M11 - Seguretat i alta disponibilitat
Contingut
UF1 Seguretat física, lògica i legislació
Introducció a la seguretat informàtica
La seguretat informàtica és un procés essencial que té com a objectiu protegir els sistemes d'informació contra l'accés no autoritzat per part de persones, màquines o processos. Aquesta àrea es troba en constant evolució i mai es pot considerar completa.
Encara que podem avaluar la seguretat d'un sistema, cal tenir present que no és una quantitat que es pugui mesurar amb precisió. En altres paraules, és impossible assegurar que un sistema informàtic sigui 100% segur. La seguretat és un equilibri constant entre la protecció i l'accessibilitat, i requereix una atenció constant per adaptar-se als canvis i les noves amenaces.
Seguretat física
La seguretat física és un aspecte crític per protegir els sistemes d'informació. Aquesta àrea es centra en prevenir i mitigar les amenaces que provenen de l'entorn físic. Aquí hi ha algunes consideracions importants:
- Accés Físic al Sistema:
- L'accés no autoritzat a les instal·lacions on es troben els servidors o equips informàtics pot ser devastador. Per evitar-ho, cal prendre mesures com:
- Control d'Accés: Limitar l'accés només a personal autoritzat mitjançant targetes d'accés, claus o altres mètodes.
- Vigilància: Instal·lar càmeres de seguretat per supervisar les àrees crítiques.
- Seguretat Física dels Servidors: Mantenir els servidors en espais tancats i restringits.
- Registre d'Entrades: Registrar totes les entrades i sortides de les instal·lacions.
- L'accés no autoritzat a les instal·lacions on es troben els servidors o equips informàtics pot ser devastador. Per evitar-ho, cal prendre mesures com:
- Incendis:
- Els incendis poden destruir equips i dades. Per protegir-se:
- Sistemes d'Extinció d'Incendis: Instal·lar detectors d'incendis i sistemes d'extinció automàtica.
- Ubicació dels Servidors: Evitar col·locar els servidors prop de zones amb risc d'incendi.
- Els incendis poden destruir equips i dades. Per protegir-se:
- Inundacions:
- Les inundacions poden afectar greument els sistemes. Algunes mesures:
- Ubicació Elevada: Col·locar els servidors en llocs elevats per evitar danys per aigua.
- Sistemes d'Alarma d'Inundació: Instal·lar sensors d'alarma per detectar aigua.
- Les inundacions poden afectar greument els sistemes. Algunes mesures:
- Talls de Subministrament Elèctric:
- La pèrdua d'energia pot provocar interrupcions i corrupció de dades. Per minimitzar-ho:
- Fonts d'Alimentació Ininterrompuda (UPS): Utilitzar UPS per mantenir els servidors funcionant durant talls d'energia.
- Generadors: Tenir generadors d'energia com a reserva.
- La pèrdua d'energia pot provocar interrupcions i corrupció de dades. Per minimitzar-ho:
Seguretat lògica
La seguretat lògica és una part fonamental per protegir els sistemes d'informació contra amenaces no físiques. Aquesta àrea es centra en mètodes i pràctiques que no depenen de l'entorn físic. Aquí hi ha alguns aspectes clau:
- Gestió d'Usuaris i Permisos:
- La gestió adequada dels usuaris i els seus permisos és essencial. Algunes pràctiques:
- Principi del Lleial Menys Privilegi: Atorgar els permisos mínims necessaris per a cada usuari.
- Revisió Regular de Permisos: Verificar i actualitzar els permisos periòdicament.
- Autenticació Forta: Utilitzar autenticació de dos factors (2FA) per augmentar la seguretat.
- La gestió adequada dels usuaris i els seus permisos és essencial. Algunes pràctiques:
- Xifratge de la Informació:
- El xifratge és una tècnica per protegir les dades. Algunes consideracions:
- Xifratge de Dades en Repositori: Xifrar les dades emmagatzemades perquè no siguin llegibles sense la clau adequada.
- Xifratge de Dades en Trànsit: Utilitzar protocols segurs com HTTPS per protegir la comunicació entre clients i servidors.
- El xifratge és una tècnica per protegir les dades. Algunes consideracions:
- Restricció de Connexions Externes:
- Limitar l'accés des de l'exterior és crucial. Algunes mesures:
- Firewalls: Configurar i mantenir firewalls per filtrar el trànsit de xarxa.
- DMZ (Zona Desmilitaritzada): Utilitzar una DMZ per separar els serveis accessibles des de l'exterior dels sistemes interns.
- Limitar l'accés des de l'exterior és crucial. Algunes mesures:
- Criptografia:
- La criptografia és l'art d'escriure de manera oculta, de manera que només els destinataris autoritzats puguin llegir el missatge original. Algunes tècniques:
- Xifratge Asimètric: Utilitzar parelles de claus (pública i privada) per xifrar i desxifrar dades.
- Xifratge Simètric: Utilitzar la mateixa clau per xifrar i desxifrar.
