19 jul. 2011

Seguridad de la Información - Parte I

Publicado por Will.i.am en 9:17 a. m.

Luego de tener un descanso vuelvo con uno de los temas que siempre me han llamado la atención, el cual es la Seguridad Informática. En esta relación de post tocaré los puntos básicos de la seguridad informática, obviamente tocando desde que es seguridad hasta unos pequeños casos para el mejor entendimiento de los conceptos.

En este post tocaremos puntos como:
  • Seguridad
  • Sistema de Seguridad
  • Riesgo
  • Objetivos de la seguridad de información
“El software es como la entropía: difícil de atrapar, no pesa, y cumple la Segunda Ley de la Termodinámica, es decir, tiende a incrementarse” - Norman Augustine

Seguridad

El término seguridad proviene de la palabra securitas del latín, se refiere a la seguridad como ausencia de riesgo o también a la confianza en algo o en alguien.  Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.
También se le entiende como las medidas preventivas y reactivas del dueño (persona u organización) de cierta información, este no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

Según la pirámide de Maslow, la seguridad en el hombre ocupa el segundo nivel dentro de las necesidades de déficit / supervivencia.
Sistema de seguridad
Como mencinamos en las primeras líneas, el término seguridad puede tomar diversos sentidos según el área o campo a la que haga referencia. En informática existe un área que tiene como objetivo la protección de la infraestructura computación y todo lo relacionado a esta, esta es la seguridad informática.

La seguridad informática comprende software, base de datos, metadatos (datos que describen otros datos), archivos y todo lo que la organización (dueña de la información) crea que tenga valor y signifique un riesgo si está (información) llegue a mano de otras personas.

Generalmente un sistema de seguridad es una combinación de elementos físicos electrónicos o una combinación de ambos, y fundamentalmente un compromiso, por parte del usuario, de utilizar apropiadamente los sistemas.

Riesgo

El riesgo es la probabilidad de que una amenaza se convierta en un desastre o es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
El riesgo, en términos de seguridad, se caracteriza por lo general mediante la siguiente ecuación:
 
La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias o brechas) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo.

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

 Objetivos de la Seguridad de la Información

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:
  • Integridad: garantizar que los datos sean los que se supone que son, es decir, que los datos no sufran modificaciones no autorizadas. Es uno de los pilares fundamentales de la seguridad de la información.
  • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian, con esto se previene la divulgación de información  a personas o sistemas no autorizadas.
  • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información y así estos puedan estar a disposición cuando se les necesite por alguna persona o sistema que quiera acceder a estos.
Otros objetivos son:
  • Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
  • Autenticación:  asegurar que sólo los individuos autorizados tengan acceso a los recursos
En el siguiente esquema se muestra todos los conceptos que involucra la seguridad de información:


Primeros tenemos las vulnerabilidades que vienen siendo como los puntos débiles de la seguridad de la información. Por otro lado tenemos las amenazas en cualquiera de sus tipos incluidos (gráfica, externa o interna a la organización). La conjunción simultanea de la vulnerabilidad y la amenaza construye e implica un riesgo de seguridad. La ocurrencia del riesgo lo convierte entonces en un evento.

Bueno el siguiente post tocaré los siguientes temas:
  • Seguridad Física / Ambiental
  • Seguridad Lógica

Share |

Etiquetas / Tags: , ,

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)