La filosofía del punto más débil En las consideraciones alrededor de la Seguridad de la Información aplica la filosofía del punto más débil.
En cualquier sistema de seguridad el punto más débil es la vulnerabilidad más seria. De allí se deriva el Principio de la Penetración más fácil. Hay que suponer que un intruso usará cualquier medio para penetrar.
 Formas de penetración En Seguridad de la Información el hecho de quedar EXPUESTO significa un riesgo de posible pérdida de información o daño de un sistema informático.
Por ejemplo, alguien puede tener acceso no autorizado a datos, alguien no autorizado puede modificar los datos o denegar el acceso legítimo a los recursos del sistema. Una VULNERABILIDAD es una debilidad en un sistema informático que pudiera ser explotada para causar pérdida de datos o daños en el sistema. Una persona que explota una debilidad comete un ataque al sistema. AMENAZAS a un sistema informático son situaciones que tienen el potencial de causar pérdidas de datos o daños al sistema. Ejemplos son: ataques humanos, desastres naturales, error humano inadvertido y fallas internas de los equipos, accesorios y programas. Un CONTROL es una medida protectora - una acción, dispositivo, procedimiento o técnica - que reduce una vulnerabilidad.
Principales activos de un Sistema Informático Los principales activos de un sistema informático son los equipos, accesorios, programas, datos y redes. Existen cuatro tipos de amenazas a un sistema informático: interrupción, intercepción, modificación y fabricación. Las cuatro amenazas todas explotan vulnerabilidades de los activos de los Sistemas Informáticos. En una interrupción un activo del sistema se pierde, este queda no disponible o inoperable, como consecuencia de una destrucción maliciosa de un dispositivo de equipo, haber borrado un programa o archivo de datos u ocasionado el malfuncionamiento de un administrador de archivos del sistema operativo, para que el sistema no pueda encontrar un archivo particular en disco. Una intercepción significa que un tercero no autorizado ha ganado acceso a un activo. Este tercero puede ser una persona, un programa o un sistema de cómputo. Ejemplos de este tipo de ataque son: la copia ilícita de programas o archivos de datos, o la intrusión en la red de comunicaciones para obtener datos.
La intercepción puede basarse en Ingeniería Social donde el intruso obtiene información privada proporcionada en forma voluntaria. Este método es conocido bajo el término "phishing".
La modificación consiste en que alguien cambie los datos de una base de datos, altere el código de programa para ejecutar algún código adicional, o modifique los datos que se transmiten electrónicamente. Terceros pueden fabricar objetos plagiados en un sistema de cómputo. Un intruso puede insertar en una red de comunicación transacciones fingidas o puede agregar nuevos registros a una base de datos.
Estas cuatro causas de amenaza: interrupción, intercepción, modificación y fabricación describen las cuatro formas de posible vulnerabilidad de un Sistema Informático.
Objetivos de la Seguridad Informática
La seguridad de la información consiste en lograr tres aspectos
1. Confidencialidad
2. Integridad
3. Disponibilidad
Confidencialidad : significa que los activos de un Sistema Informático pueden accesarse sólo por usuarios autorizados. El acceso es del tipo *leer* (read), como leer, ver, imprimir o simplemente conocer la existencia de un objeto.
Sinónimo: Privacidad.
Integridad : significa que los activos pueden ser modificados sólo por personas autorizadas y sólo en la forma autorizada. En este contexto modificar incluye grabar, actualizar datos, actualizar el estado, eliminar y agregar.
Disponibilidad : significa que los activos están disponibles para los usuarios autorizados. A un usuario autorizado no se le deberá negar el acceso a un activo. El usuario puede ser: una persona, un programa o un dispositivo de equipo que tiene un acceso legítimo.
Antónimo: Denial of service.
 Si usted necesita asistencia técnica en la implementación de medidas para proteger la seguridad de la información en sus sistemas informáticos, puede contactarnos para obtener más información.
|
