Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información. Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, entre otros.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma. La
seguridad informática consiste en asegurar que los recursos del sistema
de información (material informático o programas, sean utilizados de la
manera más apropiada y que el acceso a la información allí contenida
así como su modificación, sólo sea posible a las personas que se
encuentren acreditadas y dentro de los límites de su autorización.
Se debe distinguir entre los dos, porque forman la base y dan la razón, justificación en la selección de los elementos de información que requieren una atención especial dentro del marco de la Seguridad Informática y normalmente también dan el motivo y la obligación para su protección.
Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de la Información y la Protección de Datos como motivo o obligación de las actividades de seguridad, las medidas de protección aplicadas normalmente serán las mismas. Para ilustrar un poco la diferencia entre los dos, se recomiendo hacer el siguiente ejercicio.
Importancia de la Seguridad de Información
En un mundo en el que se mueven millones de datos y personas, es de vital importancia que las empresas inviertan en seguridad de la información . Se establece así una buena práctica empresarial. Toda la información de una organización debe ser protegida y no de cualquier manera. Este tipo de empresas tecnológicas protegen la información de las organizaciones de posibles amenazas para asegurar que los riesgos, los daños y sus impactos sean ínfimos. Además, todo ello asegura una mejor rentabilidad de los costes y los beneficios.
La información de las empresas pueden estar en varios formatos: en papeles, contratos, reportes, servidores, ordenadores, pendrives, en discos, en tarjetas de acceso, en cd’s o dvd, en correos electrónicos, en vídeos o entre personas. Por estos motivos se hace fundamental, la generación de conciencia de lo significa la seguridad de la información en las empresas.
Es conocida la situación de que sólo alrededor de un 30% de las grandes empresas tienen una sección dedicada a la seguridad de la información, otras solo cubren aspectos limitados como ser la seguridad informática. Sin embargo, queda un 70% de éstas empresas, en donde no se dispone de ninguna de las dos áreas mencionadas o dependen de gerencias inadecuadas que no pueden garantizar las inversiones necesarias, las capacitaciones internas, la definición e instrumentación de procesos y los planes de auditorías.
Tipos de Seguridad Información
Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del percance, minimizando los efectos ocasionados por el mismo.
En este apartado distinguiremos los distintos tipos de seguridad en función del recurso a proteger.
Seguridad lógica
A continuación, vamos o enumerar las principales técnicas de seguridad activa:
A continuación enumeramos las técnicas más importantes de seguridad pasiva:
La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, deberán tomarse las medidas de seguridad oportunas.
Se pueden hacer diversas clasificaciones o tipos de la seguridad informática en función de distintos criterios.
Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del percance, minimizando los efectos ocasionados por el mismo.Seguridad física y lógica
- Seguridad física
Habitualmente nos centramos en protegernos de posibles hackers, virus y nos olvidamos de un aspecto muy importante en la seguridad informática, la seguridad física.
La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el cableado) de los posibles desastres naturales (terremotos, tifones , de incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más) .
A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:
Amenazas
|
Mecanismos de Defensa
|
Incendios
|
• El mobiliario de los centros de cálculo debe ser ignífugo.
• Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias inflamables o explosivos.
• Deben existir sistemas antincendios, detectores de humo, rociadores de gas, extintores … para sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionando numerosas pérdidas materiales.
|
Inundaciones
|
•Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales.
• Impermeabilizar las paredes y techos del CPD. Sellar las puertas para evitar la entrada de agua proveniente de las plantas superiores.
|
Robos
|
•Proteger los centros de cálculo mediante puertas con medidas barométricas, cámaras de seguridad, vigilantes jurados … ; con todas estas medidas pretendemos evitar la entrada de personal no autorizado.
|
Señales electromagnéticas
|
•Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos informáticos y del cableado de red.
