Gea. Mariner Campos, 5 28010 MADRID Tol 014 4a 20 (Grande Gri, 171 1012 BARCELONA Tol 4 £50.08 ‘eoraya, 3 46040 VALENCIA Tal 063 614199 Ponzano, 15 ‘20010 MADRID Tol 914 448 020 www.cefes info@cof.os 902 88 89 90 indice Tema 13 LOGUE 1) Inwoduceién 1.1, Concepto de informacion 1.2. Concepto de seguridad ‘Amenazas y vulnerabilidades 2.1. Tipos de atagues 2.2. Amenazas logicas 22.1, Denegacién de servicio (interrupeién) 2.2.2. Intereepcién (escucha 0 monitorizacién) 2.2.3, Suplantacién (impostura o fabricacién) 2.24, Modificacién (manipulacién) 2.2.8. Malware 2.2.6. Proyecto OWASP 2.3. Amenazas fisicas 2.3.1. Amenazas ocasionadas por el hombre 2.3.2. Desastres naturales Medidas de proteccién frente a amenazas 16 3.1. Medidas de proteecin ligicas 2.2, Meilidas de proeccin ene desarrollo de aplicaciones 33. Antivirus Medidas de seguridad fisica 4.1. Subsistema de deteccién y extincién de incendios NOVIEMBRE 2015 TECNOLOGIA BASICA Ipice Tema 13,4.1.1, Clases de fuego 4.1.2. Proteccién contra incendios 4.2. Subsistema eléetrico 5. Auditoria de seguridad 6. Normas y estindares relatives a Ia seguridad 6 C (Trusted Computer Security Evaluation Criteria) 62. (Information Technology Security Evaluation Criteria) 6.3. Criterios Comunes (Ct ‘Common Criteria) 64, Noma ISOABC 27002:2015 64.1. Introduecién 6.5. Reglamentacién espafiola de evaluacién de seguridad TL Oposiciones cine noice Tema 13, TE op: TECNOLOSIA BASICA2 Gra, Maninge Campos, 5 20010 MADR Tol 916448 900, Gran de Graca, 171 1802 BARCELONA Te. 934150 986, ‘Nboraya 23 80:0 VALENCIA Tol 960614 196, Poncane 18 28010 MADRID Jal 914444 000 www.cefes: Info@cot.es 902 88 89 90 TEMA 13 Seguridad fisica y logica de un sistema de informacién. Riesgos, amenazas y vulnerabili Medidas de proteecion y aseguramiento. Auditoria de seguridad fisica 1, INTRODUCCION 1.1. CONCEPTO DE INFORMACION La informacién, como tal, puede definirse como un conjunto de datos dispuestos de manera que nos permitan adquirir cualquier tipo de conocimiento, Ademés, es uno de los principales activos de las organizaciones, por lo que salvaguardarla es vital para la continuidad del negocio, En la actualidad, vivimos en Ia época de Ia informacién y de las telecomunicaciones. El mimero de ordenadores existentes en ef mundo erece constantemente, asi como el némero de personas que tienen acceso a internet. Se requiere conexién instanténea y continua a todo tipo de informacién, inde~ pendientemente del lugar en cl que se encuentre dicha informacién, Esto trac la consecuencia de que e accede a informacién sin saber exactamente en dénde se encuentra. Ademés, este acceso se produ- ce, en muchas 0 jones, de manera gratuita y andnima, Desde el punto de vista del ofertante de Ia informacién, si se trata de una empresa, debe tenerse en cuenta que este proceso de poner la informacién a disposicién de los usuarios para que la con- suman, genera mucho trabajo, y por lo tanto, mucho gasto asociado. Se debe clasificar, almacenar, distribuir y guardar la informacién, y todo ello implica la existencia de trabajadores y de sistemas de informacién que se encarguen de realizar estas tareas. A todo lo anterior, debe afiadirse un factor que hasta ahora no se ha considerado: Ia seguridad de la informacién. El acceso que se produce, como hemos comentado anteriormente, es, en muchas ccasiones, de forma andnima. Y la persona que accede puede estar interesada en daiiar nuestra infor- macién, modificarla sin permiso, acceder a més informacién de la que esté autorizado, o simplemente borrarla. Por lo tanto, se aumentardn los costes relacionados con la gestién y mantenimiento de Ia in- formacin. eowouoelaasioa TEE oposiciones uszoams 13-4Nos encontramos asi con que la informacién esta expuesta a multiples riesgos y amenazas. Asi las cosas, es primordial asegurar la informacion para el buen funcionamicnto de la empresa, involucrando en esta tarea a toda la organizacidn, no solo al Departamento de Seguridad. Sin embargo, es un reto complicado coneienciar a todos fos empleados de la importancia de la informacién, pero es una labor que la entidad ha de lograr, 1.2. CONCEPTO DI URIDAD El concepto de seguridad total en la informatica es utépico porque no existe un sistema 100% seguro. Ahora bien, es necesario profundizar en el concepto de seguridad para tratar de minimizar los riesgos existentes, poder adoptar las medidas necesarias, y ser conscientes de la exposicién a la que se encuentra nuestro sistema. Podemos entender como Seguridad! la capacidad de las redes y los sistemas de informacién para resist, con un determinado nivel de confianza, los accidentes o acciones ilicitas 0 malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacena- dos o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. La seguridad, a dia de hoy, es una necesidad imperiosa en la que deben invertir las organizacio- nes, La falta de seguridad en las empresas puede deberse a dos factores: + Desconocimiento de las posibles amenazas que pueden desencadenar un incidente en Ia entidad + Falta de conocimiento de tas medidas de seguridad que existen para paliar las amenazas que pueden producir dafios materiales o inmateriales en los activos. Es evidente que la implantacién de una serie de medidas de seguridad tiene un coste. Cuanta ma- yor sea esa seguridad, mayor sera el coste. En consccuencia, a la hora de decidir las medidas que de- ben implantarse, se debe tener en cuenta un principio de proporcionalidad, de tal manera que el cos de las salvaguardas de seguridad no sea superior al valor de los activos protegidos. A la hora de aplicar las medidas de seguridad, deben tenerse en De esta forma, la seguridad puede dividirse en seguridad légica y segui + Seguridad légica: conjunto de operaciones y técnicas orientadas a la proteccién de la informa- cién frente a las amenazas salvaguardando las dimensiones de disponibitidad, autenticidad, tegridad y confidencialidad de ta misma. + Seguridad fisica: La seguridad fis ¢ interferencias a las instalacion ica proporciona proteccién ante accesos no autorizados, daios de la organizacién y a la informacién. Los requisitos sobre seguridad fisica varian considerablemente segiin las organizaciones y depen- den de la escala y de la organizacién de los sistemas de informacién. Peto son aplicables a nivel gen ral los conceptos de asegurar la proteccién de ciertas areas, controlar perimetros, controlar las entradas fisicas ¢ implantar equipamientos de seguridad, Algunos conceptos a recordar (basados en Magerit): ' hup:itwww.esimap.esfesifpdlmagerit v2imetodo vI1_ final pdf ee on TECNOLOGIA BASICAcstin expuestos a Actives causan una derta }———>| egradacién con una cierta Lt recuencia Activo: recurso del sistema de informacién o relacionado con este, necesario para que la organi- zacién funcione correctamente y alcance los objetivos propuestos. Segin el tipo de activo y el fin que tenga tendr mayor o menor valor para la organizacién, Amenaza: es un evento que puede desencadenar un incidente en la organizacién, produciendo da- ‘ios materiales o pérdidas inmateriales en sus activos. Las amenazas son «cosas que curren». Vulnerabilidad: es la posibilidad de ocurrencia 0 materializacién de una amenaza sobre un Activo. En el grifico anterior se representa por medio de las métricas de degradacién del activo (cuin perjudi- cado resultaria un activo) y frecuencia (cada cuanto se materializa la amenaza). Impacto: la medida del dafio sobre el activo derivado de la materializacién de una amenaza. Riesgo: Se denomina riesgo a la medida del dafio probable sobre un sistema, Conociendo el im- pacto de las amenazas sobre los activos, es directo derivar el riesgo sin més que tener en cuenta la fre- cuencia de ocurrencia. El riesgo ctece con el impacto y con la frecuencia, Ataque: evento, exitoso 0 no, que atenta sobre el buen funcionamiento del sistema. Se utiliza co- mo sinénimo de amenaza. 2. AMENAZAS Y VULNERABILIDADES De manera general, cuando hablamos de amenazas nos referimos a los eventos que ponen en pe- ligro cualquiera de los subestados o atributos propios de la seguridad: Autenticidad, Confidencialidad, Logue i TE Oposiciones maszozs 13-3 TECNOLOGIABASICA PsIntegridad y Disponibilidad (ACID). Adicionalmente, puede pensarse en algunos atributos aftadidos, como podria ser Ia trazabilidad, Esto depende de la propia amenaza y de la vulnerabilidad intrinseca de nuestro sistema fisico y légico. En primer lugar, se verdn los tipos de ataques para después entrar en la clasificacién general de amenazas lgicas (apdo. 2.2) y amenazas fisicas (apdo. 2.3). 2.1, TIPOS DE ATAQUES Existen distintos tipos de ataques, en fun dden mencionar los siguientes in del punto de vista analizado, Como ejemplo, se puc- Clasificacién 1: Ataques pasivos vs Ataques activos + Ataques pasivos: obtener informacién que esta siendo transmitida, No implican la alteracién de la informacién, ~ Intereepeién, ~ Interrupcién (que no suponga denegacién de servicio). + Ataques activos: modificacién del flujo de datos o la creacién de flujos falsos. — Enmascaramiento, Modificacién de mensajes. Denegacién de un servicio. Clasificacidn 2: Ataques accidentales vs Ataques intencionados + Ataques accidentales o indiscriminados: Frecuentes y, normalmente, menos daftinos. Ej: virus. + Ataques intencionados 0 a medida: — Poco comunes pero més peligrosos. Kj: hackers a compafifas, Clasificacién 3: Segin el punto de ataque. + Ataques al almacenamiento de la informacién: ¢ produce un acceso no permitido a los lugares donde se guarda la informacién. — Puede ser un ataque Intemo: obtener el propio soporte de la informacién de forma que se pueda conseguir la informacion que contiene. ea HEHE oposiciones reovtoaiaatecn~ Puede ser un ataque externo: acceder a la informacién pero sin acceder fisicamente a él Normalmente por intromisin en el medio de transmisién de los datos del soporte fuente al soporte destino, + Ataques a la transmisién de la informacién; Los datos que se transmiten por algiin medio sean accedidos para ser leidos, cambiado, elimi- nados, o cualesquiera otra acciOn por parte de terveros no autorizados, 2.2. AMENAZAS LOGICAS En general, las amenazas lgicas estin constituidas por programas que, de forma intencionada (software maligno) o por error (bugs) pueden daitar al sistema, Para evitar posibles amenazas lgicas en nuestra organizacién, es importante que todos los em- pleados, especialmente los administradores de los equipos, tomen conciencia del cuidado que deben poner para que no se materialicen posibles dafios en la compaiiia, Ademés, cs fundamental implemen- tar mecanismos de prevencién, deteccién y recuperacién ante posibles amenazas légicas como virus, gusanos, bombas légicas y otros eédigos maliciosos. La expansién de la cultura de la seguridad entre los empleados puede ahorrar muchos disgustos la entidad, muchas veces implementando medidas tan sencillas como, por ejemplo: + No ejecutar programas de los que se desconozcan su procedencia. + No utilizar programas no autorizados por la direccién. + No abrir correos personales desde los equipos de la compatiia, + No visitar paginas web que no sean propésito de la empresa. + Instalar y actualizar habitualmente un software dedicado detectar y eliminar cédigos maliciosos que puedan albergar los ordenadores, + Realizar chequeos de los correos electrénicos recibidos para comprobar que no suponen una amenaza para la entidad, E] Estindar Internacional ISO/IEC 17799 versién 2005 (actualmente conocido como ISO/IEC 27002) recomienda que para protegerse de las amenazas logicas, la empresa debe contar con dos 0 ‘mais programas (procedentes de diferentes vendedores) encargados de detectar y reparar cédigos mali cioso para mejorar las probabilidades de éxito ante un ataque. Tradicionalmente, se consideran cuatro categorias habituales de formas de amenazas logicas, Estas cuatro categorias estn directamente relacionadas con los subestados de seguridad vistos ante- riormente: + Denegacién de servicio (Interrupcién), + Intercepcién (escucha © monitorizacién). eet FEB oposiciones weaoie 13-8cién). + Suplantacién (impostura o fabric + Modificacién (manipulacién o alteracién), Veamos en detalle cada categoria y los ataques o amenazas mas habituales. 