2. Seguridad de la información

Icono IDevice Actividad

Se entiende por seguridad de la información a las medidas tanto proactivas (para prevenir un problema) como reactivas (cuando el daño se produce, para minimizar sus efectos) que se toman por parte de las personas, organizaciones o sistemas tecnológicos.

Su objetivo es resguardar y proteger la información buscando siempre mantener la confidencialidad, la disponibilidad e integridad de la misma.


Confidencialidad

Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado. Implica por tanto la no divulgación de información a personas o sistemas no autorizados.

Cualquier persona, empresa u organización debe velar por la protección de los datos sensibles que residen en su sistema.

Una técnica desarrollada para garantizar la confidencialidad es la criptografía:

Se ocupa del cifrado de mensajes para que no pueda ser leído por ningún agente intermedio. El mesaje será cifrado por su emisor y sólo podrá descifrarlo el receptor del mismo.

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La tecnología actual facilita la integridad de un mensaje a través de la firma digital.

La firma digital sirve para demostrar la autenticidad de un documento electrónico dando al destinatario la seguridad de que fue creado por el remitente, y que no fue alterado durante la transmisión.

Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar tanto la falsificación como la manipulación del documento emitido.

Disponibilidad

Es la característica de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

La criticidad en este sentido viene derivada fundamentalmente de la necesidad de mantener los datos operativos el mayor tiempo posible, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, actualizaciones del sistema u otro tipo de caídas de los servicios.

En este sentido, garantizar la disponibilidad implica también la prevención de ataques del tipo Denegación de servicio _DoS (del inglés Denial of Service): un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, provocado normalmente por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Icono IDevice Objetivos
En el marco de las directivas de la Unión Europea, el Estado español ha aprobado un conjunto de medidas legislativas que son de interés para el usuario de Internet:

Servicios de seguridad

Para contrarrestar posibles ataques a la seguridad se hace uso de mecanismos y servicios de seguridad estandarizados, entre los que se encuetran el no repudio y la autenticación.

Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).

No repudio

Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está estandarizado en la ISO-7498-2.

No Repudio de origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario.

No Repudio de destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

Autenticación

Es una validación de identificación de usuarios: técnica mediante la cual un proceso comprueba que el compañero de comunicación es quien se supone que es y no se trata de un impostor.

Para garantizar la confidencialidad y autenticidad de las comunicaciones entre ciudadanos, empresas u otras instituciones públicas a través de Internet, evitando fraudes y suplantaciones, se han generado mecanismos de seguridad como el Certificado digital y el Documento Nacional de Identidad electrónico (DNIe).