La información en su significado más amplio, se constituye hoy día en uno de los elementos de mayor importancia para el desarrollo y crecimiento del negocio, de cualquier tipo de organización. La interconexión social y comercial actual, hace que la seguridad de la información se configure como un elemento imprescindible, al estar la información cada vez más expuesta a un creciente número y variedad de amenazas y vulnerabilidades. En consecuencia se necesita una protección adecuada y eficaz de la misma. Pero ocurre que a veces la confusión entre los términos “seguridad de la información”, “seguridad lógica informática” o “seguridad lógica” hace que se pierdan los matices específicos de cada uno de los mismos.
Diferencias entre seguridad informática y seguridad de la información
En el campo de la seguridad, es importante saber a que nos estamos refiriendo en cada momento de manera precisa y unívoca. Es necesario por tanto comenzar señalando la distinción que existe entre los términos anteriores. Así pues la “seguridad informática” sería la protección de las infraestructuras tecnológicas sobre las que trabaja la empresa u organización. La “seguridad de la información” por su parte tiene como objetivo la protección de sistemas e información, en cuanto a que éstos siempre se encuentren accesibles, que no sufran alteraciones y que su acceso se permita exclusivamente a personas autorizadas en la forma debida. La seguridad de la información por tanto hace referencia a la confidencialidad, integridad y disponibilidad de la información y datos. Por último, la “seguridad lógica” involucra todas aquellas medidas establecidas por los administradores y usuarios de recursos de tecnología de información, que tienen como objeto minimizar los riesgos de seguridad en sus operaciones cotidianas, en las que se usen tecnologías de información.
Amenazas a la información y principios de seguridad informática
Las principales amenazas de origen humano que afectan al hardware, al software y a los datos en el marco de la seguridad informática, suelen ser el robo, el fraude, el sabotaje, el espionaje, la acción de los hackers y los códigos maliciosos. Estas amenazas suelen materializarse a través de fenómenos tales como:
- Interrupción: como por ejemplo mediante la destrucción del hardware, borrado de programas, datos, fallos en el sistema operativo, etc.
- Intercepción: como por las copias ilícitas de programas o la escucha en línea de datos.
- Modificación: mediante la modificación de bases de datos o la modificación de elementos del hardware.
- Generación: al añadir transacciones en red o añadir registros en base de datos.
Para empezar a luchar contra el amplio cat´álogo de amenazas que ponen en riesgo los sistemas de información, hay que tener presente los tres principios basicos de la seguridad informática.
Primer principio: el intruso al sistema utilizará cualquier medio o artilugio que haga más fácil su acceso y posterior ataque
La expresión "cualquier medio o artilugio", implica la existencia de una enorme variedad, tanto de de frentes a través de los cuales se puede producir un ataque, como de modalidades, por la forma en la que se producen, lo que incluye acciones de Ingeniería Social. Esta variedad de métodos y de medios dificulta muchísimo el análisis de riesgos, aunque una pista para iniciar el mismo es que: el intruso aplicará siempre la filosofía de búsqueda del punto más débil.
Segundo principio: los datos deben protegerse sólo hasta que pierdan su valor
Este principio implica la caducidad del sistema de protección. En otras palabras hay un intervalo temporal durante el que deben mantenerse la confidencialidad de los datos, pasado el mismo, ya no es necesario.
Tercer principio: las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio
Este principio implica que las medidas de control deben funcionar en el momento oportuno, optimizando los recursos del sistema y además pasando desapercibidas para el usuario. Hay que apuntar también, que no se puede comprobar la efectividad de ningún sistema de control hasta que llega el momento de la necesidad de aplicarlo.
Objetivos de la seguridad de la información
En la seguridad de la información, para conseguir minimizar las amenazas anteriores, hay que implementar un adecuado conjunto de controles específicos. Estos controles suelen estar constituidos por políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y de hardware. Es también esencial el uso de herramientas que permitan analizar y ordenar la estructura de los sistemas de información, establecer procedimientos de trabajo para definir la seguridad y disponer de controles que permitan medir la eficacia de las medidas de seguridad implantadas. Todo esto debe darse en un marco de mejora continua, en el que estas medidas se encuentran en permanente estado de revisión y perfeccionamiento.
El principal objetivo que persigue el entramado de controles de la seguridad de la información es proteger la confidencialidad, integridad y disponibilidad de la información y los datos, independientemente a la forma en que éstos se puedan obtener.
- Principio Básico de Confidencialidad: con el cumplimiento de este principio se intenta prevenir la revelación no autorizada, sea intencionada o no, de información de la organización. La confidencialidad asegura que sólo las personas autorizadas puedan acceder a la información, impidiendo la propagación de información a personas no autorizadas.
- Principio Básico de Integridad: es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad. Un ejemplo sería la firma digital, que se configura como uno de los elementos fundamentales de la seguridad de la información.
- Principio Básico de la Disponibilidad: la disponibilidad asegura que el acceso sin interrupciones a los datos o a los recursos de información por personal autorizado, se produce correctamente y en tiempo real. Es decir, la disponibilidad garantiza que los sistemas funcionan cuando se les necesita.
¿Qué es la seguridad lógica?
