IDENTIFICACION Y AUTENTICACION
Como primera instancia, el proceso de
filiación y validación de identidad en una red de datos es muy importante,
debido a que se darán privilegios de acceso y de uso de servicios, dispuestos
en una categoría especifica. El uso de
los recursos y servicios en las
redes de datos, se realizará bajo control y autenticación del usuario por
medios digitales automatizados, debido a que a veces se vuelve una tarea
engorrosa para algunas organizaciones que atienden en sus redes a miles de
clientes en sus portales de autoatenciòn, en los cuales se necesita una mayor
seguridad a medida que estos servicios se incrementan.
Actualmente, aparece una gran demanda de
dispositivos que permiten, de forma eficiente y segura, la autorización,
autenticación y posterior auditoria de los usuarios de la red. Existen muchos
dispositivos capaces de cumplir con esta labor, ente los que tenemos las
tarjetas debanda magnética, que guarda los datos de los usuarios en sus pistas,
lo que puede ser reforzado mediante la implementación de contraseñas. El
sistema bancario ha abarcado este mercado, pero también se han visto vulnerados
por la clonación de tarjetas y la ingeniería social de los delincuentes.
En internet, en donde no se puede disponer
de un dispositivo físico de autenticación, es indispensable el uso de la dupla
Usuario y Contraseña, que circula ampliamente por las redes locales y que
pueden ser capturadas en las empresas, cibercafés o en el hogar. Pero, también
existe un riesgo en el cual usuarios maliciosos pueden utilizar programas
Sniffer para obtener los datos que transitan en algún dominio de una red
víctima, además existen prácticas en donde usuarios confiados comparten o
prestan las contraseñas, y aparte las hacen muy débiles y cortas, facilitando
el accionar de usuarios maliciosos que pueden atacar por fuerza bruta hasta
encontrar la combinación y acceder al sistema.
Por otro lado, las redes inalámbricas
cuentan con bajos niveles de seguridad y protocolos que han sido vulnerados en
pruebas hechas con programas de auditoria de redes, además los atacantes están
utilizando programas Sniffer para vulnerar la red a nivel de la capa 2,
capturando la data y las preciadas contraseñas de los usuarios de la red local
inalámbrica. Otro de los sistemas de seguridad que se ha implementado es la
Credencial de Identificación Inalámbrica (RFID o ID de radiofrecuencia),
utilizadas para medios de pago y validación, pero poseen las mismas
vulnerabilidades de las redes inalámbricas, donde se compromete la
identificación y autenticación de una persona, cuyos datos pueden ser
capturados, copiados y clonados en los dispositivos.
Los sistemas de identificación y
autenticación de usuarios de las redes, deberían complementarse con sistemas
biométricos basados en características de la persona como la huella digital,
iris y morfología de la mano, entre otras; sin embargo, a medida que aparecen
los avances en materia de seguridad de redes, también los atacantes mejoran sus
técnicas y herramientas para el “Hackeo” de redes y dispositivos.
CONFIDENCIALIDAD
Es la propiedad de la información, por la
que se garantiza que está accesible únicamente a personal autorizado a acceder
a dicha información.
La confidencialidad ha sido definida por
la Organización Internacional de Estandarización (ISO) en la norma ISO/IEC
27002 como "garantizar que la información es accesible sólo para aquellos
autorizados a tener acceso" y es una de las piedras angulares de la
seguridad de la información. La confidencialidad es uno de los objetivos de
diseño de muchos criptosistemas, hecha posible en la práctica gracias a las
técnicas de criptografía moderna.
La confidencialidad se entiende en el
ámbito de la seguridad informática, como la protección de datos y de
información intercambiada entre un emisor y uno o más destinatarios frente a
terceros. Esto debe hacerse independientemente de la seguridad del sistema de
comunicación utilizado: de hecho, un asunto de gran interés es el problema de
garantizar la confidencialidad de la comunicación utilizada cuando el sistema
es inherentemente inseguro (como Internet).
En un sistema que garantice la
confidencialidad, un tercero que entra en posesión de la información
intercambiada entre el remitente y el destinatario no es capaz de extraer
ningún contenido inteligible.
Requiere que la información sea accesible
únicamente por las entidades autorizadas. De esta manera, se dice que un
documento (o archivo o mensaje) es confidencial si y sólo si puede ser
comprendido por la persona o entidad a quien va dirigida o esté autorizada. En
el caso de un mensaje esto evita que exista una intercepción de este y que
pueda ser leído por una persona no autorizada.
Por
ejemplo, si Andrea quiere enviar un mensaje a
Bruno y que solo pueda leerlo Bruno, Andrea cifra el mensaje con una clave
(simétrica o asimétrica), de tal modo que solo Bruno sepa la manera de
descifrarlo, así ambos usuarios están seguros de que solo ellos van a poder
leer el mensaje.
