1. Introducción
Generalmente, los sistemas de información incluyen todos los datos de una
compañía y también en el material y los recursos de software que permiten a
una compañía almacenar y hacer circular estos datos.
Los sistemas de información son fundamentales para las compañías y deben
ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y
los recursos de software de una organización se usen únicamente para los
propósitos para los que fueron creados y dentro del marco previsto.
Objetivos
La seguridad informática se resume, por lo general, en cinco objetivos
principales:
Integridad: garantizar que los datos sean los que se supone que
son.
Confidencialidad: asegurar que sólo los individuos autorizados
tengan acceso a los recursos que se intercambian.
Disponibilidad: garantizar el correcto funcionamiento de los
sistemas de información.
Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
Autenticación: asegurar que sólo los individuos autorizados tengan
acceso a los recursos.
Conceptos básicos de seguridad informática
Autorización
La autorización es una parte del sistema operativo que protege los recursos del
sistema permitiendo que sólo sean usados por aquellos consumidores a los
que se les ha concedido autorización para ello. Los recursos incluyen archivos
y otros objetos de dato, programas, dispositivos y funcionalidades provistas por
aplicaciones.
Identificación y autentificación
2. Identificación al momento en que el usuario se da a conocer en el
sistema.
Autenticación es la verificación que realiza el sistema sobre esta
identificación.
Existen cuatro tipos de técnicas que permiten realizar la autenticación de la
identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas:
Algo que solamente el individuo conoce: una clave secreta de acceso
o password, una clave criptográfica, un número de identificación
personal o PIN, etc.
Algo que la persona posee: una tarjeta magnética.
Algo que el individuo es y que lo identifica unívocamente: las huellas
digitales o la voz.
Algo que el individuo es capaz de hacer: los patrones de escritura.
Control de acceso
Es la habilidad de permitir o denegar el uso de un recurso particular a una
entidad en particular.
Los mecanismos para el control de acceso pueden ser usados para cuidar
recursos físicos (ej: acceso a una habitación donde hay servidores), recursos
lógicos (ej: una cuenta de banco, de donde solo determinadas personas
pueden extraer dinero) o recursos digitales (ej: un archivo informático que sólo
puede ser leído, pero no modificado).
No-repudiación
Irrefutabilidad (No repudio): El uso y/o modificación de la información por
parte de un usuario debe ser irrefutable, es decir, que el usuario no puede
negar dicha acción.
La responsabilidad de la privacidad y confidencialidad.
Las solicitudes deberán ser diseñados y los equipos deben ser usados para
proteger la privacidad y confidencialidad de los diversos tipos de datos
electrónicos que procesen, de conformidad con la leyes y políticas aplicables.
Los usuarios que están autorizados a obtener los datos debe garantizar que se
protege en la medida requerida por la ley o la política después de obtenerlo.
3. Confidencialidad
La confidencialidad se refiere a que la información solo puede ser conocida por
individuos autorizados y que sea ininteligible para aquellos individuos que no
estén involucrados en la operación y prevenir la divulgación de información a
personas o sistemas no autorizados.
Integridad
La integridad se refiere a la seguridad de que una información no ha sido
alterada, borrada, reordenada, copiada, etc., bien durante el proceso de
transmisión o en su propio equipo de origen. Es un riesgo común que el
atacante al no poder descifrar un paquete de información y, sabiendo que es
importante, simplemente lo intercepte y lo borre.
Disponibilidad
La Disponibilidad es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones.