools/cmmiv1-3/ UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Lic. Fabiana María Riva Junio de 2011 2 CAPÍTULO 1: SEGURIDAD DE LA INFORMACIÓN UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 3 INDICE SEGURIDAD DE LA INFORMACIÓN ........................................................... 5 SEGURIDAD INFORMÁTICA .................................................................................. 6 MARCO CONCEPTUAL DE LA GESTIÓN DE RIESGOS ....................................... 7 DEFINICIONES Y REFERENCIAS A RIESGOS ............................................................... 7 EL PROCESO DE GESTIÓN DE RIESGOS .................................................... 9 PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS ............................................................. 9 IDENTIFICACIÓN DE RIESGOS .............................................................................. 9 ANÁLISIS DE RIESGOS .................................................................................... 10 ANÁLISIS CUALITATIVO DE RIESGOS ........................................................................... 10 ANÁLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD .......................................................... 11 PRIORIZACIÓN DE RIESGOS ............................................................................................. 11 ANÁLISIS CUANTITATIVO DE RIESGOS ......................................................................... 12 PLANIFICACIÓN DE LA RESPUESTA A LOS RIESGOS .................................................... 12 ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS) ....................................... 12 ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES) ................................. 13 COSTO DE LA GESTIÓN DE RIESGOS ............................................................................ 13 SEGUIMIENTO Y CONTROL DE RIESGOS ................................................................. 14 GESTIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN ........................... 15 AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMÁTICA .......................................... 18 CLASIFICACIÓN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIÓN .......................... 21 REQUERIMIENTOS DE SEGURIDAD Y CONTROLES ...................................................... 23 SEGURIDAD FÍSICA ........................................................................................ 23 PROTECCIÓN CONTRA AMENAZAS CLIMATOLÓGICAS ......................................................... 23 PROTECCIÓN CONTRA INCENDIOS............................................................................... 24 CONTROL DE ACCESOS ........................................................................................... 24 SEGURIDAD LÓGICA ....................................................................................... 26 CONTROL DE ACCESOS ........................................................................................... 26 IDENTIFICACIÓN Y AUTENTIFICACIÓN .................................................................................. 26 EFICIENCIA EN LA AUTENTICACIÓN ..................................................................................... 27 CONTRASEÑAS SEGURAS ................................................................................................. 28 LÍMITES SOBRE LA INTERFAZ DE USUARIO ............................................................................ 28 TRANSMISIÓN Y ALMACENAMIENTO SEGURO DE INFORMACIÓN ............................................ 28 TÉCNICAS CRIPTOGRÁFICAS ............................................................................................. 29 APLICACIONES DE LA CRIPTOGRAFÍA ................................................................................... 30 SEGURIDAD PERIMETRAL ......................................................................................... 31 FIREWALLS ................................................................................................................. 32 DETECCIÓN DE INTRUSIONES ........................................................................................... 32 PRUEBAS DE PENETRACIÓN .............................................................................................. 33 CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLÓGICA .............................................. 33 ADMINISTRACIÓN DEL PERSONAL Y USUARIOS ............................................................... 34 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ............. 35 CICLO DE CALIDAD PARA EL SGSI ...................................................................... 38 ESTABLECER EL SGSI ............................................................................................ 38 POLÍTICA Y OBJETIVOS DE SEGURIDAD ................................................................................ 38 METODOLOGÍA DE EVALUACIÓN DEL RIESGO .......................................................................... 39 SELECCIÓN DE LOS OBJETIVOS DE CONTROL Y CONTROLES ........................................................ 39 DECLARACIÓN DE APLICABILIDAD ...................................................................................... 40 IMPLANTAR Y UTILIZAR EL SGSI ................................................................................40 MONITORIZAR Y REVISAR EL SGSI ............................................................................. 41 MANTENER Y MEJORAR EL SGSI ................................................................................ 41 UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 4 DOCUMENTOS DE UN SGSI ............................................................................... 42 MANUAL DE SEGURIDAD DE LA INFORMACIÓN ................................................................ 43 PROCEDIMIENTOS ................................................................................................. 45 INSTRUCCIONES, FORMULARIOS Y CHECKLISTS .............................................................. 45 REGISTROS ......................................................................................................... 45 ANEXO I: MARCO NORMATIVO ............................................................ 46 SERIE ISO 27000 ........................................................................................ 46 MAGERIT V.2 ............................................................................................ 