2. Puntos de vista
Los más habituales son:
Militar.
Sector Seguros.
Sector Académico (Ciencias del cómputo).
Sector de las Tecnologías de la Información.
Poder Legislativo.
Vicente Aceituno Canal, vaceituno@sia.es 2
3. Puntos de vista
Nos centraremos en:
Militar.
Sector Seguros.
Sector Académico (Ciencias del cómputo).
Sector de las Tecnologías de la Información.
Poder Legislativo.
Vicente Aceituno Canal, vaceituno@sia.es 3
4. Alcance
Los más habituales son:
Información como concepto abstracto.
Sistemas de Información basados en máquinas de
Turing o Von Neumann.
Redes locales e Internet.
Organizaciones como Empresas o Administraciones
públicas.
Vicente Aceituno Canal, vaceituno@sia.es 4
5. Alcance
Nos centraremos en:
Información como concepto abstracto.
Sistemas de Información basados en máquinas de
Turing o Von Neumann.
Redes locales e Internet.
Organizaciones como Empresas o Administraciones
públicas.
Vicente Aceituno Canal, vaceituno@sia.es 5
6. Definiciones
1. Conjunto de medidas de protección:
“Seguridad es el conjunto de medidas de seguridad”.
2. Control de Accesos:
“Seguridad es mantener el control”.
“Seguridad es protegerse de ataques”
3. Mantenimiento de Confidencialidad,
Integridad, Disponibilidad.
La tríada CID.
4. Existencia de un Estado:
“Seguridad es invulnerabilidad”.
“Seguridad es confianza”.
Vicente Aceituno Canal, vaceituno@sia.es 6
7. Definición - Dificultades
Los sistemas de información son complejos,
con aspectos estructurales y dinámicos.
Almacenes Procesos
Interfaces
Canales Mensajes
Vicente Aceituno Canal, vaceituno@sia.es 7
8. Definición - Dificultades
Los sistemas de información procesan datos,
pero datos no es lo mismo que información.
GIF: 511.220Kb JPEG: 211.078Kb
BMP: 2.359.350Kb PNG: 2.010.012Kb
Vicente Aceituno Canal, vaceituno@sia.es 8
9. Definición - Dificultades
La seguridad depende del contexto.
Vicente Aceituno Canal, vaceituno@sia.es 9
10. Definición - Dificultades
La seguridad depende de nuestras expectativas.
Vicente Aceituno Canal, vaceituno@sia.es 10
11. Definición - Dificultades
La seguridad es una ausencia, no una
presencia.
Seguridad
Peligro
Vicente Aceituno Canal, vaceituno@sia.es 11
13. Definiciones
1. Conjunto de medidas de protección:
“Seguridad es el conjunto de medidas de seguridad”.
2. Control de Accesos:
“Seguridad es mantener el control”.
“Seguridad es protegerse de ataques”
3. Mantenimiento de Confidencialidad,
Integridad, Disponibilidad.
La tríada CID.
4. Existencia de un Estado:
“Seguridad es invulnerabilidad”.
“Seguridad es protección”.
Vicente Aceituno Canal, vaceituno@sia.es 13
14. Definiciones - Ejemplos
Gene Spafford: “El único sistema verdaderamente seguro
es aquel que se encuentra apagado, encerrado en una caja
fuerte de titanio, enterrado en un bloque de hormigón,
rodeada de gas nervioso y vigilado por guardias armados
y muy bien pagados. Incluso entonces, yo no apostaría mi
vida por ello.”
(Seguridad es invulnerabilidad)
William R. Cheswick: “Hablando ampliamente, la
seguridad es evitar que alguien haga cosas que no quieres
que haga con o desde tu ordenador o alguno de sus
periféricos”
(Seguridad es mantener el control)
Vicente Aceituno Canal, vaceituno@sia.es 14
15. Definiciones - Ejemplos
INFOSEC Glossary 2000: “Seguridad de los Sistemas de
Información consiste en la protección de los sistemas de
información respecto al acceso no autorizado o modificación de
la información en el almacenamiento, proceso y tránsito y contra
la denegación de servicio para los usuarios autorizados,
incluyendo aquellas medidas necesarias para detectar,
documentar y contrarrestar dichas amenazas.”
(Seguridad es protegerse de ataques)
ISO17799: “La seguridad de la información se puede
caracterizar por la preservación de:
Confidencialidad: Asegurar que el acceso a la información
está adecuadamente autorizado.
