Conceptos de Seguridad. CONFIDENCIALIDAD

CONCEPTOS GENERALES

Se puede entender el acceso como el flujo de información entre un sujeto y un objeto. Un sujeto es una entidad activa que requiere acceso a un objeto. La situación más común es que un sujeto sea una persona, un usuario, pero también se puede tratar de un programa o un proceso que requiere información para ejecutar una tarea. Un objeto es una entidad pasiva que contiene información. Un objeto puede ser un computador, un archivo, una base de datos, un directorio, etc.

El control de acceso es una forma amplia de identificar diversos mecanismos orientados a establecer el control sobre recursos de redes y sistemas. El control de acceso proporciona la habilidad de controlar, restringir, monitorear y proteger la confidencialidad, integridad y disponibilidad de los recursos.

PRINCIPIOS DE SEGURIDAD

Los tres principios de seguridad para cualquier tipo de control son confidencialidad, integridad y disponibilidad. Estos principios conforman uno de los conceptos fundamentales en la seguridad de la información: la triada CIA (Confidentiality, Integrity and Availability).

CONFIDENCIALIDAD

Es la condición por la que la información no es divulgada a individuos, programas o procesos no autorizados. Como alguna información es más sensible que otra, se requieren diferentes niveles de confidencialidad. Es necesario que los mecanismos de control de acceso controlen qué usuarios pueden conocer la información disponible. Se preocupa de prevenir la divulgación no autorizada de información, ya sea intencional o accidentalmente, la confidencialidad de la información es cada vez más importante, si no es la información de los clientes, es la información de la corporación o empresa. Las leyes determinan un mínimo de protección para piezas específicas de información como los registros médicos, números de tarjetas de crédito y números de cuentas de los bancos. El asegurar que sólo las personas apropiadas tengan acceso a la información necesaria para realizar su trabajo o que posean los mínimos accesos necesarios es primordial, debido a que una falla en estos puntos puede comprometer la confidencialidad de la información y hasta la productividad del negocio

INTEGRIDAD

La estructura básica de un sistema debe tener la "habilidad" para asegurar la exactitud y confiabilidad del sistema en sí. El sistema en su totalidad (software, hardware y comunicaciones) debe ser capaz de mantener y procesar los datos en forma correcta. Además, debe asegurar que el tráfico (transacciones, solicitudes, comandos, etc.) del origen al destino debe estar sin ninguna modificación no autorizada. Para que la información tenga algún valor y pueda ayudar a producir un producto de calidad, los datos deben estar protegidos de modificaciones inadvertidas o no autorizadas. De esta manera la integridad de la información debe ser de alta calidad. Si la autenticidad de la información esta en duda, la integridad esta comprometida. Por lo tanto la integridad es el principio que se refiere a mantener la información precisa, completa y protegida de modificaciones no autorizadas tanto en la transmisión como en el almacenamiento.

DISPONIBILIDAD

Una organización maneja gran cantidad de información y para que esta información ayude efectivamente en los procesos de producción, la información debe estar disponible y debe ser útil en el momento en que sea requerida. Esto incluye el concepto de utilidad, o que la información debe tener la cualidad o condición de ser útil. Es importante destacar entonces que sólo estar disponible no es suficiente. El sistema debe poseer una respuesta eficiente y una capacidad adecuada para soportar un tiempo de respuesta aceptable. Debe ser capaz de recobrarse rápidamente de interrupciones de corto o largo plazo. La prevención es la mayor importancia. Se deben evitar los puntos únicos de falla, así como la dependencia a rutas de comunicación únicas. Evitar la sobrecarga de la red

durante periodos de comunicación de alto tráfico. Por último, se debe proveer un ambiente de respaldo para reducir cualquier otro peligro. Por lo tanto la disponibilidad es poseer la información en el momento oportuno a la toma de decisiones.

ACCESO

Acceso se define como la habilidad para hacer algo (usar, modificar o consultar) con los recursos de tecnologías de la Información disponibles y el control de acceso es el medio por el cual de alguna manera, esta habilidad es explícitamente habilitada o restringida. Los controles de acceso basados en un host o terminal de computación pueden no solamente prescribir quién o qué proceso puede tener acceso a un recurso especifico, sino que también especificar el tipo de acceso permitido. Estos controles pueden ser implantados en el mismo sistema de información o mediante la utilización en dispositivos externos.

El control de acceso, de una u otra manera, es considerado por la mayoría de los profesionales de seguridad informática, la piedra angular de todos los proyectos de seguridad. Los distintos aspectos, físicos, técnicos y administrativos de los mecanismos de control de acceso, trabajan unidos para construir la arquitectura de seguridad, principal fundamento en la protección de los activos de información sensibles y críticos para una organización. Los conceptos fundamentales en el control de acceso se presentan en el esquema siguiente:

IDENTIFICACIÓN Y AUTENTICACIÓN

Identificación y autenticación son dos conceptos de gran importancia en la definición de las medidas de protección a adoptar. Se debe comprender la diferencia y su uso a través de toda la arquitectura de seguridad. Identificación es el proceso de reconocer quién

...