SERVICIOS DE LA SEGURIDAD DE LA INFORMACIÓN

Confidencialidad

Servicio de seguridad o condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. También puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él.

Mecanismos para salvaguardar la confidencialidad de los datos:

El uso de técnicas de control de acceso a los sistemas. El cifrado de la información confidencial o de las comunicaciones.

Autenticación

Es el servicio que trata de asegurar que una comunicación sea auténtica, es decir, verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos también sean correctos.

Algunos métodos de autenticación son:

Biomédicas, por huellas dactilares, retina del ojo, etc.

Tarjetas inteligentes que guardan información de los certificados de un usuario

Métodos clásicos basados en contraseña:

o Comprobación local o método tradicional en la propia máquina

o Comprobación en red o método distribuido, más utilizado actualmente

Integridad

Servicio de seguridad que garantiza que la información sea modificada, incluyendo su creación y borrado, sólo por el personal autorizado.

El sistema no debe modificar o corromper la información que almacene, o permitir que alguien no autorizado lo haga. El problema de la  integridad no sólo se refiere a modificaciones intencionadas, sino también a cambios accidentales.

No repudio

El no repudio sirve a los emisores o a los receptores para negar un mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor puede probar que el mensaje fue enviado por el presunto emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el presunto receptor.

Control de Acceso

Un control de acceso se ejecuta con el fin de que un usuario sea identificado y autenticado de manera exitosa para que entonces le sea permitido el acceso.

Los componentes básicos de un mecanismo de control de acceso son las entidades de red, los recursos de la red y los derechos de acceso. Estos últimos describen los privilegios de la entidad o los permisos con base en qué condiciones las entidades pueden tener acceso a un recurso de la red y cómo estas entidades son permitidas para tener acceso a un recurso de la red.

El control de acceso puede ejecutarse de acuerdo con los niveles de seguridad y puede ejecutarse mediante la administración de la red o por una entidad individual de acuerdo con las políticas de control de acceso.

Disponibilidad

En un entorno donde las comunicaciones juegan un papel importante es necesario asegurar que la red esté siempre disponible.

La disponibilidad es un servicio que garantiza que los usuarios autorizados tengan acceso a la información y a otros activos de información asociados en el lugar, momento y forma en que es requerido. Un sistema seguro debe mantener la información disponible para los usuarios. El sistema, tanto hardware como software, debe mantenerse funcionando eficientemente y ser capaz de recuperarse rápidamente en caso de fallo.

Amenazas

Una amenaza se representa a través de una persona, una circunstancia o evento, un fenómeno o una idea maliciosa, las cuales pueden provocar daño en los sistemas de información, produciendo pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación, un fallo eléctrico o una organización criminal o terrorista. Así, una amenaza es todo aquello que intenta o pretende destruir.

Amenazas Red

Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación provocando la no disponibilidad de la red. Otro factor es la desconexión del canal.

Amenazas Lógica

Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación provocando la no disponibilidad de la red. Otro factor es la desconexión del canal.

La amenaza se hace presente cuando un diseño bien elaborado de un mecanismo de seguridad se implementa mal, es decir, no cumple con las especificaciones del diseño. La comunicación entre procesos puede resultar una amenaza cuando un intruso utilice una aplicación que permita evitar y recibir información, ésta podría consistir en enviar contraseñas y recibir el mensaje de contraseña válida; dándole al intruso elementos para un posible ataque.

Los tipos de códigos maliciosos más comunes son: caballos de Troya, virus, gusanos, bombas de tiempo y keyloggers.

1. Caballos de Troya Es un programa aparentemente útil que contiene funciones escondidas y además pueden explotar los privilegios de un usuario dando como resultado una amenaza hacia la seguridad.

Amenazas Fenómenos naturales que provocan desastres

Los diferentes fenómenos naturales que provocan desastres representan uno de los riesgos más fuertes y debido a la existencia de éstos se convierte en una de las razones por la cuales deben desarrollarse planes de contingencia y aplicarse medidas en pro de la seguridad de la información.

