viernes, 23 de octubre de 2015

"Seguridad Informática"

¿Qué es?
 
La Seguridad de la Información se define como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información. Es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante.
 
¿En qué consiste?
 
La seguridad informática consiste en la protección de información en un sistema computacional. Esta es estructurada para que únicamente puedan acceder a dicha información unas entidades autorizadas determinadas, y así no pueda ser manipulada/utilizada por sujetos no aptos. (ladrones de información, novatos en el área, etc.)
 
 
 
Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas .

Bases de la Seguridad Informática

Fiabilidad

Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”.
Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla mas bien de fiabilidad del sistema, que, en realidad es una relajación del primer término.
Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él.
En general, un sistema será seguro o fiable si podemos garantizar tres aspectos:
  • Confidencialidad: acceso a la información solo mediante autorización y de forma controlada.
  • Integridad: modificación de la información solo mediante autorización.
  • Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.

Confidencialidad

En general el término 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas."
En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información.

Integridad

En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes." y relativo a personas "Recta, proba, intachable.".
En términos de seguridad de la información, la integridad hace referencia a la la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información.
La integridad hace referencia a:
  • la integridad de los datos (el volumen de la información)
  • la integridad del origen (la fuente de los datos, llamada autenticación)

Disponibilidad

En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para usarse o utilizarse."
En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.
En términos de seguridad informática “un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados”. Es decir, un sistema es disponible si permite no estar disponible.
Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)