INFORMÁTICA BÁSICA: NOCIONES BÁSICAS DE
SEGURIDAD INFORMÁTICA.
1. NOCIONES BÁSICAS DE SEGURIDAD INFORMÁTICA
El problema de la seguridad de los Sistema de Información surge por la existencia
de RIESGOS RELATIVOS A LA PÉRDIDA O EXPOSICIÓN INCONTROLADA DE LOS
DATOS que dichos sistemas almacenan.
1.1. INTRODUCCIÓN Y DEFINICIONES
Por Seguridad Informática se entiende un conjunto de técnicas y
procedimientos que garantiza:
- Disponibilidad de la información.
- Integridad del sistema: Utilización de la información más actualizada,
exacta etc.
- Confidencialidad de los datos.
- Responsabilidad: los usuarios son los responsables de las acciones que
realizan.
- Auditabilidad: Estadísticas sobre aspectos como entradas al sistema, uso
de recursos etc.
- Usabilidad: No deben existir restricciones inaceptables a los usuarios.
Otros servicios más avanzados y específicos aplicables a documentos y
transacciones son:
- Servicios de no repudio: Impiden que una persona niegue haber recibido
un documento. (Firma electrónica).
- Reclamación de origen: Contrapartida del servicio anterior: Permite
probar quién es el creador de un determinado documento.
- Reclamación de propiedad: Determina la propiedad de un determinado
documento.
- Intercambio equitativo de valores: Muy importante en aquellas
operaciones comerciales o mercantiles en las que la cesión de un
documento por una de las partes supone la recepción de otro documento
a cambio.
- Certificación de fechas: En las comunicaciones electrónicas este servicio
es el equivalente al certificado de fecha y/u hora a la que se ha realizado
o entregado un determinado documento.
La seguridad informática se puede estudiar bajo dos aspectos, ambos muy
relacionados y compartiendo objetivos y presupuestos:
- Seguridad física: Conjunto de mecanismos y normas encaminados a la
protección de las personas, las instalaciones, los equipos y los elementos
de comunicaciones.
- Seguridad lógica: Conjunto de operaciones y técnicas orientadas a la
protección de la información contra la destrucción, la modificación, la
divulgación indebida o el retraso en su gestión.
A continuación, se exponen las tareas necesarias para alcanzar una buena
política de seguridad:
1
, - Análisis de riesgos: Consiste en la determinación exhaustiva y
cuantitativa de los riesgos a los que está expuesta una organización.
- Análisis de criticidad: Define un ranking de elementos críticos según el
impacto que su malfuncionamiento causaría en la operatividad general
del sistema.
- Niveles aceptables de seguridad: Equilibrio entre las técnicas a emplear
y su coste frente a los beneficios a obtener. Por tanto, PARA CADA
RIESGO hay que CUANTIFICAR los DAÑOS que puede OCASIONAR y SUS
COSTES, así como los costes de implantación y mantenimiento de las
técnicas apropiadas para evitar el riesgo.
- Elección de medidas: Selección de las medidas de seguridad que
permitan alcanzar los objetivos fijados, con dos aspectos fundamentales:
* Prevención: Minimizan la probabilidad de ocurrencias de
incidentes.
* Corrección: Reducen los daños cuando ocurre un riesgo.
1.2. RIESGOS Y AMENAZAS.
1.2.1. AMENAZAS. Existen cuatro categorías generales de agresión a la
seguridad de un sistema informático:
o Interrupción: Agresión de DISPONIBILIDAD. Ejemplos:
destrucción de un disco duro, ruptura de una línea de
comunicación, etc.
o Intercepción: Agresión a la CONFIDENCIALIDAD.
o Modificación: Esta es una agresión a la INTEGRIDAD.
o Fabricación: Esta es una agresión a la AUTENTICIDAD.
1.2.2. RIESGOS NO INTENCIONADOS
o Desastres naturales e incendios.
o Averías en los equipos informáticos.
o Averías en las instalaciones eléctricas o interrupciones en el
suministro.
o Averías de climatización.
o Perturbaciones electromagnéticas.
o Errores en la introducción, transmisión y utilización de los datos
etc.
1.2.3. RIESGOS INTENCIONADOS.
o Fraudes.
o Sabotajes.
o Sustracción de algún elemento del Sistema.
o Huelga y marcha de personal estratégico.
o Difusión o salida incontrolada de información al exterior.
Frente a los RIESGOS potenciales expuestos se pueden ADOPTAR las
POSTURAS:
o Aceptar el riesgo.
o Transferir el riesgo contratando seguros.
o Evitar el riesgo mediante la elaboración puesta en marcha de un
Plan de Seguridad Informática.
