SEGURIDAD LOGICA.
Gestión de la información: Confidencialidad, integridad, disponibilidad y estanqueidad.
- A) Introducción:
Consiste la seguridad lógica en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas expresamente para hacerlo. Existe un viejo dicho en la seguridad informática: Todo lo que no está permitido debe estar prohibido; y esto es lo que debe asegurar la seguridad lógica.
Hablar de seguridad lógica, pues, es hablar de seguridad de la información, y el valor subjetivo que esta tiene, resultando que el bien a proteger son los datos que tienen, manejan y disponen una determinada empresa. Las nuevas tecnologías, sin duda alguna, han modificado este aspecto en los últimos años a una velocidad sorprendente.
La seguridad en los sistemas informáticos es una cuestión de gran importancia para cualquier organización. De ello no hay la menor duda. Las sociedades avanzadas de nuestro tiempo son denominadas, frecuentemente, sociedades de la información, pues el volumen de datos que es procesado, almacenado y transmitido es inconmensurablemente mayor que en cualquier otra época. De hecho, en la actualidad, las empresas y organizaciones consideran que la información es un bien más de su activo y, en muchos casos, prioritario sobre los restantes. Hay que gestionar eficazmente el almacenamiento, procesamiento y trasmisión de la información: En otras palabras, se ha dicho (y todos hemos oído) que la información es poder.
Existen diferentes definiciones del término seguridad informática. De ellas nos quedamos con la definición ofrecida por el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organizations for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).
“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
Cuatro son los principios que tiene que cumplir la gestión de la información en cualquier organización para poder cumplir de una manera correcta, los criterios de eficacia y eficiencia: Como norma general, se entiende que mantener un sistema seguro, o fiable, consiste básicamente en garantizar cuatro aspectos, a saber: Confidencialidad, integridad, disponibilidad y estanqueidad.
- La confidencialidad, requiere que la información sea accesible únicamente por aquellos que estén autorizados: ¿Lo ha interceptado alguien más? Acceso a la información solo mediante autorización y de forma controlada. La confidencialidad (en términos de seguridad de la información) hace referencia, pues, a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos.
Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores.
La sostenibilidad de la empresa así como su posicionamiento en el mercado pueden depender de forma directa de la implementación de estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso que aseguren la confidencialidad de esas informaciones.
El objetivo de la confidencialidad es, por lo tanto, prevenir la divulgación no autorizada de la información sobre nuestra empresa u organización.
- La integridad, que la información se mantenga inalterada ante accidentes o intentos maliciosos: ¿Puedo asegurar que este mensaje está intacto? Modificación de la información solo mediante autorización.
El objetivo de la integridad es, pues, prevenir modificaciones no autorizadas de la información.
- La disponibilidad, significa que el sistema informático (tanto el hardware como el software) se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos. ¿Tiene derecho a hacer lo que pide?. Y, además, ofrezca los recursos que requieran los usuarios autorizados cuando éstos los necesiten: ¿El servicio está accesible en todo momento?. Hace referencia, pues, a que la información del sistema debe permanecer accesible a elementos autorizados.
Su objetivo: prevenir interrupciones no autorizadas/controladas de los recursos informáticos.
En términos de seguridad informática, un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados, es decir, un sistema es disponible si permite no estar disponible. Y un sistema no disponible es tan malo como no tener sistema. No sirve.
- Por último, la estanqueidad, (el no repudio) garantiza al emisor que la información fue entregada y ofrece una prueba al receptor del origen de la información recibida: ¿Se ha enviado/recibido esto realmente? Es decir, un mensaje tiene que ir firmado (emisor) y, quien lo firma, (receptor) no puede negar que el mensaje lo envió otra persona distinta. Este último aspecto o principio tiene como fin último proteger a la organización de que un solo cliente interno pueda adquirir, manipular, alterar o destruir información y con ello ocasionar una situación grave de crisis.
- B) Priorización de los cuatro conceptos por importancia:
El uso creciente de los sistemas informáticos, en todos los ámbitos de la vida, ha incrementado el problema de los accesos no autorizados y la manipulación de datos.
El alto nivel de conectividad en el que nos encontramos, hoy por hoy, no sólo proporciona acceso a gran cantidad y variedad de fuentes de datos de forma cada vez más rápida, sino que origina un aumento de las intrusiones de red.
Es por ello de vital importancia, conocer los distintos ataques informáticos e intrusiones que existen, tanto desde dentro de la organización como desde fuera. Entendiendo por éste, toda acción que suponga una violación de la seguridad de nuestro sistema informático. Por lo tanto, la seguridad de las tecnologías de información, y por ello las informáticas, se convierte en un tema de crucial importancia para el avance y progreso de una organización, de nuestra sociedad misma e, incluso, para nuestra propia supervivencia.
Como resumen de lo que hemos comentado anteriormente, podemos decir que la seguridad consiste en mantener el equilibrio adecuado entre estos cuatro factores principales (confidencialidad, integridad, disponibilidad y estanqueidad). No tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, ya que se está negando la disponibilidad.
Dependiendo del entorno de trabajo y sus necesidades, así como del sector o actividad al que pertenezca nuestra organización, se puede dar prioridad a un aspecto de la seguridad o a otro.
En sectores o ambientes militares, por ejemplo, suele ser siempre prioritaria la confidencialidad de la información frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda eliminarla, no podrá conocer su contenido y reponer dicha información será tan sencillo como recuperar una copia de seguridad (si las cosas se están haciendo bien).
En el sector bancario o financiero es prioritaria, siempre, la integridad de la información frente a la confidencialidad, disponibilidad o estanqueidad. Se considera menos dañino que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo. En los bancos, por ejemplo, cuando se realizan transferencias de fondos u otros tipos de transacciones, normalmente es más importante mantener la integridad y precisión de los datos que evitar que sean interceptados o conocidos (mantener la confidencialidad).
En otras áreas de seguridad gubernamentales (hemos aludido a una de especial sensibilidad, la militar) el secreto asegura que los usuarios pueden acceder a la información que les está permitida en base a su grado o nivel de autoridad, normalmente impuestas por disposiciones legales o administrativas.
En entornos de negocios, la confidencialidad asegura la protección en base a disposiciones legales o criterios estratégicos de información privada, tal como datos de las nóminas de los empleados, documentos internos sobre estrategias, nuevos productos o campañas próximas, etc.
Este aspecto de la seguridad, el de la confidencialidad, es particularmente importante cuando hablamos de organismos públicos y, más concretamente, aquellos relacionados con la defensa o infraestructuras críticas o estratégicas. En estos entornos los otros dos aspectos de la seguridad, es decir, integridad y disponibilidad son menos críticos.
Desde esta óptica, pues, resumiendo, cuando hablamos de la seguridad de la información, la prioridad en orden de importancia sobre los cuatro principios en la gestión de la información (confidencialidad, integridad, disponibilidad y estanqueidad), vendrá determinada y, dependerá –en su consecuencia– por la concreta actividad/sector; o de la peculiar naturaleza, que desempeñe nuestra organización o empresa en relación a sus recursos, activos o fuentes informativas.
Antonio Castillo Jiménez
Licenciado en Ciencias del Trabajo.
Licenciado en Derecho.
Abogado.
Perito Judicial en Seguridad Privada.
Profesor Seguridad Privada.
Jefe y Director Seguridad Privada.