Cr - Un análisis de riesgo, valor de la información que se quiere proteger.
Cs - El coste de los medios de seguridad necesarios.
Ca - Coste que supone el saltarse las medidas de seguridad por parte del atacante.Situación ideal de coste:
Tema 1
La problemática de la seguridad informática.
1. Autenticación, privacidad, disponibilidad e integridad.
Los objetivos de la seguridad son:
1. La confidencialidad: la información debe mantener un carácter privado. Esto se puede conseguir de dos formas, restringiendo el acceso a la información o mediante criptografía.2. Vulnerabilidades, amenazas y contramedidas.2. La integridad: la información se debe mantener en buen estado, se tienen que hacer copias de seguridad, y no puede ser modificada por quien no debe.
3. La disponibilidad: los datos deben estar disponibles, este es un problema muy complicado en sistemas abiertos.
4. La autenticidad: se trata de establecer con seguridad el origen de la información, con la firma digital, pero tiene como inconveniente el no poderse controlar el numero de copias.
1. Vulnerabilidad: es cualquier punto del sistema que puede ser atacado, ya sea por causas naturales, hardware y software, comunicaciones o humanas.3. Políticas de seguridad.2. Amenaza: es el agente que va a atacar ese punto débil.
3. Contramedida: son todas las técnicas de protección contra la amenaza, ya sean de tipo físico, lógico, administrativo o legal.
La política de seguridad es imprescindible para empresas medianamente
grandes, y debe estar estipulada en papel.
Diseño de una estrategia de seguridad:
Ideas y principios para políticas de seguridad:Cr - Un análisis de riesgo, valor de la información que se quiere proteger.
Cs - El coste de los medios de seguridad necesarios.
Ca - Coste que supone el saltarse las medidas de seguridad por parte del atacante.Situación ideal de coste:
- Principio del menor privilegio: cualquier sujeto debe tener únicamente los permisos de acceso que le son necesarios.
- La seguridad no se obtiene a través de la oscuridad: ocultar la información no es un buen método para aumentar la seguridad.
- La cadena: en cuestiones de seguridad no importa el eslabón más fuerte, si no el más débil.
- La defensa en profundidad: se deben establecer mecanismos sucesivos de seguridad, así si falla uno puede actuar el siguiente.
- Seguridad incluso en caso de fallo: si el sistema falla este debe quedar protegido.
- Participación universal: la seguridad de un sistema debe ser cosa de todos los que pueden verse afectados.