2
SEGURIDAD INFORMÁTICA.
1. NOCIONES BÁSICAS DE SEGURIDAD INFORMÁTICA
El problema de la seguridad de los Sistema de Información surge por la existencia
de RIESGOS RELATIVOS A LA PÉRDIDA O EXPOSICIÓN INCONTROLADA DE LOS
DATOS que dichos sistemas almacenan.
1.1. INTRODUCCIÓN Y DEFINICIONES
Por Seguridad Informática se entiende un conjunto de técnicas y
procedimientos que garantiza:
- Disponibilidad de la información.
- Integridad del sistema: Utilización de la información más actualizada,
exacta etc.
- Confidencialidad de los datos.
- Responsabilidad: los usuarios son los responsables de las acciones que
realizan.
- Auditabilidad: Estadísticas sobre aspectos como entradas al sistema, uso
de recursos etc.
- Usabilidad: No deben existir restricciones inaceptables a los usuarios.
Otros servicios más avanzados y específicos aplicables a documentos y
transacciones son:
- Servicios de no repudio: Impiden que una persona niegue haber recibido
un documento. (Firma electrónica).
- Reclamación de origen: Contrapartida del servicio anterior: Permite
probar quién es el creador de un determinado documento.
- Reclamación de propiedad: Determina la propiedad de un determinado
documento.
- Intercambio equitativo de valores: Muy importante en aquellas
operaciones comerciales o mercantiles en las que la cesión de un
documento por una de las partes supone la recepción de otro documento
a cambio.
- Certificación de fechas: En las comunicaciones electrónicas este servicio
es el equivalente al certificado de fecha y/u hora a la que se ha realizado
o entregado un determinado documento.
La seguridad informática se puede estudiar bajo dos aspectos, ambos muy
relacionados y compartiendo objetivos y presupuestos:
- Seguridad física: Conjunto de mecanismos y normas encaminados a la
protección de las personas, las instalaciones, los equipos y los elementos
de comunicaciones.
- Seguridad lógica: Conjunto de operaciones y técnicas orientadas a la
protección de la información contra la destrucción, la modificación, la
divulgación indebida o el retraso en su gestión.
A continuación, se exponen las tareas necesarias para alcanzar una buena
política de seguridad:
1
, - Análisis de riesgos: Consiste en la determinación exhaustiva y
cuantitativa de los riesgos a los que está expuesta una organización.
- Análisis de criticidad: Define un ranking de elementos críticos según el
impacto que su malfuncionamiento causaría en la operatividad general
del sistema.
- Niveles aceptables de seguridad: Equilibrio entre las técnicas a emplear
y su coste frente a los beneficios a obtener. Por tanto, PARA CADA
RIESGO hay que CUANTIFICAR los DAÑOS que puede OCASIONAR y SUS
COSTES, así como los costes de implantación y mantenimiento de las
técnicas apropiadas para evitar el riesgo.
- Elección de medidas: Selección de las medidas de seguridad que
permitan alcanzar los objetivos fijados, con dos aspectos fundamentales:
* Prevención: Minimizan la probabilidad de ocurrencias de
incidentes.
* Corrección: Reducen los daños cuando ocurre un riesgo.
1.2. RIESGOS Y AMENAZAS.
1.2.1. AMENAZAS. Existen cuatro categorías generales de agresión a la
seguridad de un sistema informático:
o Interrupción: Agresión de DISPONIBILIDAD. Ejemplos:
destrucción de un disco duro, ruptura de una línea de
comunicación, etc.
o Intercepción: Agresión a la CONFIDENCIALIDAD.
o Modificación: Esta es una agresión a la INTEGRIDAD.
o Fabricación: Esta es una agresión a la AUTENTICIDAD.
1.2.2. RIESGOS NO INTENCIONADOS
o Desastres naturales e incendios.
o Averías en los equipos informáticos.
o Averías en las instalaciones eléctricas o interrupciones en el
suministro.
o Averías de climatización.
o Perturbaciones electromagnéticas.
o Errores en la introducción, transmisión y utilización de los datos
etc.
1.2.3. RIESGOS INTENCIONADOS.
o Fraudes.
o Sabotajes.
o Sustracción de algún elemento del Sistema.
o Huelga y marcha de personal estratégico.
o Difusión o salida incontrolada de información al exterior.
Frente a los RIESGOS potenciales expuestos se pueden ADOPTAR las
POSTURAS:
o Aceptar el riesgo.
o Transferir el riesgo contratando seguros.
o Evitar el riesgo mediante la elaboración puesta en marcha de un
Plan de Seguridad Informática.
2
