1. Què és la seguretat?
Segons el diccionari de la llengua catalana la seguretat és:
1 1 f. [LC] Qualitat de segur. La seguretat d’un port. La seguretat de l’Estat. La seguretat pública.
Direcció general, agent, guàrdia, de seguretat. Parlar amb seguretat. —Vindrà? —En tinc la seguretat.
1 2 [LC] [EI] de seguretat loc. adj. Que assegura un bon funcionament, que evita un perill, dit d’un
mecanisme. Una vàlvula de seguretat. Una llàntia de seguretat. Una molla de seguretat.
2 f. [ECT] seguretat social Conjunt d’estructures, de normes i d’activitats per mitjà de les quals
l’Administració pública ofereix al ciutadà assistència en cas de malaltia, de desocupació, etc.
Què és la seguretat informàtica?
Segons viquipèdia, la seguretat informàtica és:
L'àrea de la informàtica que s'enfoca en la protecció de la infraestructura computacional i tot el
relacionat amb aquesta (incloent la informació). Per a això existeixen una sèrie d'estàndards, protocols,
mètodes, regles, eines i lleis concebudes per minimitzar els possibles riscos a la infraestructura o a la
informació.
Objectius de seguretat informàtica
El principal objectiu de la seguretat informàtica dins de l'empresa és preservar
els seus actius informàtics.
Què són els actius de l'empresa?
Conjunt de béns i crèdits d'una empresa, representat per un sistema ordenat de comptes, en contraposició al
passiu o estructura financera.
Els elements de l'actiu es presenten segons el major o menor grau de liquidesa, i l'actiu es divideix, segons
aquest criteri, en: actiu circulant, que inclou tots els elements de l'actiu que entren en el procés productiu, la
finalitat mediata o immediata dels quals és la conversió en diners (mercaderies, primeres matèries, etc); actiu
fix, que inclou els béns adquirits per tal d'ésser utilitzats en el procés productiu, però que normalment resten
incorporats en aquest (maquinària, etc); i actiu fictici o no realitzable, que és aquell no convertible en efectiu,
i necessari per a la constitució de l'empresa (despeses de constitució, etc).
Actius informàtics de l'empresa
La seguretat informàtica està concebuda, més concretament, per protegir els
actius informàtics de l'empresa, entre els quals es troben:
La informació
S'ha convertit en un dels elements més importants i valuosos dins d'una
organització. La seguretat informàtica ha de ser administrada segons els
criteris establerts pels administradors i supervisors, evitant que usuaris externs
i no autoritzats puguin accedir a ella sense autorització. En cas contrari
l'organització corre el risc que la informació sigui utilitzada maliciosament per
obtenir avantatges d'ella o que sigui manipulada, ocasionant lectures errades o
2. incompletes de la mateixa. Una altra funció de la seguretat informàtica en
aquesta àrea és la d'assegurar l'accés a la informació en el moment oportú,
incloent respatllers de la mateixa en cas que aquesta sofreixi danys o pèrdua
producte d'accidents, atemptats o desastres.
La infraestructura computacional
Una part fonamental per a l'emmagatzematge i gestió de la informació, i
també per al funcionament mateix de l'organització. La funció de la seguretat
informàtica en aquesta àrea és vetllar que els equips funcionin adequadament i
proveir en cas de falla plans de robatoris, incendis, boicot, desastres naturals,
falles en el subministrament elèctric i qualsevol altre factor que atempti contra
la infraestructura informàtica.
Els usuaris
Són les persones que utilitzen l'estructura tecnològica, de comunicacions i que
gestionen la informació. La seguretat informàtica ha d'establir normes que
minimitzen els riscos a la informació o infraestructura informàtica. Aquestes
normes inclouen horaris de funcionament, restriccions a certs llocs,
autoritzacions, denegacions, perfils d'usuari, plans d'emergència, protocols i
tot el necessari que permeti un bon nivell de seguretat informàtica minimitzant
l'impacte en l'acompliment dels funcionaris i de l'organització en general.
Sistema Informàtic segur
Encara que sigui de manera intuïtiva, tots entenem que un sistema informàtic
es considerarà segur si està lliure de qualsevol risc i dany. Tot i que no és gaire
senzill formalitzar el concepte de seguretat informàtica, entendrem com a
tal el conjunt de les diverses metodologies, documents, programari i maquinari
que determinen que únicament els elements autoritzats puguin accedir als
recursos d'un sistema informàtic. En ser completament impossible garantir la
seguretat o inviolabilitat absoluta d'un sistema informàtic, en lloc de
l'inabastable concepte de seguretat, és preferible utilitzar el terme fiabilitat.
Per tant no es podrà entendre la seguretat informàtica com un concepte
tancat, conseqüència de l'aplicació mecànica d'una sèrie de mètodes, sinó com
un procés que es pot quedar compromès en qualsevol moment de la manera
més insospitada. En general, doncs, direm que un sistema informàtic és fiable
quan se satisfan les tres propietats següents:
Confidencialitat. Només els elements autoritzats poden accedir als recursos que integren el
sistema. Per recursos del sistema no solament s'entendrà la informació, sinó qualsevol recurs
en general: impressores, processadors, etc.
