Bases de la seguridad informática

Fiabilidad

“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él” (Eugene Spafford).

Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla más bien de Fiabilidad del sistema.

 Fiabilidad se define como la probabilidad de que un sistema se comporte tal y como se espera de él.

En general, un sistema será seguro o fiable si podemos garantizar tres aspectos:

  • Confidencialidad: Prevenir la divulgación no autorizada de la información.
  • Integridad: Prevenir modificaciones no autorizadas de la información.
  • Disponibilidad: Prevenir interrupciones no autorizadas/controladas de los recursos informáticos.

Las interpretaciones de estos tres aspectos varían, según los contextos en que se desenvuelven. La interpretación de un aspecto en un ambiente dado dependerá de las necesidades de las personas, costumbres y/o normas de la organización particular.

Confidencialidad

En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.

Objetivo de la confidencialidad

Prevenir la divulgación no autorizada de la información.

En general, cualquier empresa pública o privada y de cualquier ámbito de actuación, requiere que cierta información no sea accedida por diferentes motivos. Uno de los ejemplos más típicos es el del ejército de un país. Además, es sabido que los logros más importantes en materia de seguridad siempre van ligados a temas estratégicos militares.

Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes.

Pero, incluso en esta circunstancia existe un dato sensible que hay que proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado pueda descifrar la información recibida. En función del tipo de mecanismo de encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseñadas para ello. Si se produce esta situación la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida. 

Integridad

En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.

Objetivo de la integridad

Prevenir modificaciones no autorizadas de la información.

La integridad hace referencia a:

  • la integridad de los datos (el volumen de la información).
  • la integridad del origen (la fuente de los datos, llamada autenticación).

Es importante hacer hincapié en la integridad del origen, ya que puede afectar a su exactitud, credibilidad y confianza que las personas ponen en la información.

A menudo ocurre que al hablar de integridad de la información no se da en estos dos aspectos.

Por ejemplo, cuando un periódico difunde una información cuya fuente no es correcta, podemos decir que se mantiene la integridad de la información ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa información errónea no se está manteniendo la integridad del origen, ya que la fuente no es correcta.

Disponibilidad

En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados.

Objetivo de la disponibilidad

Prevenir interrupciones no autorizadas/controladas de los recursos informáticos. 

En términos de seguridad informática un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados. Es decir, un sistema es disponible si permite no estar disponible.

Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Resumen

La seguridad consiste en mantener el equilibrio adecuado entre estos tres factores (confidencialidad, integridad y disponibilidad). No tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador/root pueda acceder a él, ya que se está negando la disponibilidad.

Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la información frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda eliminarla no podrá conocer su contenido y reponer dicha información será tan sencillo como recuperar una copia de seguridad (si las cosas se están haciendo bien).

En ambientes bancarios es prioritaria siempre la integridad de la información frente a la confidencialidad o disponibilidad. Se considera menos lesivo que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.

Información

En la carpeta de Guías de la UD1 hay disponible un articulo (Seguridad.pdf) sobre Seguridad Informática publicado por el ITI (UPV) que, a pesar de tener ya algún tiempo, es interesante su lectura.