1. Autenticación, privacidad, disponibilidad, integridad.

        El "Trusted Computer System Evaluation Criteria", más conocido por el "Libro Naranja", indica tres criterios o propiedades fundamentales al establecer la seguridad de la información. Son:

        Autenticación: debe permitir asegurar el origen y destino de la información. Tambien, el no repudio, no puede negar que la persona lo ha hecho.

        Privacidad: restringir el acceso a la información. Tan sólo tiene acceso a la información la persona a la que está destinada.(criptografía).

        Disponibilidad: la personas autorizadas a una información deben poder acceder a ella cuando la necesiten.

        Integridad: mantener la información en buen estado. Asegurar que no se ha falseado.
 
 

2. Vulnerabilidades.

        Vulnerabilidad es cualquier punto o aspecto del sistema que puede dañar el funcionameniento del mismo ya bien sea externo o interno.

        Amenaza es el agente que va a atacar al punto débil.

        Contramedida son las técnicas de protección contra las amenazas.

        Tipos de Vulnerabilidad:

        - FÍSICA. Entorno del sistema.
        - NATURAL. Polvo, humedad....
        - EN LAS COMUNICACIONES. Equipos formando red. Las más graves.
        - HUMANA. Confianza que hay sobre el administrador del sistema. El usuario también interviene ya sea voluntario o no. Es la más importante.

        Amenazas:

        - INTERCEPCIÓN. Esta se produce cuando una persona o programa copia información privada.
        - MODIFICACIÓN.  Accede al sistema y lo modifica.
        - INTERRUPCIÓN. Interrumpir el funcionamiento del sistema.
        - GENERACIÓN. Es un tipo de modificación. Modificar el código, añadir código para un uso fraudulento.
        - NATURALES. FÍSICAS. Por ejemplo el café.
        - VOLUNTARIAS. Virus.
        - INVOLUNTARIAS.

        Contramedidas:

        - LÓGICAS. Medidas que se pueden introducir para prevenir el acceso a los datos.
        - FÍSICAS. Medidas físicas para impedir el acceso al equipo.
        - ADMINISTRATIVAS. Política de seguridad para ponerla en práctica.
        - LEGALES. Poder disuasorio o actuaciones a posteriori.

        Principios Básicos:

        - Principio del menor privilegio. Cualquier objeto, persona, programa, etc.., debe tener sólo los privilegios de uso que le correspondan, ni más ni menos, niveles estrictamente minimos para poder trabajar.
        - La seguridad no se obtiene con la oscuridad.
        - En cualquier cadena se busca el eslabón más débil.
        - Defensa en profundidad, consiste en un mecanismo sucesivo, si falla uno está el otro detrás.
        - Existe seguridad hasta un caso de fallo, dificil de alcanzar.
        - Principio de praticipación universal, la seguridad del sistema se tiene que tener en cuenta por todos los usuarios. Si un usuario encuentra un fallo no debe usarlo en su favor, debe comunicarlo al administrador para subsanarlo.
 
 

3. Análisis de riesgo.

        El coste del ataque siempre debe ser mayor que el coste real del sistema y este mayor que el coste de las medidas de seguridad.