49 UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 5 SEGURIDAD DE LA INFORMACIÓN La seguridad de la información es el proceso de planear, organizar, coordinar, dirigir y controlar las actividades relacionadas a asegurar la integridad, confidencialidad y disponibilidad de la información de un sistema y sus usuarios y resguardar los activos de la organización. En esta definición se hace referencia a: Información: conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. Integridad de la Información: que la misma solo pueda ser modificada por las entidades autorizadas y minimizando las posibilidades de corrupción por fallas físicas o lógicas, de hardware o software, malware o alteraciones causadas por usuarios internos o intrusos con el fin de causar daño o sin intención. Es decir, mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Confidencialidad de la Información: es la característica en cuanto a su almacenamiento y transmisión que posibilita que la misma sea conocida sólo por personas autorizadas. Una falla en la confidencialidad de la información puede dar lugar a graves daños para la organización, tales como: pérdidas de clientes, usurpación de diseños de nuevos productos, etc. Asegurar la confidencialidad de la información implica: • Control de accesos requiere que el acceso a los recursos (información, capacidad de cálculo, nodos de comunicación, etc.) sea controlado y limitado, protegiéndolos frente a usos no autorizados o manipulación. • Autenticación de origen característica de un proceso de transmisión que posibilita tener una certeza razonable del origen de la información. • No Repudio ofrece protección a una persona frente a que otra persona niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin. Disponibilidad de la información, capacidad de estar siempre operativa para ser utilizada. Requiere que los recursos (información y sistemas de tratamiento o almacenamiento de la misma) sean accesibles y utilizables por individuos, entidades o procesos autorizados cuando los requieran. Se debe proponer un proceso que apunte a mantener la Continuidad Segura del Negocio definiendo una estructura que mantenga presente los conceptos anteriores. Hablar de Continuidad UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 6 Segura significa prepararse formalmente a atender a las contingencias que pueden ocurrir en un grado acorde a la criticidad del negocio. SEGURIDAD INFORMÁTICA Cuando hablamos de seguridad informática muchas veces creemos que es lo mismo que seguridad de la información debido a que los términos se usan muchas veces de forma indistinta. Sin embargo vale aclarar sus diferencias. La seguridad informática (si) se encarga de la protección de los sistemas informáticos, entendiéndose esto como la conjunción de la información almacenada en medios magnéticos, las aplicaciones (software), los equipos que soportan la información (hardware) y las personas que hacen uso de la misma (usuarios). La seguridad de la información (SI) es un proceso mucho más amplio que implica la protección no solo de la información almacenada en los sistemas informáticos sino que también asegure la información sin discriminar donde se encuentra. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 7 MARCO CONCEPTUAL DE LA GESTIÓN DE RIESGOS Para atender a las contingencias que puedan presentarse en cuanto a la seguridad de la información, es imprescindible conocer los riesgos a los que nos enfrentamos para poder gestionarlos. Las Organizaciones interactúan en un ambiente donde clientes, regulaciones gubernamentales, competencia y tecnología cambian constantemente, hecho éste que las obliga a estar preparadas para adaptarse a estos cambios. En este contexto el análisis de riesgos se considera una herramienta básica para la toma de decisiones y para la elaboración del plan de auditoría de la empresa, en el cual se determina la cantidad y extensión de los exámenes o procedimientos de auditoría a ser aplicados a los efectos de contar con un adecuado sistema de Control Interno. DEFINICIONES Y REFERENCIAS A RIESGOS Según el diccionario de la Real Academia Española (Del italiano risico o rischio, y este del árabe clásico rizq, lo que depara la providencia). 1. m. Contingencia o proximidad de un daño. 2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro Un riesgo pude verse también como una variación de los resultados esperados, donde esa variación es de carácter aleatorio y en muchas ocasiones fuera del control del tomador de decisiones generándose el problema de la incertidumbre. En el contexto de Proyectos, y según el PMI, el riesgo está relacionado con las Oportunidades (resultados positivos) y las Amenazas (resultados negativos). Los objetivos de la Gestión de los Riesgos del Proyecto son aumentar la probabilidad y el impacto de los eventos positivos, y disminuir la probabilidad y el impacto de los eventos adversos para el proyecto. El SEI (Software Engineering Institute), además de incluir la Gestión de Riesgos en su Modelo de Madurezde capacidades (CMMi) como hemos visto en la Unidad Nro. 1, ha desarrollado un método de evaluación de riesgos denominado OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) cuya última versión es OCTAVE Allegro y además provee un método sistemático de identificación de riesgos basados en taxonomías. En el contexto del SEI un riesgo se define como la posibilidad de pérdida y como el precursor de un problema, en función de: • Probabilidad de que ocurra un evento adverso. • Impacto, manifestado en una combinación de pérdida económica, retraso temporal y pérdida de rendimiento UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 8 En MAGERIT V2. (del Ministerio de Administración Pública de España) se tiene en cuenta que: Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización. Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Tipos de Activo: La metodología tiene en cuenta la tipificación de los siguientes activos: Datos e Información, aplicaciones (software), soportes de Información, equipos Informáticos (hardware), redes de comunicaciones, personal, instalaciones, equipamiento auxiliar y servicios Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que encuadran en la actividad continua de Gestión de la Seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se encuentran los activos. En coordinación con los objetivos, estrategia y política de la organización, las actividades de gestión de riesgos permiten elaborar un Plan de Seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la Dirección. La Serie ISO/IEC 27000 provee por un lado una Norma certificable1 de Seguridad de la Información y por otro una Guía de Buenas prácticas2 donde presenta una lista de controles de seguridad recomendados y que, en la práctica, se seleccionan en base a una valorización de riesgos. COBIT es un estándar que combina la investigación el desarrollo y la promoción de un conjunto actualizado de objetivos de control para las tecnologías de la información para el uso por parte de gerentes y auditores. Asegura que las tecnologías de la información estén alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. Organiza los objetivos de control en Dominios que responden a procesos dentro de la organización. Para cada dominio define los requerimientos del negocio que satisface, los estados del control que facilitan la satisfacción de los objetivos y los elementos que se pueden considerar al evaluar. En cuanto a la Gestión de Riesgos de TI, la misma está especificada en el Dominio: Planear y Organizar y Proceso: P09. Evaluar y Administrar los Riesgos de TI. ITIL V.3. contempla el proceso de Gestión de la Continuidad del Servicio enunciando actividades y funciones relacionadas directamente con la Gestión de Riesgos como hemos visto en el capitulo anterior. 1 Ver anexo: Normas Serie ISO/IEC 27000 2 Ver anexo: SOA - Declaración de Aplicabilidad UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 9 EL PROCESO DE GESTIÓN DE RIESGOS La Gestión de Riesgos es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades. Se pueden resumir, de los marcos mencionados anteriormente, los siguientes procesos involucrados en la gestión de riesgos: 1. Planificación de la Gestión de Riesgos: decidir cómo enfocar, planificar y ejecutar las actividades de gestión de riesgos. 2. Identificación de Riesgos: determinar los riesgos existentes y documentar sus características. 3. Análisis Cualitativo de Riesgos: priorizar los riesgos para realizar otros análisis o acciones posteriores, evaluando y combinando su probabilidad de ocurrencia y su impacto. 