2.2.1, Denegacién de servicio (interrupeién) Los ataques de denegacién de servicio consisten en saturar los recursos del equipo hasta que este sea incapaz. de seguir prestando sus servicios, mediante consumo de recursos, alteracién de configu- © alteracién de componentes de red. También se incluyen aqui las ocasiones en las que una cidn se establezca, evitando que los datos del emisor lleguen al racione tercera parte impide que una comunie: receptor. Son amenazas que atentan contra la Disponibilidad del sistema y la autenticacién (caso de suplan- tacién). Algunos conceptos generales relacionados con la interrupeién son los siguientes: + DoS (denial of service): también se conoce como jamming o flooding. Consiste en el consumo de recursos limitados, escasos 0 no renovables: ancho de banda, memoria, espacio en disco, tiempo de CPU, acceso a otras maquinas, n.° maximo de conexiones, ete. Ejemplos: ICMP, UDP, envio de gran nimero de mensajes, ficheros enormes, ete. + DDoS (Distribuited Denial of Service): involuera varias maquinas. Los bots o botnet es la red de méquinas a disposicidn de un atacante y Ia maquina zombi es una maquina atacada a la que se introduce un malware que nos hace dominarla (esté a nuestro merced). E's un ataque bajo control de una maestra, permite consumir mis facilmente recursos de una victima como el an- cho de banda al utilizar una red de zombies. Ejemplo: ataque de fuerza bruta mediante el uso de muchos zombis que van a solicitar un servicio a una victim. + DRDoS (Distribuited Reflection Denial of Service): DDoS es complicado puesto que hay que tomar el contro! de otras méquinas y usar un malware. Se suele utilizar como altemativa el DRDoS que consiste en utilizar otro servidor o servidores (inocentes) para generar trifico hacia luna vietima. Ejempio: un servidor Web al que llega un SYN con IP origen falso que es la de la victima, todas las contestacioncs irdn a la IP origen falsa, es decir, se satura la maquina victima. Ejemplo: Ataque con SYN Flood, Las amenazas més habituales relacionadas eon son las siguientes: te tipo de ataqui + Connection flood (inundacién de conexiones).. Empres nexiones simultin que brindan servicios de Internet tienen un limite maximo en el mimero de co- — Un atacante establece muchas conexiones y no realiza ninguna peticién sobre ellas, monopo- lizara la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, peto el atacante solo net intentar nuevas conexiones para mantener fuera de servicio al servidor. aLoaue 13-6 TTEENOLOGIA BASICA+ Jamming o flooding con IP Spoofing, El atacante satura el sistema con mensajes para establecer una conexién. En vez de prover la direccién IP del emisor, cl mensaje contiene falsas direceiones IP usan- do «lP Spoofing (Suplantacién de IP)». — El sistema de las conexion ssponde al mensaje pero al no recibir respuesta acumula buffers con informacion abiertas, no dejando lugar a las conexiones legitimas, + Ping de la muerte. Una versién-trampa del comando ping. Mientras que el ping normal simplemente verifica si usa el reboot o el apagado forzado un sistema esta enlazado a la red, el ping de la muerte del equipo. — Se basan en manipular el tamafio de paquete que se envia en el comando ping de manera que se produce el desbordamicnto de memoria de la maquina atacada. Normalmente todas las ‘maquinas tienen resuelta esta vulnerabilidad, + eMail bombing, tra accion comin es la de enviar millares de e-mails sin sentido a todos fos usuarios posibles cen forma continua buscando la saturacién de los distintos servidores de correo de destino. + Smurf o broadcast storm. Recolectar una serie de direcciones de Broadeast, para a continuacién mandar una peticién ICMP (Internet Control Message Protocol). Subprotocolo de diagndstico y notificacién de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no esta disponible o que un router o host no puede ser localizado. Pues bien, to que se hace es simular un ping (ICMP), y se envia a cada una de ellas cn serie falsificando la direccién IP origen donde se pondra la direccién IP de la victima, — Asi cientos 0 miles de hosts mandarin una respuesta a la direceién IP de la vitima, + Supernuke o winnuke. — Un ataque caracterfstico (y quizs el més comiin) de los equipos con Windows es el Nuke, que hace que los equipos que escuchan por el puerto UDP 137 a 139 (utilizados por los pro- tocolos Netbios de Wins), queden fuera de servicio (0 disminuyan su rendimientos) al enviar le paquetes UDP manipulados Gencralmente se envian fragmentos de paquetes, que Ia maquina victima detecta como invé- lidos pasando a un estado inestable. + Bulos (hoaxes). — Transmitir por mail la falsa existencia de un virus, esto ocasiona que se reenvie a otros usua- rios, lo que puede colapsar servidores de correo o ser usados por spammers, reovo.o3incAcn TH oposiciones wscoms 13-7+ Ransonware. Cierto tipo de cédigo datiino esti disefiado para tratar de obligar a sus victimas a pagar di- nero para librarse de una infeccién. Este tipo de malware secuestra un ordenador mediante el cifrado de documentos y fotos, por ejemplo, que dejarin de estar accesibles. El malware indicaré a la victima que deberd pagar una cierta cantidad de dinero para eliminar el cifrado. Por lo general, Ia victima no recibe ninguna solucién que funcione despues de que el pago ha sido satisfeecho. 2.2.2, Intercepeién (escucha 0 monitorizacién) Cuando una tercera parte, no autorizada, accede al contenido de la informacién con el objetivo de apropiarse de la misma o con otros objetivos futuros licitos o no. Consiste en observar a la victima con el objetivo de obtener informacién, establecer vulnerabili- dades y posibles formas de acceso futuras. Son ataques contra la confidencialidad principalmente, aunque el resultado se utilice en el futuro para otro tipo de ataques, ‘Algunos conceptos relacionados con la intercepcién son los siguientes: + Espionaje: espiar en busca de contraseiias, normalmente pegadas con post it al monitor, un tipo especial es el trashing: buscar en la basura (tanto fisica como buffers, de informacién) contrasefias. O el Shoulder Surfing (mirar por encima del hombro) para ver cémo se teclea la contrasefia elas introdu- + Decoy: falsas interfaces que simutan a la real y permiten almacenar las contr cidas. + Scanning: escaneo de puertos abiertos para ser usados posteriormente, + Sniffer: scucha en modo promiscuo de todos los paquetes que circulan por la red. Algunos ataques concretos son: + Ataques con sefluelos (decoy). — Programas diseftados con ta misma interfaz que otro original y que solicitan usuario y pas- sword. + Keyloggers — Ota técnica es utilizar los keyloggers que son programas que guardan todas las acciones de un usuario (las teclas pulsadas, los clicks del ratén, las ventanas activadas, los sitios visitados cen Internet, los mails enviados) y luego se analiza el archivo generado para conocer login y password u otro tipo de informacién, sai avoaue 13-8 FEE Opo: TEGNOLOGIA BASICA+ TCP connect scanning, Esta es la forma basica del scaneo de puertos TCP, Se envia el paquete SYN Si el puerto esté escuchando, devolverd una respuesta de éxito (paquete SYN-ACK); cual- quier otro caso significari que el puerto no esti abierto 0 que no se puede establecer co- nexién con él Su principal desventaja es que este método es fiiilmente detectable por el Administrador del sistema. Una variante es ef TCP SYN Scanning. Consiste en que el cliente (atacante) envia, después del SYN-ACK del servidor, un paquete RST para terminar la conexién y registrar el puerto abierto, + Fragmentation scanning. Es una modificacién de las anteriores en la que en lugar de enviar paquetes completos de sondeo, estos se dividen en un par de fragmentos IP, partiéndose asi la cabecera IP en distin- tos paquetes. Esto hace mas dificil de detectar y filtrar por los mecanismos de proteccién de fa maquina amenazada (firewalls). + Eavesdropping: packet sniffing. Se realiza con Packet Sniffers, que son programas que controlan los paquetes que circulan por la red. — Los sniffers pueden ser colocados tanto en estaciones de trabajo conectadas a la red como a tun equipo Router o un Gateway de Intemet y puede ser realizado por un usuario con legitimo acceso © por un intruso que ha ingresado por otras vias a las instalaciones. — Cada maquina conectada a Ia red verifica la direccién destino de los paquetes TCP. Un sti fer consiste en colocar a la placa de red en un modo Mamado promiscuo, cl cual desactiva el filtro de verificacién de direcciones y por tanto todos los paquetes enviados a la red llegan a esta placa, Obteniéndose acceso a toda la informacién que circula por la re. + Snooping-downloading ~ Significa obtener la informacién sin modificarla, como el sniffing. Sin embargo los métodos son diferentes. Aqui, ademas de interceptar el trafico de red, el atacante accede a los docu- mentos, mensajes de correo electrénico y otra informacién, realizando en la mayoria de los casos un downloading (copia de documentos) de esa informacién a su propio ordenador, para Juego hacer un andlisis exhaustivo de la misma, El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de informacién o software. ceeee nee 3H Oposiciones marzo 2015, 13-92.2.3. Suplantaci6n (impostura o fabricacién) La suplantacién es similar a una intercepeién pero con el objetivo de sustituir a una parte Se busca suplantar al usuario/sistema original utilizando distintas técnicas y asi tener acceso a la informacién. Generalmente se realiza tomando las sesiones ya establecidas por la victima w obteniendo su nombre de usuario y password mediante distintos mecanismos. También ocurre municacién para ha (spoofing) jando una tercera parte no autorizada introduce mensajes propios en una co- 1 creer al receptor que proceden del emisor utilizando técnicas de suplantacién Son ataques contra la autenticacién y confidencialidad, principalmente. Algunos conceptos generales relacionados con este tipo de ataques son los siguientes: + Spoofing o falsificacién: BI intruso oculta su identidad real, haciéndose pasar por otro usuario, equipo o aplicacién — Para ello se realiza tanto la modificacién de paquetes existentes en la red como Ia creacion de nuevos cuyo objeto sea falsear la identidad de algtin componente de la transmisién de un ‘mensaje 0 del sistema en su conjunto, — En sentido genérico, el spoofing o falsificacién se puede hacer: de direceién IP, sitios Web, DNS, mail, et. + Hijacking ~ Significa «Secuestro» en inglés y en el ambito informatico hace referencia a toda técnica il gal que Ileve consigo el aduefiamiento o robo de algo (generalmente informacién) por parte de un atacante, es por tanto un concepto muy abierto y que puede aplicarse a varios ambitos, de esta manera podemos encontramos con el aduefiamiento 0 secuestro de conexiones de red, sesiones de terminal, servicios, navegadores, ete. Algunos ataques concretos son los siguientes: + IP splicing-hijacking. Se produce cuando un atacante consigue interceptar una sesién ya establecida. Bl atacante espe- ra.a que la victima se identifique ante el sistema y tras ello Ie suplanta como usuario autorizado, — El atacante que ha visto, mediante un Sniffer, los paquete que circularon por la red calcula el iimero de secuencia siguiente para continuar con la comunicacién. + Browser hijacking, suestro del