Integridad Almacenamiento Autenticidad. Figura 6.1. Procesos de la información

Transcripción

1 6.1. Seguridad de la información Proceso La informática es la ciencia que se encarga de la automatización del manejo de la información 1 y abarca los siguientes procesos: adquisición, creación, almacenamiento y transmisión. Estos procesos son anteriores a la aparición del cómputo, sin embargo, desde mediados del siglo pasado, han sufrido una transformación muy importante debido al invento y uso generalizado de los equipos de cómputo. Informática Proceso Adquisición Creación Propiedades de la Seguridad: Confidencialidad Integridad Almacenamiento Autenticidad Disponibilidad Transmisión Figura 6.1. Procesos de la información Los procesos de la información (adquisición, creación, almacenamiento y transmisión) tienen cuatro propiedades de seguridad: confidencialidad, integridad, autenticidad y disponibilidad. La información una vez adquirida, agosto-2007.

2 permanece en la memoria, en donde puede adquirir alguna o todas las propiedades. La información es coleccionable, es decir, se almacena o se reproduce y se utiliza para tomar decisiones Criptología El arte de descifrar los mensajes (criptoanálisis) y el arte de crear los cifrados (criptografía), se conoce como Criptología. 2 La Criptología estudia las técnicas de diseño y la eficiencia de los criptosistemas. Tiene dos ramas principales, la criptografía y el criptoanálisis. En la actualidad, el gran desarrollo que ha tenido Internet y la gran penetración de los sistemas de cómputo y comunicaciones en todos los ramos del quehacer humano, ha provocado que la criptología cobre una gran importancia, ya que muchas de las actividades requieren de servicios de seguridad fundamentales, como son: La confidencialidad de la transmisión de los mensajes de información. La autentificación de los mensajes y documentos electrónicos. La privacidad de los registros de información. La integridad de los servicios, productos informáticos y registros de información. La identificación y certificación de los usuarios de los servicios. El control de acceso a servicios comerciales. La firma digital de los documentos. Todos estos servicios dependen en gran medida de la Criptología 2 Andrew Tannenbaum, Redes de computadoras, p. 226.

3 Control de acceso Este servicio protege a los activos del sistema contra accesos y uso no autorizados. Éste es uno de los servicios que normalmente no utiliza técnicas criptográficas para su implementación; en cambio, existe un gran número de técnicas propias y tipos de control de acceso, así como también modelos específicos para su implementación, tales como los de Bell y La Padula 3, ente otros. Este servicio está cercanamente relacionado al de autenticación, ya que un usuario debe ser autenticado antes de tener acceso a los activos del sistema. Por esta razón, su estudio detallado se integra con el de autenticación, en algunas de sus partes Buenas prácticas Las buenas prácticas recogen las experiencias de los profesionales en seguridad, aplicadas en instituciones de cualquier tipo: gubernamentales, comerciales, universidades, etc. Se puede definir una buena práctica de seguridad como un método cuya efectividad ha sido probada y validada por la experiencia de la aplicación en una actividad relacionada con la seguridad. Las buenas prácticas y recomendaciones están basadas en el ISO 17799, el cual es un código de práctica para la administración de seguridad de la Información. La versión de 2005 del estándar incluye las siguientes once secciones principales: Política de seguridad. Aspectos organizativos para la seguridad. Clasificación y control de activos. 3 El modelo Bell-LaPadula es uno de los primeros modelos formales de seguridad multi-nivel.

4 Seguridad ligada al personal. Seguridad física y del entorno. Gestión de comunicaciones y operaciones. Control de accesos. Desarrollo y mantenimiento de sistemas. Gestión de incidentes de seguridad de la información. Gestión de continuidad de negocio. Conformidad. Figura 6.2. Dominios del Estándar ISO Las buenas prácticas no son disposiciones legales y no deben ser interpretadas como tales. Simplemente reflejan los tipos de medidas prudentes y efectivas que las instituciones han implementado, o están en proceso de implementar para proteger efectivamente la información y asegurarse de su disponibilidad, confidencialidad e integridad. No se espera que las instituciones implementen todas estas prácticas, pues deben verse en el contexto de las necesidades de la organización. Solamente cuatro buenas prácticas son vistas como elementales: Desarrollo de una política de seguridad de información. Clasificación de la información. Cifrado de la información altamente confidencial. Autenticación fuerte para controlar el acceso a sistemas críticos Mecanismos La arquitectura de seguridad ISO 5 (Estándares ISO y ITU-TX.800), hace distinción entre los conceptos de servicio y mecanismos de seguridad. Un servicio de seguridad es una característica que debe tener un sistema para satisfacer una política de seguridad. Un mecanismo de seguridad es un agosto En 1977, la Organización Internacional de Estándares (ISO) creó un comité técnico conjunto para el desarrollo de estándares en tecnología de la información, incluida la seguridad julio-2007

5 procedimiento concreto utilizado para implementar el servicio de seguridad. En otras palabras, un servicio de seguridad identifica lo que es requerido, mientras que el mecanismo describe como lograrlo. La arquitectura de seguridad OSI identifica cinco clases de servicios de seguridad: confidencialidad, autenticación, integridad, control de acceso y no repudio Proporcionalidad El principio de proporcionalidad relaciona la naturaleza de los datos con el tratamiento de los riesgos a los que estos están expuestos, así como al estado de la tecnología. En particular a la protección de los datos de carácter personal. 6 Se debe gastar en seguridad lo adecuado para cada tipo de documentos o aplicación y no quedarse corto. Por ejemplo, se pide la firma electrónica en el mundo virtual para documentos en los que ni siquiera se pide la firma manuscrita en la vida cotidiana. Principios relativos de proporcionalidad 7 A continuación se presentan los principios relativos de la proporcionalidad en cuanto a la seguridad de la información personal. Se deberá aplicar el principio de proporcionalidad al procesamiento de información personal. Entre otras cosas, esto implica el deber de abstenerse de reunir información personal innecesaria. La información personal debe ser procesada en forma compatible con el propósito para el cual se recopiló la misma. La información personal que sea utilizada deberá ser precisa y actualizada agosto nal.doc, 03-agosto-2007

6 La información personal que sea utilizada y que haya dejado de ser precisa o completa deberá ser corregida o eliminada. Sujeto a las disposiciones que exija un plazo de conversación mayor, la información personal deberá ser almacenada por un período no mayor al necesario a los fines para los cuales fue recopilada o procesada. La información personal deberá ser procesada en todo momento, de forma que resulte coherente con el principio de la buena fe. Esto implica que los sujetos de la información puedan confiar en que los procesadores ejercen el debido cuidado en todos los aspectos del procesamiento de la información.