4. Análisis Cuantitativo de Riesgos: analizar numéricamente el efecto de los riesgos 5. Planificación de la Respuesta a los Riesgos: desarrollar opciones y acciones para mejorar las oportunidades y reducir las amenazas. 6. Seguimiento y Control de Riesgos: realizar el seguimiento de los riesgos identificados, supervisar los riesgos residuales, identificar nuevos riesgos, ejecutar planes de respuesta a los riesgos y evaluar su efectividad. PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS Objetivo: Cómo serán abordadas y planeadas las actividades de referidas a riesgos. Resultado a obtener: El Plan de Gestión de Riesgos, que documente cómo serán estructurados y realizados los procesos de identificación, análisis cualitativo, cuantitativo, planeación de respuesta, monitoreo y control de riesgos. La empresa debe tener estandarizado el proceso para acumular experiencia. El Plan de Gestión de Riesgos deberá incluir: Enfoque, herramientas y fuentes de datos, los roles y las responsabilidades, el presupuesto, el calendario de manejo de riesgos, métodos de evaluación e interpretación, los criterios de umbrales de riesgos sobre los cuales se actúa y el formatos de los reportes. IDENTIFICACIÓN DE RIESGOS El tratar de identificar riesgos es un criterio proactivo que busca identificar posibles factores de riesgo y tomar medidas de aseguramiento o planes de contingencia para contrarrestarlos a ellos y a sus efectos. Objetivo: Determinar los riesgos y documentar sus características. Resultados a obtener: UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 10 Relación de Riesgos: Definiciones de eventos o condiciones inciertas que si ocurriesen tendrían efectos negativos (o positivos). Disparadores: Las señales de advertencia indicativas de que el riesgo se ha materializado o está a próximo a ocurrir. Las siguientes herramientas pueden ser utilizadas para identificar o analizar los riesgos: • Revisiones de Documentación: en caso de proyectos: acta de proyecto, cronograma, técnicas utilizadas para estimación de tiempos y costos, recursos asignados, en caso de adquisición: el plan de compras y procesos asociados, en caso de servicios: los modelos de rendimiento de procesos y productos. • Técnicas de Recopilación de Información: Brainstorming, Técnica Delphi, discusiones de grupo, entrevistas estructuradas y cuestionarios, análisis FODA, etc. • Análisis mediante Check Lists: por ej. de inspecciones físicas y auditorias anteriores • Análisis de asunciones o escenarios • Técnicas de Diagramación: Diagramas Causa-Efecto, de sistemas, de influencias • Experiencia personal de los involucrados • Taxonomías de Riesgos ANÁLISIS DE RIESGOS Los diferentes estándares formulan que la Gestión de Riesgos tiene 2 dimensiones, la primera se refiere a la incertidumbre, ya que un riesgoes algo que todavía no ha ocurrido y que bien puede ocurrir o no (PROBABILIDAD), la segunda es acerca de lo que sucedería si el riesgo ocurriese, ya que los riesgos se definen en términos de su efecto en los objetivos o las pérdidas (IMPACTO). Cuando se evalúa el significado de un riesgo en particular, es necesario considerar ambas dimensiones. Los procesos de gestión de riesgos incluyen técnicas para determinar la importancia de un riesgo, basado tanto en la probabilidad como en su impacto. Estableceremos el estado de riesgo, exposición o SEVERIDAD como PROBABILIDAD de ocurrencia del riesgo por el IMPACTO que causa si sucede. Aunque se puede desarrollar un marco que permita la evaluación del impacto, sin lugar a ambigüedades, el cálculo de la probabilidad es mucho más confuso ya que muchas veces se identifican riesgos cuyos detalles son desconocidos (dependen de influencias externas), no existen registros anteriores y esto lleva a que solo es posible realizar una estimación de la misma. ANÁLISIS CUALITATIVO DE RIESGOS Realizar el Análisis Cualitativo de Riesgos es por lo general un medio rápido y económico de establecer prioridades para la planificación de la respuesta a los riesgos y sienta las bases para realizar el análisis cuantitativo de riesgos, si se requiere. Objetivo: Realizar un análisis cualitativo y condiciones de los riesgos para priorizar sus efectos sobre los activos de la organización o los objetivos del proyecto. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 11 Resultado a obtener: Actualizar el registro de riesgos, realizado en la etapa de identificación, determinando una lista priorizada de riesgos en función del impacto y probabilidad estimados, riesgos agrupados en categorías, causas de riesgos o áreas que requieran mayor atención. ANÁLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD Se deben dar valores a los riesgos listados existiendo para ello escalas lineales y no lineales. Para un preciso análisis cualitativo de riesgos se requiere obtener información precisa y sin tendencia y utilizar técnicas para evaluar la precisión de la información. Se propone para la evaluación del impacto una escala de cinco niveles: 1-Muy bajo, 2-Bajo, 3- Medio, 4-Alto, 5-Muy alto (establecida en función del más alto impacto detectado). Para evaluar la probabilidad también se define una escala: 1-muy improbable (< 3%), 2-poco probable (<10%), 3-probable (<30%), 4-altamente probable (<60%), 5-casi cierto (>60%) La posibilidad de un evento frecuentemente no sólo depende de la estadística sino también de la intervención humana. • Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna acción; y • Dificultad de intervención: el nivel de dificultad que experimentaríamos en prevenir que ocurra el riesgo En función a estas escalas se puede establecer una matriz para medir la magnitud del riesgo: PRIORIZACIÓN DE RIESGOS Clasificaremos los riesgos utilizando una lista con el siguiente formato: Nro. Categoría Riesgo Probabilidad Impacto Riesgo Total Una vez obtenida la lista, la ordenamos en forma decreciente por Riesgo Total. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 12 Dependiendo del análisis, es probable que puedan identificarse una gran cantidad de riesgos y, por lo tanto, el Plan de gestión de riesgo puede convertirse en un proyecto en sí mismo. Por este motivo, adaptamos la regla de Pareto 80-20 al riesgo del proyecto. La experiencia dice que el 80 por ciento del riesgo total se debe solamente al 20 por ciento de los riesgos identificados. La lista Priorizada de riesgos ayudará a determinar qué riesgos pertenecen a ese 20 por ciento. ANÁLISIS CUANTITATIVO DE RIESGOS Objetivo: Establecer la probabilidad y consecuencias de riesgos y estimar sus implicaciones para los objetivos del proyecto. Resultados a Obtener: Lista priorizada de riesgos cuantificada. Utilizando técnicas de recopilación y representación de datos, técnicas de análisis cuantitativo y Modelado y juicio de expertos se debe: • Cuantificar la exposición al riesgo y determinar, para un proyecto, el valor de reservas de contingencias de costo y cronograma que puedan ser necesarias. • Identificar los riesgos que requieren mayor atención cuantificando su relativa contribución al riesgo total. PLANIFICACIÓN DE LA RESPUESTA A LOS RIESGOS Objetivo: Desarrollar opciones y determinar acciones que reduzcan las amenazas y aumenten las oportunidades. Resultados a Obtener: Plan de Respuestas a Riesgos, determinación de reservas de contingencia, riesgos residuales y secundarios. El Plan de Respuesta a Riesgos incluye la identificación y asignación de personas o grupos responsables de las respuestas a cada riesgo. Debe ser apropiado a la severidad en cada riesgo, efectivo en costos, oportuno, realista en función de los activos involucrados o en el contexto del proyecto, acordado por las partes involucradas y asignado a la persona responsable de ejecutar la respuesta. ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS) Evitar: No se acepta de esa forma Transferir: Estoy dispuesto a transferir a un tercero el riesgo y la gestión del mismo, soy consciente de que no puedo eliminar todo el riesgo (Subcontratar, Asegurar) Mitigar: Estoy consciente del riesgo y haré lo posible para minimizar su ocurrencia (probabilidad) y consecuencias (impacto) Aceptar: Estoy consciente del riesgo y estoy dispuesto a aceptar las consecuencias de su posible ocurrencia UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 13 Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales tempranas de advertencia) Riesgo Nro. Desarrollo de Estrategias de respuesta a amenazas Evitar Aceptar Contingencia o Reserva Mitigación Transferir Minimizar Probabilidad Minimizar Impacto Estrategia Ventajas Desventajas ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES) Explotar: Haré lo posible para asegurarme que la oportunidad sea una realidad Compartir: Estoy dispuesto a transferir a un tercero que está mejor capacitado para capturar la oportunidad Mejorar: Haré lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto) Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales tempranas de advertencia) De la misma forma que en las estrategias de respuestas a riesgos negativos podremos armar una planilla para su descripción. COSTO DE LA GESTIÓN DE RIESGOS Deberemos balancear el costo de implementación de la Gestión de Riesgos contra los beneficios derivados para obtener la mejor opción. Costo de Gestión Implementar medidas de reducción Usar Juicio Antieconómico Nivel Total de Riesgos UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 14 Los imprevistos y los riesgos residuales más los planes de contingencia deben gestionarse a travésde reservas, que pueden ser: Gerenciales: Atiende a los imprevistos De Contingencia: Riesgos residuales más planes de contingencia Cómo afectan las reservas a cualquier contrato puede verse en el siguiente cuadro SEGUIMIENTO Y CONTROL DE RIESGOS Objetivo: Definir un enfoque de seguimiento para monitorear los riesgos Resultados a Obtener: Documentación de los resultados de las actividades de gestión de riesgos. Procedimiento: • Ejecutar el Plan de Gestión de Riesgos o Riesgos con probabilidad moderada a alta: Continuar con el plan de EVITAR Y MITIGAR. o Riesgos que se hayan materializado: Iniciar el PLAN DE CONTINGENCIAS o Riesgos que se hayan evitado: Retirar de plan (pero documentar). • Ejecutar las estrategias de respuesta a medida que los riesgos ocurran • Documentar • Evaluar los resultados Precio total del contrato Presupuesto total del Proyecto Honorarios o Ganancias Presupuesto de realización del proyecto Presupuesto de Reservas Costo del Proyecto Costo de respuesta a riesgos Reservas Gerenciales Reservas de Contingencias CCoossttoo sseegguurroo CCoossttoo pprroobbaabbllee UNIVERSIDAD TECNOLOGICA NACIONAL ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Audit Seguridad de la Información Lic. Fabiana María Riva GESTIÓN DE R Las amenazas en Seguridad de la Información la integridad, confidencialidad y disponibilidad de la información y que muchas veces están posibilitadas por vulnerabilidades en la infraestructura recursos humanos afectados, el software, etc Las listas de clasificación o categorías de riesgos, denominadas también taxonomías de riesgos, permiten que el equipo encargado de identificar riesgos mismos porque ya dispone de una lista de áreas procedentes de diferentes situaciones. taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas puede resultar complejo. También pueden emp que el equipo puede utilizar para supervisar y notificar el estado de los proyecto o en los momentos del control. Existen clasificaciones o taxonomías desarrollo de software entre las que desarrollada por el SEI denominada En este capítulo nos centraremos en algunas clasificaciones ge identificación de riesgos en Proyectos o Áreas de 3 Reporte disponible en: http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Junio de 2011 RIESGOS EN SEGURIDAD DE LA INFORMACIÓN en Seguridad de la Información son todos aquellos factores que p confidencialidad y disponibilidad de la información y que muchas veces están vulnerabilidades en la infraestructura, los procedimientos administrativos , el software, etc. o categorías de riesgos, denominadas también taxonomías de riesgos, equipo encargado de identificar riesgos pueda pensar con mayor amplitud sobre los porque ya dispone de una lista de áreas o activos susceptibles de diferentes situaciones. En ocasiones se utiliza una lista de chequeo basada en una taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas También pueden emplearse para proporcionar una terminología unificada que el equipo puede utilizar para supervisar y notificar el estado de los proyecto o en los momentos del control. o taxonomías que describen las fuentes de entre las que se incluyen las realizadas por Barry Boehm, Caper Jones denominada Software Development Risk Taxonomy En este capítulo nos centraremos en algunas clasificaciones generales que afectan a la Proyectos o Áreas de Sistemas y Tecnologías de Información. http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm EN SISTEMAS DE INFORMACION 15 NFORMACIÓN son todos aquellos factores que ponen en peligro confidencialidad y disponibilidad de la información y que muchas veces están , los procedimientos administrativos, los o categorías de riesgos, denominadas también taxonomías de riesgos, pueda pensar con mayor amplitud sobre los susceptibles de esconder riesgos En ocasiones se utiliza una lista de chequeo basada en una taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas learse para proporcionar una terminología unificada que el equipo puede utilizar para supervisar y notificar el estado de los riesgos a lo largo de un riesgo de proyectos de as por Barry Boehm, Caper Jones y la Risk Taxonomy3. nerales que afectan a la ologías de Información. http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 16 Una clasificación para la identificación de riesgos de un Proyecto, puede ser: o Riegos Genéricos: Son todos los riesgos que afectan a cualquier Proyecto. o Riesgos Específicos: Son riesgos asociados a un Proyecto de Tecnología de Información en particular o al producto de dicho proyecto. Dependerán en mayor medida de la tecnología que se está utilizando, los procesos dentro del proyecto y las características de la organización. El PMI propone la siguiente estructura de desglose de riesgos que pueden darse en Proyectos: Los 9 procesos de la Gestión de Proyectos del PMI pueden ser utilizados para identificar riesgos referidos a: Integración Alcance Tiempos Costos Calidad RRHH Comunicaciones Gestión de Riesgos del Proyecto Adquisiciones Expectativas. Factibilidad Objetivos de Tiempo. Restricciones Requerimientos. Estándares Disponibilidad. Productividad Objetivos de Costos. Restricciones Servicios. Materiales, performance Variables del ciclo de vida y ambientales UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 17 El SEI propone una clasificación para riesgos de la operación de tecnologías de información denominada Taxonomy of Operational Cyber Security Risks4. La clasificación identifica y organiza la fuente de estos riesgos en cuatro clases: 1. Acciones (o inacción) de las personas: realizadas tanto deliberada como accidentalmente 2. Fallas de los sistemas y tecnología: fallas del hardware, software y sistemas de información 3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan en la habilidad para implementar, gestionar y sostener a la seguridad. 