GESTION
DE RIESGOS EN TECNOLOGIAS DE LA INFORMACION
La Gestión o administración del Riesgo es una
actividad recurrente que se refiere al análisis, planificación, ejecución,
control y seguimiento de las medidas implementadas y la política de seguridad
impuesta en las tecnologías de la información, la actualización de
establecimiento, mantenimiento y continua mejora de un SGSI (Sistema de Gestión
de la Seguridad de la Información) ofrecen una clara indicación de que una
empresa está utilizando un enfoque sistemático para la identificación,
evaluación y gestión de riesgos de seguridad de la información.
La norma ISO/IEC 27005 Gestión de riesgos
de seguridad de la Información contiene recomendaciones
y directrices generales para la gestión de riesgos en sistemas de seguridad de
la Información. Es compatible con los conceptos generales especificados en la
norma ISO/IEC 27001 y está diseñada como soporte para aplicar satisfactoriamente
un SGSI basado en un enfoque de gestión de riesgos.
Definición de Riesgo:
Es considerado una amenaza que explota la vulnerabilidad de un activo pudiendo
causar daños. El riesgo IT está
relacionado con el uso, propiedad, operación, distribución y la adopción de las
tecnologías de la Información en una organización.
Porque el riesgo?:
- Porque cada vez más compañías dependen de la automatización e integración.-
Porque se necesita integrar a IT (Information Technology) al negocio.- Porque
es importante para integrar para las prácticas existentes del negocio.
Aunque no existe un método concreto de
cómo gestionar riesgos, se recomienda usar un proceso estructurado, sistemático
y riguroso de análisis de riesgos para la creación del plan de tratamiento de
riesgos. Los indicadores de riesgo muestran si la organización está sujeta o
tiene una alta probabilidad de ser sometida a un riesgo que excede el riesgo
permitido.
Definición de Activos de la Información: Estos
son los que generan, procesan y/o almacenan la información necesaria para la
operación y cumplimiento de los objetivos de la compañía, por lo tanto tienen
valor para la compañía.
Tipos de Activos de la Información:
Procesos, Documentos Físicos y electrónicos, Software, Hardware, Personas.
Definición de Seguridad de la Información:
Conjunto de medidas para salvaguardar la información, preservando su
confidencialidad, integridad y disponibilidad, la información está soportada
por
Atributos de la Seguridad: * Confidencialidad:
La información se revela únicamente si así está estipulado, a personas,
procesos o entidades autorizadas y en el momento autorizado. * Integridad: La información es
precisa, coherente y completa desde su creación hasta su destrucción. * Disponibilidad: La información es
accedida por las personas o sistemas autorizados en el momento y en el medio
que se requiere.
Como Proceder para Administrar los Riesgos en IT
Identificación de riegos
Debemos estar seguros de identificar el
riesgo en realidad y no sus causas o efectos, ejemplos de Riesgos en IT: -
Correr aplicaciones en condiciones vulnerables. - Sistemas operativos,
vulnerables y sin actualizaciones. - Diseñar aplicaciones inapropiadas,
incompletas, con bugs y errores recurrentes. Tecnologías obsoletas. - Mal rendimiento de la infraestructura IT.
Evaluación de riesgos
La evaluación de riesgos se realiza a
menudo en más de una iteración, la primera es una evaluación de alto nivel para
identificar los riesgos altos, mientras que las iteraciones posteriores
detallan en el análisis de los riesgos principales y tolerables. Varios
factores ayudan a seleccionar eventos con cierto grado de riesgo: Probabilidad,
Consecuencias, Ocurrencia, Urgencia, Maleabilidad, Dependencia, Proximidad.
Adicionalmente la evaluación de riesgos requiere los siguientes puntos: Un
estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o impacto, y la
supuesta eficiencia de las medidas de seguridad. Análisis de los activos del
sistema y las vulnerabilidades para establecer un estimado de pérdida esperada
en caso de que ocurran ciertos eventos y las probabilidades estimadas de la
ocurrencia de estos. Una herramienta de gestión que proporcione un enfoque
sistemático que determine el valor relativo de: La sensibilidad al instalar
activos informáticos, La evaluación de vulnerabilidades, La evaluación de la
expectativa de pérdidas, La percepción
de los niveles de exposición al riesgo, La evaluación de las características de
protección existentes, Las alternativas adicionales de protección, La
aceptación de riesgos y La documentación de las decisiones de gestión. Decisiones para la implementación de las
funciones de protección adicionales se basan normalmente en la existencia de
una relación razonable entre costo/beneficio de las salvaguardia y la sensibilidad / valor de los
bienes que deben protegerse.
