Según la IS027002, “La seguridad de la información se
puede caracterizar por la preservación de:
·
Confidencialidad: asegura que el acceso a la
información está adecuadamente autorizado.
·
Integridad: salvaguarda la precisión y
completitud de la información y sus métodos de proceso
Otra de las definiciones de lo seguridad informática dada
por INFOSEC Glossary 2000: “Seguridad Informática son las medidas y controles
que aseguran la confidencialidad, integridad y disponibilidad de los activos de
los sistemas de información, incluyendo hardware, software, firmware y aquella
información que procesan, almacenan y comunican”.
De estas definiciones podemos deducir que los principales
objetivos de la seguridad informática son:
·
Confidencialidad: consiste en la capacidad de
garantizar que la información, almacenada en el sistema informático o
transmitida por la red, solamente va a estar disponible para aquellas personas
autorizadas a acceder a dicha información, es decir, que si los contenidos
cayesen en manos ajenas, estas no podrían acceder a la información o a su
interpretación. Este es uno de los principales problemas a los que se enfrentan
muchas empresas; en los últimos años se ha incrementado el robo de los
portátiles con la consecuente pérdida de información confidencial, de clientes,
líneas de negocio …etc.
·
Disponibilidad: la definiremos como la capacidad
de garantizar que tanto el sistema como los datos van a estar disponibles al
usuario en todo momento. Pensemos, por ejemplo, en la importancia que tiene
este objetivo para una empresa encargada de impartir ciclos formativos a
distancia. Constantemente está recibiendo consultas, descargas a su sitio web,
etc., por lo que siempre deberá estar disponible para sus usuarios.
·
Integridad: diremos que es la capacidad de
garantizar que los datos no han sido modificados desde su creación sin
autorización. La información que disponemos es válida y consistente. Este
objetivo es muy importante cuando estamos realizando trámites bancarios por
Internet. Se deberá garantizar que ningún intruso pueda capturar y modificar
los datos en tránsito.
·
No repudio: este objetivo garantiza la
participación de las partes en una comunicación. En toda comunicación, existe
un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio:
a) No repudio en origen: garantiza que la persona que envía el mensaje no puede
negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.
b) No repudio en destino: El receptor no puede negar que recibió el mensaje,
porque el emisor tiene pruebas de la recepción del mismo. Este servicio es muy
importante en las transacciones comerciales por Internet, ya que incrementa la
confianza entre las partes en las comunicaciones.
Para conseguir los
objetivos mostrados en la figura anterior se utilizan los siguientes
mecanismos:
·
Autenticación, que permite identificar al emisor
de un mensaje, al creador de un documento o al equipo que se conecta a una red
o a un servicio.
·
Autorización, que controla el acceso de los
usuarios a zonas restringidas, a distintos equipos y servicios después de haber
superado el proceso de autenticación.
·
Auditoría, que verifica el correcto
funcionamiento de las políticas o medidas de seguridad tomadas.
·
Encriptación, que ayuda a ocultar la información
transmitida por la red o almacenada en los equipos, para que cualquier persona
ajena no autorizada, sin el algoritmo y clave de descifrado, pueda acceder a
los datos que se quieren proteger.
·
Realización de copias de seguridad e imágenes de
respaldo, para que en caso de fallos nos permita la recuperación de la
información perdida o dañada.
·
Antivirus, como su nombre indica, consiste en un
programa que permite estar protegido contra las amenazas de los virus.
·
Cortafuegos o firewall, programa que audita y
evita los intentos de conexión no deseados en ambos sentidos, desde los equipos
hacia la red y viceversa.
·
Servidores proxys, consiste en ordenadores con
software especial, que hacen de intermediario entre la red interna de una
empresa y una red externa, como pueda ser Internet. Estos servidores, entre
otras acciones, auditan y autorizan los accesos de los usuarios a distintos
tipos de servicios como el de FTP (transferencia de ficheros), o el Web (acceso
a páginas de Internet).
·
Utilización firma electrónica o certificado
digital, son mecanismos que garantizan la identidad de una persona o entidad
evitando el no repudio en las comunicaciones o en la firma de documentos.
También se utilizan mucho hoy en día para establecer comunicaciones seguras
entre el PC del usuario y los servidores de Internet como las páginas web de
los bancos.
·
Conjunto de leyes encaminadas a la protección de
datos personales que obligan a las empresas a asegurar su confidencialidad.
Comentarios
Publicar un comentario