Integritat. Només els elements autoritzats poden modificar o alterar els recursos del sistema.
La modificació inclou diverses operacions, com l'esborrament i la creació, a més de totes les
alteracions que es puguin realitzar en un objecte.
Disponibilitat. Els recursos del sistema han de romandre accessibles als elements
autoritzats.
3. Com ens podem imaginar, és molt difícil trobar un sistema informàtic que
maximitzi les tres propietats. Normalment, i depenent de l'orientació del
sistema, es prioritzarà alguna de les tres propietats. Per exemple, en un
sistema que emmagatzemi dades personals, l'element a prioritzar és la
confidencialitat de la informació, tot i que també hem de tenir molt present la
preservació (en la mesura que puguem) de la integritat i la disponibilitat.
Fixem-nos que garantir la confidencialitat mitjançant algun mètode criptogràfic
no serveix de res si permetem que un intrús pugui esborrar fàcilment la
informació emmagatzemada en el disc dur del servidor (atac contra la
integritat).
4. Seguretat física i lògica
La seguretat en les tecnologies de la informació i de les comunicacions de les
organitzacions s'ha de tractar sempre des de dues vessants: la seguretat física
i la seguretat lògica.
Seguretat física
Per tal de garantir la seguretat física dels components principals de la nostra
infraestructura tecnològica, cal considerar els aspectes següents:
Adequació de les instal·lacions. Escollir la ubicació més adequada d'acord
amb les característiques de l'equip, en consonància amb el seu valor i
importància. En aquest apartat cal revisar les instal·lacions físiques i els riscos
associats.
• Riscos per ubicació:
• De tipus natural (per temperatura, sismes, etc.)
• De manca de serveis (línia telefònica, electricitat, etc.)
• De seguretat (incendis, inundacions, etc.)
• Riscos inherents al lloc assignat al centre d'informàtica:
• Associats al sostre i al terra de la sala d'ordinadors
• Associats al cablatge
• Associats a la instal·lació elèctrica i la il·luminació (sistemes
d'alimentació ininterrompuda, SAI)
• Associats a la renovació d'aire i ventilació (aire condicionat)
• Riscos derivats del control d'accés físic:
• Disposició de les àrees de treball dins la sala d'ordinadors
• Accés de tercers (personal de neteja i manteniment)
5. • Utilització de sistemes d'identificació del personal
Adequació dels equips. En el moment d'escollir els equips informàtics i de
comunicacions més crítics per a la nostra instal·lació, cal considerar també la
seguretat. Per tant, s'ha de considerar:
• La redundància d'equips o de components crítics (fonts d'alimentació,
etc.)
• Sistemes propis de detecció d'avaries i de protecció de l'equip (senyals
d'alarma, sistema de tancament de l'equip, etc.)
Disseny i ubicació de la xarxa de dades. Tal com hem vist al llarg d'aquest
mòdul, la nostra infraestructura tecnològica no es limita únicament a la sala
d'ordinadors, també implica la xarxa de comunicacions i, per tant, cal dedicar
un apartat especial a la revisió de la seguretat física de la nostra xarxa de
dades.
• Revisar els riscos d'ubicació associats al desplegament de la xarxa de
dades (cal disposar de plànols que indiquin detalladament per on passa
la xarxa de dades).
• Revisar els riscos derivats per l'accés de personal aliè als centres de
comunicacions o llocs de pas del cablatge de xarxa.
Seguretat lògica
S'entén per seguretat lògica aquella que afecta fonamentalment el contingut lògic
dels equips informàtics (les dades, els programes, els serveis, etc.). Es defineixen
quatre tipus d'amenaces:
1. Per interrupció. Una destrucció del maquinari o un esborrament de
programes o dades.
2. Per interceptació. Còpia de les dades per algú no autoritzat.
3. Per modificació. Modificació de maquinari o de dades per un accés no
autoritzat.
4. Per generació. Afegir registres a la base de dades o altre tipus
d'informació.
Per tal de garantir la seguretat davant d'aquestes amenaces, cal considerar
6. tres aspectes:
Pla de còpies de seguretat. Les dades són la part més vulnerable del sistema
informàtic. Poden ser afectades per qualsevol de les amenaces abans
indicades. Per això el primer punt que cal garantir és la còpia de seguretat
davant de pèrdues, còpies anòmales o modificació de les dades. Altres
aspectes que s'han de considerar són:
• Tipus de còpies de seguretat (backup): total, parcial o incremental de les
dades. Periodicitat diària, setmanal, mensual.
• Definició de quines coses fem còpia i de quin tipus.
• Xifratge i compressió de les còpies.
• Comprovació de les còpies, restauració.
• Emmagatzematge de les còpies (dins i fora de la instal·lació).
Mecanismes d'autenticació i control d'accés (a les dades). La major part
d'actuacions que atempten contra la seguretat de les dades són facilitades per
una mala aplicació dels mecanismes d'autenticació. Per tant, cal donar
importància als aspectes següents:
• Política de comptes d'usuari i claus. Per tal d'identificar adequadament
qui fa què, és necessari mantenir una política estricta de comptes
d'usuari i renovació de claus.
