El socio
Páginas: 38 (9366 palabras)
Publicado: 15 de agosto de 2014
Criptología
1.
Escola Universitària Politècnica de Mataró
Introducción a la seguridad
1.1.
Ataques a la seguridad
Hasta la aparición de la informática la valoración de los activos de una empresa se hacía
según los objetos físicos útiles, las producciones propias, las infraestructuras, la
tesorería y el capital humano. Desde los últimos años se ha añadido un nuevo capital tanimportante como los anteriores, el valor de la información. No es que antes no
existiera la información en las empresas, el espionaje industrial es tan antiguo como la
revolución industrial, pero se mantenía con el sistema de papel y archivadores y
formaba parte de los activos de oficina. Hoy en día, la información se maneja en
grandes cantidades y de procedencias muy diversas, el valor añadidode una empresa
puede ser la información que maneja.
Como capital de la empresa cada vez es más importante mantener la seguridad de la
información, pero también los riesgos cada vez son mayores. Estos riesgos se pueden
clasificar por su procedencia en tres categorías:
• Errores involuntarios de personas y/o máquinas.
• Desastres naturales.
• Ataques voluntarios.
Siendo los primero los máscomunes, sobre el 80% de los casos. En este trabajo se trata
defensas para el tercer riesgo: ataques voluntarios. Los problemas creados por éstos se
pueden clasificar en tres familias:
• Denegación de servicio: disponibilidad. Prohibir el acceso a la información.
• Observación no autorizada: confidencialidad. Acceso a información por personas
que pueden utilizarla para dañar la empresa, o sea,personas no autorizadas.
• Modificación no autorizada: integridad. Acceso a la información y modificación,
ya sea borrando, cambiando, añadiendo o sustituyendo datos.
La protección de la información es más grave desde la aparición de las redes
telemáticas. Estas redes y especialmente Internet, hacen que la información sea un
problema global y no aislado a las máquinas internas de la empresa.Las tecnologías
aplicadas a la seguridad en redes están en su fase de desarrollo inicial, especialmente
por dos motivos:
• La mayoría de sistemas operativos están pensados para arquitecturas
mainframe/terminal y no para arquitecturas cliente/servidor o Internet/Intranet que se
utilizan actualmente.
• No existen estándares ni organizaciones mundiales aceptadas por todas las empresasproveedoras de seguridad.
Al diseñar un sistema de seguridad para la empresa la pregunta es ¿existe un sistema
completamente seguro?. La respuesta es clara, no. En la práctica siempre existe un
compromiso entre el nivel de seguridad y los parámetros:
Departament de Telecomunicacions
Pàgina 3
Criptología
Escola Universitària Politècnica de Mataró
• Costes. La seguridad es proporcionalal coste de las medidas de protección.
• Entorno de usuario. La seguridad es opuesta a los sistemas abiertos que pretenden
facilitar el acceso a cualquier usuario con o sin preparación.
Por lo tanto, la instalación de la seguridad es un problema de ingeniería, un compromiso
entre gastos y facilidad de uso frente a protección. Se debe planificar y seguir los pasos
siguientes:
1. Análisis deriesgos. Estudiar los riesgos posibles, cuantificar el valor las
consecuencias de estos riesgos sobre la información y valorar los costes totales.
2. Analizar las medidas de protección. Valorar las diferentes medidas de protección,
tanto cuantitativamente como de facilidad de uso y velocidad de acceso.
3. Decidir las medidas adecuadas. Comparar los dos análisis y decidir la solución queamortiza los riesgos.
4. Política de seguridad. Adaptar la forma de trabajo de la empresa a las nuevas
medidas de seguridad.
5. Mantenimiento. Mantener continuamente las medidas de seguridad así como
actualizar el diseño a las nuevas realidades del capital de información.
6. Planes de contingencia. Planificar las actuaciones para cuando se producen ataques
con o sin éxito.