Análisis de Riesgo
Este paso implica la adquisición de toda
la información pertinente sobre la organización y la determinación de los
criterios básicos, finalidad, alcance, límites y organización de las
actividades de gestión de riesgos. El objetivo es por lo general el
cumplimiento de los requisitos legales y proporcionar la prueba de la debida
diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser
un plan de notificación de incidentes, un plan de continuidad del negocio. Los
criterios incluyen la evaluación del riesgo, aceptación de riesgos y criterios
de evaluación de impacto.
Escenarios de riesgo
Escenarios de riesgo es el corazón del
proceso de evaluación de riesgos. Los escenarios pueden derivarse de dos
maneras diferentes y complementarias: -Enfoque de arriba hacia abajo de los
objetivos generales de la empresa a los escenarios de riesgo más probable es
que puede tener un impacto. - Enfoque de abajo hacia arriba, donde se aplica
una lista de escenarios de riesgo genéricos a la situación. Cada uno de los
escenarios de riesgo se analiza para determinar la frecuencia y el impacto,
sobre la base de los factores de riesgo.
Respuesta a los Riesgos
El propósito de definir una respuesta al
riesgo es llevar el riesgo en nivel que se pueda tolerar, es decir, el riesgo
residual debe ser dentro de los límites de tolerancia al riesgo. El riesgo
puede ser manejado de acuerdo a cuatro estrategias principales (o una
combinación de ellos):- Evitar el riesgo
aislando las actividades que dan lugar al riesgo. - Mitigar el riesgo adoptando
medidas que detectan y reducen el impacto del riesgo. - Transferir riesgos a
otras áreas menos susceptibles o a otras entidades con más experiencia
(outsourcing). - Aceptar riesgos que se corren deliberadamente y que no se
pueden evitar, sin embargo es necesario identificarlos, documentarlos y
medirlos.
INTEGRIDAD
Consiste
en la seguridad de que los datos del documento no sufren modificación a lo
largo de su viaje por el medio inseguro;
o sea, se trata de que no se presente alteración del mensaje desde su
salida, hasta la llegada.
La
comprobación de la integridad se suele realizar mediante firmas electrónicas,
generalmente basadas en funciones hash. Los datos se pueden transformar de tal
manera que cualquier cambio en los mismos queda inmediatamente latente, lo
anterior está relacionado con la criptografía, pues su función es crear
información que no se pueda falsificar.
La
autenticidad es condición suficiente para la integridad, razón por la cual se
afirma que si un documento es auténtico, entonces es seguro, pero no al
contrario.
Vamos
a tratar un poco más a fondo sobre el significado de la firma electrónica, esta
es un conjunto de datos asociados a un documento electrónico que permite
asegurar tanto la identidad del firmante, como la integridad del mensaje,
pudiendo ser definida como “ una secuencia de datos electrónicos (bits) que se
obtienen mediante la aplicación a un mensaje determinado mediante un algoritmo
(fórmula matemática) de cifrado asimétrico o de clave pública, y que equivale
funcionalmente a la firma autógrafa en orden a la identificación del autor del
que procede el mensaje”. En términos coloquiales, es el equivalente a la firma
de puño y letra en el mundo digital y tiene el mismo valor jurídico que la
manuscrita.
La
seguridad en la web también implica detectar alteraciones introducidas en el
contenido original de los mensajes. También debe asegurarse que los mensajes
recibidos coinciden con los enviados.
El
sistema será íntegro si garantiza la detección de cualquier modificación en la
información del intercambio comercial.
Fuentes
de consulta:
NO REPUDIO
El
no repudio tiene que ver con que una vez enviado un documento, su emisor no
puede negar haber sido el autor de dicho envío. Es la condición de
imposibilidad de negación del envío del mensaje.
Para
ello se utiliza la posibilidad de firmar virtualmente los mensajes. El
destinatario aplicará entonces la llave pública del remitente, única manera de
desencriptar el mensaje y por lo tanto,
garantía de que esta fue expedido el él.
El
no repudio es condición suficiente para la autenticidad, por lo que si un
documento es no repudiable, entonces es auténtico, pero no al contrario.
Los
sistemas de seguridad en internet deben tener capacidad de garantizar que la
información enviada sea recibida y leída por su destinatario, de forma que éste
no pueda rechazar su recepción.
El
no repudio de una información o pago
electrónico se refiere a la imposibilidad de que el comprador niegue haber
adquirido determinados compromisos cuando, en realidad, si lo había adquirido,
sin que el establecimiento online pueda probar lo que inicialmente habían
acordado.
Esta
propiedad de no repudio debe diferenciarse del derecho por ley que tienen todos
los consumidores a devolver los productos, cuando éstos han sido comprados por
internet.
Estos
requerimientos de seguridad en la red deberían cumplirse en todas las
operaciones que suponen un intercambio comercial, y especialmente en la
comunicación de datos personales, en pedidos de compra, en la autorización de
pagos y en la realización efectiva de los mismos.
Fuentes
de consulta:
No hay comentarios.:
Publicar un comentario