navegador. Se llama asi al efecto de apropiacién que realizan algunos progra- mas sobre el navegador web lanzando popups, modificando la pagina de inicio, modificando la pégina de bisqueda predeterminada, etc. 13-10 TER oposiciones TeovoLocn asin+ Man In The Middle. El intruso usa una aplicacién para simular el comportamiento del cliente 0 del servidor, 0 bien intercepta los paquetes de informacién por la red pudiendo visionarlos y modificarlos a su antojo. Como consecuencia el servidor o cliente creen estar comunicdndose con el equipo legitimo, cuando en realidad se trata del equipo del atacante, que aparece a todos los efectos como el destino auténtico. + IP spoofing, E] atacante genera paquetes de Internet con una direccién IP de red falsa en el origen, pero que es aceptada por e! destinatario del paquete. — Paquetes manipulados con la direecién de un tercero de forma que la vietima «ven un ataque proveniente de ese tercero y no la direccién real del atacante. Desde su equipo, un pirata simula la identidad de otra maquina de la red para conseguir ac- ceso a recursos de un tercer sistema que ha establecido algin tipo de confianza basada en el nombre o la direccién IP del equipo suplantado. + Spoofing-looping, Una forma comiin de «Spoofing» es conseguir el nombre y password de un usuario para, una vez entrado al sistema, tomar acciones en nombre de él. El intruso usualmente utiliza este primer sistema para obtener informacién y acceder a-un se- gundo sistema y Iuego utiliza este para entrar en un tercero y asi sucesivamente. Este proceso Iamado «Looping», tiene la finalidad de ocultar la identificacién y ubicacién del atacante. De esta manera se oculta la verdadera procedencia de un atacante, Hegando incluso a provo- car graves incidentes si la organizacién atacada cree que proviene de otra organizacién. + Web spoofing. — B] atacante crea un sitio web completo (falso) similar al que la victima desea entrar. Los ac- s a este sitio estin dirigidos por el atacante permitiéndole controlar todas las acciones de dito, ete. No con la victima, desde sus datos hasta las passwords, mimero de tarjetas de fundir con phising, + DNS spoofing (pharming). ~ Suplantacién de identidad por nombre de dominio. Se trata del falseamiento de una relacién «Nombre de dominio-IP» ante una consulta de resolucién de nombre, es decir, resolver con una direccién IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las en- tradas de la relacion Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabi- lidad del servidor en conereto o por su confianza hacia servidores poco fiables. Las entradas, falscadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning) ONE ca THB oposiciones wcoas 18-1+ Mail Spoofing, ~ Suplantacién en correo electrénico de la direccién e-mail de otras personas o entidades. Esta tdenica es usada con asiduidad para el envio de e-mails hoax (bulos) como suplemento per fecto para el uso de phising y para SPAM. + Ingenieria social, Manipulacién de las personas para conseguir que digan o hagan algo que beneficie al atacan- te (sirven para conseguir contrasefias y acceso a redes). Bjemplos: = Aplicacién adicional a los virus. Por ejemplo darle un nombre que incite a la victima a ejecutar ef archivo que vigja en el mail (virus I love you) 0 como si se tratara de un falso parche antivirus. ~ Phishing: a través del mail se envian links a péginas webs que se hacen pasar por bancos 0 tiendas virtuales con el objeto de capturar la password o nimero de cuenta de la victima. ~ ‘Timos (scams); timos varios que prometen dincro,... pero via mail 2.24. Modificaci6n (manipulacién) Cuando una tercera parte no autorizada accede al contenido de la informacién y la modifica de forma que los datos que llegan al receptor de la misma dificren de los originales. Se trata de una amenaza, principalmente contra la integridad y disponibilidad Conceptos relacionados con ataques de modificacién de la informacién son los siguientes: + Fl Tampering o data diddling: — Modificacién desautorizada de los datos o el software instalado en el sistema victima inclu- yendo borrado de archivos — Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador, con la capacidad de ejecutar cualquier comando + Tab-nabbing — Consiste en modificar la pagina que se encuentra en una pestafia del navegador que no es activa actualmente. De tal manera que, cuando el usuario vuelve a la pestafa, piensa que ten la pagina auténtica, cuando realmente esté en una pagina falsa, dentro de ta cual haby enlaces a sitios fraudulentos. Fl ataque podria ser considerado, una vez. que la pagina ha sido modificada, una especie de phising, + Defacement EB] ataque consiste en la modificacién o cambio que se realiza en una pagina o portal web por un atacante que haya obtenido algin acceso a ella. El ataque de defacement puede ser ex- 13-12 TER oposiciones reowotoalantienplicito (se ve bien claramente que se ha modificado la pagina) o implicito (el cambio existe, pero pasa desapercibido para el administrador de la pagina o portal web), + Maques contra vulnerabilidades de disetto: Muchos sistemas estin expucstos a «agujeros» de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. stas vulnerabilidades ocurren por varias razones y miles de «puertas invisibles» son descu- biertas cada dia en sistemas operativos, aplicaciones de software, protocols de red, explora- dores de Internet, correo electrénico y toda clase de servicios informaticos disponibles. . Malware ‘Término inglés abreviatura de «Malicious Software» o badware. Se refiere a todo software dise- fiado para realizar acciones maliciosas o distintas al proceso habitual de informacién, El trmino malware es bastante amplio, y dentro de él se pueden distinguir ls siguientes tipologias: + Virus — Bajo este término se englobarian todas aquellas amenazas que no entran dentro de otras cate~ gorias como cédigo mévil malicioso, troyano, gusano 0 bomba ligica, - Suelen tener dos caracteristicas: propagacién y destruccién, aunque esta segunda no es prescindible. Algunos virus eliminan archivos, otros solo muestran mensajes molestos, bromas, bloqueo de accesos, robo de datos, corromper el sistema, daar el equipo, etc. ~ Clasificacién segiin el modo de infeccién: - Infeccién de archivos: infectan archivos ejecutables con extensidn.exe,.com,.bat Se les Hha- ‘ma por eso virus pardsitos Se extienden a otros archivos. El sistema operativo vera el virus com parte del programa que se esta ejecutando y Ie asignaré los mismos privilegios. Esto le permitiré infectar otros archivos, cargarse en memoria o realizar cualquier otra fechoria ~ Infeccién sector arranque: fueron los primeros en aparecer, infectan el sector de arranque de discos duros y otros dispositivos de almacenamiento. Quedan residentes en memoria. = Multipartitos: infectan el ector de arranque y el sistema de archivos. ~ Macros: aprovecha las capacidades de automatizacién mediante macros de los programas de ofimatica como Word, Excel. para infectar sus archivos. Se propaga junto al documen- to por lo que se extienden répidamente. + Gusanos (Worms). ~ Se caracterizan en que se propagan de sistema en sistema de manera masiva. Crean copias exactas de ellos mismos. Su principal misién es reproducirse y extenderse al mayor niimero de ordenadores posibles. aLoaue 1 eee te. TECROLOGIABASICA IEG Oposiciones noeInternet y cl correo electrénico han supuesto el verdadero auge de este tipo de cédigo ma- licioso, que pueden infectar miles de ordenadores en cuestién de horas. Su mecanismo de distribucién suele ser en la mayoria de los casos muy simple. Camuflados en un mensaje aparentemente inocente, Hegan a nuestro correo clectrénico. Una vez ejecutado leen nuestra lista de contactos (libreta de direcciones 0 Address Book) y se reenvian de forma automdtica a todas las direcciones que contengan. También pueden utilizar otto archivo para propagarse, como un Word, enviando copias de si mismo por email; 0 explotar agujeros de seguridad en los sistemas para saltar de miquina en maquina. Estos son mas devastadores pues no dependen de que un usuario abra 0 no un men- saje del correo. — Ejemplos Core Red, Blaster. + Troyanos. Un caballo de Troya es un programa que en su ejecucién realiza tareas no previstas de an- temano. Fl usuario ejecuta lo que cree un programa normal, permitiendo al troyano realizar tareas ocultas y, a menudo, malignas. Una ver instalado parece realizar una funcién iitil (aunque cierto tipo de troyanos permany cen ocultos y por tal motivo los antivirus 0 anti-troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos. — Este malware puede tener muchos fines: destruccién de archivos, registrar la actividad del usuario o instalar una puerta trasera para el control remoto del equipo de la victims. ~ Uno de os caballos de Troya més sofisticados en la actualidad es el RAT (Remote Access Trojan) que permiten un control absoluto de las méquinas asaltadas. Debido al uso cada vez mas generalizado de Intemet con ADSL donde las miquinas estén continuamente conectadas, este troyano cada vez esta més extendido. Uno de los usos es tomar el control de varias mi- quinas de la red a través de un RAT para, por ejemplo, atacar a otra maquina de la red. + Bombas Légicas. Cédigo malicioso que permanece dormido o latente hasta que se produce el evento progra- ‘mado para despertarlos, por ejemplo en una fecha determinada 0 una combinacidn de teclas, Fl cédigo no suele replicarse, ~ Un ejemplo es el de un empleado que se le va a despedir y que prepara una bomba ligica pa- ra actuar cuando ya no esté en la compaftia, Son muy dificiles de detectar por los antivirus, + Adware. Los adware son aplicaciones que muestran publicidad 0 la descargan al equipo del usuario cuando este instala un programa. «Ad» es el diminutivo de advertisement que en castellano signifi BLoauE 13-14 TEENOLOGIA BASICAMuchos programas de descarga gratuita contienen adware. De esta forma, los creadores del programa consiguen un beneficio econémico. El usuario, al instalar el programa, no es cons- ciente de la descarga del adware. En ocasiones, pueden remplazar la pgina de inicio del na- ‘vegador, aparecer ventanas pop-ups con publicidad o instalarse aplicaciones no deseadas. Por ejemplo, al instalar un programa, en las opciones que vienen marcadas «por defecto», acepta- mos la instalacién de una barra de herramientas en nuestro navegador. — Hoy en dia, los antivirus incluyen herramientas de deteccién de adware. Sin embargo, toda precaucién es poca y los usuarios deben asegurarse que el programa que instalan no contiene adware leyendo cuidadosamente el contrato de licencia, Ademés, se deberia instalar alguna herramienta que bloquee las ventanas emergentes y evitar asi las ventanas de adware. + Spyware El spyware o software espia envia informacion personal del usuario a terceros sin que este tenga conocimiento sobre lo sucedido, Vulneran la privacidad de los usuarios. La informa- cin enviada puede set las paginas web que se visitan 0 algo més comprometido como con- trasefias o niimeros de tarjetas de crédito. Habitualmente las empresas utilizan esa informa- cién para enviar publicidad a los usuarios. — Al igual que los adware, se pueden instalar al descargar un program y aceptar las condicio- nes de uso. Para evitar instalar este software maliciaso en los equipos de la compaitia, lo mas adecuado es poner en préctica las medidas comentadas en el apartado de adware. Ademas de los antivirus que los detectan, existen diversos programas anti-spyware + Programa conejo. — Un programa conejo o bacteria es un programa que no causa datio de forma directa al sistema pero que se reproduce hasta agotar los recursos del ordenador causando una denegacién del servicio. Generalmente estos programas se auto-replican de forma