1.2.
Servicios de...
1.
Escola Universitària Politècnica de Mataró
Introducción a la seguridad
1.1.
Ataques a la seguridad
Hasta la aparición de la informática la valoración de los activos de una empresa se hacía
según los objetos físicos útiles, las producciones propias, las infraestructuras, la
tesorería y el capital humano. Desde los últimos años se ha añadido un nuevo capital tanimportante como los anteriores, el valor de la información. No es que antes no
existiera la información en las empresas, el espionaje industrial es tan antiguo como la
revolución industrial, pero se mantenía con el sistema de papel y archivadores y
formaba parte de los activos de oficina. Hoy en día, la información se maneja en
grandes cantidades y de procedencias muy diversas, el valor añadidode una empresa
puede ser la información que maneja.
Como capital de la empresa cada vez es más importante mantener la seguridad de la
información, pero también los riesgos cada vez son mayores. Estos riesgos se pueden
clasificar por su procedencia en tres categorías:
• Errores involuntarios de personas y/o máquinas.
• Desastres naturales.
• Ataques voluntarios.
Siendo los primero los máscomunes, sobre el 80% de los casos. En este trabajo se trata
defensas para el tercer riesgo: ataques voluntarios. Los problemas creados por éstos se
pueden clasificar en tres familias:
• Denegación de servicio: disponibilidad. Prohibir el acceso a la información.
• Observación no autorizada: confidencialidad. Acceso a información por personas
que pueden utilizarla para dañar la empresa, o sea,personas no autorizadas.
• Modificación no autorizada: integridad. Acceso a la información y modificación,
ya sea borrando, cambiando, añadiendo o sustituyendo datos.
La protección de la información es más grave desde la aparición de las redes
telemáticas. Estas redes y especialmente Internet, hacen que la información sea un
problema global y no aislado a las máquinas internas de la empresa.Las tecnologías
aplicadas a la seguridad en redes están en su fase de desarrollo inicial, especialmente
por dos motivos:
• La mayoría de sistemas operativos están pensados para arquitecturas
mainframe/terminal y no para arquitecturas cliente/servidor o Internet/Intranet que se
utilizan actualmente.
• No existen estándares ni organizaciones mundiales aceptadas por todas las empresasproveedoras de seguridad.
Al diseñar un sistema de seguridad para la empresa la pregunta es ¿existe un sistema
completamente seguro?. La respuesta es clara, no. En la práctica siempre existe un
compromiso entre el nivel de seguridad y los parámetros:
Departament de Telecomunicacions
Pàgina 3
Criptología
Escola Universitària Politècnica de Mataró
• Costes. La seguridad es proporcionalal coste de las medidas de protección.
• Entorno de usuario. La seguridad es opuesta a los sistemas abiertos que pretenden
facilitar el acceso a cualquier usuario con o sin preparación.
Por lo tanto, la instalación de la seguridad es un problema de ingeniería, un compromiso
entre gastos y facilidad de uso frente a protección. Se debe planificar y seguir los pasos
siguientes:
1. Análisis deriesgos. Estudiar los riesgos posibles, cuantificar el valor las
consecuencias de estos riesgos sobre la información y valorar los costes totales.
2. Analizar las medidas de protección. Valorar las diferentes medidas de protección,
tanto cuantitativamente como de facilidad de uso y velocidad de acceso.
3. Decidir las medidas adecuadas. Comparar los dos análisis y decidir la solución queamortiza los riesgos.
4. Política de seguridad. Adaptar la forma de trabajo de la empresa a las nuevas
medidas de seguridad.
5. Mantenimiento. Mantener continuamente las medidas de seguridad así como
actualizar el diseño a las nuevas realidades del capital de información.
6. Planes de contingencia. Planificar las actuaciones para cuando se producen ataques
con o sin éxito.
1.2.
Servicios de...
Leer documento completo
Regístrate para leer el documento completo.