Los
principales objetivos de la Seguridad Informática son:
-
Detectar los posibles problemas y amenazas a la seguridad,
minimizando y gestionando los riesgos.
-
Garantizar la adecuada utilización de los recursos y de las
aplicaciones de los sistemas.
-
Limitar las pérdidas y conseguir la adecuada recuperación del
sistema en caso de un incidente de seguridad.
-
Cumplir con el marco legal y con los requisitos impuestos a nivel
organizativo.
Podemos
entender como seguridad una característica de cualquier sistema que
nos indica que ese sistema está libre de todo peligro, daño o
riesgo, y que es, en cierta manera, infalible. Como esta
característica, particularizando para el caso de sistemas
informáticas, sistemas operativos o redes de computadores, es muy
difícil de conseguir (según la mayoría de expertos, imposible) se
suaviza la definición de seguridad y se pasa a hablar de fiabilidad,
probabilidad de que un sistema se comporte tal y como se espera de
él. Por tanto se habla de tener sistemas fiables en lugar de
sistemas seguros.
A
grandes rasgos se entiende que mantener un sistema seguro (o fiable)
consiste básicamente en garantizar tres aspectos:
- Confidencialidad:
cualidad de un mensaje, comunicación o datos, para que sólo se
entienda de manera comprensible o sean leídos, por la persona o
sistema que esté autorizado. Comprende por tanto la privacidad o la
protección de dicho mensaje y datos que contiene.
- Integridad:
cualidad de mensaje, comunicación o datos, que permite comprobar que
no se ha producido manipulación alguna en el original, es decir, que
no ha sido alterado.
- Disponibilidad:
capacidad de un servicio, de unos datos o de un sistema, a ser
accesible y utilizable por los usuarios (o procesos) autorizados
cuando estos lo requieran. Se supone que la información pueda ser
recuperada en el momento que se necesite, evitando su pérdida o
bloqueo.
Generalmente tienen
que existir los tres aspectos descritos para que haya seguridad,
aunque a sus responsables les interesará dar prioridad a un cierto
aspecto dependiendo de su entorno de trabajo. Junto a estos tres
conceptos fundamentales se suelen estudiar conjuntamente
la autentificación y el no repudio.
- Autentificación:
verificar que un documento ha sido elaborado (o pertenece) a quien el
documento dice.
- No
repudio o irrenunciabilidad: estrechamente relacionado con lo
anterior y permite probar la participación de las partes en una
comunicación. Hay dos posibilidades:
-
No repudio en
origen:
el emisor no puede negar el envio. La prueba la crea el propio emisor y la recibe el
destinatario.
-
No repudio en
destino:
el receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la
recepción. En este caso la prueba irrefutable la crea el receptor y
la recibe el emisor.
En
resumen, si la autenticidad prueba quién es el autor o propietario
de un documento y cuál es su destinatario, el no repudio prueba que
el autor envió la modificación y que el destinatario la recibió.
Al
grupo de estas características y objetivos se les conoce por las
siglas de CIDAN por las iniciales de los mismos.
Estos
círculos concéntricos representan la relación entre los diferentes
servicios de seguridad y como dependen unos de otros jerárquicamente.
De esta forma, la disponibilidad se convierte en el
primer requisito de seguridad, cuando existe esta, se puede disponer
de confidencialidad, que es imprescindible para
conseguir integridad, imprescindible para poder
obtener autentifcación y, por último, el no
repudio, que solamente se obtiene si se produce una previa
autentificación.
No hay comentarios:
Publicar un comentario