exponencial, por lo tanto, de una copia se generan dos, de dos se crean cuatro, de cuatro se generan ocho y asi sucesiva- mente hasta agotar los recursos del procesador, de la memoria, del disco, etc. + Rootkit. Rootkit es un conjunto de herramientas usadas por agentes externos para acceder sin autori- zacién a un sistema informético. Se esconden a si mismos al igual que a otros procesos y ar- chivos para encubrir las acciones maliciosas que llevan a cabo los intrusos informiticos. Por cjemplo, si existe alguna puerta trasera, el rootkit oculta los puertos abiertos que evidencien Ia comunicacién. Si el antivirus examina ficheros del sistema o procesos en ejecucién, el rootkit falsea los da- tos y cl antivirus no puede actuar contra la amenaza. Hoy en dia, existen diversas herramien- tas anti-rootkits para detectar y climinar el rootkit. — En el aio 2005, vio la luz el caso de la empresa Sony BGM quien utilizaba esta técnica en el software anticopia de algunos CDs. Fl objetivo cra salvaguardar sus propios intereses y pre~ venir el uso ilegal y Ia copia de sus CDs musicales. Dicho software, se instalaba sin el con- sentimiento del usuario y abria en Windows una brecha de seguridad que facilitaba el acceso virus, gusanos y troyanos. Los antivirus no detectaban el rootkit y si un usuario encontraba y eliminaba los archivos del software, Ia unidad de CD 0 DVD de su equipo dejaba de fun- cionar bajo Windows. rovo.ool Baas TH oposiciones wsao2 13-16Exploit Para explicar lo que se entiende por exploit, es conveniente detallar lo que se conoce como bug en el argot informético. Un bug es un error o defecto de un elemento de software. El pro- grama realiza acciones no deseadas 0 no funciona como deberia. Cualquier programa insta~ lado en el equipo puede contener errores. Cuanto mayor sea Ia complejidad de un programa, mis posibilidades existen de contener bugs. Los bugs mis delicados son aquellos que afectan a los sistemas operatives. — La tnica forma de detectar bugs en un sofiware es realizar miltiples prucbas en busca de fallos. El problema es que es muy complicado probar un programa totalmente ya que se ten- rian que realizar millones de prucbas. En ocasiones esos errores en el software son introdu- cidos de manera intencionada por los programadores. — Los bugs suelen corregirse segiin sungen nuevas versiones de un software. Por esta razén, es importante actualizar los programas o instalar parches especificos para resolver los proble- mas generados por los errores. Si se detecta un bug lo adecuado es comunicérselo al fabrican- te para que lo elimine en sucesivas versiones. Los exploits se encargan de aprovechar vulnerabilidades, es decir, aprovechan los bugs que contiene el software. Suelen ser programas que explotan los errores de un programa para obtener algiin tipo de beneficio o privilegio. Los exploits pueden violar las medidas de segu- ridad para acceder a un sistema sin autorizacién. — Los exploits 0-day son aquellos que se crean seguidamente después de descubrir una vulne~ rabilidad. Son bastante efectivos ya que los fabricantes desconocen todavia es existen parches para eliminarlos. errores y no 2.2.6. Proyecto OWASP La lista de las 10 mayores vuinerabilidades de OWASP (Open Web Application Security Project) es un poderoso documento para dar a conocer la seguridad en aplicaciones Web. Esta lista representa uun amplio consenso sobre lo que son las fallas de seguridad mis crit as en la seguridad de aplicacio- nes Web. Los miembros del proyecto incluyen una variedad de expertos de todo el mundo que han compartido su experiencia para producir esta lista. Adoptar la lista de las 10 mayores vulnerabilidades de OWASP es un primer paso para cambiar la cultura de desarrollo de software dentro de una organi- zacién a una que produzca cédigo seguro, 13-16 Injection. Los fallos de inyeccién de cédigo, tales como SQL, OS, y LDAP, ocurren cuando datos no fia- bles se envian al intérprete del servidor como parte de un comando 0 consulta. Los datos hosti- les del atacante pueden engaiiar al intérprete al ejecutar comandos no intencionados o acceder a datos no autorizados, Broken authentication and Session Management, Las funciones de la aplicacién relacionadas a autenticacién y gestién de sesiones son frecuen- temente implementadas de manera incorrecta, permitiendo a los atacantes comprometer con- trasefias, llaves, «token» de sesiones, o explotar otras fallas de implementacién para asumir la identidad de otros usuarios. aLOQue I Oposiciones TECNOLOGIARASICA9, . Sensi Cross-Site Scripting (XSS), Las vulnerabilidades XSS ocurren cada vez que una aplicacién toma datos no confiables y los cnvia al navegador web sin una validacién y codificacién apropiada. XSS permite a los atacan- tes ejecutar secuencia de comandos en el navegador de la vietima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. Insecure Direct Object References. Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementacién interno del servidor, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra proteccién, los atacantes pueden manipular estas, referencias para acceder a datos no autorizados. Security Misconfiguration. Una buena seguridad requiere tener definida ¢ implementada una configuracién segura para la aplicacién, marcos de trabajo, servidor de aplicacién, servidor web, base de datos y platafor- ‘ma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas, ya que por defecto son consideradas como no seguras. Esto incluye mantener todo el software actualizado incluidas las librerias de e6digo utilizadas por la aplicacién. e Data Exposure. Muchas aplicaciones web no protegen adecuadamente los datos sensibles, tales como tarjetas de crédito, identificaciones de impuestos, y las credenciales de autenticacién. Los atacantes pueden robar o modificar tales datos débilmente protegidos para llevar a cabo el fraude de tar- jjetas de crédito, robo de identidad u otros delitos. Los datos sensibles necesitan proteccién adi- ional, como el cifrado en almacenamiento o en trinsito, asi como las precauciones especiales ‘cuando se intereambian a través del navegador. Missing Funetion Level Access Control. La mayoria de las aplicaciones web verifican los derechos de ack tes de que la funcionalidad sea visible en la interfaz. de usuario. Sin embargo, las aplicaciones tienen que realizar las mismas comprobaciones de control de acceso en cl servidor cuando se accede a cada funcién. Si no se verifican las peticiones, los atacantes serin capaces de forjar peticiones con cl fin de acceder a la funcionatidad sin la autorizacién apropiada. Cross-Site Request Forgery (CSRF). Un ataque CSRF obliga al navegador de una victima autenticada a enviar una peticién HTTP falsificada, incluyendo la sesién del usuario y cualquier otra informacién de autenticacién in- cluida automaticamente a una aplicacién web vulnerable, Esto permite al atacante forzar en el navegador de la vietima a generar pedidos que Ia aplicacién vulnerable piensa que son peticio- nes legftimas provenientes de la victim, Using Components with Known Vulnerabilities, ‘Componentes, tales como bibliotecas, frameworks, y otros médulos de software, casi siempre se ejecutan con privilegios completos. Si se explota un componente vulnerable, un ataque puc- de facilitar la pérdida de datos importantes o 1a toma de control del servidor. Las aplicaciones que utilizan componentes con vulnerabilidades conocidas pueden debilitar las defensas de la aplicacién y permitir una serie de posibles ataques ¢ impactos, 0 on HERE oposiciones wwnaoive 19-1710, Unvalidated Redirects and Forwards, Las aplicaciones web frecuentemente redirigen y reenvian a los usuarios hacia otras paginas o sitios web y utilizan datos no confiables para determinar la pagina de destino. Sin una valida- cin apropiada, los atacantes pueden reditigir a las vietimas hacia sitios de «phishingy o «ma- ware» o utilizar reenvios para acceder a piginas no autorizadas. 2.3. AMENAZAS FISICAS La seguridad fisica proporciona proteccién ante accesos no autorizados, dafios e interferencias a las instalaciones de la organizacién y a la informacién, Los requisitos sobre seguridad fisica varian considerablemente segiin las organizaciones y depe den de la escala y de la organizacién de los sistemas de informacion. Pero son aplicables a nivel gene- ral los conceptos de asegurar la proteccidn de ciertas dreas, controlar perimetros, controlar las entradas fisicas ¢ implantar equipamientos de seguridad. Las amenazas fisicas que se pueden producir sobre las instalaciones de la organizacién se pueden agrupar en dos grandes tipologias + Amenazas ocasionadas por el hombre, accidentales o inteneionadas, + Desastres naturales, 2.3.1. Amenazas ocasionadas por el hombre zas causadas por el hombre, aproximadamente entre el 60% y el 80% de los usados por personal interno de la empresa, Los trabajado- sya sea de forma accidental o de forma voluntaria. Dentro de las amen: dafios producidos en la organizacién son res de la empresa pueden causar incides En cuanto a las amenazas accidentales, se producen incidentes de manera involuntaria, en muchas ocasiones por falta de cultura de seguridad, Pueden producirse por desconocimiento de las normas bé- sicas de seguridad, o porque ni siquiera estan implantadas en la organizacién. tre los ejemplos de malas practicas por parte de los trabajadores de la empresa que pueden cau- sar dafios de forma involuntaria a la compafiia pueden mencionarse: Empleados que en la hora de la comida no bloquean o apagan el ordenador. + Contrasefias escritas en post-it a la vista de todos. + Visitar el correo electrénico personal desde cl ordenador de la empresa. + ‘Transferir archivos de la compafifa al ordenador personal del trabajador. + Mantener conversaciones confidenciales en lugares publicos 0 en oficinas de la empresa no ha- bilitadas para ese propésito, aLOQUE I TECNOLOGIABASICA 13-18 TE oposicicPara acabar con estas malas précticas se debe concienciar a toda Ia plantilla de la importancia de la seguridad y de los dafios que pueden causar la no preocupacién por la seguridad de la organizacién, En relacién con las amenazas intencionadas, los trabajadores pueden cometer actos maliciosos de forma voluntaria para perjudicar a la compaitia. Un ataque realizado por un empleado suele ser més di- ficil de detectar y mds efectivo que el que pueda realizar una persona ajena a la entidad. Esto es debido «a que cl empleado conoce la compaitia desde dentro, sus puntos fuertes y d&biles. Las infracciones intencionadas mas habituales por parte de empleados son las siguientes: + Robo y fraude: los sistemas de IT pueden ser utilizados para estas acciones de manera tradicio- nal 0 usando nuevos métodos, como por ejemplo, utilizar un ordenador para sustraer pequeiios as bajo la suposicién de que peque- montos de dinero de un gran nimero de cuentas financi fias diferencias de saldo no serdn investigadas, o pasardn desapercibidas. Los sistemas financie- +98 no son los tinicos que estén bajo riesgo, sino que estos datos pueden extenderse a sistemas que controlan recursos de distintos tipos como sistemas de inventario, sistemas de tarificacién, sistemas de control de Ilamadas, etc. Cada afio se sustraen de las empresas millones de euros utilizando equipos de un sistema de informacién, situaciones que no siempre se denuncian para no dar publicidad negativa de la empresa, + Sabotaje: una gran parte de las empresas que han intentado implementar programas de seguri- dad de alto nivel han encontrado que la proteccién contra esta amenaza es uno de los retos més, duros. EI saboteador puede ser un empleado o un sujeto ajeno a la empresa y sus motivos pue~ den ser de lo mis variados. Al estar mis familiarizados con las aplicaciones, los empleados saben qué