top of page

SEGURIDAD EN REDES INFORMÁTICAS EMPRESARIALES

 

La Información día a día cobra mayor importancia como activo al interior de las organizaciones y en medio de la creciente globalización de las comunicaciones y en particular del internet, las Redes informáticas se convierten en el soporte tecnológico de  este activo que pide ser protegido celosamente y en las mejores condiciones.

La Integridad, la Confidencialidad y la Disponibilidad son los pilares a proteger de la información y es en la protección de la Red informática, que la soporta, en donde se deben presentar los primeros mecanismos de seguridad.

Veamos algunas definiciones  así:

 

  • Disponibilidad: se refiere a que la información debe estar a la mano de quienes tienen acceso a ella.

  • Integridad: nos define que la información debe permanecer inalterable para quienes la utilizan y solo usuarios autorizados para ello pueden realizar modificaciones de la misma.

  • Confidencialidad: se refiere a solo los usuarios autorizados tendrán acceso a la información y en el grado que para ello se defina.

 

Son estas características de la información las que reciben todo tipo de ataques  buscando a su vez el acceso a los servicios ofrecidos por la Información de forma fraudulenta. Estos servicios que suelen ser atacados o vulnerados son los siguientes:

 

  • Integridad

  • Disponibilidad

  • Confidencialidad

  • No repudio

  • Autenticación

  • Control de Acceso

  •  

Como mecanismo de control ante estos ataques y muy especialmente para el servicio de No Repudio se ideo la utilización de Firmas digitales que buscan marcar permanentemente a los actores de la comunicación como son el emisor de un mensaje así como su receptor donde al firmar una mensaje o documento se garantiza la veracidad y procedencia del mismo, así como la imposibilidad de negación de la aceptación de un mensaje enviado o recibido.

Las Firmas digitales [1]son marcas de identificación de un individuo basado en una función Hash [2](Identificador generado a partir de un algoritmo) y que normalmente encripta un mensaje que solo puede ver el  Receptor del mensaje a través de una contraseña que solo él debe conocer.

 

Son varias las ventajas que ofrecen las firmas digitales, tanto que podrían reemplazar plenamente la forma de firmas actualmente utilizada ( autógrafa) sin embargo la principal desventaja de las firmas digitales es que la valides, más que todo legal, no se ha otorgado en muchos países lo que frena las posibilidades de este tipo de firmas por el momento.

La validación de las Firmas Digitales es realizada a través de Certificados Digitales que son documentos generados por una entidad la cual garantiza la relación existente entre un individuo y una Firma Digital.

Las redes informáticas requieren mecanismos que aseguren la disponibilidad, la integridad y la confidencialidad de la información, para esto se utilizan mecanismos como el Firewall, que puede ser un dispositivo de hardware o un software a nivel de sistema Operativo y que es quien define una barrera que regula el paso desde Redes externas a la organización hacia la red Interna.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Otro mecanismo de protección es la utilización del protocolo IPSec  (Protocolo de Seguridad de Internet) que corresponde a una serie de estándares de la IETF (Internet Engineering Task Force) que buscar disminuir las vulnerabilidades de seguridad presentes en el protocolo IP específicamente en protocolos UDP y TCP.

 

El protocolo IPSec cuenta con los siguientes componentes:

 

  • Dos protocolos de seguridad: IP Authentication

  • Header (AH) e IP Encapsulating Security Payload

  • (ESP) que proporcionan mecanismos de seguridad para proteger tráfico IP.

  • Un protocolo de gestión de claves Internet Key

  • Exchange  (IKE)  que  permite  a  dos  nodos  negociar  las  claves  y  todos  los parámetros necesarios para establecer una conexión AH o ESP.

 

La historia de la comunicación entre seres humanos nos muestra también la necesidad de enviar mensajes que solo deben ser conocidos y entendidos por quien lo emite y quien lo recibe, es así como desde tiempos memorables se hace uso de la Criptografía que no es más que el envío de un mensaje original (Texto Plano) de una forma no legible (Cifrado) y que luego el receptor del mensaje lo puede hacer nuevamente legible (Descifrado) para recibir el mensaje original (Texto Plano).

La criptografía se puede dar de forma Simétrica o Asimétrica, donde la Criptografía Simétrica corresponde a la generación de una única clave compartida por los dos actores de la comunicación, Emisor y Receptor o lo que es lo mismo se utiliza la misma clave para cifrar y para descifrar, mientras por el contrario, la Criptografía asimétrica cuenta con un par de claves denominadas clave pública y clave privada, en el que ambas pertenecen regularmente al receptor del mensaje y por supuesto la clave pública la puede conocer varias personas pero la Privada solo la debe conocer la propietaria de esta clave, aquí se cifra con una clave y se descifra con otra.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Como la seguridad de las redes informáticas afecta directamente la seguridad de la información se hace necesaria establecer mecanismos que garanticen o aseguren este activo y su infraestructura. Es así como se hace necesaria la creación de Políticas de Seguridad dirigidas de mitigar las vulnerabilidades y amenazas que frente a la Integridad, Confidencialidad y Disponibilidad de la información existen en mayor o menor medida en las organizaciones.

Estas Políticas de Seguridad se convierten en las reglas de juego a la hora de hacer uso de los recursos y servicios de la Red informática y pos supuesto de la información organizacional. Entre las políticas de seguridad que deben definirse encontramos las siguientes:

 

  • Políticas de Password y cuentas

  • Políticas generales de seguridad de la Información

  • Política de privacidad de la Información

  • Política de acceso a la información

  • Política de responsabilidad de usuarios de la Información

  • Política de autenticación de usuarios de la Información

  • Declaración de disponibilidad de la Información

  • Política de mantenimiento de los sistemas relacionados con la tecnología de la información

 

La normatividad referente a La seguridad de la información está ligada al conjunto de normas internacionales ISO 27000 que juegan un papel importante en la dirección e implementación de sistemas de seguridad de la información y su infraestructura. A este conjunto de normas pertenecen las siguientes:

 

ISO 27000: Contiene definiciones generales de un sistema de seguridad de la información.

ISO 27001: Contiene y define los requisitos  del  sistema  de  gestión  de  seguridad  de  la información.

ISO 27002: Guía  de  buenas prácticas  que  describe  los  objetivos  de  control  y  controles  recomendables  en cuanto a seguridad  de la información.

ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA o PHVA y de los requerimientos de sus diferentes fases.

ISO 27004: Métricas y las técnicas de medida aplicables para  determinar  la  eficacia  de  un  SGSI  y  de   los  controles  relacionados.

ISO 27005: Contiene las directrices para la gestión  del  riesgo  en  la  seguridad  de  la  información.

ISO 27006: Contiene los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

ISO 27007: Es una guía de auditoría de un SGSI.

ISO 27011: Es guía de gestión de seguridad de la información específica para  telecomunicaciones,  elaborada  conjuntamente  con  la  ITU  (Unión Internacional de Telecomunicaciones).

ISO 27031: Es una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: Es una guía relativa a la ciberseguridad.

ISO 27033: Relaciona 7  partes:

  • Gestión  de  seguridad  de  redes

  • Arquitectura de seguridad de redes

  • Escenarios de redes de referencia

  • Aseguramiento de las comunicaciones entre redes mediante Gateway

  • Acceso remoto

  • Aseguramiento de comunicaciones en redes mediante VPNs

  • Diseño  e implementación de seguridad en redes

ISO 27034: Es una guía de seguridad en aplicaciones.

ISO 27799: Es un estándar  de  gestión  de seguridad  de  la  información  en  el  sector  sanitario  aplicando  ISO  27002.

 

 

Referencias Bibliográficas

[1] PALTA VELASCO, E. (Ene de 2014). INTRODUCCIÓN A LA SEGURIDAD EN REDES. Obtenido de Universidad Nacional y a Distancia: http://datateca.unad.edu.co/contenidos/233010/_Modulo_Seguridad_en_Redes.pdf

 

[2] WIKIPEDIA. (15 de Sep de 2014). Función hash. Obtenido de http://es.wikipedia.org/wiki/Funci%C3%B3n_hash

 

[3] INTYPEDIA.COM. (1 de Sep de 2012). Seguridad en redes Wi-Fi (intypedia) . Obtenido de Lección 12: http://www.youtube.com/watch?v=rhJAJ1TdNyg

bottom of page