Dentro de la seguridad de la información, la seguridad lógica hace referencia a la seguridad en el uso de los sistemas y del software. Implica también la protección de los datos, los procesos y los programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
A grandes rasgos con la seguridad lógica se persiguen los siguientes objetivos:
- Restringir el acceso a los programas y archivos, solo a los usuarios autorizados.
- Que los operadores puedan trabajar sin una supervisión minuciosa, pero que no puedan modificar ni programas ni archivos que no correspondan.
- Controlar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
- Garantizar que la información transmitida sea recibida sólo por el destinatario y por ningún otro individuo.
- Asegurar que la información que el destinatario ha recibido, sea la misma que ha sido transmitida.
Políticas de la seguridad lógica
Desde un punto de vista práctico, las políticas de seguridad lógica, son los medios de control utilizados para alcanzar los objetivos anteriores. Las políticas de seguridad lógica de una organización suelen articularse a través de los siguientes elementos clave:
Controles de acceso
Los controles de acceso pueden implementarse en el sistema operativo, en el información, en las bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Suele ser la primera línea de defensa para la mayoría de los sistemas informatizados, siendo su finalidad impedir que personas no autorizadas accedan a los mismos. Son la base de casi todos los controles ulteriores, ya que también permite efectuar un seguimiento de las actividades de cada uno de los usuarios.
Roles
En este caso, los derechos de acceso se agrupan de acuerdo a un rol determinando. En correspondencia el uso de los recursos se restringe a las personas autorizadas a asumir dicho rol. El uso de roles es una forma bastante efectiva de implementar el control de accesos, siempre y cuando el proceso de definición de roles esté basado en un riguroso análisis previo de la forma de actuar de la organización.
Transacciones
Se articula cuando el sistema conoce de antemano el número de cuenta que proporciona a un usuario el acceso pertinente. Este acceso tiene la duración de una transacción, cuando esta es completada entonces la autorización de acceso termina dejando al usuario sin la oportunidad de seguir operando.
Limitaciones a los servicios
Las limitaciones a los servicios, son controles que se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación. También se refiere a los que han sido preestablecidos por el administrador del sistema.
Modalidad de acceso
Cuando se permite un determinado acceso, también hay que tener en cuenta que tipo de acceso o modo de acceso se permite. Los cuatro modos clásicos de acceso que pueden ser usados son: lectura, escritura, ejecución y borrado.
Ubicación y horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto al horario, el uso de parámetros como horario de oficina o día de la semana son comunes cuando se implementa este tipo de controles, que permiten limitar el acceso de los usuarios a determinadas fechas y horas.
Control de acceso interno
Los controles de acceso interno determinan lo que un usuario (o grupo de usuarios) puede o no hacer con los recursos del sistema. Los principales métodos de control de acceso interno son:
- Palabras clave (Passwords): las palabras clave o passwords, están comúnmente asociadas con la autentificación del usuario, experto también son usadas para proteger datos, aplicaciones e incluso PC ́s.
- Encriptación: la información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada
- Listas de control de accesos: estas listas se refieren a un registro de usuarios así como los tipos de acceso que han sido proporcionados.
- Límites sobre la interfase de usuario: comúnmente utilizados en conjunto con listas de control de accesos, estos límites restringen a los usuarios a funciones específicas. Pueden ser de tres tipos: menús, vistas sobre la base de datos o límites físicos sobre la interfase de usuario.
- Etiquetas de seguridad: son denominaciones que se dan a los recursos (puede ser un archivo), las etiquetas pueden utilizarse para varios propósitos, por ejemplo: control de accesos, especificación de pruebas de protección, etc.
Control de acceso externo
Los controles de acceso externo son una protección contra la interacción de nuestro sistema con los sistemas, servicios y personas externas a la organización.
- Dispositivos de control de puertos: estos dispositivos autorizan el acceso a un puerto determinado del ordenador host y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.
- Firewalls o puertas de seguridad: los firewalls permiten bloquear o filtrar el acceso entre dos redes, generalmente una privada y otra externa (por ejemplo, Internet), entendiendo como red privada una “separada” de otras.
- Autentificación basada en el host: proporciona el acceso según la identificación del Host en el que se origina el requerimiento de acceso, en lugar de hacerlo según la identificación del usuario solicitante
El factor humano
Para concluir debemos apuntar, que en todo sistema de seguridad y en particular en los de seguridad lógica, el eslabón más débil está formado por un ser humano, eso es algo que está fuera de toda duda. El gran defensor y desarrollador de esta idea fue uno de los grandes teóricos (y prácticos) de la Ingeniería Social, se trata del mítico cracker y hacker Kevin Mitnick, conocido como “Cóndor”. Para Mitnick, el factor decisivo de la seguridad de los activos de información y de cualquier sistema de seguridad informática, es el factor humano.
Para Mitnick independientemente de los elementos de seguridad de hardware o software que se implanten en un sistema, la fortaleza del mismo se puede medir por las políticas de seguridad, pero sobre todo por la capacidad de los usuarios por aplicarlas y hacerlas cumplir. Mitnick consideraba que todo el mundo era susceptible de fallar en este aspecto y pocas veces se equivocó, sabía muy bien de que estaba hablando.
Categorizado en:
Gestión Integrada