Seguridad Informática

Conceptos generales
Según un trabajo de Luis Alonso Romero
Catedrático de Ciencia de la Computación e Inteligencia Artificial de la Universidad de Salamanca

Según la teoría del caos, entre más complejo sea un sistema u organización, mayor es el número de variables que contiene y por ende mayor el número de posibilidades de que algo salga mal.

Por otra parte, la ley de Murphy establece que si algo puede salir mal, entonces va a salir mal.

Internet es una red de redes, donde intervienen una diversidad de aparatos, sistemas, protocolos, lenguajes, manejados por una variedad de individuos de los más diversos orígenes y circunstancias.

No existe la perfección e Internet y las complejas redes que la sostienen no son la excepción.

A fin de garantizar su funcionamiento es necesario implementar medidas para preservar la integridad de cada una de las partes involucradas.

Lo siguiente es una breve introducción al tema de la seguridad informática, centrado en sus conceptos básicos de acuerdo con un artículo de Luis Alonso Romero. Si deseas consultar el archivo original debajo encontrarás links directos.

Seguridad en las Tecnologías de la Información y Comunicación

En los últimos tiempos se han realizado grandes avances en las tecnologías de la información y comunicaciones (TIC). Los sistemas informáticos se han introducido de forma generalizada en el comercio, banca, industria, administración, defensa, investigación, etc. La aparición y expansión de Internet, juntamente con los sistemas informáticos, han hecho posible la realización de tareas impensables hace unos pocos años.

Pero a medida que los sistemas informáticos son más complejos, han puesto de manifiesto una mayor cantidad de puntos vulnerables:

·         El número de atacantes crece muy rápidamente

·         Los medios para efectuar ataques siguen una evolución tan rápida como los propios sistemas

·         La generalización de Internet hace que los ataques puedan provenir de cualquier lugar

¿Qué hay que proteger?

Es evidente la necesidad de proteger la información. Pero es muy difícil concretar qué es lo que hay que proteger, dado que el concepto de información es, en sí mismo, poco claro.

Se choca también con el derecho a la intimidad:

·         Los gobiernos y las empresas, necesitan multitud de datos de los ciudadanos o clientes para poder hacer planificaciones, estrategias de ventas, promover leyes, censos, tratamientos médicos, etc.

·         Algunas de esas informaciones pueden ser manipuladas o utilizadas con fines distintos a los originales, o ser empleadas por organizaciones a las que no se les entregaron en su momento.

Sistemas informáticos

Un sistema informático es el conjunto de elementos de hardware, software, datos y personas que permiten el almacenamiento, procesamiento y transmisión de información. Todos los elementos de un sistema informático son vulnerables:

·         Hardware: aislamiento de CPD, sistemas contra incendios, SAIs, etc.

·         Software: bombas lógicas, caballos de Troya, gusanos, virus, etc.

·         Personas que trabajan en la administración de los CPD, en la gestión de los sistemas de comunicaciones, etc.

·         Datos: son los ataques más sencillos de practicar y, por lo tanto, donde más se necesita la aplicación de políticas de seguridad

Criterios de seguridad

El Information Technology Security Evaluation Criteria (ITSEC) define los siguientes criterios de seguridad:

·         Secreto o confidencialidad: la información debe estar disponible solamente para aquellos usuarios autorizados para tenerla.

·         Integridad: la información no se puede falsear. Los datos recibidos(o recuperados) son los mismos que fueron enviados(o almacenados), etc.

·         Accesibilidad o disponibilidad: ¿quién y cuándo puede acceder a la información? La falta de accesibilidad produce una denegación de servicio, que es uno de los ataques más frecuentes en Internet.

·         Autenticidad: asegurar el origen y el destino de la información.

·         No repudio: cualquier entidad que envía o recibe datos no puede alegar desconocer el hecho. Los dos criterios anteriores son especialmente importantes en el entorno bancario y de comercio electrónico.

Más criterios relacionados

1. ·         Consistencia: asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados.
2. ·         Aislamiento: impedir que personas no autorizadas entren en el sistema.
3. ·         Auditoría: capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema y quién y cuándo las han llevado a cabo.
4. ·         Prevención: los usuarios deben saber que sus actividades quedan registradas.
5. ·         Información: posibilidad de detectar comportamientos sospechosos.

Aspectos negativos

1. ·         Vulnerabilidad: punto o aspecto del sistema que es susceptible a ser atacado. Equivale al conjunto de debilidades del sistema.
2. ·         Amenazas o ataques (Threats): posible peligro del sistema. Pueden provenir de personas (hackers, crackers), de programas, de sucesos naturales. Equivalen a los factores que se aprovechan de las debilidades del sistema.
3. ·         Contramedidas: técnicas de protección del sistema contra las amenazas. La seguridad informática se encarga de identificar las vulnerabilidades del sistema y establecer las contramedidas necesarias para intentar evitarlas. No existe ningún sistema absolutamente seguro.

Tipos de vulnerabilidad

Algunos tipos de vulnerabilidad pueden ser:

1. ·         Natural: desastres naturales o ambientales.
2. ·         Física: acceso físico a los equipos informáticos o a los medios de transmisión.
3. ·         Lógica: programas o algoritmos que puedan alterar el almacenamiento, acceso, transmisión, etc.
4. ·         Humana: las personas que administran y utilizan el sistema constituyen la mayor vulnerabilidad del sistema. Toda la seguridad del sistema descansa sobre el administrador o administradores. Los usuarios también suponen un gran riesgo.

Tipos de ataques

1. ·         Interrupción: destruye información o la inutiliza. Ataca la accesibilidad o disponibilidad.
2. ·         Intercepción: una parte no autorizada obtiene acceso a un bien. Ataca la confidencialidad.
3. ·         Modificación: una parte no autorizada modifica el bien. Ataque a la integridad.
4. ·         Fabricación: falsifica la información. Ataca la autenticidad.

Puedes consultar el archivo original aqui: http://campus.usal.es/~derinfo/Activ/Jorn02/Pon2002/LARyALSL.pdf

O consultarlo desde mi archivo en Drive: https://drive.google.com/open?id=0B3WDUdxn_dKyVEc3QnNhY2RUYnc