4. Eventos externos: cuestiones fuera del control de la organización. Cada clase se descompone en subclases que se describen por los elementos que la componen: 1. Acciones de las Personas 2. Fallas de Sistemas y Tecnología 3. Fallas de Procesos Internos 4. Eventos externos 1.1 Involuntarias 2.1 Hardware 3.1. Diseño de Procesos y Ejecución 4.1 Desastres 1.1.1 Equivocación (acción incorrecta) 2.1.1 Capacidad 3.1.1 Flujo de Procesos 4.1.1 Climatológicos 1.1.2 Error (por desconocimiento) 2.1.2 Rendimiento 3.1.2 Documentación de Procesos 4.1.2 Incendios 1.1.3 Omisión (por apresuramiento) 2.1.3 Mantenimiento 3.1.3 Roles y responsabilidades 4.1.3 Inundaciones 1.2 Deliberadas 2.1.4 Obsolescencia 3.1.4 Notificaciones y alertas 4.1.4 Terremotos 1.2.1 Fraude 2.2 Software 3.1.5 Flujo de Información 4.1.5 Disturbios 1.2.2 Sabotaje 2.2.1 Compatibilidad 3.1.6 Escalado de problemas 4.1.6 Pandemias 1.2.3 Robo 2.2.2 Configuración 3.1.7 Acuerdo de Nivel de Servicio 4.2 Cuestiones Legales 1.2.4 Vandalismo2.2.3 Control de Cambios 3.1.8 Tarea fuera de control 4.2.1 Regulaciones 1.3 Inacción 2.2.4 Parámetros de Seguridad 3.2 Control de Procesos 4.2.2 Legislación 1.3.1 Habilidad 2.2.5 Prácticas de Codificación 3.2.1 Monitorización del estado 4.2.3 Litigios 1.3.2 Conocimiento 2.2.6 Testing 3.2.2 Métricas 4.3 Cuestiones del Negocio 1.3.3 Guía 2.3 Sistemas 3.2.3 Revisiones Periódicas 4.3.1 Fallas del Suministro 1.3.4 Disponibilidad 2.3.1 Diseño 3.2.4 Dueño del Proceso 4.3.2 Condiciones del Mercado 2.3.2 Especificaciones 3.3 Procesos de Soporte 4.3.3 Condiciones Económicas 2.3.3 Integración 3.3.1 Dotación del Personal 4.4 Dependencias con Servicios 2.3.4 Complejidad 3.3.2 Recursos 4.4.1 Servicios Públicos 3.3.3 Entrenamiento y desarrollo 4.4.2 Servicios de Emergencia 3.3.4 Adquisición 4.4.3 Combustible 4.4.4 Transporte 4 Reporte Disponible en: http://www.sei.cmu.edu/library/abstracts/reports/10tn028.cfm UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 18 AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMÁTICA Para explicar las amenazas y vulnerabilidades en Seguridad Informática desarrollaremos un esquema para comprender en qué consiste un ataque informático. 1-RECONOCIMIENTO 2-EXPLORACIÓN 3-CONSOLIDACION 4-MANTENER ACCESO 5-BORRAR HUELLAS Fase 1: Reconocimiento. Esta etapa involucra la obtención de información con respecto a una potencial víctima que puede ser una persona u organización. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing, el DNS snooping, etc. Fase 2: Exploración. En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Las herramientas que se utilizan se basan en el escaneo de puertos y análisis de las redes para detectar servicios activos y vulnerabilidades (network mappers, port mappers, network scanners, port scanners, y vulnerability scanners) Fase 3: Consolidación. En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Mantener el acceso. Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Borrar huellas. Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS). UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 19 Estas son algunas de las debilidades, recursos o técnicas en las que se basa un ataque informático5: Ingeniería Social: Consiste en la obtención de información sensible y/o confidencial de un usuario cercano a un sistema u organización. Son estrategias de ataque que se basan en el engaño y que están netamente orientadas a explotar las debilidades del factor humano. Ya sea por ignorancia, negligencia o coacción, las personas pueden romper las reglas de seguridad de la organización y permitir a un atacante obtener acceso no autorizado. Dumpster Diving: es un recurso basado en la ingeniería social. Consiste en “husmear entre la basura” para localizar notas y/o papeles de los que el usuario se ha deshecho: extractos bancarios, claves personales, datos comprometidos, anotaciones personales. Muchos de estos datos pueden ser utilizados para crear un perfil en un sitio web y actuar en su nombre, usurpar su identidad, abrir o realizar movimientos en sus cuentas bancarias, utilizar servicios, pagar con su tarjeta de crédito o incluso aparecer con su fotografía ante terceros en un foro de Internet. Phishing: está basado en la ingeniería social. En general son falsos mensajes de correo electrónico haciéndose pasar por entidades reales (generalmente financieras) pidiéndonos en muchos casos confirmación de estos datos, en oportunidades también se utilizan llamados telefónicos. Las características de un correo de phishing son las siguientes: • Uso de nombres de reconocidas organizaciones. • El correo electrónico del remitente simula ser de la compañía en cuestión. • El cuerpo del correo, presenta el logotipo de la compañía u organización que firma el mensaje. • El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto remitente ya posee. • El mensaje incluye un enlace que, aunque indique una dirección web válida, redirecciona al sitio falsificado. Como técnica de Ingeniería Social, el phishing utiliza el factor miedo, para inducir al usuario a ingresar la información en el sitio del atacante. Un aviso legítimo de caducidad de información (como contraseñas, cuentas de correo o registros personales), nunca alertará al usuario sin el suficiente tiempo para que este, gestione las operaciones necesarias en tiempos prudenciales. Mensajes del tipo "su cuenta caducará en 24hs." o "si no ingresa la información en las próximas horas..." son frecuentemente utilizados en este tipo de ataques. El sitio web falso es creado utilizando, no solo el logotipo, sino también la estructura, las imágenes, las tipografías y los colores de la página original. El atacante intenta crear la página web de forma idéntica a la original, para aumentar la eficacia del engaño. Prácticamente todos los componentes, del mensaje enviado al usuario, son idénticos a un mensaje legítimo del mismo tipo. Reconocer un mensaje de phishing no es una tarea simple para el usuario. Cualquier usuario de correo, es una potencial víctima de estos ataques. 5 Ingresar a la plataforma : http://edu.eset-la.com y realizar el curso: Guía básica de utilización de medios informáticos en forma segura UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 20 Sniffing: es el mecanismo que permite monitorizar y analizar el tráfico en una red de computadoras, detectando los cuellos de botella y problemas que existan pero también puede ser utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red. Análisis de redes y escaneo de puertos: son aplicaciones que permiten verificar la seguridad en una red mediante el análisis de los puertos abiertos en uno de los equipos o en toda la red a partir de una serie o lista de direcciones de IP. El proceso de análisis utiliza solicitudes que permiten determinar los servicios que seestán ejecutando en un host remoto e identificar los riesgos de seguridad. Mediante un análisis exhaustivo de la estructura de los paquetes TCP/IP recibidos pueden identificar, por ejemplo, qué sistema operativo está utilizando el equipo remoto. Configuraciones predeterminadas o por defecto: generalmente las configuraciones predeterminadas hacen del ataque una tarea sencilla para quien lo ejecuta ya que es muy común que las vulnerabilidades de un equipo sean explotadas a través de códigos exploit donde el escenario que asume dicho código se basa en que el objetivo se encuentra configurado con los parámetros por defecto. Muchas