Integridad: Salvaguardar la precisión y completitud de la
información y sus métodos de proceso.
Disponibilidad: Asegurar que los usuarios autorizados
pueden acceder a la información cuando la necesitan.
(Seguridad es la tríada CID)
Vicente Aceituno Canal, vaceituno@sia.es 15
16. Definiciones - Ejemplos
INFOSEC Glossary 2000: “Seguridad Informática son las
medidas y controles que aseguran la confidencialidad,
integridad y disponibilidad de los activos de los Sistemas
de Información, incluyendo hardware, software, firmware y
aquella información que procesan, almacenan y
comunican”
(Seguridad es el conjunto de medidas de
seguridad / La tríada CID)
Bruce Schneier: “La seguridad es un proceso, no un
producto”
(Seguridad NO es lo mismo que el conjunto de
medidas de seguridad)
Vicente Aceituno Canal, vaceituno@sia.es 16
17. Definiciones - Ejemplos
RFC2828 Internet Security Glossary:
Medidas tomadas para proteger un sistema.
El estado de un sistema que resulta del
establecimiento y mantenimiento de estas medidas.
El estado de un sistema cuando no hay accesos
desautorizados, o cambios, destrucciones o pérdidas
no autorizadas.
(Seguridad es mantener un estado)
Common Criteria for Information Technology
Security Evaluation - Part 1: “La protección
contra amenazas a activos…[]...prestando una mayor
atención a las amenazas resultantes de acciones
humanas maliciosas.”
(Seguridad es protegerse de ataques)
Vicente Aceituno Canal, vaceituno@sia.es 17
18. Usos Semánticos
Se utiliza la palabra “seguridad” para significar:
Invulnerable, como por ejemplo: “Ningún sistema es
realmente seguro”.
Medida de seguridad, como por ejemplo: “Deberíamos
añadir seguridad”.
Confiable, como por ejemplo: “La aplicación web es
muy segura”, o “evitar descargas de sitios no
seguros”.
Proteger, como por ejemplo: “Vamos a securizar la base
de datos”.
Vicente Aceituno Canal, vaceituno@sia.es 18
19. Usos Semánticos
Se confunde la parte por el todo, y se abusa de
la coletilla “de seguridad”:
Incidente de seguridad / Incidente.
Estamos analizando los posibles problemas de seguridad /
Estamos analizando las posibles amenazas.
Hemos tenido un problema de seguridad / Hemos sufrido
un incidente.
Gestión de seguridad / Control de Accesos.
Reglas de seguridad / Normas de Protección.
Vicente Aceituno Canal, vaceituno@sia.es 19
20. Confianza
Medidas de Invulnerabilidad
Seguridad
Control
CID
Vicente Aceituno Canal, vaceituno@sia.es 20
21. Definiciones
1. Conjunto de medidas de protección
Si esto fuera cierto, si no hay medidas, no hay
seguridad, pero sabemos que esto no es así, dado que
si no hay amenazas, podemos estar seguros aunque
no haya medidas.
Vicente Aceituno Canal, vaceituno@sia.es 21
22. Definiciones
2. Control de Accesos
Capacidad de proporcionar acceso a usuarios
autorizados, y negarlo a no autorizados.
Vicente Aceituno Canal, vaceituno@sia.es 22
23. Definiciones
Mecanismos de Control de Accesos (AAA+)
Autenticación e Identificación se define como la
capacidad de identificar al usuario de un sistema de
información.
Autorización se define como la capacidad de controlar
que servicios puede utilizar un usuario identificado, y
a que información puede acceder.
Auditoria se define como la capacidad de conocer
fehacientemente que servicios ha utilizado un usuario
identificado y a qué información a accedido, creado,
modificado, eliminado, incluyendo detalles como
cuando, desde donde, etc.
“No repudio” se define como la capacidad de afirmar
la autoría de un mensaje o información del que un
tercero es autor. De este modo el autor no puede negar
su propia autoría.
Vicente Aceituno Canal, vaceituno@sia.es 23
24. Definiciones
3. Mantenimiento de CID
Confidencialidad: Capacidad de proporcionar acceso
a usuarios autorizados, y negarlo a no autorizados.
(igual a Control de Accesos).
Integridad: Capacidad de garantizar que una
información o mensaje no han sido manipulados y de
que los servicios procesan correctamente la
información.
Disponibilidad: Capacidad de acceder a información o
utilizar un servicio siempre que lo necesitemos.
