- Seguridad Informática - Introducción -

La seguridad, desde el punto de vista informático, se refiere al estado en que se encuentre un sistema para repeler daños, disminuir riesgos y enfrentar peligros a los que se exponen los recursos disponibles (pueden ser datos, programas y el propio sistema).

Caracterización de un sistema seguro:
- Consistencia; significa que un sistema ante las mismas circunstancias, debe mantener el mismo comportamiento.
- Protección y Separación:
-- Los datos, instrucciones y espacio de memoria de un programa no deben interferir ni ser interferidos por otros.
-- Los datos y las acciones de los usuarios deben ser transparentes (invisibles) y no modificables por otros.
-- Las condiciones anormales de un proceso -sean accidentales o expresas- deben tener un impacto mínimo en el sistema.
- Control de acceso; el administrador del sistema, así como cada usuario, deben poder controlar gradualmente los permisos de acceso a su información - Quién tiene acceso y qué tipo de acceso tiene.
- Autenticación; el sistema debe poseer los mecanismos necesarios para asegurarse de que un usuario es realmente quien dice ser.
- Auditoria: El sistema debe ser capaz de notificar al administrador (y opcionalmente a los usuarios) de cualquier anomalía o evento importante.

Como peligro se entiende todo aquello que puede afectar el funcionamiento del sistema, tanto el desenvolvimiento normal de sus funciones como el resultado de los procesamientos.

Resulta difícil (y hasta poco práctico) operar un sistema sin exponerlo a peligros. Estos peligros se derivan de las acciones mismas de los operadores (digamos al leer una fuente de datos externa, Disquete), hacer uso de algún servicio en red (acceso a recursos de red, banco de datos, Internet), etc.

Un sistema puede considerarse seguro si es operado solo por una persona y se mantiene cerrado (no tiene contacto con fuentes externas). Un sistema así se encontrará en raras ocasiones. Lo usual es encontrar sistemas integrados a redes (LAN, WAN y/o enlaces telefónicos) con acceso a fuentes externas (CD- DVD-ROM, etc.) y en ambientes de oficina con más de un usuario. En estas condiciones no queda más que hacer un compromiso entre accesibilidad/disponibilidad y seguridad.

Para esto es necesario elaborar un proyecto (Política de seguridad) donde se fijen reglas claras y precisas, se establezcan mecanismos y se decida los instrumentos (software-hardware) que reduzcan los riesgos a niveles aceptables. Su objetivo es evitar:
- el acceso no autorizado al sistema
- la manipulación de los componentes electrónicos
- el robo
- daño intencionado o no al sistema

Por otra parte es necesario tener en cuenta la relación entre gastos (financieros, de trabajo, de tiempo, etc.) y el peso del sistema (para un banco, una institución, una organización, una LAN en el hogar, etc.). De la misma manera no debe perderse de vista el hecho de que las medidas de seguridad no ahoguen al sistema (no olvide el refrán o proverbio "el camino al infierno esta adoquinado con buenas intenciones"). Un ejemplo. Un usuario en su casa se preocupa por el incremento de Dialer en Internet. Para protegerse, instala un AntiDialer y limita tanto el acceso de su ordenador a la línea telefónica que no puede acceder a Internet.
El sistema debe cumplir los objetivos para los que se creó. Este es el criterio básico y fundamental a tener en cuenta en cualquiera de las decisiones a tomar.

Ultima actualisación: Tue, 24 ▪ May ▪ 2011