Este documento describe los conceptos básicos de la seguridad informática. Explica que la seguridad informática tiene como objetivo proteger la información, los equipos que la soportan y las personas que la utilizan. También define conceptos clave como la confidencialidad, integridad, autenticidad, no repudio, disponibilidad, consistencia y control de acceso.
2. Introducción
La seguridad, protección de los equipos conectados en
red y de los datos que almacenan y comparten, es un
hecho muy importante en la interconexión de equipos.
Cuanto más grande sea una empresa, más importante
será la necesidad de seguridad en la red.
La seguridad es bastante más que evitar accesos no
autorizados a los equipos y a sus datos. Incluye el
mantenimiento del entorno físico apropiado que permita
un funcionamiento correcto de la red.
3. Seguridad Informática
La necesidad de la seguridad informática
En la actualidad la información es el objeto de mayor
valor para las empresas.
El progreso de la informática y de las redes de
comunicación nos presenta un nuevo escenario, donde
los objetos del mundo real están representados por bits
y bytes, que ocupan lugar en otra dimensión y poseen
formas diferentes de las originales, no dejando de tener
el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.
4. Seguridad Informática
Por esto y otros motivos, la seguridad de la información
es un asunto tan importante para todos, pues afecta
directamente a los negocios de una empresa o de un
individuo.
La seguridad de la información tiene como propósito
proteger la información registrada, independientemente
del lugar en que se localice: Impresos en papel, Discos
duros de las computadoras o incluso en la memoria de
las personas que la conocen.
5. Seguridad Informática
Funciones y Responsabilidades de la
Seguridad Informática
Una de las preocupaciones de la seguridad de la
información es proteger los elementos que forman parte
de la comunicación.
Así, para empezar, es necesario identificar los
elementos que la seguridad de la información busca
proteger:
La información
Los equipos que la soportan
Las personas que la utilizan
6. Seguridad Informática
Responsabilidades en el manejo de la
información
En la actualidad, la seguridad informática ha
adquirido gran auge, dadas las cambiantes condiciones
y las nuevas plataformas de computación disponibles.
La posibilidad de interconectarse a través de redes, ha
abierto nuevos horizontes que permiten explorar más
allá de las fronteras de la organización. Esta situación
ha llevado a la aparición de nuevas amenazas en los
sistemas computarizados.
7. Seguridad Informática
Dependiendo del tipo de información y del
público para el cual se desea colocar a
disposición los grados de sigilo podrán ser:
Confidencial
Secreto
Restrictivo
Sigiloso
Público
8. Seguridad Informática
Conceptos básicos de la seguridad
informática
Confidencialidad
Integridad
Autenticidad
No Repudio
Disponibilidad de los recursos y de la
información
Consistencia
Control de Acceso
Auditoria
9. Seguridad Informática
Confidencialidad
Consiste en proteger la información
contra la lectura no autorizada
explícitamente.
Incluye no sólo la protección de la
información en su totalidad, sino también
las piezas individuales que pueden ser
utilizadas para inferir otros elementos de
información confidencial.
10. Seguridad Informática
Que la información sea accesible
solamente a las entidades que tienen
derecho a ella, tanto para leerla,
imprimirla, desplegarla o para cualquier
otra forma de divulgación de la misma.
Transformar la información de tal forma
que solo sea entendible o utilizable por
aquellas entidades para las que fue
creada.
11. Seguridad Informática
Integridad
Es necesario proteger la información contra la
modificación sin el permiso del dueño.
La información a ser protegida incluye no sólo
la que está almacenada directamente en los
sistemas de cómputo sino que también se
deben considerar elementos menos obvios
como respaldos, documentación, registros de
contabilidad del sistema, tránsito en una red,
etc. Esto comprende cualquier tipo de
modificaciones:
12. Seguridad Informática
Que la información no sea destruida
y/o modificada, mas que por los
usuarios y mecanismos autorizados
para ello.
La información no debe modificarse o
destruirse ni en los sistemas de
procesamiento ni al ser transmitida
por algún medio de comunicación.
13. Seguridad Informática
Esto comprende cualquier tipo de modificaciones:
Causadas por errores de hardware y/o software.
Causadas de forma intencional.
Causadas de forma accidental
Cuando se trabaja con una red, se debe
comprobar que los datos no fueron modificados
durante su transferencia.
14. Seguridad Informática
Autenticidad
La autenticidad garantiza que quien dice ser "X" es
realmente "X".
Es decir, se deben implementar mecanismos para
verificar quién está enviando la información.
Que el origen de la información sea correctamente
identificado, asegurando que la identidad no es
falsa.
15. Seguridad Informática
Tipos de autenticación:
Por factores:
De un factor: Algo que yo se.
De dos factores: Algo que yo se y algo que yo tengo.
De tres factores: Algo que yo se, algo que yo tengo y
algo que yo soy *.
*Algo que yo hago
16. Seguridad Informática
No – repudio
Ni el origen ni el destino en un
mensaje deben poder negar la
transmisión. Quien envía el mensaje
puede probar que, en efecto, el
mensaje fue enviado y viceversa.
17. Seguridad Informática
Disponibilidad de los recursos y de la información
De nada sirve la información si se encuentra intacta
en el sistema pero los usuarios no pueden acceder a
ella.
Por tanto, se deben proteger los servicios de cómputo
de manera que no se degraden o dejen de estar
disponibles a los usuarios de forma no autorizada.
La disponibilidad también se entiende como la
capacidad de un sistema para recuperarse rápidamente
en caso de algún problema.
18. Seguridad Informática
Consistencia
Se trata de asegurar que el sistema
siempre se comporte de la forma
esperada, de tal manera que los
usuarios no encuentren variantes
inesperadas.
19. Seguridad Informática
Control de acceso a los recursos
Consiste en controlar quién utiliza el sistema
o cualquiera de los recursos que ofrece y
cómo lo hace.
Tipos de control de acceso:
Discrecional (DAC): la validez del método de
autenticación esta a discreción del usuario.
Mandatorio (MAC): se validan aspectos sobre
los cuales el usuario no tiene control.
20. Seguridad Informática
Autorización
Que un usuario tenga acceso
solamente a la información que le
corresponde una vez que tiene
acceso aun sistema o a una red de
sistemas de acuerdo a sus
privilegios y restricciones.
21. Seguridad Informática
Auditoria
Consiste en contar con los mecanismos para poder
determinar qué es lo que sucede en el sistema, qué
es lo que hace cada uno de los usuarios y los
tiempos y fechas de dichas acciones.
En cuanto a los dos últimos puntos resulta de
extrema importancia, cuando se trata de los
derechos de los usuarios, diferenciar entre “espiar”
y “monitorear” a los mismos.
La ética es algo que todo buen administrador debe
conocer y poseer.