acciones causarian ‘ms dafto. Entre las acciones de sabotaje mas comunes se pueden mencionar las siguientes: — Destruccién de hardware, Bombas lgicas para destruccién de programas y/o datos, — Ingreso erréneo de datos. — Exposicién de medios magnéticos de almacenamiento de informacién a imanes, — Modificacién de procedimientos de backup. ~ Corte de lineas de comunicaciones y/o eléetricas, + Espionaje: el espionaje hace relacién a la recopilacién de informacién propiedad de una com- paitia para ofrecérsela a otra compaftia. Desde que la informacién es procesada y almacenada cen equipos y bases de datos, la seguridad informatica puede ayudar a proteger este recurso. Sin embargo, en ocasiones es di ipedir que un empleado con autorizacién de acceso a la in- formacién pueda hacer una copia de la misma para venderla posteriormente. + Intrusos: en general, se puede definir intruso como alguien que quiere acceder a los sistemas con o sin autorizacién pero con fines que pueden perjudicar a la organizacién. Entre los intru- 08 nos podemos encontrar: 2 aoe HERE oposiciones wwssosos 19-19Hacker: su objetivo es solucionar problemas que atenten contra la vulnerabilidad de un sist ma o aplicacién, compartiendo este mismo método con otros hackers. No busca el beneficio personal ni hacer dao, Cracker: un cracker es alguien que viola la seguridad de un sistema de forma similar a como Jo haria un hacker, solo que a diferencia de este iltimo, el cracker realiza la intrusién con fi- nes de beneficio personal o para hacer dato. Phrieaker: persona que manipula la red telefénica para que realice una funcién que no esti permitida. Por lo general, a través de un teléfono piblico para realizar llamadas de larga di tancia gratuitas, — Spammer: persona que envia grandes cantidades de mensajes de correo electrnico no de- seado, por lo general, los spammers utilizan virus para tomar control de las computadoras domesticas y utilizarlas para enviar mensajes masivos. Estafador: utiliza el correo electrénico u otro medio para engaflar a otras personas para que brinden informacién confidencial como numero de cuenta o contrasefas, 2.3.2. Desastres naturales Es importante proteger los activos de posibles dafios fisicos que pudieran afectar a la entidad. De nada sive poner toda la atencidn en la seguridad légica si un incendio puede acabar con todos los bie- nes de la comp: Existen catistrofes cuya probabilidad de materializarse es minima como, por ejemplo, un ataque nuclear o la caida de un misil. Cuando la probabilidad de ocurrencia es muy baja lo normal es aceptar el riesgo ya que implementar algunas medidas supondria un coste bastante alto para la baja probabili- dad de materializacién de dicho riesgo. Las catistrofes se pueden dividir en dos grupos: + Desastres naturales: la posibilidad de controlar la naturaleza es casi nula, aunque muchas trofes naturales son predecibles. Algunas se pueden evitar en mayor o menos medida, Por plo, evitar construir una sede de la organizacién en zonas sensibles a suit tertemotos, riadas 0 incendios. — Inundaciones: pueden ocurrir por causas naturales 0 provocadas por sofocar un incendio. S podrian prevenir, instalando mecanismos de deteccién que apaguen los sistemas si se dete agua y corten la corriente, Ademis, es necesaria la existeneia de sistemas de evacuacién de agua en el caso de que se produzca la inundacién. Humedad: en entomos normales, niveles aceptables de humedad son necesarios para evitar la electricidad estitica pero demasiada humedad puede estropear los recursos de Ia empresa. Para controlar la humedad basta con instalar alarmas que nos informen de niveles anormales de humedad. — Condiciones climatolégicas: como fuertes tormentas, tempestades... que pueden daffar los ac- tivos de la organizacién. Se ha de colocar pararrayos y demas artilugios necesarios en el caso que se produjese cualquier condicién climatolégica adversa = FEF oposiciones sioave TECNOLOGIABASICA— Terremotos: fendmenos sismicos que segtin su intensidad pueden Hegar a destruir edificios y cobrase vidas humanas. Para prevenirlos, se deben construir edificios asismicos, fijar los ‘equipos y alejar los objetos de las ventanas — Maremotos: fenémenos maritimos que consisten en una sucesién de olas que pueden aleanzar grandes alturas: unos treinta metros en litorales con contomos y batimetria desfavorables. Fl fendmeno es causado por sismos de origen tecténico, por grandes erupciones de islas vole nicas 0 por derrumbes marinos o superficiales. Incendios y humo: El origen det fuego puede darse por varias causas como, por ejemplo, un cortocircuito en las instalaciones eléetricas o el uso inadecuado de materiales combustibles causando dafios importantes en la organizacién. Se deben instalar detectores de incendios y de humo, extintores y realizar revisiones periédicas de estos, + Desasires del entorno: Sefiales de Radar: Las seftales de radar pueden afectar al procesamiento electrénico de la in- formacién si aleanza, al menos, los 5 voltios/metro. Instalaciones eléctricas: Las subidas y caidas de tensidn junto con el ruido interfieren en el funcionamiento de los componentes electrénicos. Existe la posibilidad de que se produzean cortes de electricidad. Para los cortes de suministro eléctrico, se puede utilizar Sistemas de Alimentacién Ininterrumpida (SAI) que son equipos que disponen de baterias permitiendo mantener varios minutos los aparatos conectados a ellos, consintiendo que los sistemas se apaguen de forma ordenada, Ademés, existe el riesgo de corte de cables, deterioro o interfe- rencias, Lo mas favorable seria acoplar los cables a la estructura del edificio, instalar tomas de tierra, colocar filtros si existe ruido eléctrico (o alejar el hardware si fuera posible), colo- car generadores y estabilizadores de tensién. — Temperaturas extremas: Las temperaturas extremas ya scan exceso de frio 0 calor dafian gra- vemente los equipos. En general, el rango de temperatura debe oscilar entre los 10° C y los 32° C. Para ello, se debe instalar sistemas de calefaccién y aire acondicionado, ademis de asegurarse la correcta ubicacién y ventilacién de los equipos. f AAMENAZAS LOGICAS MEDIDAS DE PROTECCION FRI 3.1, MEDIDAS DE PROTECCION LOGICAS, Las medidas de proteccién frente a amenazas lagicas estin relacionadas con los procedimientos y los recursos légicos utilizados para proteger los sistemas de informacién dentro de la empresa. Estas medidas se combinan con las medidas de proteccién frente a amenazas fisicas. El objetivo conjunto de ambas es salvaguardas el hardware, el software, los datos ¢ incluso las comunicaciones. Normalmente, de los elementos anteriores, los datos son el recurso més valioso. En general, la mayoria de los datios que puede sufrir un centro de proceso de datos no sera sobre los medios fisicos, sino sobre la informacién que almacena y procesa. Como acabamos de mencionat, los datos son el activo més importante, y por este motivo, deben existir téenicas que los aseguren. BLOQUEW! 7 TECNOLOGIA BASICA 5G Oposiciones warzo2s = 13-21De forma amplia, los objetivos que pretende cumplir la seguridad logica hacen relacién a los si- guientes aspectos: + Restringir el acceso de personas o procesos a programas y archivos. + Asegurar que se estén utilizando los archivos y programas correctos en y por el procedimiento correcto. + Asegurar que los operadores puedan trabajar sin una supervisi6n minuciosa y no puedan modi- ficar los programas ni los archivos que no correspondan inform: + Asegurar que nn transmitida sea recibida solo por el destinatario al cual ha sido en- viada y no a otro, + Asegurar que la informacién recibida sea la misma que la que ha sido transmitida, c se satisfacen en gran medida con la utilizacién de sistemas de control de acceso. El control de acceso es un servicio de seguridad que asegura que cada persona o entidad solo pueda so a la informacién a la que esta autorizada, Como mecanismo de seguridad que presta dicho servicio incluye diversos procedimientos que lo aseguran (listas de personal, contrascfas, tiempo de intento de acceso, ruta de intento de acceso, duracién del acceso). Los sistemas de control de acceso constituyen una poderosa herramienta para proteger el software (base, de aplicaciones) de la utilizacién o modificaciones no autorizadas; para mantener la integridad de la informacidn (restringiendo la cantidad de usuarios y procesos con acceso permitido, asi como de- limitando los recursos a los que acceden) y para resguardar la informacién confidencial de accesos no autorizados. El control de acceso implica resolver las cuestiones ligadas a la identificacién y a la autentica- cid: + La identificacién hace relacién al momento en que el usuario se da a conocer en el sistema + La autenticacién hace relacién a la verificacién que realiza el sistema sobre esta identificacién. La autenticacién del usuario habitualmente se basa en: Algo que el usuario tiene (tarjeta, aves), Algo que el usuario sabe (una palabra de paso), — Algo que el usuario es (constantes biométricas). Desde el punto de vista de la eficiencia y de la seguridad, seria conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de ahi a todas las aplicacio- nes y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota, Para ello, se podria utilizar un servidor de autenticaciones sobre el que los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que puede acceder, BLOQUE It 13-22 Oposiciones TEENOLOGIABASICALa seguridad ofrecida por el control de accesos se basa, en gran medida, en la efeetiva administra- cidn de los permisos de acceso a los recursos, basados en la identificacién, la autenticacién y autoriza- cidn de acceso. Esta administracién comprende 32. + Procesos de solicitud, ereacién, manejo, seguimiento y finalizacién de las cuentas de usuarios. La solicitud de habilitacién de un permiso de acceso para un usuario determinado debe provenir de su superior, y de acuerdo con sus requerimientos especificos de acceso, debe generarse el perfil correspondiente. + Por otra parte, la identificacién de los usuarios debe definirse de acuerdo con una norma homo- sgénea para toda la organizacién, + Se deben realizar revisiones periédicas sobre la administracién de las cuentas y los permisos de acceso establecidos. Y sicmpre sobre la base de que cada usuario disponga del minimo permiso requerido en relacién con sus funciones. Estas revisiones deben orientarse a verificar la adecua- cidn de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, Ja actividad de las cuentas de usuarios o la autorizacién de cada habilitacién de acceso, Para esto, deben analizarse las cuentas en busca de periodos de inactividad 0 cualquier otro aspecto and- ‘malo que permita una redefinicion de la necesidad de acceso. + Por otra parte, se debe tratar de detectar la realizacién de actividades no autorizadas, a través de auditorias, seguimiento de registros de trazabilidad, o mediante otros procedimientos. + Deben existir también procedimientos para el caso de que una persona de la organizacién deje de tener vinculacién con la misma, o cambie de puesto de trabajo. En ese momento, se deben idos, o anularlos directamente, revisar los permisos que tenia cone: MEDIDAS DE PROTECCION EN EL DESARROLLO DE APLICACIONES Las medidas de proteccién de aplicaciones se deben aplicar desde el inicio del desarrollo de una aplicacién. No cabe esperar a la implantacién de la misma para empezar a pensar en las medidas que deben utilizarse, Atendiendo a las distintas fases del ciclo de vida de las aplicaciones, podemos citar las siguientes medidas de proteccién: + En la fase de disefio y desarrollo de aplicaciones Adecuada seleccién, formacién y motivacion del personal Calidad y detalle de la documentacién., — Introdueit controles de proteccién en los programas, — Borrado de memorias y ficheros confidenciales tras su procesamiento. — Adoptar cédigos de buenas pricticas en seguridad, M00 HE oposiciones vseosie 18-23+ En la fase de implementacién y puesta a punto: ~ Realizacién de pruebas exhaustivas, — Normalizar procedimientos, + Enla fase de explotacién: Estricto cumplimiento de normativa y procedimientos establecidos de operacién. Copias de backup, bien protegidas. ~ Control de canales de distribucién de informacién y documentacién. Definir niveles de importancia de los datos: fundamentales, importantes y complementarios, ~ Mantener actualizado el registro de log (ineidencias, accesos, etc) Disponer de sistemas de monitorizacién y control de intrusiones. 