Vicente Aceituno Canal, vaceituno@sia.es 24
25. Definiciones (Mecanismos / Objetivos)
3. Mantenimiento de CID (o CAIN, o ACIDA…)
Confidencialidad
Identificación.
Autenticación.
Autorización.
Auditoria.
No Repudio.
Integridad.
Disponibilidad.
Vicente Aceituno Canal, vaceituno@sia.es 25
26. Definiciones
4. Existencia de un Estado
Imposibilidad de ataques. = Invulnerabilidad.
Confianza.
Vicente Aceituno Canal, vaceituno@sia.es 26
27. Definiciones
Invulnerabilidad
No tiene sentido protegerse de amenazas poco
probables.
Sólo considera la protección contra ataques.
El coste de la invulnerabilidad es muy alto y está
relacionado con expectativas muy poco habituales.
Vicente Aceituno Canal, vaceituno@sia.es 27
28. Defectos de las Definiciones
Las definiciones no suelen aclarar su alcance.
El número de definiciones diferentes es
demasiado alto.
Las definiciones no se usan de forma
consistente, lo que lleva a malentendidos
frecuentes.
Varias definiciones consideran los ataques
como los únicos incidentes que merecen
atención. (No errores, o accidentes)
Vicente Aceituno Canal, vaceituno@sia.es 28
29. Defectos de las Definiciones
Las definiciones al uso sugieren una validez
absoluta, no relativa.
No siempre es necesario Control de Accesos; sólo
cuando su importancia es suficientemente alta, como
los secretos.
No siempre es necesario No Repudio; sólo para tomar
acuerdos y establecer relaciones contractuales.
No siempre necesitamos Disponibilidad; sólo cuando
el servicio es suficientemente importante.
No se considera el coste que supone
protegerse.
Vicente Aceituno Canal, vaceituno@sia.es 29
30. ¿...?
Confianza
Medidas de Invulnerabilidad
Seguridad
Control
CID
Vicente Aceituno Canal, vaceituno@sia.es 30
31. Definición – Criterios de validez
Debe ajustarse al método científico.
Debe servir para responder las siguientes
preguntas:
¿Qué es un incidente?
¿Qué es una amenaza?
¿Qué amenazas me afectan, y cuanto?
¿Cómo de seguro estoy?
¿Qué puedo hacer para estar más seguro?
Amenaza -> Clasificación y Ponderación de la Amenaza
-> Selección de Medida de Seguridad -> Aumento de la
seguridad.
¿Cuánto debería gastar en medidas de seguridad?
¿Cómo de capaz soy de mantener mi seguridad?
Vicente Aceituno Canal, vaceituno@sia.es 31
32. El método científico - Falsabilidad
Karl Popper:
El criterio de demarcación para distinguir teorías
científicas de pseudocientíficas es su falsabilidad,
según la cual las teorías deben ser falsables.
Cuando una teoría es falsable, se pueden idear
experimentos que en caso de obtener un determinado
resultado puedan mostrar la teoría como falsa.
Una teoría exitosa:
Supera todos los experimentos de falsibilización.
Es ampliamente aplicable.
Explica un rango amplio de fenómenos.
Tiene poder predictivo.
Vicente Aceituno Canal, vaceituno@sia.es 32
33. CID es Pseudocientífica
La pérdida de Confidencialidad (en sus múltiples
vertientes), Disponibilidad e Integridad son consecuencias
de un incidente, no una causa.
Por ellos no son falsables y no ayudan al avance del
conocimiento.
Ejemplo: para paliar los siguientes incidentes, CID no
aporta información útil:
Recuperación de información borrada (¿Integridad?).
Violación de derechos de autor. (¿Confidencialidad?)
Pérdida de sincronización. (¿Integridad?)
Violación del anonimato. (¿Confidencialidad?)
Errores. (¿Integridad?)
Fraude. (¿Confidencialidad?)
Vicente Aceituno Canal, vaceituno@sia.es 33
34. CID es Pseudocientífica
Ciencia Pseudociencia
El objetivo es alcanzar una Los objetivos son
comprensión más completa y comerciales, culturales o
unificada de los fenómenos. ideológicos.
Existe una investigación continua La disciplina ha evolucionado
que expande el conocimiento de la muy poco desde que fue
disciplina. establecida.
Se buscan activamente Cualquier desafió al dogma
contraejemplos que parezcan establecida se considera un
inconsistentes con las teorías acto hostil, si no herejía,
establecidas. llevando a disputas o cismas.
