Este documento define y describe varios conceptos clave relacionados con la seguridad de la información. Explica la confidencialidad, autenticación, integridad, no repudio, disponibilidad, autorización, auditabilidad, reclamación de origen y propiedad, anonimato, protección a la réplica y confirmación de servicios/transacciones. El objetivo es entender estos conceptos para proteger adecuadamente la información y los documentos, controlar el acceso a la red y sistemas, y prevenir fraudes.
2. 1.- DEFINIR Y DESCRIBIR EL CONCEPTO DE CONFIDENCIALIDAD DE LA
INFORMACIÓN
La confidencialidad es una propiedad de la información mediante la cual se
garantizará el acceso a la misma solo por parte de las personas que estén
autorizadas.
Es de alguna manera lo que se dice o hace en confianza y con seguridad
recíproca entre dos o más individuos.
3. 2.- DEFINIR Y DESCRIBIR EL CONCEPTO DE AUTENTICACIÓN DE LA
INFORMACIÓN
La autenticidad es una de las 4 categorías principales de riesgos y amenazas
existentes para la seguridad de la información en nuestros días. Dada la gran
cantidad de usuarios en servidores, sitios web y en general en los grandes
sistemas y redes, los riesgos de suplantación de personalidad, repudio de
transaccionalidad, pérdida de identidad, violación de autoría y demás son de
aparición diaria en los ambientes del manejo de la información. Por esta
razón los hombres y mujeres de la tecnología ha impulsado al
fabricación, diseño e implementación de mecanismos de protección que
permitan identificar al usuario.
4. 3.- DEFINIR Y DESCRIBIR EL CONCEPTO DE LA FUNCIÓN DE LA INTEGRIDAD
DE LA INFORMACIÓN
Consiste en que sólo las personas autorizadas puedan variar (modificar o
borrar) los datos. Además deben quedar pistas para control posterior y para
auditoria.
Pensemos que alguien variara datos de forma que perdiéramos la
información de determinadas deudas a cobrar (o que sin perderla tuviéramos
que recurrir a la información en papel), o que modificara la última parte de los
domicilios de algunos clientes.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las
diferentes copias de seguridad hechas a lo largo del tiempo estarían viciadas
(corruptas decimos a veces), lo que haría difícil la reconstrucción.
5. 4.- DEFINIR Y DESCRIBIR EL CONCEPTO DE NO REPUDIACIÓN DE LA
INFORMACIÓN
Proporciona protección contra la interrupción, por parte de alguna de las
entidades implicadas en la comunicación, de haber participado en toda o
parte de la comunicación..
No Repudio de origen: El emisor no puede negar que envío porque el
destinatario tiene pruebas del envío, el receptor recibe una prueba
infalsificable del origen del envío, lo cual evita que el emisor, de negar tal
envío, tenga éxito ante el juicio de terceros.
No Repudio de destino: El receptor no puede negar que recibió el mensaje
porque el emisor tiene pruebas de la recepción. Este servicio proporciona al
emisor la prueba de que el destinatario legítimo de un envío, realmente lo
recibió, evitando que el receptor lo niegue posteriormente y la recibe el
emisor.
Si la autenticidad prueba quién es el autor de un documento y cual es su
destinatario, el “no repudio” prueba que el autor envió la comunicación (no
repudio en origen) y que el destinatario la recibió (no repudio en destino). El
no repudio evita que el emisor o el receptor nieguen la transmisión de un
mensaje.
6. 5.- DEFINIR Y DESCRIBIR EL CONCEPTO DE LA DISPONIBILIDAD DE LA
INFORMACION
La disponibilidad es la característica, cualidad o condición de la información
de encontrarse a disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
La Alta disponibilidad sistemas objetivo debe estar disponible en todo
momento, evitando interrupciones del servicio debido a cortes de
energía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica también la prevención de ataque de
denegación de servicio
La disponibilidad además de ser importante en el proceso de seguridad de la
información, es además variada en el sentido de que existen varios
mecanismos para cumplir con los niveles de servicio que se requiera
7. 6.- DEFINIR Y DESCRIBIR EL CONCEPTO DE LA AUTORIZACIÓN (CONTROL DE
ACCESO A EQUIPOS SERVICIOS)
En toda instalación el personal que tiene a su cargo el Control de accesos,
conforma el primer círculo de seguridad del sistema con el apoyo de las
barreras físicas y de los elementos electrónicos destinados a impedir,
retardar o demorar el acceso de elementos hostiles o de personas no
autorizadas, que pudieran vulnerar el sistema, alterándolo parcial o
totalmente con su accionar.
Por todo lo indicado, un eficaz Control de Acceso, debe basarse en un
estudio que determine con meridiana claridad las siguientes etapas:
a)
b)
c)
d)
e)
f)
Verificación de Identidad.
Autorización.
Confirmación de la autorización.
Acceso y registro.
Verificación de destino.
Salida
Cada etapa debe estar orientada a limitar la posibilidad de acceso de
personas no autorizadas y a canalizar a los visitantes a través de los puntos
de control preestablecidos, que permitan examinar su necesidad de entrar al
área que pretenden visitar.
