lunes, 7 de marzo de 2022

Objetivos de la seguridad informática



Según el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC):

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio."
  • La confidencialidad de la información: que nadie no autorizado pueda verla.
  • La integridad de la información: que nadie no autorizado pueda modificarla y alterarla.
  • La disponibilidad de la información: que quien esté autorizado pueda acceder a ella siempre y consultarla.

Confidencialidad


Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado. Implica por tanto la no divulgación de información a personas o sistemas no autorizados.

Cualquier persona, empresa u organización debe velar por la protección de los datos sensibles que residen en su sistema. Si pensamos en nuestros datos personales o los datos que enviamos por la red al realizar una operación bancaria, está claro que deseamos que esos datos solo sean vistos por nosotros y el receptor autorizado (p.ej. aplicación web de nuestro banco online), pero por nadie más. No deseamos que está información que viaja por la red o que está almacenada en una base de datos, sea interceptada por alguien no autorizado y que sea capaz de acceder a la información.

De la misma forma las empresas guardan y transmiten información sensible, por ejemplo, de nuevos productos que aún no han salido a la venta y que, en el caso de caer en manos de la competencia, podría arruinar a la empresa.

Más delicada incluso puede ser la información militar que en caso de caer en manos de otros países podría poner en peligro la seguridad de toda una nación.

Una técnica desarrollada para garantizar la confidencialidad es la criptografía: Se ocupa del cifrado de mensajes para que no pueda ser leído por ningún agente intermedio. El mensaje será cifrado por su emisor y sólo podrá descifrarlo el receptor del mismo.


Integridad


Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. Si alguien no autorizado, por error, accidente o con mala intención, modifica o borra parte o la totalidad de la información, se habrá producido un fallo en la seguridad.

La tecnología actual facilita la integridad de un mensaje a través de la firma digital.

La firma digital sirve para demostrar la autenticidad de un documento electrónico, dando al destinatario la seguridad de que fue creado por el remitente y que no fue alterado durante la transmisión.

Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar tanto la falsificación como la manipulación del documento emitido.

Disponibilidad


Es la característica de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

La criticidad en este sentido viene derivada fundamentalmente de la necesidad de mantener los datos operativos el mayor tiempo posible, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, actualizaciones del sistema u otro tipo de caídas de los servicios. Para ello los sistemas deben mantenerse funcionando de forma correcta y que se recuperen de forma eficiente ante posibles fallos.

En este sentido, garantizar la disponibilidad implica también la prevención de ataques del tipo Denegación de servicio _DoS (del inglés Denial of Service): un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, provocado normalmente por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

La disponibilidad se mide por el índice de disponibilidad que es el tiempo en que el sistema está totalmente operativo dividido entre el tiempo total. Los índices cercanos al 100% indicarán que los sistemas y sus datos y procesos han estado disponibles casi de forma continua

Mecanismos y servicios de seguridad


Para contrarrestar posibles ataques a la seguridad se hace uso de mecanismos y servicios de seguridad estandarizados, entre los que se encuentran:

No repudio


Mecanismo para asegurar que nadie pueda decir que él no fue. El emisor no podrá negar que fue él quien envió el mensaje, puesto que el receptor tendrá pruebas de ello o el receptor no podrá negar que recibió el mensaje porque el receptor tendrá información que lo confirma. El servicio de Seguridad de No repudio o irrenunciabilidad está estandarizado en la ISO-7498-2.

  • No Repudio de origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario.
  • No Repudio de destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

Autenticación


Es una validación de identificación de usuarios: técnica mediante la cual un proceso comprueba que el compañero de comunicación es quien se supone que es y no se trata de un impostor.

Para garantizar la confidencialidad y autenticidad de las comunicaciones entre ciudadanos, empresas u otras instituciones públicas a través de Internet, evitando fraudes y suplantaciones, se han generado mecanismos de seguridad como el Certificado digital y el Documento Nacional de Identidad electrónico (DNIe).



Autorización


Controla el acceso de los usuarios a información, equipos o procesos restringidos, tras pasar un proceso de autenticación. Deberemos definir sobre qué puede actuar, cuándo puede actuar y cómo puede hacerlo (p.ej. acceso a ficheros en modo de solo lectura o lectura/escritura, acceso a bases de datos con permisos de inserción, borrado o modificación, etc.) 
Siempre será más recomendable dar autorizaciones más restringidas y abrirlas cuando sea necesario, que dar autorizaciones muy abiertas que pueden comprometer la seguridad del sistema en caso de accesos con permisos inadecuados, bien intencionadamente o bien por error.

Auditoría


Debemos llevar un control sobre los sistemas y servicios que nos permita determinar qué acciones se han llevado a cabo y quién y cuándo las ha llevado a cabo. 
Periódicamente se revisará está información para analizarla y sacar conclusiones que permitan detectar posibles fallos de seguridad o mejorar los procedimientos.








Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)