aplicaciones automatizadas están diseñadas para aprovechar estas vulnerabilidades, incluso existen sitios web que almacenan bases de datos con información relacionada a los nombres de usuario y sus contraseñas asociadas, códigos de acceso, configuraciones, entre otras, de los valores por defecto de sistemas operativos, aplicaciones y dispositivos físicos. Ataques de Contraseña: consiste en la prueba metódica de contraseñas para lograr el acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo. En un esquema de autenticación de factor simple (nombre de usuario + contraseña) la seguridad radica inevitablemente en la fortaleza de la contraseña y en mantenerla en completo secreto, siendo potencialmente vulnerable a técnicas de Ingeniería Social cuando los propietarios de la contraseña no poseen un adecuado nivel de capacitación que permita prevenir este tipo de ataques. Se suma a esto la existencia de herramientas automatizadas diseñadas para “romper” las contraseñas a través de diferentes técnicas como ataques por fuerza bruta, por diccionarios o híbridos en un plazo sumamente corto. Código malicioso o malware: programas que causan algún tipo de daño o anomalía en el sistema informático. Dentro de esta categoría se incluyen virus, gusanos, troyanos, adware, spyware, ransomware, entre otros. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 21 CLASIFICACIÓN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIÓN La identificación de activos y componentes críticos es esencial para conocer qué debe protegerse y así clasificarlos mediante criterios basados en su confidencialidad, integridad y disponibilidad. La tipificación de los activos es tanto una información documental de interés como un criterio de identificación de amenazas potenciales y controles apropiados a la naturaleza del activo. A partir de esta tipificación se podrá generar el Inventario o Catálogo de Activos. Sin ser una lista exhaustiva (ya que la misma puede variar significativamente con los avances tecnológicos), los activos pueden agruparse en las siguientes categorías: • Activos de información: archivos y bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, documentación histórica archivada. • Activos de software: de aplicación, del sistema, herramientas y programas de desarrollo • Activos físicos: equipos de tratamiento (procesadores, monitores, portátiles, módems), equipo de comunicaciones (routers, centrales digitales, máquinas de fax), medios magnéticos (discos y cintas), otro equipamiento técnico (suministro de energía, unidades de aire acondicionado), etc. • Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado). • Otros activos: imagen de la organización, objetivos, servicios producidos, credibilidad, etc. Dentro de la clasificación de activos, se podrá recurrir además a una sub-clasificación dependiendo del acceso que pueda realizarse. Se podrán contemplarán los siguientes niveles: • Desclasificado, considerado público y sin requisitos de control de acceso y confidencialidad • Compartido, activos compartidos entre grupos o personas no pertenecientes a la organización • Sólo para la organización, acceso restringido a los empleados de la organización • Confidencial, acceso restringido a una lista específica de personas La responsabilidad de cada activo deberá estar asignada sobre cada propietario por lo que se procederá a designar un responsable para cada recurso o grupos de recursos el cual asumirá en un futuro la tarea de mantener los controles apropiados. Las características o atributos que hacen valioso un activo se denominan dimensiones de valoración. Una dimensión es una faceta o aspecto de un activo que se podrá utilizar para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Las dimensiones de valoración que se siguen generalmente hacen mención a: UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 22 • Necesidad de disponibilidad del activo en función del número de personas afectadas por la falta de disponibilidad, funcionamiento irregular y en la que estarán involucrados además los tiempos de recuperación y la pérdida de imagen. • Nivel de pérdida de integridad del activo los datos reciben una alta valoración desde el punto de vista de integridad cuando su alteración, voluntaria o intencionada, causaría graves daños a la organización • Nivel de confidencialidad asociado a la información y derivado del marco regulador externo o criterios internos. Los datos reciben una alta valoración desde este punto de vista cuando su revelación causaría graves daños a la organización. En este sentido será necesario establecer: o Aseguramiento de la identidad del origen: de los usuarios del servicio y de los datos o Aseguramiento de que se podrá determinar quién hizo qué y en qué momento: trazabilidad del Servicio y trazabilidad de Datos. Para definir el criterio de valoración (o impacto) se podrá recurrir a una valoración económica derivada de la inversión económica de reposición ante la pérdida o a escalas cualitativas como las mencionadas anteriormente. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 23 REQUERIMIENTOS DE SEGURIDAD Y CONTROLES Los controles (o salvaguardas) permiten hacer frente a las amenazas. Hay diferentes aspectos sobre los cuales puede actuar un control: Seguridad física, de los locales y áreas de trabajo Procedimientos, tanto para la operación de los controles preventivos como para la gestión de incidentes y la recuperación tras los mismos. Los procedimientos deben cubrir aspectos tan diversos como van del desarrollo de sistemas a la configuración del equipamiento. Política de personal, necesaria cuando se consideran sistemas atendidos por personal. Debe cubrir desde las fases de especificación del puesto y selección, hasta la formación continua. Soluciones técnicas, que pueden ser aplicaciones (software), dispositivos físicos (hardware), protección de las comunicaciones La protección integral de un sistema de información requerirá una combinación de controles, debiendo la solución final estar equilibrada en los diferentes aspectos, tener en cuenta los controles adecuadas a cada tipo de activos, tener en cuenta los controles adecuadosa la dimensión de valor del activo y tener en cuenta los controles adecuados a la amenaza Los controles, especialmente los técnicos, varían con el avance tecnológico. SEGURIDAD FÍSICA Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos informáticos y a la información. Estos mecanismos de seguridad deberán ser implementados para proteger el hardware y medios de almacenamiento de datos dentro y alrededor de las áreas de sistemas así como a los medios de acceso remoto al y desde el mismo. Se deberán identificar características que se deben respetar en las áreas destinadas a la sala de servidores, al almacenamiento de los medios magnéticos, puestos de usuarios, cableado y todos los recursos relacionados con el desempeño de las tecnologías de la información y comunicación. PROTECCIÓN CONTRA AMENAZAS CLIMATOLÓGICAS En cuanto a prevención de inundaciones: construir un techo impermeable para evitar el paso de agua desde un nivel superior al área de servidores y de almacenamiento de medios magnéticos. Acondicionar las puertas para contener el agua que pudiera acceder al área. En cuanto a la prevención de condiciones de temperatura y humedad no aconsejables: se debe proveer un sistema de calefacción, ventilación y aire acondicionado separado con sensores para el control de la temperatura adecuada y que se dedique al área de servidores en forma exclusiva. Como estos aparatos son causa potencial de incendios e inundaciones, es recomendable instalar redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extinguidores de incendio, monitores y alarmas efectivas. