SEGURIDAD
INFORMATICA
La seguridad informática es
una disciplina que se encarga de proteger la integridad
y la privacidad de la información almacenada en un sistema
informático. De todas formas, no existe ninguna técnica que
permita asegurar la inviolabilidad de un sistema.
Debido a que el uso
de Internet se encuentra en aumento, cada vez más compañías permiten a sus
socios y proveedores acceder a sus sistemas de información. Por lo tanto, es
fundamental saber qué recursos de la compañía necesitan protección para así
controlar el acceso al sistema y los derechos de los usuarios del sistema de
información. Los mismos procedimientos se aplican cuando se permite el acceso a
la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un
estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse
a los sistemas de información casi desde cualquier lugar, se pide a los
empleados que lleven consigo parte del sistema de información fuera de la
infraestructura segura de la compañía.
INTRODUCCION A LA
SEGURIDAD
Objetivos de la
seguridad informática
Generalmente, los sistemas de información incluyen
todos los datos de una compañía y también en el material y los recursos de
software que permiten a una compañía almacenar y hacer circular estos datos.
Los sistemas de información son fundamentales para las compañías y deben ser
protegidos.
Generalmente, la seguridad informática consiste en
garantizar que el material y los recursos de software de una organización se
usen únicamente para los propósitos para los que fueron creados y dentro del
marco previsto.
La seguridad informática se resume, por lo general,
en cinco objetivos principales:
·
Integridad: garantizar que
los datos sean los que se supone que son
·
Confidencialidad: asegurar que sólo
los individuos autorizados tengan acceso a los recursos que se intercambian
·
Disponibilidad: garantizar el
correcto funcionamiento de los sistemas de información
·
Evitar el rechazo: garantizar de que
no pueda negar una operación realizada.
Confidencialidad
La confidencialidad consiste en
hacer que la información sea ininteligible para aquellos individuos que no
estén involucrados en la operación.
Integridad
La verificación de la integridad de los datos
consiste en determinar si se han alterado los datos durante la transmisión
(accidental o intencionalmente).
Disponibilidad
No repudio
Evitar el repudio de
información constituye la garantía de que ninguna de las partes involucradas
pueda negar en el futuro una operación realizada.
Autenticación
La autenticación consiste en la confirmación de la
identidad de un usuario; es decir, la garantía para cada una de las partes de
que su interlocutor es realmente quien dice ser. Un control de acceso permite
(por ejemplo gracias a una contraseña codificada) garantizar el acceso a
recursos únicamente a las personas autorizadas.
Necesidad de un
enfoque global
Frecuentemente, la seguridad de los sistemas de
información es objeto de metáforas. A menudo, se la compara con una cadena,
afirmándose que el nivel de seguridad de un sistema es efectivo únicamente si
el nivel de seguridad del eslabón más débil también lo es. De la misma forma,
una puerta blindada no sirve para proteger un edificio si se dejan las ventanas
completamente abiertas.
Lo que se trata de demostrar es que se debe
afrontar el tema de la seguridad a nivel global y que debe constar de los
siguientes elementos:
·
Concienciar a los usuarios acerca de
los problemas de seguridad
·
Seguridad lógica, es decir, la
seguridad a nivel de los datos, en especial los datos de la empresa, las
aplicaciones e incluso los sistemas operativos de las compañías.
·
Seguridad en las telecomunicaciones:
tecnologías de red, servidores de compañías, redes de acceso, etc.
·
Seguridad física, o la
seguridad de infraestructuras materiales: asegurar las habitaciones, los
lugares abiertos al público, las áreas comunes de la compañía, las estaciones
de trabajo de los empleados, etc.
Cómo implementar
una política de seguridad
Generalmente, la seguridad de los sistemas
informáticos se concentra en garantizar el derecho a acceder a datos y recursos
del sistema configurando los mecanismos de autentificación y control que
aseguran que los usuarios de estos recursos sólo posean los derechos que se les
han otorgado.
Los mecanismos de seguridad pueden, sin embargo,
causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las
reglas se vuelven cada vez más complicadas a medida que la red crece. Por
consiguiente, la seguridad informática debe estudiarse de modo que no evite que
los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de
información en forma segura.
Por esta razón, uno de los primeros pasos que debe
dar una compañía es definir una política de seguridad que
pueda implementar en función a las siguientes cuatro etapas:
·
Identificar las necesidades de
seguridad y los riesgos informáticos que enfrenta la compañía, así como sus
posibles consecuencias
·
Proporcionar una perspectiva general
de las reglas y los procedimientos que deben implementarse para afrontar los
riesgos identificados en los diferentes departamentos de la organización
·
Controlar y detectar las
vulnerabilidades del sistema de información, y mantenerse informado acerca de
las falencias en las aplicaciones y en los materiales que se usan
·
Definir las acciones a realizar y las
personas a contactar en caso de detectar una amenaza
La política de seguridad comprende todas las reglas
de seguridad que sigue una organización (en el sentido general de la palabra).
Por lo tanto, la administración de la organización en cuestión debe encargarse
de definirla, ya que afecta a todos los usuarios del sistema.
En este sentido, no son sólo los administradores de
informática los encargados de definir los derechos de acceso sino sus
superiores. El rol de un administrador de informática es el de asegurar que los
recursos de informática y los derechos de acceso a estos recursos coincidan con
la política de seguridad definida por la organización.
Es más, dado que el/la administrador/a es la única
persona que conoce perfectamente el sistema, deberá proporcionar información
acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes
toman las decisiones con respecto a las estrategias que deben implementarse, y
constituir el punto de entrada de las comunicaciones destinadas a los usuarios
en relación con los problemas y las recomendaciones de seguridad.
La seguridad informática de una compañía depende de
que los empleados (usuarios) aprendan las reglas a través de sesiones de
capacitación y de concientización. Sin embargo, la seguridad debe ir más allá
del conocimiento de los empleados y cubrir las siguientes áreas:
·
Un mecanismo de seguridad física y
lógica que se adapte a las necesidades de la compañía y al uso de los empleados
·
Un procedimiento para administrar las
actualizaciones
·
Un plan de recuperación luego de un
incidente
Las causas de
inseguridad
Generalmente, la inseguridad se puede dividir en
dos categorías:
·
Un estado de inseguridad activo; es decir, la
falta de conocimiento del usuario acerca de las funciones del sistema, algunas
de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar
los servicios de red que el usuario no necesita)
·
Un estado de inseguridad pasivo; es decir, la
falta de conocimiento de las medidas de seguridad disponibles (por ejemplo,
cuando el administrador o usuario de un sistema no conocen los dispositivos de
seguridad con los que cuentan)
BIBLIOGRAFIA
Definición de
seguridad informática - Qué es, Significado y Concepto http://definicion.de/seguridad-informatica/#ixzz3obbd2aqD
No hay comentarios:
Publicar un comentario