La seguridad informática solo consiste en intentar preservar ciertas propiedades del Sistema Informático (S.I.). Principalmente, debe cumplir las siguientes cuatro propiedades:MEDIDAS DE SEGURIDAD
- Confidencialidad: mantener los datos en secreto, mantener cada nivel operativo. Hay varios métodos:
- control de acceso al sistema informático
- cifrado de la información, alteración de los datos.
- Integridad de los datos: nos dice que los datos a los que accedemos no han sido modificados por ninguna persona no autorizada, ej: disco duro roto.
- Autenticidad: el origen de los datos es correcto, esta propiedad es más importante en sistemas abiertos.
- Disponibilidad: es la propiedad que más suele fallar pero es la que menos importancia tiene (dependiendo del entorno), también es la más difícil de alcanzar en algunos sistemas.
Otras propiedades a tener en cuenta:
- No repudio: el emisor de la información no puede negar que lo ha emitido ante terceros. Se consigue firmando un contrato. Es muy difícil de conseguir, se puede negar.
- Auditoría: revisar todos los procesos relacionados con la seguridad que se han realizado en una compañía.
- Política de seguridad: es una declaración de intenciones. Aquellas intenciones orientadas a mantener la seguridad de un sistema informático. Establecer las bases para delimitar y mantener la seguridad. Se refleja en un documento escrito que debe poseer la empresa. La política de seguridad debe estar guiada siempre por el sentido común, al igual que los mecanismos para establecerla, ¿de que nos vamos a proteger?, ¿de quien?, ¿cómo vas a hacerlo? Una política de seguridad debe considerar aspectos como: Determinar los recursos informáticos que vamos a proteger. Un dato muy importante y relevante es que el coste final de romper la seguridad ha de ser mayor que el valor de los datos que se están protegiendo, de manera que es absurdo romperlo.
Establecer las amenazas y vulnerabilidades del sistema. Monitorizar el comportamiento de la política (auditoria).
- Vulnerabilidad del sistema: Aquel punto donde el sistema puede ser afectado, puntos débiles del sistema informático.
- Amenazas: Cualquier peligro exterior que amenaza al sistema. P.ej: terremoto, persona, programa con mala idea.
- Contramedidas: Para defendernos de las amenazas, medidas especificas contra las amenazas.
Hay que identificar la vulnerabilidad del sistema y las amenazas y en consecuencia determinar las contramedidas.Tipos de Vulnerabilidad del sistema: (por su naturaleza)Tipos de amenazas: (por el efecto que causan)
- física: posibilidad que el sistema tiene para producir alteración o robo. Para protegernos se requiere la seguridad física, una caja fuerte, policías...
- natural: afectado por los desastres naturales o medioambientales. Las amenazas son terremotos, fuegos (accidental o provocado) Y las contramedidas medidas anti-incendio...
- hardware & software: todos aquellos fallos que hacen del sistema un sistema poco fiable. en las comunicaciones: es muy actual, por las redes de comunicaciones. En este caso las amenazas serían los virus o personas mal intencionadas.
- humana: las personas que manejan y administran el sistema informático, que acceden al sistema por derecho.
(en función del origen de las amenazas)
- intercepción: se consigue acceso a un puerto del sistema, sin autorización.
- modificación: accede a una parte del sistema y además puede cambiar su contenido.
- interrupción: indefinida/momentánea del sistema, puede ser accidental. Son las más frecuentes y dañinas. por generación: posibilidad de añadir datos o programas al sistema(virus).
- naturales/fisicas.
- involuntarias: como un descuido, falta de cuidados en el mantenumiento del sistema...
- intencionadas: personas que vienen decididas a fastidiar, que pueden causar daños a cualquiera de los efectos que hemos visto antes.
Las medidas de seguridad se pueden entender en función del coste de la información que protegen, tenemos 4 tipos. Como vemos en el dibujo anterior, estarían un anillo.
- Físicas: protegen el sistema de los desastres, no informático.
- Lógicas: relacionadas con el software, más médidas organizativas como la definición de la política de seguridad. En este nivel se establecen las funciones de los usuarios clasificados según su nivel de acceso.
- Administrativas: son las que toman los responsables de la seguridad, publicación de la politica de seguridad, determinar los responsables de la seguridad, etc...
- Legales: medidas a posteriori en funcion de las leyes.
Volver a IndiceIdeas básicas a tener en cuenta al diseñar un sistema de seguridad:
- Principios de honor-privilegio:
Culaquier objeto del sistema puede tener solamente aquellos privilegios para poder desarrollar sus tareas y ninguna más.- La seguridad no se puede obtener de la seguridad:
Uno no puede obtener seguridad a base de esconder las vulnerabilidades.- Principio del eslabon más debil:
La seguridad es una cadena, si hay un eslabón débil, ese eslabón marca la seguridad de todo el sistema.- Principio del punto centralizado:
Cualquier acceso al sistema pasa por único punto de control, así se tiene todos los mecanismos de seguridad almacenados.- Principio de participación universal:
La seguridad del sistema requiere la participación de todos los usuarios- Principio de fase en profundidad:
Para manterner la seguridad se colocan una serie de barreras, una detras de la otra, cuando más mejor.- Principio de simplicidad:
Las cosas cuando más simples mejor.