- La criptografia és l'art d'escriure de manera oculta, de manera que només els destinataris autoritzats puguin llegir el missatge original. Algunes tècniques:
Criptografia simètrica
S'hi utilitza una clau compartida (una mateixa clau) per tal de xifrar i desxifrar la informació, per tant la clau ha de ser coneguda tant per l'emissor com el receptor. Un exemple senzill de criptografia simètrica el trobem en el "vesre", que consisteix en invertir l'ordre de les síl·labes (ves-re -> re-ves):
Laho! Questa es el dulmo de tatreguse i taal tatbilinipodis
Seria equivalent a:
Hola! Aquest és el mòdul de seguretat i alta disponibilitat
Per poder entendre el "vesre", tant l'emissor com el receptor han de conèixer una clau compartida, que en aquest cas és la inversió de l'ordre de les síl·labes.
Un altre exemple de criptografia simètrica el podem trobar en l'època romana, on Juli Cèsar fa més de 2000 anys ja xifrava els seus missatges d'estratègies militars. Utilitzava un algorisme de substitució alfabètica, en el qual desplaçava l'alfabet 3 posicions:
A B C D E F G H I K L M N O P Q R S T V X Y Z D E F G H I K L M N O P Q R S T V X Y Z A B C
Així, el missatge xifrat:
IDEMDH XDYZVQMQDH ZARVM RSYMPDH F EDHEMZX PBVMXPZX XHZMV DZKZXY
Es desxifraria com a:
FABIAE SATVRNINAE VXORI OPTIMAE C BAEBIVS MYRISMVS SEVIR AVGVST
La criptografia simètrica té un avantatge significatiu, i és que la longitud del resultat xifrat és similar o poc més gran que la longitud de l'original.
Criptografia asimètrica
S'hi utilitza un parell de claus. Una servirà per xifrar el missatge, i l'altra per desxifrar-lo. Si anomenem les claus "A" i "B", un missatge xifrat amb "A" només es podrà desxifrar amb "B" i no amb "A". El mateix passa a l'inrevés, si xifrem amb "B" només podrem desxifrar amb "A", i no amb "B".
Podem inventar-nos un petit exemple de xifrat asimètric. Imaginem que volem xifrar nombres entre el 0 i el 9. L'algorisme que utilitzarem consistirà en sumar la clau, i quedar-nos només amb l'últim digit del resultat. Així, si el resultat de la suma és 15, el digit xifrat serà 5. La nostra clau A serà 7. A partir de la seqüència:
7 1 5 8 4
Obtenim la seqüència:
4 8 2 5 1
Ara, per obtenir el missatge original, la nostra clau B serà 3. Observem que si repetim l'algorisme, tornem a obtenir la seqüència original:
7 1 5 8 4
Potser aquest exemple és massa senzill, ja que és molt fàcil de trobar la clau original veient les operacions que fem. Anem a complicar-ho una mica més. Ara en comptes de sumar, multiplicarem i ens quedarem només amb l'últim digit. La nostra clau A serà 3. Operem:
7 1 5 8 4
I obtenim:
21 3 15 24 12
I quedant-nos només amb el darrer digit:
1 3 5 4 2
Ara utilitzarem la clau B, que serà 37. Multiplicant obtenim:
37 111 185 148 74
I si ens quedem només amb l'últim digit veiem que obtenim com a resultat la seqüència original:
7 1 5 8 4
També podem verificar que si xifrem fent servir la clau B, podem desxifrar utilitzant la clau A:
7 1 5 8 4 259 37 185 296 148 <- multipliquem per 37 cada nombre 9 7 5 6 8 <- Agafem l'últim digit de cada
Desxifrem:
9 7 5 6 8 27 21 15 48 24 <- multipliquem per 3 cada nombre 7 1 5 8 4 <- Agafem l'últim digit de cada
Legislació
La Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) és la normativa vigent a Espanya en matèria de protecció de dades i seguretat de la informació. Aquesta llei substitueix la Llei Orgànica de Protecció de Dades (LOPD), que va ser derogada en 2018.
La LOPDGDD s'adapta al Reglament General de Protecció de Dades (RGPD) de la Unió Europea, que regula la protecció de dades personals a tota la UE. Aquesta llei incorpora una sèrie de drets digitals que aborden aspectes com l'oblit digital, la neutralitat de la xarxa, la seguretat i l'educació digital, entre d'altres.
El RGPD estableix normes més estrictes sobre el consentiment per al tractament de dades, dóna als individus més control sobre les seves dades personals i estableix sancions més severes per a les organitzacions que no compleixin amb la llei.
A més de la LOPDGDD i el RGPD, altres normatives rellevants en matèria de ciberseguretat a Espanya inclouen la Llei 34/2002, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSI), que regula les transaccions econòmiques realitzades per mitjans electrònics.
També és important conèixer la Llei 1/2000, de Enjudiciament Civil, que regula els procediments judicials en matèria civil, incloent els relacionats amb la protecció de dades i la ciberseguretat.
Finalment, la Llei 3/2018, de Mesures Urgents per a l'Adaptació del Dret Espanyol a la Normativa de la Unió Europea en matèria de Protecció de Dades, estableix les bases per a l'adaptació de la legislació espanyola al RGPD.
Recursos addicionals
Materials CEFP Ciberseguretat M1 Incidents de ciberseguretat
Materials CEFP Ciberseguretat M2 Enfortiment de xarxes i sistemes