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 24 PROTECCIÓN CONTRA INCENDIOS • El área de servidores debe estar en un local que no sea combustible o inflamable • El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas. • Las paredes y el techo deben hacerse de materiales incombustibles • Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego. • No debe estar permitido fumar. • Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables. • El piso y el techo en el recinto deben ser impermeables. • Deben colocarse sensores de temperatura y de humo que detecten anomalías en las instalaciones • Deben estar provistas de equipos para la extinción de incendios en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito. • Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores). En cuanto a los procedimientos que debe respetar el personal: • El personal designado para usar extinguidores de fuego debe ser entrenado en su uso. • Si hay sistemas de detección de fuego que activan el sistema de extinción, todo el personal de esa área debe estar entrenado para no interferir con este proceso automático. • Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel. • Suministrar información, del centro de cómputos, al departamento local de bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este departamento esté consciente de las particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Además, ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios. CONTROL DE ACCESOS El control de acceso requiere de identificación y autenticación y está asociado, en el caso del acceso físico, a implementar un mecanismo manual o electrónico mecánico que permita o no el acceso a áreas o archivos físicos donde se encuentra documentación en papel, copias de seguridad o recursos destinados a proveer servicios. El proceso de identificación y autenticación implica la existencia de uno o más de los siguientes indicadores: 1. Conocimiento: la persona tiene conocimiento (por ejemplo: un código), 2. Posesión: la persona posee un objeto (por ejemplo: una tarjeta), y 3. Característica: la persona tiene una característica que puede ser verificada (por ejemplo: una de sus huellas dactilares). UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 25 Entre las ventajas y desventajas de estos indicadores podemos decir que es frecuente que las claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los controles que utilizan características de las personas (autenticación biométrica) serían los más apropiados y fáciles de administrar, resultando ser también los más costosos por lo dificultoso de su implementación eficiente. En función del grado de seguridad que se desee establecer, la protección de accesos puede ser provista mediante: • Guardias de seguridad • Sistemas basados en la lectura de tarjetas (de códigos de barra, bandas magnéticas o de proximidad) o la introducción de claves de acceso mediante teclado • Sistemas Biométricos: La Biometría (del griego “bios” vida y “metron” medida) es el estudio de los métodos automáticos para identificación de personas basados en características físicas estáticas o dinámicas (conductuales). La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos. o Entre las características físicas que se miden en forma estática se encuentran: imagen facial, termograma del rostro, geometría de la mano, venas de la mano, huellas dactilares y patrones oculares: retina o iris. o Entre las características conductuales: la dinámica del teclado y la voz o La firma es una característica que puede medirse tanto en forma estática (se suelen utilizar una máquina de video o un scanner para capturar la imagen de la firma, con posterioridad a la realización de la misma) y métodos dinámicos (que tienen en cuenta la velocidad con la que se realizan los trazos y donde el dispositivo utilizado para capturar la firma es una tableta digitalizadora). Además, se puede acompañar el control de accesos con medidas de seguridad como: • Utilización de Detectores de Metales • Protección Electrónica como barreras infrarrojas o de microondas, detectores ultrasónicos de movimiento, detectores pasivos sin alimentación (apertura de puertas, rotura de vidrios, detector de vibraciones), sonorización y dispositivos lumínicos y circuitos cerrados de televisión. • Control de apertura y cierre de cajas de seguridad por horarios • Control de acceso por horarios y perfiles de acceso. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 26 SEGURIDAD LÓGICA Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo lo permitan a las personas autorizadas. CONTROL DE ACCESOS Estos controles pueden implementarse a nivel Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda paraproteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. La Seguridad Informática se basa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos. Esta administración abarca: • Procesos de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. • Políticas de identificación homogénea para toda la organización. • Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso establecidos. • Detección de actividades no autorizadas. • Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado. • Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización. Para el control de accesos se deberán tener en cuenta: IDENTIFICACIÓN Y AUTENTIFICACIÓN La identificación y autenticación es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema y Autenticación a la verificación que realiza el sistema sobre esta identificación. Las técnicas basadas en tarjetas, códigos o identificación biométrica que se mencionaron en seguridad física pueden ser utilizadas individualmente o combinadas para el control de acceso lógico. La identificación puede variar en función de la criticidad del negocio y pueden utilizarse además identificaciones por: • Funciones y Roles En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. • Transacciones: se pueden implementar controles, por ejemplo, solicitando una clave al requerir el procesamiento de una transacción determinada. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 27 • Limitaciones a los Servicios: se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario. • Modalidad de Acceso: definida por el tipo de acción que realizará el usuario o Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa. o Escritura: este tipo de acceso permite agregar datos, modificar o borrar información. o Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas. o Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificación. o Todas las anteriores. o Acceso especiales: que generalmente se incluyen en los sistemas de aplicación: • Creación: permite al usuario crear nuevos archivos, registros o campos. • Búsqueda: permite listar los archivos de un directorio determinado. • Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados. EFICIENCIA EN LA AUTENTICACIÓN Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez pudiendo acceder, a partir de allí, a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina "single login" o sincronización de passwords. Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas o a seleccionar claves fácilmente deducibles, lo cual significa un riesgo aún mayor. Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad. Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 28 Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas. CONTRASEÑAS SEGURAS Para el control de contraseñas seguras se deberá tener en cuenta: • Educar a los usuarios e implementar controles para la definición de contraseñas más robustas que no sean fácilmente deducibles mediante ataques de contraseñas. • Si los usuarios tienen la posibilidad de acceder a recursos que necesitan autenticación desde lugares públicos, se debe implementar la posibilidad de ingresar las contraseñas desde teclados virtuales ya que los atacantes pueden haber implantado programas o dispositivos físicos como keyloggers que capturen la información ingresada. • Implementar la ejecución de mecanismos de caducidad y control. Este mecanismo deberá controlar cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen. • Implementar mecanismos de autenticación más robustos como “autenticación fuerte de doble factor”, donde no sólo se necesita contar con algo que se conoce (la contraseña) sino que también es necesario contar con algo que “se tiene”, como por ejemplo una llave electrónica USB o una tarjeta que almacene certificados digitales para que a través de ellos se pueda validar o no el acceso de los usuarios a los recursos de la organización. LÍMITES SOBRE LA INTERFAZ DE USUARIO Estos límites son utilizados generalmente en conjunto con las listas de control de accesos (listas de usuarios y modalidades de acceso a determinados recursos del sistema) y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interfaz de usuario. TRANSMISIÓN Y ALMACENAMIENTO SEGURO DE INFORMACIÓN Si la información original es transmitida o almacenada como texto claro o texto plano cualquiera que consiga acceso al lugar donde están almacenadoslos datos o intercepte la red en un punto podrá obtener la información y hacer uso de ella. Las técnicas de criptografía que realizan el cifrado y descifrado de información (generalmente conocidos por sus anglicismo: encriptado – encrypt – y desencriptado - decrypt) permiten proteger la información almacenada o transmitida. Las técnicas criptográficas aplican algoritmos de cifrado que se basan en la existencia de claves para obtener un criptograma a partir del texto plano. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 29 El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones de los usuarios, es lo que constituyen en conjunto un criptosistema, que es con lo que el usuario final trabaja e interactúa. TÉCNICAS CRIPTOGRÁFICAS Existen los siguientes grupos de técnicas criptográficas: • Criptografía simétrica, de clave simétrica o de clave privada: se refiere al conjunto de métodos que permiten tener comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente que se denomina clave simétrica. La simetría se refiere a que las partes tienen la misma clave tanto para cifrar como para descifrar. Son la base de los algoritmos de cifrado clásico: o Sustitución: supone el cambio de significado de los elementos básicos del mensaje: las letras, los dígitos o los símbolos. La clave consiste en una tabla de equivalencias de caracteres (o libro de códigos) o Permutación o Transposición: Consiste en alterar el orden de las letras siguiendo una regla determinada. Normalmente se utiliza una tabla de tamaño determinado en la que se inserta el texto original que es transformado mediante la sustitución de las columnas por las filas. o Confusión intercalada: consiste en introducir, con una periodicidad determinada, caracteres adicionales aleatorios. La esteganografía es un caso especial de confusión intercalada. Consiste simplemente en camuflar el texto intercalándolo dentro de otro mensaje. Podemos elaborar un mensaje de contenido irrelevante pero de forma que siguiendo cierta pauta de eliminación podamos reconstruir el texto original. Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. En otras palabras, no debería ser de ninguna ayuda para un atacante conocer el algoritmo que se está usando. Sólo si el atacante obtuviera la clave, le serviría conocer el algoritmo. Por lo tanto es importante que sea difícil de adivinar el tipo de clave, para lo mismo el espacio de posibilidades de clave debe ser amplio y esta es la razón por la que el tamaño de la misma es primordial. El principal problema está ligado al intercambio de claves. Una vez que el remitente y el destinatario hayan intercambiado la clave, pueden utilizarla para comunicarse con seguridad. Entonces el problema radica en la seguridad del canal de comunicaciones utilizado para intercambiar la clave. Sería mucho más fácil para un atacante intentar interceptar la clave que probar las posibles combinaciones del espacio de claves. • Criptografía asimétrica, de clave asimétrica o de clave pública: Resuelve el problema de autenticación y de no repudio. Sus algoritmos utilizan dos claves, una pública y una privada. Las dos claves pertenecen a la persona que ha enviado el mensaje. Los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 30 asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo. Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó su clave privada (salvo que alguien se la hubiese podido robar). No es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga una copia de la clave pública del destinatario. • Criptografía Híbrida: Es un método criptográfico que usa tanto un cifrado simétrico como un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando la clave y enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada es diferente para cada sesión APLICACIONES DE LA CRIPTOGRAFÍA Debemos tener en cuenta que el usuario final no conoce la existencia de técnicas criptográficas por lo que deberemos seleccionar las aplicaciones que específicamente utilicen la seguridad necesaria para la organización en función de los niveles de seguridad requeridos, teniendo en cuenta que las técnicas deben ser utilizadas para la seguridad en: • Cifrado de discos rígidos y particiones: para asegurar la información almacenada sobre todo en equipos que pueden estar a disposición de muchos usuarios o que se trasladan. • Protocolos para comunicaciones seguras: para asegurar las comunicaciones tanto de la red interna como de internet. Estos protocolos pueden ser utilizados para tunelizar una red completa y crear una red privada virtual (VPN) • Transacciones electrónicas seguras: son protocolos estándar para proporcionar seguridad a transacciones con tarjeta de crédito en redes de computadoras inseguras • Firma digital: Es una tecnología que posibilita la equiparación de los documentos digitales con los documentos en papel y, por ende, la realización, vía digital, de actos jurídicos plenamente válidos. La firma digital cumple las funciones de autenticación, integridad y no repudio, pero no implica avalar la confidencialidad del mensaje. Nuestra normativa reconoce dos tipos de firma digital, y la diferencia entre ambos no radica en lo tecnológico, sino, más bien, en lo jurídico La firma digital, definida como el resultado de aplicar a un documento digital un procedimiento matemático, requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. Pero, dado que la misma ley estipula que para asegurarse de que el UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información Lic. Fabiana María Riva Junio de 2011 31 firmante es el único que conoce y controla el procedimiento matemático, se debe cumplir con una serie de recaudos legales; la firma digital puede ser caracterizada por medio de la siguiente fórmula: firma digital = documento digital + procedimiento matemático + requisitos legales. La firma electrónica, en cambio, es definida en términos negativos como el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital.
Compartir