Vicente Aceituno Canal, vaceituno@sia.es 34
35. CID es Pseudocientífica
Ciencia Pseudociencia
Las observaciones plausibles que Las observaciones que no encajan con las
no encajan con las creencias creencias establecidas tienden a ser ignoradas o
establecidas generan interés y silenciadas.
estimulan la investigación ulterior.
Se sigue un proceso por el que Los principios de la teoría no son falsables, y es
cada principio debe ser comprobado poco probable que sean modificados o
en la práctica y puede ser declarados erróneos. Los entusiastas toman la
cuestionado o rechazado en imposibilidad lógica de invalidar su teoría como
cualquier momento. evidencia de su validez.
Los conceptos e ideas se sostienen
Los conceptos son definidos por personalidades
por sus propios méritos, basándose
que con frecuencia invocan a la autoridad (como
en la experiencia y conocimientos
nombres famosos) como apoyo.
existentes.
Las explicaciones son claras y
Las explicaciones son vagas y ambiguas.
precisas.
Vicente Aceituno Canal, vaceituno@sia.es 35
36. Probabilidad
La probabilidad tiene capacidad predictiva
cuando consideramos que:
Cuando las condiciones no cambian, el futuro se
parece al pasado.
Es aplicable a conjuntos de fenómenos, no a
fenómenos individuales.
Es necesario disponer de un número suficiente de
casos.
Vicente Aceituno Canal, vaceituno@sia.es 36
37. Definición Operativa
Una definición operativa de una cantidad es el
proceso por el cual se mide.
Amenazas Medida de Sistema de
Protección Información
Vicente Aceituno Canal, vaceituno@sia.es 37
38. Definición Operativa
¿Qué es un incidente?: Un incumplimiento de
nuestras expectativas sobre un sistema de
información.
¿Qué es una amenaza?: Cualquier causa que
haya producido históricamente al menos un
incidente. (Probabilidad de ocurrencia distinta
de cero)
¿Que es seguridad?: “La ausencia de
amenazas que afecten las expectativas acerca
de sistemas de información protegidos de forma
equivalente en un entorno equivalente”.
Vicente Aceituno Canal, vaceituno@sia.es 38
39. Utilidad de la Definición Operativa
¿Como medir la Inseguridad?: “El coste de los
incidentes producidos en un plazo de tiempo
histórico por cada sistema de información
protegido de forma equivalente en un entorno
equivalente”.
¿Qué amenazas me afectan?: Las causas de
incidentes históricos en sistemas de
información protegidos de forma equivalente en
un medio equivalente.
Vicente Aceituno Canal, vaceituno@sia.es 39
40. Definición Operativa
¿Cuáles pueden ser nuestras
expectativas respecto de la información?:
Cumplir regulaciones legales aplicables.
Control sobre el acceso a secretos e información o
servicios protegidos por la ley como los derechos de
autor y la información privada.
Identificación de los autores de la información o
mensajes y registro de su uso de servicios.
Responsabilización de los usuarios por su uso de los
servicios y su aceptación de compromisos.
Control sobre la tenencia física de información y
sistemas de información.
Vicente Aceituno Canal, vaceituno@sia.es 40
41. Definición Operativa
¿Cuáles pueden ser nuestras
expectativas respecto de la información?:
Control sobre la existencia de información y servicios.
Control sobre la disponibilidad y de información y
servicios.
Control sobre la fiabilidad y el rendimiento de los
servicios.
Control sobre la precisión de la información.
Sincronización horaria de los servicios entre sí y con
la hora real.
Vicente Aceituno Canal, vaceituno@sia.es 41
42. Creative Commons
Attribution-NoDerivs 1.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author
credit.
No Derivative Works. You may not alter, transform, or
build upon this work.
For any reuse or distribution, you must make clear to others the license terms of
this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This is a human-readable summary of the legal text:
http://creativecommons.org/licenses/by-nd/1.0/legalcode
Vicente Aceituno Canal, vaceituno@sia.es 42
43. Referencias
[1] http://www.ee.oulu.fi/research/ouspg/sage/glossary/index.html#h-ref4
[2] Google “define: (integrity, confidenciality, etc)”
[3] RFC 2828 - Internet Security Glossary - http://www.faqs.org/rfcs/rfc2828.html
[4] Common Criteria for IT Security Evaluation -
http://www.commoncriteriaportal.org/
[5] Pseudociencia: http://www.chem1.com/acad/sci/pseudosci.html
Vicente Aceituno Canal, vaceituno@sia.es 43