May 13

La información

Se deben conocer  las características de lo que se pretende proteger, o sea: la Información, ya que es el recurso que hoy se considera más importante en una entidad.

Para alcanzar un objetivo es preciso acceder a la información pertinente para llegar a tomar las decisiones adecuadas. Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentación.

Elementos que integran un Sistema Informático:

Activos:

Información (elemento principal a proteger).

Recursos:

Tecnologías Informáticas  (hardware,  software y aplicaciones, soportes magnéticos y ópticos, etc.)‏

Personas (el hombre es el factor principal, es quien diseña un SI, lo pone en práctica, lo explota y lo mantiene).

Inmuebles (constituyen la primera barrera de contención contra intrusos, desastres naturales, incendios, etc.).

¿Qué son los datos?

Es la unidad mínima con la que se compone la información, los datos no tiene significado sin un contexto, son pequeñas parcelas o trozos de la realidad, susceptibles de transportar cierta información. Poseen una naturaleza material y pueden ser considerados como soporte físico de la información, por ser  sencillos de capturar, estructurar, cuantificar o transferir, la expresión dato como sinónimo de señal. 

Símbolos que representan hechos, situaciones, condiciones o valores.

… “Los datos son la materia prima que procesamos para producir información”

¿Qué es la información?

La información es un conjunto organizado de datos, que constituye un mensaje sobre un cierto fenómeno o ente. La información permite resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento.

Por lo tanto, otra perspectiva nos indica que la información es un fenómeno que aporta significado o sentido a las cosas, ya que mediante códigos y conjuntos de datos, forma los modelos de pensamiento humano.

Es el resultado de procesar o transformar los datos.

Por lo que es preciso entender, cómo se genera, cómo se conservan, cómo se transforman, cómo se transmiten y cómo se accede a la información en sus múltiples manifestaciones (texto, imágenes y sonido), para entender el mundo de hoy,  hay que tener un mínimo de cultura informática.

Clasificación de la información según el DECRETO LEY 199/99

Información clasificada: contiene datos o informaciones cuyo conocimiento o divulgación no autorizada puede ocasionar daños o entrañar riesgos para el Estado o para su desarrollo político, militar, económico, científico, técnico, cultural, social o de cualquier otro tipo.

Información limitada: es aquella que por su importancia para el objeto social de la entidad no resulta conveniente su difusión pública y debe limitarse su acceso a personas determinadas. Se determina por el Jefe de la entidad.

Información ordinaria: es aquella cuyo conocimiento o divulgación no autorizada no produce daños o riesgos para el funcionamiento de la entidad.

Conceptos

Como consecuencia de la amplia difusión de la tecnología informática, la información:

  • Puede utilizarse para fines poco éticos.
  • Puede divulgarse sin autorización de su propietario.
  • Puede estar sujeta a robos, sabotaje o fraudes. => Puede ser alterada, destruida y mal utilizada.

Objetivos de la Seguridad Informática

  • Mantener la protección contra:    La divulgación no autorizada  de la información.
  • La destrucción o alteración no  autorizada de la información.
  • La manipulación no autorizada  de los recursos informáticos.

Elementos de la Seguridad Informática

Para lograr sus objetivos, la seguridad informática se fundamenta en tres principios, que debe cumplir  todo sistema informático:

  • Confidencialidad
  • Integridad
  • Disponibilidad

Otros elementos de la Seguridad Informática

Adicionalmente

  • Autentificación
  • Autorización

LA SEGURIDAD TIENE QUE VER CON LA ESTRATEGIA DE MANEJO DE RIESGOS. LA SEGURIDAD ES EVOLUTIVA.

La seguridad informática NO es un problema exclusivamente de las computadoras.

No puede verse solamente como prohibiciones y regulaciones ( se puede hacer y no se puede hacer).

Las computadoras las redes y los usuarios son el principal campo de batalla.

Se debe de proteger aquello que tenga un valor para alguien.

Ataques contra el flujo de información

  • Los mensajes en una red se envían a partir de un emisor a uno o varios receptores.
  • El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.

Confidencialidad

Que la información sea revelada sólo a los usuarios autorizados, en la forma y tiempo determinado.

    • Una persona, computadora o programa sin autorización logra el acceso a un recurso controlado.
    • Es un ataque contra la Confidencialidad.
    • Ejemplos: Escuchas electrónicas, copias ilícitas de programas o datos, escalamiento de privilegios.

Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático.

 … Las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados.

Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, ordenadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.

Integridad

Que la información sea modificada (incluyendo su  creación y borrado) sólo por personal autorizado. 

    • La persona sin autorización, además de lograr el acceso, modifica el mensaje.
    • Este es un ataque contra la Integridad.
    • Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.

Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático.

… Las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos.

Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, ordenadores y procesos comparten la misma información.

Disponibilidad

Que la información sea utilizable cuando y como lo requieran los usuarios autorizados.

    • El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado.
    • Este es un ataque contra la Disponibilidad
    • Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.

Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de Seguridad Informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran.

Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente. 

    • Una persona sin autorización inserta objetos falsos en el sistema.
    • Es un ataque contra la Autenticidad.
    • Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc …
    • Es muy difícil estar seguro de quién esta al otro lado de la línea.

Obstáculos asociados a la Seguridad Informática

  • Falta de conciencia de usuarios finales.
  • Presupuesto.
  • Falta de apoyo de la dirección de la entidad.
  • Falta de Entrenamiento.
  • Pobre definición de responsabilidades.
  • Falta de herramientas.
  • Aspectos legales.

Reconocimiento Legal

Diferentes denominaciones que ha venido apareciendo en las Normas Técnicas, fundamentalmente con el proceso de convergencia de la Informática y las Telecomunicaciones.

  • Seguridad de las TICs. (STICs)
  • Seguridad Telemática.(ST)
  • Seguridad Informática. (SI)
  • Seguridad de la Información. (SI)
  • Seguridad de Redes. (SR)
  • Seguridad de las Infocomunicaciones.
  • Seguridad de las tecnologías para la Gestión del Conocimiento. (STGC)

Incluye: Informática (Hardware y Software), Soportes de Telecomunicaciones, las distintas aplicaciones y la información que se procesa almacena y transmite, etc.

Los esfuerzos se encuentran dispersos entre varios ministerios: MININT, MTSS, MIC, Consejo de Estado …

… solamente el actuar organizado de estas instituciones y una norma uniforme y extensa sobre Seguridad Informática sentarán las bases para un marco legal satisfactorio.

Base Legal

  • Resolución 6/96 del MININT.
  • Resolución 204/96 del SIME.
  • Decreto Ley 199/99 del Consejo de Estado.
  • Instrucciones del Viceministro Primero del MININT. Seguridad y Protección de la Información Oficial diciembre del 2000.
  • Resolución 188/01 del MIC.
  • Resolución 188/06 del MTSS.
  • Carta Circular 31/2001 de Carlos Lage Dávila
  • Acuerdo 6058  Comité Ejecutivo del Consejo de Ministro (CECM) del 9 de julio de 2007. Lineamientos para el  Perfeccionamiento de la Seguridad de las Tecnologías de la Información en el país
  • Resolución 127/07 del Ministerio de la Informática y las Comunicaciones (MIC).
  • Resolución 176/2007 del Ministerio de Educación (MINED) del 1 de diciembre del 2007. Reglamento de Seguridad Informática en la Actividad Educacional del Ministerio de Educación

Deja una respuesta

Tu dirección de correo electrónico no será publicada.