• Definició adequada de la jerarquia d'usuaris i grups. Establiment clar de
les jerarquies i els privilegis dels usuaris i dels grups de treball.
• Xifratge de les dades més "delicades". Utilitzar mètodes de xifratge per a
les dades personals o més susceptibles de garantir la privadesa.
Polítiques de seguretat en els servidors. Probablement en l'actualitat és el
punt més crític pel que fa a la seguretat informàtica. L'evolució de les xarxes i
dels sistemes de telecomunicacions fa que els nostres servidors estiguin
fàcilment connectats i, per tant, això els fa molt més vulnerables. Per tant, cal
considerar els aspectes següents:
• Inseguretat inherent a les facilitats de comunicació. Avui en dia gairebé
tots els ordinadors utilitzen correu electrònic i estan connectats a xarxes,
7. i totes les xarxes estan connectades a Internet i totes utilitzen protocols
estàndard; per tant, el perill de transmissió de "codi dolent" (virus,
forats en la seguretat, espionatge, etc.) és cada vegada més elevat.
• Redundància de serveis. En el cas dels serveis més crítics és necessari
l'establiment de redundància per tal de garantir el manteniment del
servei en cas d'error o mal funcionament provocat per qualsevol causa
(virus, atacs, errors en l'administració dels sistemes, etc.).
• Descentralització de serveis. Una gran quantitat de sistemes informàtics
crítics (bancs, assegurances, financeres, etc.) garanteixen la seguretat
fent una redundància dels serveis acompanyada d'una descentralització.
És a dir, els serveis s'ofereixen a la vegada des de dues instal·lacions
separades lògicament i físicament, amb la qual cosa es garanteix al
màxim la disponibilitat del servei.
8. Principals atacants
HACKER: és una persona amb amplis coneixements en tecnologia, bé pot ser informàtica,
electrònica o comunicacions, manté permanentment actualitzat i coneix a fons tot el relacionat amb
programació i sistemes complexos; és un investigador nat que s'inclina abans de res per conèixer el
relacionat amb cadenes de dades xifrades i les possibilitats d'accedir a qualsevol tipus d'informació.
La seva formació i les habilitats que posseeixen els dóna una experiència major que els permet
accedir a sistemes d'informació segurs, sense ser descoberts, i també els dóna la possibilitat de
difondre els seus coneixements perquè les altres persones s'assabentin de com és que realment
funciona la tecnologia i coneguin les debilitats dels seus propis sistemes d'informació.
EL CRACKER: es denomina així a aquella persona amb comportament compulsiu, que presumeix
de la seva capacitat per rebentar sistemes electrònics i informàtics. Un Cracker és un hàbil
coneixedor de programació de Programari i Maquinari; dissenya i fabrica programes de guerra i
maquinari per rebentar programari i comunicacions com el telèfon, el correu electrònic o el control
d'altres computadors remots.
EL LAMMER: a n'aquest grup pertanyen aquelles persones desitjoses d'aconseguir el nivell d'un
hacker però la seva poca formació i els seus coneixements els impedeixen realitzar aquest somni. El
seu treball es redueix a executar programes creats per uns altres, a baixar, en forma indiscriminada,
qualsevol tipus de programa publicat a la xarxa.
EL COPYHACKER: són una nova generació de falsificadors dedicats al crackejar Maquinari,
específicament en el sector de targetes intel·ligents. La seva estratègia radica a establir amistat amb
els veritables Hackers, per copiar-los els mètodes de ruptura i després vendre'ls als bucaners.
Els Copyhackers s'interessen per posseir coneixements de tecnologia, són aficionats a les revistes
tècniques i a llegir tot el que hi ha a la xarxa. La seva principal motivació és els diners.
BUCANERS: són els comerciants de la xarxa més no existeixen en ella; encara que no posseeixen
cap tipus de formació a l'àrea dels sistemes, si posseeixen un ampli coneixement en àrea dels
negocis.
PHREAKER: es caracteritzen per posseir vasts coneixements a l'àrea de telefonia terrestre i mòbil,
fins i tot més que els propis tècnics de les companyies telefòniques; recentment amb l'auge dels
cel·lulars, han hagut d'ingressar també al món de la informàtica i del processament de dades.
NEWBIE: és el típic novell, sense proposar-li-ho ensopega amb una pàgina de Hacking i
descobreix que en ella existeixen àrees de descàrrega de bons programes, baixa tot el que pot i
comença a treballar amb ells.
SCRIPT KIDDIE: denominats també “Skid kiddie”, són simples usuaris d'Internet, sense
coneixements sobre Hack o Crack encara que aficionats a aquests temes no els comprenen realment,
simplement són internautes que es limiten a recopilar informació de la xarxa i a buscar programes
que després executen sense els més mínims coneixements, infectant en alguns casos de virus als
seus propis equips. També podrien denominar-se els “Prem Botons o Cliquejadors“ de la xarxa.