lunes, 10 de diciembre de 2012

Seguridad Informática: Principios


Una organización básicamente está compuesta de activos importantes que le permiten realizar sus actividades, generar rentabilidad y darle continuidad a sus negocios.  Particularmente la información es un activo que tiene un valor fundamental para la organización y debe ser protegida de un modo adecuado.  Es mejor hablar de seguridad de la información y no de seguridad informática para globalizar el concepto de información, su uso y protección en todas las actividades de la empresa, para así no ser limitada solamente a conceptos relacionados con la informática, teleinformática o automática.

Sin importar la forma que posea la información siempre debe protegerse adecuadamente.  La seguridad de la información debe conformarse de controles, políticas, procedimientos, concientización y entrenamientos que aseguren que todo el mundo tomen las precauciones necesarias para preservar los siguientes tres conceptos que son fundamentales:

Confidencialidad; asegurando que sólo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.

Integridad: asegurar que la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento.

Disponibilidad; asegurar que la información estará disponible siempre que cualquier persona autorizada necesite hacer uso de ella.


Técnicas de identificación y autentificación:

En la actualidad cada computador que se adquire en una tienda, viene equipado con alguna forma o mecanismo de control de acceso el cual es provisto por el sistema operativo, partiendo de esta base, siempre existirá un esquema framework sugerido que mejore el nivel de seguridad que exista para un momento determinado, y que tiene un mínimo efecto sobre los costos y el esfuerzo de uso.


Identificación de usuarios: este proceso identifica a una persona, por ejemplo una cédula de identidad para el caso de un país o el user ID para el caso de un computador.

Autenticación de usuarios: proceso que tiene por objeto la confirmación que la persona que se identificó es quien dice ser.

Autorización de usuarios: proceso que determina quién tiene acceso a qué objetos y qué tipo de acceso tiene.

El mejorar u optimizar el enfoque, administración y monitoreo del control de acceso, puede reducir el riesgo de accesos no autorizados.  Por lo tanto, si se mantienen mecanismos de seguridad sobre la información y los datos, ayudan a crear un ámbito de confianza y permiten minimizar errores.

El primer mecanismo de un sistema de control de acceso está diseñado para identificar a un usuario que se encuentra registrado en un determinado sistema.  Esto se realiza mediante un User ID.

El segundo mecanismo de un sistema de control de acceso consiste en la autenticación de un usuario, es decir determinar que un usuario es quien dice ser.  Esto se realiza a través de una contraseña o clave de acceso, un número de identificación personal, una entrada asociativa en la que el sistema autentica al usuario mediante una secuencia de palabras o conceptos asociados que el sistema debe almacenar y una respuesta desafiante, en la que el sistema proporciona una o una serie de preguntas que sólo el usuario identificado puede presumiblemente responder.

El tercer mecanismo de un sistema de control de acceso está diseñado debido a la debilidad inherente que tiene un contraseña.  Su propósito es probar la autenticidad del usuario mediante la utilización de, por ejemplo un tono de voz, huellas dactilares, patrones de retina, ADN, reconocimiento facial, entre otros.


El cuarto mecanismo de un sistema de control de acceso contempla los procesos que aseguran que un usuario permanece autenticado, mediante la re-autenticación.  Esto se puede llevar a cabo mediante procesos automáticos que se "despiertan" según la permanencia del usuario que está interactuando con un determinado sistema.





No hay comentarios:

Publicar un comentario

Entradas populares