33, ANTIVIRUS Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlo y también con las pautas que més contienen los virus. Los fabricantes de antivirus avan- zan tecnolégicamente casi en Ja misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creacién en infeccién de otros nuevos. No obstante, actualmente existen técnicas, conocidas como heuristicas, que oftecen una forma de «adelantarse» a los nuevos virus. Con estas técnicas, el antivirus es capaz de analizar archivos y do- ‘cumentos y detectar actividades sospechosas. Esta posibilidad se produce porque, de todos los nuevos virus diarios aparecidos, apenas unos pocos son totalmente novedosos. Por lo tanto, el antivirus no eficaz en el 100% de los casos; no podri oftecer proteccién total y definitiva, Los antivirus tienen tres funciones importantes que son: + Vacuna 0 Motor del antivirus: programa que actia como un filtro para analizar en tiempo real si existe algiin archivo o programa que al ejecutarse infecta el ordenador. * Detector: programa que se encarga de escanear los archivos, directorios 0 unidades que selec- cionemos para detectar eédigos maliciosos, capturarlos y detenerlos. + Desinfectador: programa que una vez que encuentra el virus lo elimina y repara sus efectos en el sistema. En ocasiones, el antivirus no puede eliminar el virus y lo mantiene en cuarentena hasta encontrar la cura. 4, MEDIDAS DE SEGURIDAD FISICA. Se debe situar ef equipamiento que soporta a la aplicacién asi como los soportes de informa cn dreas seguras y protegidas adecuadamente. Definir de forma proporcionada las medidas que garan- iciones BLOQUE i! 13-24 ES Opesiciones aesticen la seguridad de los locales a proteger en relacién con los requisitos de seguridad de la informa- cin que se almacene o procese. El Centro de Proceso de Datos o sala técnica es el punto mas importante a proteger. En él se encuentran alojados todos los equipos indispensables para el funcionamiento de los servicios, Debe cumplir unos requisitos minimos, como son: un clima adecuado, iluminacién suficiente, deteccién y extincién de incendios, tomas de enchufe y de datos, ete De esta manera, los subsistemas a considerar son: Subsistema de deteccién y extincién de incendios, + Subsistema eléctrico. + Subsistema de racks, canalizacién y cableado estructurado. + Subsistema de seguridad y control de accesos, + Subsistema de monitorizacién y gestién de infraestructura, + Subsistema de iluminacién. + Subsistema de elimatizacién, NDIOS 4.1. SUBSISTEMA DE DETECCION Y EXTINCION DE INCI Un sistema integral contra incendios consta de deteccidn, extincién y alarma. Normalmente esti basado en un sistema de proteccién totalmente inocuo tanto para personas (mantenimiento del nivel de oxigeno), como bienes, y respetuoso con el medio ambiente. Entre las medidas generales tenemos + Cumplimiento de las normas relativas @ proteccién de incendios, vigilando la s hibiciones de fumar, no acumulacién de papel y la no ocupacién de las vias gencia. + Instalacion de sistemas de deteccién, alarma, y extincidn de incendios, y su revisién periédica. + Disponibitidad de armarios ignifugos para el almacenamiento de las copias de respaldo, La deteecién del incendio es sumamente importante, ya que si este se llegara a producir, debere- mos detectarlo para que se activen nuestros sistemas de extincién. Cuanto mas sensibles y localizados sean los sensores, mds eficaces seran nuestros sistemas de extincién, y por tanto, antes conseguiremos sofocar el incendio. ten multitud de sistemas de deteccién de incendios. Los hay autométicos y manuales y pue- den estar conectados a los sistemas de alarma generales del edificio o pueden constitu un sistema por si mismos. La unidad de control de este sistema, sea compartida 0 no, debe poder realizar unas funcio- ease ona nasica EHS Oposiciones mazo21s = 13-25nes especificas, como es activar los sistemas de extincién y comunicar inmediatamente a los bomberos ‘que se esti produciendo un incendio, Ademés, lo normal es que puedan realizar cualquier tarea para la que hayan sido programados, como por ejemplo, cortar la corriente eléctrica del edificio, aislar zonas con el fin de evitar que se extienda el incendio, encender el alumbrado de emergencia (la norma UNE 50172:2005 recoge los sistemas de alumbrado de seguridad), activar una alarma sonora, etc. En el caso de los detectores de incendios, es especialmente necesario que la unidad de control idemtifique donde se encuentra el detector que ha activado la alarma, de esta manera ser ms sencillo localizar el fuego y proceder a su extineién. 4.1.1. Clases de fuego A los efectos de conocer la peligrosidad de los materiales en caso de incendio y de definir el agente extintor que debe utilizarse: En Europa y Australia los incendios se elasifican en 6 grupos: + Clase A: incendios que implican sélidos inflamables que dejan brasas, como la madera, tejidos, ‘goma, papel, y algunos tipos de plistico. + Clase B: incendios que implican liquidos inflamables o solidos licuables, como el petrdleo o la gasolina, accites, pintura, algunas ceras y plasticos. * Clase C: incendios que implican gases inflamables, como el gas natural, el hidrégeno, el propa~ no o el butano. * Clase D: incendios que implican metales combustibles, como el sodio, el magnesio, el potasio 0 muchos otros cuando estén reducidos a virutas muy finas. Riesgo de Electrocucién (antiguamente conocida como Clase B): incendios que implican cual- quiera de los materiales de las Clases A y B, pero con la introduccién de electrodomésticos, ¢ bleado, o cualquier otro objeto bajo tensidn eléctrica, en la vecindad del fuego, donde existe un riesgo de electrocucién si se emplean agentes extintores conductores de la electricidad. + Clase F: incendios que implican grasas y aceites de cocina. Las altas temperaturas de los aceites en un incendio excede con mucho las de otros liquids inflamables, haciendo inefectivos los agentes de extincién normales (en ta clase se incluye en la B), En Estados Unidos, los incendios se clasifican en cuatro grupos: A, B, C y D. * Clase A: incendios que implican madera, tejidos, goma, papel y algunos tipos de plastico. + Clase B: incendios que implican gasolina, aceites, pintura, gases y liquidos inflamables y lubri- antes. *+ Clase C: incendios que implican cualquiera de los materiales de la Clases A y B, pero con la in- troduccién de electrodomésticos, cableado o cualquier otro objeto que recibe energia eléctrica en la vecindad del fuego. + Clase D: incendios que implican metales combustibles, como el sodio, el magnesio o el potasio 4 otros que pueden entrar en ignicién cuando se reducen a limaduras muy finas is HEHE oposiciones reovodln acaA veces suele aladirse un quinto grupo, la Clase K. Se refiere a los incendios que implican gran- des cantidades de lubricantes o aceites. Aunque, por definicién, la Clase K es una subelase de la Clase B, las caracteristicas especiales de estos tipos de incendios se consideran lo suficientemente importan- tes para ser reconocidos en una clase aparte. 4.1.2. Proteccién contra incendios Los incendios son una ocurrencia de fuego descontrotada y suponen una gran amenaza para cual- ‘quier entidad. Sus efectos son altamente destructivos, ya que las altas temperaturas que se aleanzan pueden dejar inservible cualquier sistema informético, documentos e incluso el edificio por completo, Se pueden producir ficilmente tanto en el interior como en el exterior de nuestto edificio, y dado que ntos que integran wna oficina suelen ser altamente inflamables, su propagacién es muy ripida. Se puede distinguir entre los incendios que se pudieran producir y extender por el interior del edi- ficio, y los que puedan afectar al centro de proceso de datos, que requieren unos sistemas de extincién diferentes. Esto es asi por dos motivos, el primero es que el fuego se alimenta de materiales distintos, componentes electrénicos mayormente. El segundo es que los equipos que tenemos en nuestro centro de proceso de datos, como servidores o PC’s, no pueden set rociados con ciertos agentes extintores, como el agua, puesto que los dejaria igualmente inservibles En cada pafs suele existir una norma que regula las disposiciones de proteccién, tanto activas co- mo pasivas. A veces, los gobiemnos locales, promulgan normas adicionales que adaptan la normativa nacional a las particularidades de su zona, En Espaiia, la actividad de Proteccién Contra Incendios esta regulada y legislada por el Re- glamento de Instalaciones de Proteccién Contra Incendios Real Decreto 1942/1993, que define las exigencias que debe cumplir un sistema de proteccién contra incendios en cuanto a la instalacién de equipos y componentes, a su mantenimiento, « la marca de conformidad de los equipos, asi como a sus especificaciones. Esta norma fija que los sistemas automaticos de deteccién de incendio y sus caracte- risticas y especificaciones se ajustardn a la norma UNE 23.007. Por otra parte, el Reglamento de Seguridad contra incendios en establecimientos industriales Real Decreto 2267/2004 es de obligada aplicacién en industrias. En cuanto a la edificacién, se aplica el Documento Basico DB St «Seguridad en caso de incen- dio», del nuevo Cédigo Técnico de la Edificacién. Para una adecuada proteccién frente a incendios, se aplican distintos tipos de extintores, en fun- cién del tipo de fuego con el que nos encontremos. Se denomina agente extintor a aquel producto qui mico que, aplicado al incendio, es capaz de extinguirlo, eliminando alguno o varios de los componen- tes necesarios para producir el fuego. Los extintores utilizados en funcién del tipo de fuego se encuentran recogidos en el Real Decte- to 1942/1993, y son los siguientes: + Agua: Bs el agente extintor més conocido y difundido. Su efecto extintor esté basado en sus propiedades fisicas. Fundamentalmente es un liquido pesado y quimicamente estable que tiene Ja peculiaridad de absorber una gran cantidad de calor. Su mecanismo de extincién es principal- ‘mente por enfriamiento. El agua se puede utilizar de forma pulverizada en incendios de Clase A (combustibles s6lidos) y Clase B (combustibles liquidos), 0 a chorro en incendios de Clase A (combustibles sélidos). Teo. Ac TE oposiciones wsa020 13-27Espuma: los extintores de agua bajo presién son disefiados para proteger areas que contienen riesgos de fuego Clase A (combustibles sélidos) y Clase B (combustibles liquidos). Las espu- ‘mas son conductoras de la electricidad, por lo que no deben ser utilizadas en presencia de co- rriente eléctrica. Diéxido de Carbono (CO2): los extintores de didxido de carbono son diseflados para proteger reas que contienen riesgos de incendio Clase A (combustibles sélidos) y Clase B (combusti- bles liquidos) asi como fuegos de origen eléctrico (equipos eléctricos bajo tensién), + Polvo Quimico universal (polivalente) - ABC: los extintores de polvo quimico seco (ABC) son disciiados para proteger areas que contienen riesgos de fuego Clase A (combustibles sélidos), Clase B (combustibles liquidos), Clase C (combustibles gaseosos), Polvo