2. Seguridad física y lógica
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un
sistema informático. Si bien algunos de los aspectos tratados a continuación se
prevén, otros, como la detección de un atacante interno a la empresa que intenta a
acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en
que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que
intentar acceder vía lógica a la misma. Por eso es importante tener en cuenta los
riegos que se pueden tener para poder prevenirlos
3. Medidas de seguridad
Medidas para riesgo de seguridad física: equipo alternativo o plan de contingencia,
sistema anti fallos de alimentación continua, disminuir siniestros.
Medidas para riesgos de seguridad lógica: antivirus, contrafuegos, Restringir el acceso a
los programas y archivos. Asegurar que los usuarios puedan trabajar sin supervisión y no
puedan modificar los programas ni los archivos que no correspondan. Asegurar que se
estén utilizados los datos, archivos y programas correctos en y por el procedimiento
correcto. Verificar que la información transmitida sea recibida sólo por el destinatario al
cual ha sido enviada y que la información recibida sea la misma que la transmitida.
Disponer de pasos alternativos de emergencia para la transmisión de información.
4. Criptografía
La criptografía es la técnica que protege documentos y datos. Funciona a través de la utilización de cifras o códigos para
escribir algo secreto en documentos y datos confidenciales que circulan en redes locales o en internet. Su utilización es
tan antigua como la escritura. Los romanos usaban códigos para ocultar sus proyectos de guerra de aquellos que no
debían conocerlos, con el fin de que sólo las personas que conocían el significado de estos códigos descifren el mensaje
oculto. A partir de la evolución de las computadoras, la criptografía fue ampliamente divulgada, empleada y modificada,
y se constituyó luego con algoritmos matemáticos. Además de mantener la seguridad del usuario, la criptografía
preserva la integridad de la web, la autenticación del usuario así como también la del remitente, el destinatario y de la
actualidad del mensaje o del acceso.
Las llaves pueden ser:
Simétricas: Es la utilización de determinados algoritmos para descifrar y encriptar (ocultar) documentos. Son grupos de
algoritmos distintos que se relacionan unos con otros para mantener la conexión confidencial de la información.
Asimétrica: Es una fórmula matemática que utiliza dos llaves, una pública y la otra privada. La llave pública es aquella a la
que cualquier persona puede tener acceso, mientras que la llave privada es aquella que sólo la persona que la recibe es
capaz de descifrar
5. Estenografía
El término estenografía proviene de las palabras griegas steamos (oculto) y graphos
(escritura). Es una técnica que permite enviar y entregar mensajes camuflados dentro
de un objeto o contenedor, de forma que no se detecte su presencia y consigan pasar
desapercibidos.
6. Certificados y firmas digitales
Certificados de Persona Física. Son los que incorporan la identidad de un sujeto físico o
ciudadano. Está orientado a ciudadanos (es decir, a terceros físicos) y están
fundamentalmente pensados para trámites personales aunque, en determinadas
circunstancias, pueden ser usados en el ámbito profesional.
Certificados SSL para cliente: usados para identificar y autentificar a clientes ante
servidores en comunicaciones mediante el protocolo Secure Socket Layer, y se expiden
normalmente a una persona física, bien un particular, bien un empleado de una empresa.
Certificados SSL para servidor: usados para identificar a un servidor ante un cliente en
comunicaciones mediante el protocolo Secure Socket Layer, y se expiden generalmente a
nombre de la empresa propietaria del servidor seguro o del servicio que éste va a ofrecer,
vinculando también el dominio por el que se debe acceder al servidor. La presencia de
éste certificado es condición imprescindible para establecer comunicaciones seguras SSL.
7. Protocolos de seguridad web
Secure Socket Layer (SSL): Secure Sockets Layer (SSL) es el estándar mundial de la seguridad en la Web. La
tecnología SSL se enfrenta a potenciales problemas derivados de la visualización no autorizada de
información confidencial, la manipulación de datos, la apropiación de datos, el phishing y los demás tipos de
amenazas en los sitios Web.
Transport Layer Security (TLS): Para intentar corregir las deficiencias observadas en SSL v3 se buscó un nuevo
protocolo que permitiera transacciones seguras por Internet, sobre todo teniendo en cuenta que SSL es
propiedad de la empresa Nestcape. El resultado de esta búsqueda fué el protocolo TLS, que permite una
compatibilidad total con SSL siendo un protocolo público, estandarizado por el IETF.
Protocolo S-HTTP: El protocolo Secure HTTP fué desarrollado por Enterprise Integration Technologies, EIT, y
al igual que SSL permite tanto el cifrado de documentos como la autenticación mediante firma y certificados
digitales, pero se diferencia de SSL en que se implementa a nivel de aplicación. Se puede identificar
rápidamente a una página web servida con este protocolo porque la extensión de la misma pasa a ser .shtml
en vez de .html como las páginas normales.
Protocolo SET: SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas
aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago, y en el uso
de sistemas criptográficos de clave pública para proteger el envío de los datos sensibles en su viaje entre los
diferentes servidores que participan en el proceso.
8. Plan de recuperación antes desastre y
plan de continuidad del negocio
El Plan de recuperación ante desastres (DRP - Disaster Recovery Plan) y el Plan de
continuidad del negocio (BCP - Business Continuity Plan) están diseñados ante un eventual
desastre con el sistema informático. Ante una contingencia con el sistema informático, es
necesario garantizar la protección de los datos. El desarrollo de este plan, le permitirá
anticipar los riesgos a los que está expuesto su sistema informático en caso de desastres.
El plan de recuperación le permite conocer el equipo y el rol de cada uno de los que están
a cargo del plan de recuperación, así como la lista de procedimientos a seguir.
El Plan de continuidad del negocio (BCP) es el último eslabón de la cadena y se aplica
únicamente para proteger las aplicaciones que son vitales para la actividad de la empresa.
A diferencia del BCP que protege contra problemas de hardware, el DRP protege contra
desastres exteriores.