Geológicos

Tienen sus orígenes en la actividad de las placas tectónicas y fallas continentales y regionales que cruzan y circundan a la República Mexicana.

Como son:

Sismos Vulcanismo Colapso de suelos Hundimiento regional y agrietamiento Algunas consecuencias de los sismos y erupciones tales como maremotos (tsunami)

y lahares.

Auditabilidad:

“trazabilidad” permite registrar y monitorizar la utilización de los distintos recursos por parte de los usuarios que han sido previamente autorizados.

Ejemplo: utilizar programas que auditen lo que queremos saber para tener la información necesaria.

Políticas de Seguridad

Las políticas de seguridad informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la compañía desarrollarse y mantenerse en su sector de negocios.

De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

Dentro de esta secció se revisarán los siguientes puntos:

1. Definición de Política 2. Criterios de las OCDE 3. Postura 4. Beneficios

5. Proceso del Diseño de Políticas 6. Algunas políticas necesarias 7. Restricciones a las políticas 8. Procedimientos 9. Modelos de Seguridad 10. Problemas al implantar las políticas de seguridad

- Definición de Política

La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma.

Criterios de las OCDE

La OCDE considera que los elementos de las políticas son:

Concienciación

Los participantes deberán ser conscientes de la necesidad de contar con sistemas y redes de información seguros, y tener conocimiento de los medios para ampliar la seguridad.

El conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia, es el primer paso en la defensa de la seguridad de los sistemas y redes de información.

Postura:

La confianza es el principio básico que rige el desarrollo de políticas. Lo primero es determinar quién tiene privilegios, y hay que usar el principio del mínimo privilegio posible. Hay que tener cuidado en que tanto se confía en el personal. Se otorgan privilegios a medida que se necesitan y se requieren controles técnicos para asegurar que no se den violaciones.

Beneficios

Las políticas de seguridad informática muchas veces ayudan a tomar decisiones sobre otros tipos de política (propiedad intelectual, destrucción de la información, etc.). También son útiles al tomas decisiones sobre adquisiciones porque algunos equipos o programas no serán aceptables en términos de las políticas mientras que otras la sustentaran.

Proceso del Diseño de Políticas

Las políticas promulgadas deben escribirse en párrafos que sean, cada uno por separado, implementarles mediante un mecanismo específico. Es decir, hay que procurar pensar claramente en la conveniencia de que las políticas sean sumamente específicas, si esto se puede lograr, es deseable fragmentar las políticas por departamento o unidad de trabajo.

Algunas políticas necesarias

Políticas de uso aceptable

Determina que se puede hacer con los recursos de cómputo (equipo y datos) de la organización. También determinan lo que no se puede hacer con esos recursos.

Políticas de cuentas de usuario

Determina el procedimiento que hay que seguir para adquirir privilegios de usuarios en uno o más sistemas de información y la vigencia de estos derechos.

RECLAMACIÓN DE ORIGEN

Mediante este servicio permite probar quien ha sido el creador de un determinado mensaje o documento.

RECLAMACIÓN DE PROPIEDAD

Este servicio permite probar que un determinado documento o contenido digital pertenece a un determinado usuario.

ANONIMATO EN EL USO DE LOS SERVICIOS

A veces es necesario mantener el anonimato de los usuarios que acceden a los recursos pero este servicio puede entrar en conflicto con otros ya mencionados como la autenticación o la auditoría de acceso.

Redyseguridad.fi-p.unam.mx, (2016). .:: Seguridad Informática ::.. [online] Available at: http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/RestriccionesPoliticas.php [Accessed 9 Feb. 2016].

Anon, (2016). [online] Available at: http://www.fsc.ccoo.es/comunes/recursos/99922/doc28596_Seguridad_informatica.pdf [Accessed 9 Feb. 2016].