Quimico Seco (convencional) - BC: los extintores de polvo qui proteger dreas que contienen riesgos de incendio Clase B (combustibles liquidos) y Clase C (combustibles gascosos). -0 son dist + Polvo Quimico Seco (especifico metales) - D: los extintores de polvo quimico s dos para proteger areas que contienen riesgos de fuego Clase D (metales combustibles). + Hidrocarburos halogenados: Son compuestos onginicos en los cuales los étomos de hidrégeno han sido sustituidos por halégenos (fléor, cloro, bromo, iodo). Son liquidos votitiles de alto poder extintor, no conductores de la electricidad y actiian principalmente sobre la reaccién en cadena, inhibigndota y también detienen la combustién por sofocacién. En circunstancias con- cretas, son ligeramente téxicos por lo que tras su uso es conveniente ventilar los locales. Son en general eficientes en fuegos de clase A, B y C. En determinadas circunstancias, puede existir el riesgo de produccién de compuestos que atacaran a materiales 0 equipos sumamente delicados. Se identifican asignéndoles un nimero de cinco digitos atendiendo a su composicién quimica a continuacién de la palabra halén. La designacién del mimero se hace de la siguiente forma: cl primer digito de la cifia representa el nimero de étomos de carbono, el segundo el nimero de ditomos de flior, el tercero el de los de cloro, el cuarto los de bromo y el quinto los de iodo, suprimiéndose los iltimos digitos cuando es cero el valor de estos. Ast pues el haldn 1301 seria un tomo de carbono, tres de fléor, ninguno de cloro y uno de bromo, (C F3 Br) Tras el descubrimiento del agujero de la capa de ozono en la atmésfera, provocado por los ha- lones y CFCs. se firmé el Protocolo de Montreal en 1987, cuyas consecuencias fundamentales, en Jo que concierne a los halones son: la prohibicién de fabricar e importar haldn desde el 1 de enero de 1994 y la desactivacién y retirada de los sistemas de halén como maximo el 31 de diciembre de 2003, excepto para los denominados «usos eriticos» (Reglamento CE 2037/2000). INERGEN es el nombre comercial (y marca registrada) de un gas diseftado para la extincién de incendios. El gas INERGEN se desarroll§ como sustituto del gas hal6n para la extincién de incendios. El halén ha sido prohibido en la mayor parte del mundo debido a sus efectos extremadamente peri ciosos para la capa de ozono, Esti indicado para fuego eléetrico y estancias cerradas. Se emplea habitualmente en centros de proceso de datos 4.2. SUBSISTEMA ELECTRICO El subsistema eléctrico esté compuesto por todos aquellos equipos y dispositivos necesarios para suministrar la alimentacin eléctrica necesaria a todos los elementos del CPD. BLOQUE TECNOLOGIABASICA 13-28Este subsistema deberd asegurar el suministro eléctrico de manera continua, sin paradas, en un eniomo 24 x 7. Para ello debera existir una alimentacién eléetrica especifica para el CPD desde el transformador principal, desde donde se habilitardn las conmutaciones requeridas para tomar la misma de das subestaciones eléctricas diferentes, Ilegando al CPD una tinica acometida en baja A partir de este punto el subsistema eléetrieo del CPD debe garantizar, mediante la redundancia oportuna y las conmutaciones pertinentes, el suministro continuo al equipamiento del CPD. Para determinar los requerimiento de energia es necesario conocer el nivel de disponibilidad que se desee en el data center (si es un data center tier I, Il, II] 0 IV). Esta estimacién del consumo de cner- ‘gia requiere identficar la carga eléctrica de los equipos que estarin en operacién actualmente y en el futuro EI sistema eléotrico debera cumplir las especificaciones del Reglamento Electrotécnico de baja 10 del tema eléctrico, tensién, que se encuentra recogido en el Real Decreto 842/2002. Para el di se puede consultar la norma ANSUTIA/942. El equipamiento estara compuesto tipicamente por los siguientes elementos: + SAI: los sistemas de alimentacién ininterrumpida garantizan un suministro de energia eléctrica de alta calidad, manteniendo dichas prestaciones incluso ante cortes de red y durante una au- tonomia determinada, Cuando se produzca un fallo de red, la energia debera ser suministrada automiticamente por un conjunto de baterias sin que exista interrupeidn alguna en el suministro eléctrico de dicha carga critica + Grupos Electrogenos: los grupos electrégenos serin los encargados de suministrar alimentacién eléctrica en caso de interrupcién de la misma desde la red + Cuadros, eableado de potencia, canalizacién y conmutacién: son los elementos responsables de realizar la distribucién eléctrica hasta los equipos. Las tareas que se deben realizar en la instalaci6n del subsistema eléctrico son las siguientes: + El suministro e instalacién de todos los elementos necesarios para dar el servicio requerido, + El suministro de un sistema redundante N+1, con caminos diferentes en todas las canalizacio- nes, con el fin de tener puntos tinicos de fallo. Conectar eléctricamente cada uno de los racks al sistema de alimentacién con sus cuadros ¢o- rrespondientes. + El suministro de todos los elementos con un sistema de alarmas que serén reportadas a un siste- ma central de recogida de alarmas. + Realizacién de un proyecto eléctrico para la instalacidn, que asegure la independencia de las is de fuerza (motores, alumbrado, etc.) lineas eléctricas de los equipos de las line + Adecuado disefio de los cuadros eléetricos y de las protecciones diferenciales, magnetotérmicos y filtros. een in aAsica 5S Oposiciones manzo2015 13-29*+ Correcto estado del sistema de puesta a tierra del edificio, ¢ instalacién de la malta de tomas a tierra en el falso suclo, Fl objetivo del sistema de conexién a ticrra es proteger a las personas y a los equipos. Para cllo, se crea una trayectoria de baja impedancia a tierra para descargas elé tricas y voltajes pasajeros. Todos los componentes metilicos deben estar unidos al sistema de conexién a tierra + La instalacién de un suelo téenico adecuado, en sus caracteristicas antiestiticas y conductoras. 5. AUDITORIA DE SEGURIDAD Se puede definir la auditorfa como el proceso sistemético, independiente y documentado para ob- tener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumplen Jos procedimientos o requisitos contra los que se compara la evidencia, Mientras que la auditoria de seguridad consistira en el conjunto de procedimientos y técnicas destinados a la evaluacién y control de la funcidn de seguridad fisica y ldgica del SI de la organi- El auditor en su trabajo realiza las siguientes tareas + Acopio de datos, + Andlisis de riesgos y amenazas, + Trabajo de campo: ‘Analisis de instalaciones. — Analisis del personal, + Informe de la situacién actual. + Propuesta de acciones a tomar, valoradas econémicamente. Bl auditor, una ve acabada la inspeccién deberd emitir su informe que incluiré: + Informe de auditoria detectando riesgos y deficiencias, + Plan de recomendaciones a aplicar en funcién de: esos. — Normativa a cumplir, * Costes estimados de las recomendacion 13-30 TERE oposiciones TecnoLoGl BAA6. NORMAS Y ESTANDARES RELATIVOS A LA SEGURIDAD. Un modo de comprobar las medidas de seguridad es mediante el cumplimiento de la aplicacién de hormas (criterios normalizados) y estindares de seguridad de los sistemas de informacién. La aplica- cién de estas normas dependera del contexto general de los sistemas de informacién. En Ios siguientes apartados se desarrollan algunas organizaciones relacionadas con la evaluacién de la seguridad, reglamentos y estindares, 6.1. CRITERIOS TCSEC (TRUSTED COMPUTER SECURITY EVALUATION CRITERIA) Uno de los esténdares de niveles de seguridad més utilizados internacionalmente es el libro naran- ja TCSEC, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departa- mento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del sistema operativo y de sistemas gestores de bases de datos. Posteriormente, sc han ido ampliando a otras aplicaciones y al campo de las comu- nicaciones. Los criterios consisten en siete conjuntos de criterios de evaluacién denominados clases. Estos siete conjuntos, de menor a mayor nivel de seguridad, son los siguientes: D, C1, C2, B1, B2, B3 y Al. Cabe aclarar que cada nivel requiere el cumplimiento de todos los niveles definidos anteriormente: ast cl subnivel B2 abarea los subniveles B1, C2, Cl y el D. Estos niveles han sido la base de desarrollo de estindares europeos (ITSEC/ITSEM) y luego in- ternacionales (ISO/EC). Nivel D: Este nivel contiene solo una division y esté reservada para sistemas que han sido eva luados y no cumplen con ninguna especificacién de seguridad. Sin sistemas no confiables, no hay pro- teccién para el hardware, el sistema operativo es inestable y no hay autentificacién con respecto a los usuarios y sus derechos en el acceso a la informacién. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Proteccién Discrecional. Se requiere identificacién de usuarios que permite el acceso a istinta informacién. Cada usuario puede manejar su informacion privada y se hace la distincién entre Jos usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administracién del sistema solo pueden ser realizadas por este «super usuario» quien tie~ ‘ne gran responsabilidad en la seguridad del mismo. Nivel C2: Proteccién de Acceso Controlado, Este subnivel fue disefiado para solucionar las de- bilidades del C1. Cuenta con caracteristicas adicionales que crean un ambiente de acceso controlado, Se debe Hlevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir atin més el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir 0 denegar datos a usuarios en concreto, con base no solo en los permisos, sino también en los niveles de autorizacién. Requiere que se audite el sistema, Esta auditoria es utilizada para llevar regis- {ros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el admi- nistrador del sistema y sus usuarios. MOLE ea Oposiciones wiszom — 13-31Nivel B1: Seguridad Ftiquetada. Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que cl duefio del archi- vo no puede modificar los permisos de un objeto que esti bajo control de acceso obligatorio, A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerdrquico (alto scereto, secreto, reservado, ete.) y con unas categorias (contabilidad, néminas, ventas, etc.). Cada usuario que accede a un objeto debe poscer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen controles para limitar la propagacién de derecho de accesos a los distintos objeto: Nivel B2: Proteccién Estructurada. Requiere que se ctiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Proteccién Bstructurada es la primera que empieza a referirse al pro- blema de un objeto a un nivel mis elevado de seguridad en comunicacién con otro objeto a un nivel inferior. Asi, un disco rigido seré etiquetado por almacenar archivos que son accedidos por distintos usuarios. EI sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demas usuarios. Nivel B3: Dominios de Seguridad, Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracién de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacién de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega segin las politicas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser Io suficientemente pequefias como para permitir andlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexién segura. Adem, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Proteccién Verificada. Es el nivel mas elevado, incluye un proceso de disefio, control y verificacién, mediante métodos formales (matemsticos) para asegurar todos los procesos que realiza un usuario sobre el sistema 6.2. CRITERIOS ITSEC (INFORMATION TECHNOLOGY SECURITY EVALUATION CRITERIA) En 1990 se publicaron en Europa los criterios europeos de seguridad para las tecnologias de la