Seguridad De La Información

Introducción a la Seguridad de la Información

Tipos de Seguridad Informática

La seguridad informática se clasifica en:

• Seguridad física: Trata de proteger el Hardware (cableado, equipo, etc.) de cualquier tipo de accidente o desastre, desde robos hasta terremotos.

• Seguridad Lógica: Protege el software de los equipos informáticos, aplicaciones y datos como contraseñas e información personal; de robos, pérdida de datos, etc.

• Seguridad Activa: Es el conjunto de medidas que previenen e intentan evitar los daños a los sistemas informáticos. Ejemplos: Uso de contraseñas, Listas de control de acceso, Encriptación, Cuotas de disco, Firmas y certificados digitales, etc.

• Seguridad Pasiva: Complementa a la seguridad activa y se encarga de minimizar los daños en caso de que haya algún fallo. Ejemplos: Conjuntos de discos redundantes, SAIs, Copias de seguridad.

Conceptos Básicos

Disponibilidad

Permite que la información esté accesible a los usuarios de la misma.

Integridad

Mantiene la información libre de modificaciones realizadas por personal no autorizado.

Confidencialidad

Garantiza el uso de la información sólo por personal autorizado.

Control de Acceso

Conjunto de dispositivos software o hardware que interactúan entre sí, para permitir o restringir la apertura de cualquier tipo de software o hardware.

Políticas de seguridad

Una política de seguridad es un plan que se basa en prioridades. Estas prioridades se apoyan en jerarquías de importancia, empezando desde lo menos importante a proteger y terminando en lo más sensible. Las prioridades no consisten únicamente en ataques, sino que abarcan todo tipo de rubros relacionados, por ejemplo: hardware, software, información, recursos y personas.

Para armar una política de seguridad, es necesario seguir los pasos que se expresan a continuación:

1.- Determinar qué es lo que se desea proteger y cuáles son las propiedades de los elementos. Por ejemplo, una comunicación contra un servidor puede estar autenticada. Es por ello que no se le da mucha importancia, por tanto, la seguridad de dicho mecanismo para llegar a destino va a ser baja debido a que el túnel por donde viaja ya tiene seguridad propia. Pero los elementos a los cuales acceden tal vez tienen otra vía para ser vistos, o por las propiedades de lectura/escritura/ejecución hace que el nivel de seguridad por el cual acceden se convierta en inconducente.

2.- Saber de quién hay que protegerse. Si bien el grado de paranoia dependerá de cuán importante sea la empresa y qué tan sensible sea la información, no se debe olvidar que lo primordial es el cómo. Podemos poner un muro frente a la PC para que no espíen, pero si no sabemos que hay gente que sabe trepar, jamás entenderemos cómo proteger nuestra red. Al no saber con certeza quién será nuestro atacante, usamos una técnica efectiva: las restricciones. Por ejemplo, a nuestro ejecutivo de cuentas sólo le damos privilegios para ver los archivos que necesita, ni más ni menos, y si precisa otra información, deberá seguir un procedimiento para obtenerla.

3.- El tercer paso a considerar es el riesgo. Aquí tiene mucha importancia el enfoque que se utilice. Es en vano preocuparse por la seguridad de la BD de clientes, si a éstos no les damos la seguridad necesaria para que crean que la empresa es segura.

4.- Implementar medidas de seguridad para proteger los recursos de la empresa: firewalls, ids, reglas de caducidad de contraseñas, encriptación, etc., son ejemplos de métodos de protección.

5.- El último paso es el de mejorar, es decir, hacer que un recurso de la empresa funcione en forma más eficiente. Para saber en qué momento un recurso tiene fallas o si salió al mercado una versión

...