8. 7.- DEFINIR Y DESCRIBIR EL CONCEPTO DE AUDITABILIDAD
La auditabilidad provee facilidad relativa en examinar, verificar o demostrar
un sistema.. En el caso específico de un sistema de información, se debe
determinar que el sistema esté intentando usarse, así como está siendo
usado, que la aplicación del sistema está conforme a los estándares y que la
data contenida en la aplicación del sistema está conforme a lo esperado .
Para que un sistema sea auditable, debe satisfacer las pruebas de
"contabilidad" y "visibilidad".
Si un programa a ser auditable tiene un número significativo de
instrucciones, se debe dividir en subprogramas, compuesto de módulos y de
líneas de mayor nivel de código fuente, el cual generará instrucciones en
lenguaje de máquina. Las comunicaciones entre estos subprogramas y
módulos deberán ser claramente especificadas, debiendo registrarse el pase
de información desde una persona que controla, a otra.
9. 8.-DEFINIR Y DESCRIBIR EL CONCEPTO DE RECLAMACIÓN DE ORIGEN
El concepto de reclamación de origen es aquel que nos permite probar quien
es el creador de un determinado documento.
Principalmente se usa cuando alguna persona usa algún documento como si
fuera propietario del mismo cuando no es así y no tiene pruebas para
demostrarlo y es aquí cuando entra este concepto ya que tanto el autor
como alguna empresa pueden reclamar el origen del documento ya que ellos
tienen los argumentos y tienen como comprobar su origen .
10. 9.- DEFINIR Y DESCRIBIR EL CONCEPTO DE RECLAMACIÓN DE PROPIEDAD
La reclamación de propiedad como su nombre lo indica, determina la
propiedad de un determinado documento. Se usa en transacciones
mercantiles, donde la posesión de un documento concede ciertos derechos
de poseedor.
11. 10.- DEFINIR Y DESCRIBIR EL CONCEPTO DE ANONIMATO EN EL USO DE
SERVICIOS
El anonimato, se nos proporciona a través de la ocultación de nuestra IP, que
es la que nos identifica unívocamente y a través de las políticas de nologging de la mayoría de los proveedores VPN.
Así pues, escogiendo cuidadosamente la demarcación del servidor VPN al
que nos conectamos podemos evitar en buena medida el control y análisis
de nuestro tráfico Internet.
Evidentemente, el único sentido de usar este tipo de servicios, es
la confianza que se pueda tener en el proveedor VPN de cumplir con sus
garantías de anonimato y privacidad. Es por esto que una cuidadosa
elección es necesaria y muy aconsejable.
12. 11.- DEFINIR Y DESCRIBIR EL CONCEPTO DE PROTECCIÓN A LA REPLICA
La réplica es un conjunto de tecnologías destinadas a la copia y distribución
de datos y objetos de datos desde una base de datos a otra, para luego
sincronizar ambas bases de datos y mantener su coherencia. La réplica
permite distribuir datos a diferentes ubicaciones y a usuarios remotos o
móviles mediante redes locales y de área extensa, conexiones de acceso
telefónico, conexiones inalámbricas e Internet.
Es por eso que es importante comprender cómo asegurar un entorno de
réplica para proteger los datos y la lógica de negocios de la aplicación.
Fundamentalmente, la protección del entorno de réplica es sólo cuestión de
conocer las opciones de autenticación y autorización, conocer los usos
adecuados de las características de filtros de réplica y conocer las medidas
específicas para proteger cada parte del entorno de réplica
13. 12.- DEFINIR Y DESCRIBIR EL CONCEPTO DE LA CONFIRMACIÓN DE LA
PRESTACIÓN DE UN SERVICIO O LA REALIZACIÓN DE UNA TRANSACCIÓN
La confirmación, por un medio equivalente al utilizado en el procedimiento de
contratación, de la aceptación recibida, tan pronto como el aceptante haya
completado dicho procedimiento, siempre que la confirmación pueda ser
archivada por su destinatario.
Un suceso externo que involucra el traslado de algo de valor entre dos o más
entidades. Las transacciones pueden ser:
Recíprocas.- Intercambios en los que cada participante recibe y sacrifica un
valor. Por ejemplo, adquisiciones o ventas de bienes o servicios.
No recíprocas.- Transacciones en las que una entidad incurre en un pasivo o
transfiere un activo a otra entidad (o recibe un activo o a la cancelación de un
pasivo), sin recibir (o entregar) directamente un valor a cambio del otro.
15. CONCLUSIONES
Arellano Baltazar Francisco Fernando: Llegue a la conclusión de que esta
practica nos ayuda a identificar los conceptos de seguridad que se debe tener
para brindar la seguridad adecuada a la creación de algún documento o
respaldo del mismo, y del control que se debe tener para entrar al acceso de
alguna red , como prevención de que se haga mal uso de los documentos, es
por eso que se hace todo esto para mantener la integridad de la información
Méndez Cuevas Uzziel: Esta practica llegue a la conclusión de que existen
diversos factores de fraude en lo que pueden ser las transacciones o y se debe
tener control de acceso de las personas que tienen permitido el acceso a la red
, es por eso que aquí se aprendió como controlar ese tipo de contingencias y
tener la certeza de la seguridad de los documentos y la autenticación de los
mismos.