informacién (libro blanco). Estos criterios resultan de la armonizacién de varios sistemas europeos de iterios de seguridad en TI. Bajo el paraguas de los criterios ITSEC se constituye una gama mas amplia de posibles sistemas a evaluar que el TCSEC. El objetivo del proceso de evaluacién es permitir al evaluador la preparacién de un informe im- parcial en el que se indique si el sistema bajo estudio satisface 0 no su meta de seguridad al nivel de confianza precisado por el nivel de evaluacién indicado. Después de la publicacién de los criterios, se desarrollé una metodologia armonizada (ITSEM) que acompaiia a los criterios, con el objetivo de asegurar que existe un conjunto armonizado de méto- dos de evaluacién que complementa a ITSEC. Una importante limitacién a tener en cuenta en ITSEC! ITSEM es que la evaluacién se refiere a la seguridad de productos de TI y (en alguna medida) de siste- mas de TI. Por el momento, no cubren la evaluacién de servicios y aplicaciones; tampoco cubre medi- das organizativas, de personal, administrativas 0 de tipo fisico no relacionadas con TI. aLoave i 13-32 ES oposiITSEC ¢ ITSEM son documentos técnicos, dirigidos fundamentalmente a los actores que parti- cipan en una evaluacién, El producto o sistema de TI sujeto a una evaluacién de seguridad recibe el nombre de Objetivo de Evaluacién (Target of Evaluation, TOE). Para que un TOE satisfaga sus obje- tivos de seguridad debe incorporar funciones ejecutoras de la seguridad apropiadas, cubriendo drcas tales como control de accesos, auditoria y recuperacién de ertores. ITSEC define siete niveles de evaluacién de £0 a £6, representando niveles crecientes de eonfian- za en la seguridad. Se definen, ademas, diez niveles funcionales. Los niveles son los siguientes: + £0; representa un aseguramiento inadccundo, no se emit certificado + El: a este nivel deberin existir una meta de seguridad y una descripcién informal del diseito arquitecténico de la TOE E2: ademés de los requisitos correspondientes al nivel 1, deberd existir una descripcién infor- mal del disefo detallado, Deberén evaluarse las pruebas de ta realizacién de ensayos funciona- les, deberd existir un sistema de control de ta configuracién y un procedimiento de distribucién aprobado. + B3: Ademés de los requisitos correspondientes al nivel 2, deberd evaluarse el eédigo fuente y/o los esquemas del hardware correspondientes a los mecanismos de seguridad, Deberan evaluarse las pruebas de la realizacién de ensayos de estos mecanismos. + F4: Ademés de los requisitos correspondientes al nivel 3, deberd existir un modelo normal subyacente de politica de seguridad que soporte la meta de seguridad. Deberé especificarse en estilo semiformal las funciones dedicadas a la seguridad, el disefio detallado, + 5: Ademiis de los requisitos correspondiente al nivel 4, debera existit una estrecha correspon fio detallado y el codigo fuente y/o los esquemas de hardware. dencia entre el d + E6: Ademis de los requisitos correspondientes al nivel 5, deberan especificarse en estilo formal las funciones dedicadas a Ia seguridad y el disefto arquitecténico, de forma coherente con el modelo formal subyacente de la politica de seguridad especificada Aunque en sentido general no se puede hablar de una relacién directa entre los niveles de evalua- cién de ITSBC con los requisitos de confidencialidad de tas clases de TCSEC, se puede establecer la siguiente correlacién: ‘TeSEC TTSEC D FO a EL ECL a! £2, BI 13, RBI | om 4, FB2 3 5, PBS Al 6, F-B3 BLOQUE 5 oposiciones waazo2s 13-33 TECNOLOGIA BASICAERIOS COMUNES (CC COMMON CRITERIA) Como iniciativa conjunta para armonizar TCSEC ¢ ITSEC surgieron los Criterios Comunes (co- nocidos también como Norma ISO/IEC 15408) Los Criterios Comunes permiten: + Dofinir las funciones de seguridad de los productos y sistemas (en tecnologias de la informacién). + Determinar los riterios para evaluar la calidad de dichas funcion Fs esencial la posibilidad que los Criterios Comunes abren para que la evaluacién sea objetiva y pueda realizarse por una tercera parte (ni por el proveedor, ni por el usuario) de forma que la eleccién de salvaguardas adecuadas se vea notablemente simplificada para las organizaciones que necesitan mi- tigar sus riesgos, La administracién espaftola, y otras muchas, reconocen las certificaciones de seguridad emitidas en ottos paises en base al «Arreglo sobre el Reconocimiento de los Certificados de cen el Campo de Ia Tecnologia de la Informacién», La evaluacién de un sistema es la base para su certificacién. Para certificar es necesario disponer de: + Unos critetios, que definen el significado de los elementos que se van a evaluar. *+ Una metodologia, que marque emo se leva a cabo la evaluacién, + Un esquema de certificacién que fije el marco administrativo y regulatorio bajo el que se reali- za la certificacién. De esta forma se puede garantizar la objetividad del proceso; es decir, construir la confianza en que los resultados de un proceso de certificacién son vilidos universalmente, independientemente de donde se realice la certificacién. Los Criterios Comunes establecen una escala de niveles de aseguramiento que es la siguiente: + EALO: sin garantias + EALI: probado funcionalmente + EAL2: probado estructuralmente + EAL3: probado y chequeado metédicamente + EALA: diseftado, probado y revisado metédicamente + EALS: disefiado y probado semi-formalmente EALS: disefiado, probado y verificado semi-formalmente + EALT: disefiado, probado y verificado formalmente 13-94 32H oposiciones von nome!6.4, NORMA ISO/IEC 27002:2013 64. Introduccion Proviene de las normas BS 7799 del Brititsh Standards Institute (BSI) en 1995 del gobierno del Reino Unido. Despucs de varias revisiones se adopts por ISO como estindar ISO/IEC 17799. En 2005 se revi- saron como ISOMEC 27001, Por ultimo, se han vuelto a revisar siendo ahora la norma ISO/IEC 27002, La version actual es de 2013. La norma ISO/IEC 27002 2013 esta diseiiada para que las organizaciones la usen como referencia 1 Ja hora de seleecionar controles dentro del proceso de implantacién de un Sistema de Gestion de Se- ‘guridad de la Informacién, 0 bien como documento guia para orgunizaciones que implementen contro- les de seguridad de la informacién comiinmente aceptados. La seguridad de la informacién se consigue mediante la implantacién de un conjunto adecuado de controles, lo que incluye politicas, procesos, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles se deberfan implementar, supervisar, revisar y mejora, cuando sea necesario, para asegurar que se cumplan los objetivos especificos de seguridad y de negocio de la organizacién, De esta forma, es posible implantar un conjunto completo de controles de seguridad de Ja informacién cn el marco global de su sistema de gestién coherente. Dobe tenerse en cuenta que la seguridad que se puede lograr a través de medios técnicos es limita- da, y deberia ser apoyada por la gestion y los procedimientos apropiados. Por tanto, I identificacién de los controles que deberfan implantarse requiere una planificacién cuidadosa y una atencién al detale. 6.4.2. Req (0s de seguridad de la informacion Es basico que una organizacién identifique sus requisitos de seguridad, Existen tres fuentes prin cipales para los requisitos de seguridad: + La evaluacién de los riesgos de la organizacién, teniendo en cucnta los objetivos y estrategia de negocio globales de la organizacién. A través de una evaluacién de los riesgos se identifican las amenazas de los actives, se evalia la vulncrabilidad y la probabilidad de su ocurrencia y se estima su impacto potencial. + El conjunto de requisites legales, regulatorios y contractuales que deberia satisfacer la orga~ nizacién, sus socios comerciales, contratistas y proveedores de servicios, asi como su entorno sociocultural, + El conjunto de principios, objetivos y requisitos de negocio que la organizacién ha desarrollado para el manejo, tratamiento, almacenamiento, comunicacién y archivo de la informacién que da soporte a sus operacion Los recursos utilizados en la implantacién de los controles han de estar equilibrados con el nivel de datios probables que resultarian de problemas de seguridad en ausencia de dichos controles. La norma facilita directrices sobre la gestién de riesgos de seguridad de la informacién, incluyen- do asesoramiento sobre evaluacién, tratamiento, aceptacién, vigilancia y revisién del riesgo. =x NOVIEMBRE 2075 - TeOWLOABABCA TERE oposiciones to-2s6.4.3, Controles de seguridad En cuanto a los controles, estos pueden elegitse de los propuestos en la norma, o bien de otros conjuntos de controles, 0 se pueden disciiar nuevos controles para cubrir adecuadamente las necesida- des especificas. La norma esta constituida por 14 controles de seguridad que contienen un total de 35 categorias principales de seguridad y 114 controle. Cada capitulo que define controles de seguridad contiene una o mas categorias principales de controles de seguridad, Cada categoria principal de controles de seguridad contiene: + Un objetivo de control que establece qué es lo que se quiere conseguir. + Uno o mis controles que pueden ser aplicados para conseguir el objetivo del control. La relacién de controles de seguridad es la siguiente: 1. Politica de seguridad de ta informacién. 2. Organizacién de la seguridad de la informacin. 3. Seguridad relativa a los recursos humanos. 4, Gestién de activos 5. Control de acceso. 6. Criptografia. 7. Seguridad fisica y del entorno. 8. Scguridad de las operaciones, 9. Seguridad de las comunicacione: 10. Adquisicién, desarrollo y mantenimiento de los sistemas de informacién, 11, Relacién con proveedores. 12. Gestién de incidentes de seguridad de la informacién, 13, Aspectos de seguridad de la informacién para la gestidn de la continuidad del negocio. 14. Cumplimiento, 6.5, REGLAMENTACION ESPANOLA DE EVALUACION DE SEGURIDAD TL La Orden PRE/2740/2007 del Ministerio de la Presidencia es Ia orden por la que se aprucba el Reglamento de Evaluacién y Certificacién de la Seguridad de las Tecnologias de la Informacién, aLOQUE it 13-36 FE oposiciones TEGNOLOGIA BASICALa utilizacién de las Teenologias de la Informacién (TI) en amplias areas de Ia actividad de la Ad- ministracién, asi como la creciente participacién de Espafia en proyectos de desarrollo de la sociedad de la informacién de cardcter internacional, imponen la necesidad de garantizar un nivel de seguri- dad en la utilizacién de las TI equiparable, como minimo, al conseguido en el tratamiento tradicional de la informacién en soporte papel. Por tanto, la seguridad que las TI deben poscer ha de abarear la proteccién de la confidenciali- dad, la integridad y la disponibilidad de la informacién que manejan los sistemas de informacion, asi ‘como la integridad y disponibilidad de los propios sistemas, Uno de los métodos, admitido intemacionalmente, para garantizar la correccién y efectividad de ichos mecanismos y servicios, consiste en la evaluacidn de la seguridad de las TI, realizada mediante la utilizacién de criterios rigurosos, con posterior certificacién por el organismo legalmente establecido. Espafia, como pais consumidor de certificados, y a través del Ministerio de Administraciones Pa- blicas, ha estado presente en el Arreglo de Reconocimiento Mutuo de Certificados Common Criteria (CORA), desde su creacién El Centro Nacional de Inteligencia (CNI) tiene encomendado, por ley, el ejercicio de las funcio- nes relativas a la seguridad de las Tecnologias de la Informacién. Mas concretamente, el CCN (Centro Criptolégico Nacional) del CNI es el Organismo de Certificacién (OC) del Esquema Nacional de Eva- uacién y Certificacién de la Seguridad de las Teenologias de la Informacion (ENECSTD. NoviemoRE 201 13-37 LOQUE 1! HEB oposi TECNOLOGIA BASICA