• En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales deberemos proteger el centro frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.
|
Apagones
|
•Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida, SAl, que proporcionan corriente eléctrica durante un periodo de tiempo suficiente.
|
Sobrecargas eléctricas
|
•Además de proporcionar alimentación, los SAl profesionales incorporan filtros para evitar picos de tensión, es decir, estabilizan la señal eléctrico.
|
Desastres naturales
|
•Estando en continuo contacto con el Instituto Geográfico Nocional y la Agencia Estatal de Meteorología, organismos que informan sobre los movimientos sísmicos y meteorológicos en España.
|
Seguridad lógica
La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos informáticos, es decir, las aplicaciones y los datos de usuario, de robos, de pérdida de datos, entrada de virus informáticos, modificaciones no autorizadas de los datos, ataques desde la red, etc. Las principales amenazas y mecanismos en seguridad lógica, para salvaguardarnos de las mismas:
| Amenazas | Mecanismos de Defensa |
| Robos | •Cifrar la información almacenada en los soportes para que en caso de robo no sea legible. • Utilizar contraseñas para evitar el acceso a la información. • Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras, caligrafía … ). |
| Pérdida de información | •Realizar copias de seguridad para poder restaurar la información perdida. • Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del sistema operativo adecuado. • Uso de conjunto de discos redundantes, protege contra la pérdida de datos y proporciona la recuperación de los datos en tiempo real. |
| Pérdida de integridad en la información | • Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp … • Mediante la firma digital en el envío de información a través de mensajes enviados por la red. • Uso de la instrucción del sistema operativo Windows sfc (system file checker). |
| Entrada de virus | • Uso de antivirus, que evite que se infecten los equipos con programas malintencionados. |
| Ataques desde la red | •Firewall, autorizando y auditando las conexiones permitidas. • Programas de monitorización. • Servidores Proxys, autorizando y auditando las conexiones permitidas. |
| Modificaciones no autorizadas | • Uso de contraseñas que no permitan el acceso a la información. • Uso de listas de control de acceso. • Cifrar documentos. |
Seguridad activa y pasiva
Como se comentó al inicio del apartado 3, aquí el criterio de clasificación es el momento en el que se ponen en marcha las medidas oportunas.
Seguridad activa
La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los daños en los sistemas informáticos.
A continuación, vamos o enumerar las principales técnicas de seguridad activa:
| Amenazas | Mecanismos de Defensa |
| Uso de contraseñas | Previene el acceso a recursos por parte de personas no autorizadas. |
| Listas de control de acceso | Previene el acceso a los ficheros por parte de personal no autorizado. |
| Encriptación | Evita que personas sin autorización puedan interpretar la información. |
| Uso de software de seguridad informática | Previene de virus informáticos y de entradas indeseadas al sistema informático. |
| Firmas y certificados digitales | Permite comprobar la procedencia, autenticidad e integridad de los mensajes. |
| Sistemas de ficheros con tolerancia a fallos | Previene fallos de integridad en caso de apagones de sincronización o comunicación. |
| Cuotas de disco | Previene que ciertos usuarios hagan un uso indebido de la capacidad de disco. |
En las fotos inferiores podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activa, impiden el acceso a personas no autorizadas a los recursos, y los SAl (sistemas de alimentación ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar la información una vez que se ha producido el desastre del apagón de luz).
Seguridad pasiva
La seguridad pasiva complementa a la seguridad activa y se encarga de minimizar los efectos que haya ocasionado algún percance.
A continuación enumeramos las técnicas más importantes de seguridad pasiva:
| Técnicas de seguridad pasiva | ¿Cómo minimiza? |
| Conjunto de discos redundantes | Podemos restaurar información que no es válida ni consistente. |
| SAl | Una vez que la corriente se pierde las bateríos del SAl se ponen en funcionamiento proporcionando la corriente necesaria para el correcto funcionamiento. |
| Realización de copias de seguridad | A partir de las copias realizadas, podemos recuperar la información en caso de pérdida de datos. |
Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a individuos, entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados.
La integridad también es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada, para salvaguardar la precisión y completitud de los recursos.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra datos importantes que son parte de la información.
La integridad garantiza que los datos permanezcan inalterados excepto cuando sean modificados por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital es uno de los pilares fundamentales de la seguridad de la información.
Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
Autenticación o autentificación
Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.
Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está realmente enviado por el mismo- y así figura en la literatura anglosajona.
No hay comentarios.:
Publicar un comentario