Please enable JavaScript.
Coggle requires JavaScript to display documents.
3 pilares de la seguridad - Coggle Diagram
3 pilares de la seguridad
Confidencialidad:
La confidencialidad consiste en asegurar que sólo el personal
autorizado accede a la información que le corresponde, de este modo cada sistema
automático o individuo solo podrá usar los recursos que necesita para ejercer sus
tareas, para garantizar la confidencialidad se recurre principalmente a tres recursos:
• Autenticación de usuarios: Sirve para identificar qué quién accede a
la información es quien dice ser.
• Gestión de privilegios: Para los usuarios que acceden a un sistema
puedan operar sólo con la información para la que se les ha autorizada
y sólo en la forma que se les autorice, por ejemplo, gestionando
permisos de lectura o escritura en función del usuario.
• Cifrado de información: Según Costas Santos (2011), el cifrado
también denominado encriptación, evita que ésta sea accesible a
quién no está autorizado, para ello se transforma la información
de forma inteligible a una no legible y es aplicable tanto a la
información que esté autorizado para ello como para la que no lo
está, sólo mediante un sistema de contraseñas puede extraerse la
información de forma inteligible y es aplicable tanto a la información
que está siendo transmitida como a la almacenada.
La integridad
Es el segundo pilar de la seguridad, consiste en asegurarse de que la
información no se pierde ni se ve comprometida voluntaria e involuntariamente, el
hecho de trabajar con información errónea puede ser tan nocivo para las actividades
como perder la información, de hecho, si la manipulación de la información es
lo suficientemente sutil puede causar que se arrastre una cadena de errores
acumulativos y que sucesivamente se tome decisiones equivocadas. Para garantizar
la integridad de la información se debe considerar lo siguiente:
Monitorear el tráfico de red para descubrir posibles intrusiones.
Auditar los sistemas para implementar políticas de auditorías que
registre quien hace que, cuando y con qué información.
Implementar sistemas de control de cambios, algo tan sencillo
como por ejemplo comprobar los resúmenes de los archivos de
información almacenados en sistema para comprobar si cambian
o no.
Como otro recurso se tiene las copias de seguridad, que en caso
de no conseguir impedir que se manipule o pierda la información
permitan recuperarla en su estado anterior.
Disponibilidad
se debe implementar las medidas necesarias para que
tanto la información como los servicios estén disponibles, por ejemplo un ataque
distribuido de denegación de servicio o DDoS puede dejar inutilizada una tienda
online impidiendo que los clientes accedan a la misma y puedan comprar. Ogro
ejemplo de perdida de disponibilidad sería que la dirección de correo electrónico sea
utilizada para lanzar campañas de spam y en consecuencia añadida a listas negras,
impidiendo que ninguno de los destinarios de los emails legítimos los reciba. Para
este propósito se implementan políticas de control como:
• El acuerdo de nivel de servicio o (SLA).
• Balanceadores de carga de tráfico para minimizar el impacto de
DDoS.
• Copias de seguridad para restauración de información perdida.
• Disponer de recursos alternativos a los primarios.
La información y sistemas son seguros si sólo accede a la información y recursos
quién debe, sí se puede detectar y recuperar de manipulaciones voluntarias o
accidentales de la información y si se puede garantizar un nivel de servicio y acceso
a la información aceptable según las necesidades.
Carpentier (2016), indica que el uso de sistemas de información implica establecer
normas y procedimientos aplicados al uso y sistemas de información ante posibles
amenazas como:
• Elaborar varias normas y procedimientos.
• Definición de acciones que deben emprender las personas.
• Definición del perímetro que se va a afecta