5.5. Operación y seguridad.

Después de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad.

Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la seguridad lógica. La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica. Los objetivos que se plantean serán:

  • Restringir el acceso a los programas y archivos.

  • Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

  • Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.

  • Asegurar que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.

  • Asegurar que la información recibida sea la misma que ha sido transmitida.

  • Asegurar que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

  • Asegurar que se disponga de pasos alternativos de emergencia para la transmisión de información.

Es recomendable que este tipo de seguimientos sean realizados a la par con procedimientos de escaneo de vulnerabilidades internas y externas para conocer los puntos débiles de la organización en cuanto a software y ofrecer soluciones integradas de seguridad Las nuevas tecnologías de la información han potenciado la comunicación y el acceso a la información.

Por ello, la sociedad de la Información, en la que estamos inmersos, debe de garantizar la seguridad de los sistemas. Los sistemas de información deben estar preparados para prevenir, detectar y reaccionar ante las posibles amenazas. Se entiende por amenaza a una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).

Para hacer frente a las amenazas contra la seguridad, se definen una serie de servicios que hacen uso de uno o varios mecanismos de seguridad. Uno de ellos están enfocados a garantizar la inviolabilidad de los datos (confidencialidad, integridad y disponibilidad), mientras que otros se orientan a protegerlos del entorno (autenticación, no repudio y control de acceso).

Controles de acceso

  • Confidencialidad: garantiza que la información sea accesible únicamente por las entidades autorizadas, protegiendo la identidad de las partes implicadas. Se utilizan métodos de cifrado.

  • Autenticación: garantiza la identidad de las partes implicadas en la comunicación. Las tecnologías más aplicadas son “firma digital”, biometría, tarjetas de banda magnética, contraseñas, etc.

  • Integridad: garantiza que la información sólo pueda ser modificada por las entidades autorizadas. Requiere el uso de tecnologías como el hash criptográfico con firma digital, y los time-stamps (marcas de tiempo). Entre los principales controles de acceso que se pueden mencionar están:

    • Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la empresa y se usarán exclusivamente para actividades relacionadas con la misma.

    • Ninguna cuenta de usuario podrá ser usada para propósitos ilegales, criminales o no éticos.

    • Las cuentas en los sistemas son estrictamente personales e intransferibles.

    • Para reforzar la seguridad de la información de la cuenta, el usuario bajo su criterio deberá hacer respaldos de su información dependiendo de la importancia y frecuencia del cambio de la misma.