Intcripto
Páginas: 18 (4302 palabras)
Publicado: 28 de enero de 2011
Introducción a la seguridad
Ataques a la seguridad
Hasta la aparición de la informática la valoración de los activos de una empresa se hacía según los objetos físicos útiles, las producciones propias, las infraestructuras, la tesorería y el capital humano. Desde los últimos años se ha añadido un nuevo capital tan importante como los anteriores, el valor de la información. No esque antes no existiera la información en las empresas, el espionaje industrial es tan antiguo como la revolución industrial, pero se mantenía con el sistema de papel y archivadores y formaba parte de los activos de oficina. Hoy en día, la información se maneja en grandes cantidades y de procedencias muy diversas, el valor añadido de una empresa puede ser la información que maneja.Como capital de la empresa cada vez es más importante mantener la seguridad de la información, pero también los riesgos cada vez son mayores. Estos riesgos se pueden clasificar por su procedencia en tres categorías:
• Errores involuntarios de personas y/o máquinas.
• Desastres naturales.
• Ataques voluntarios.
Siendo los primero los más comunes, sobre el 80% de los casos. En estetrabajo se trata defensas para el tercer riesgo: ataques voluntarios. Los problemas creados por éstos se pueden clasificar en tres familias:
• Denegación de servicio: disponibilidad: Prohibir el acceso a la información.
• Observación no autorizada: confidencialidad: Acceso a información por personas que pueden utilizarla para dañar la empresa, o sea, personas no autorizadas.
•Modificación no autorizada: integridad: Acceso a la información y modificación, ya sea borrando, cambiando, añadiendo o sustituyendo datos.
La protección de la información es más grave desde la aparición de las redes telemáticas. Estas redes y especialmente Internet, hacen que la información sea un problema global y no aislado a las máquinas internas de la empresa. Las tecnologías aplicadas a laseguridad en redes están en su fase de desarrollo inicial, especialmente por dos motivos:
• La mayoría de sistemas operativos están pensados para arquitecturas mainframe/terminal y no para arquitecturas cliente/servidor o Internet/Intranet que se utilizan actualmente.
• No existen estándares ni organizaciones mundiales aceptadas por todas las empresas proveedoras de seguridad.
No existe ningúnsistema totalmente seguro. Por lo tanto, la instalación de la seguridad es un problema de ingeniería, un compromiso entre gastos y facilidad de uso frente a protección. Se debe planificar y seguir los pasos siguientes:
• Análisis de riesgos. Estudiar los riesgos posibles, cuantificar el valor las consecuencias de estos riesgos sobre la información y valorar los costes totales.
• Analizarlas medidas de protección. Valorar las diferentes medidas de protección, tanto cuantitativamente como de facilidad de uso y velocidad de acceso.
• Decidir las medidas adecuadas. Comparar los dos análisis y decidir la solución que amortiza los riesgos.
• Política de seguridad. Adaptar la forma de trabajo de la empresa a las nuevas medidas de seguridad.
• Mantenimiento. Mantener continuamentelas medidas de seguridad así como actualizar el diseño a las nuevas realidades del capital de información.
• Planes de contingencia. Planificar las actuaciones para cuando se producen ataques con o sin éxito.
Servicios de seguridad
Para proteger la información se utilizan los servicios de seguridad. Se pueden clasificar según su utilidad en:
• Autenticación. Asegura que el usuario yla información son auténticos.
• Control de accesos. Protege la información contra accesos no deseados, tanto físicos como lógicos.
• Confidencialidad. Oculta los datos a observaciones no deseadas.
• Integridad. Comprueba que la información no ha sido modificada.
• No repudio. Evita que una persona autorizada sea rechazada al acceder a la información.
• Disponibilidad. Asegura...
Ataques a la seguridad
Hasta la aparición de la informática la valoración de los activos de una empresa se hacía según los objetos físicos útiles, las producciones propias, las infraestructuras, la tesorería y el capital humano. Desde los últimos años se ha añadido un nuevo capital tan importante como los anteriores, el valor de la información. No esque antes no existiera la información en las empresas, el espionaje industrial es tan antiguo como la revolución industrial, pero se mantenía con el sistema de papel y archivadores y formaba parte de los activos de oficina. Hoy en día, la información se maneja en grandes cantidades y de procedencias muy diversas, el valor añadido de una empresa puede ser la información que maneja.Como capital de la empresa cada vez es más importante mantener la seguridad de la información, pero también los riesgos cada vez son mayores. Estos riesgos se pueden clasificar por su procedencia en tres categorías:
• Errores involuntarios de personas y/o máquinas.
• Desastres naturales.
• Ataques voluntarios.
Siendo los primero los más comunes, sobre el 80% de los casos. En estetrabajo se trata defensas para el tercer riesgo: ataques voluntarios. Los problemas creados por éstos se pueden clasificar en tres familias:
• Denegación de servicio: disponibilidad: Prohibir el acceso a la información.
• Observación no autorizada: confidencialidad: Acceso a información por personas que pueden utilizarla para dañar la empresa, o sea, personas no autorizadas.
•Modificación no autorizada: integridad: Acceso a la información y modificación, ya sea borrando, cambiando, añadiendo o sustituyendo datos.
La protección de la información es más grave desde la aparición de las redes telemáticas. Estas redes y especialmente Internet, hacen que la información sea un problema global y no aislado a las máquinas internas de la empresa. Las tecnologías aplicadas a laseguridad en redes están en su fase de desarrollo inicial, especialmente por dos motivos:
• La mayoría de sistemas operativos están pensados para arquitecturas mainframe/terminal y no para arquitecturas cliente/servidor o Internet/Intranet que se utilizan actualmente.
• No existen estándares ni organizaciones mundiales aceptadas por todas las empresas proveedoras de seguridad.
No existe ningúnsistema totalmente seguro. Por lo tanto, la instalación de la seguridad es un problema de ingeniería, un compromiso entre gastos y facilidad de uso frente a protección. Se debe planificar y seguir los pasos siguientes:
• Análisis de riesgos. Estudiar los riesgos posibles, cuantificar el valor las consecuencias de estos riesgos sobre la información y valorar los costes totales.
• Analizarlas medidas de protección. Valorar las diferentes medidas de protección, tanto cuantitativamente como de facilidad de uso y velocidad de acceso.
• Decidir las medidas adecuadas. Comparar los dos análisis y decidir la solución que amortiza los riesgos.
• Política de seguridad. Adaptar la forma de trabajo de la empresa a las nuevas medidas de seguridad.
• Mantenimiento. Mantener continuamentelas medidas de seguridad así como actualizar el diseño a las nuevas realidades del capital de información.
• Planes de contingencia. Planificar las actuaciones para cuando se producen ataques con o sin éxito.
Servicios de seguridad
Para proteger la información se utilizan los servicios de seguridad. Se pueden clasificar según su utilidad en:
• Autenticación. Asegura que el usuario yla información son auténticos.
• Control de accesos. Protege la información contra accesos no deseados, tanto físicos como lógicos.
• Confidencialidad. Oculta los datos a observaciones no deseadas.
• Integridad. Comprueba que la información no ha sido modificada.
• No repudio. Evita que una persona autorizada sea rechazada al acceder a la información.
• Disponibilidad. Asegura...
Leer documento completo
Regístrate para leer el documento completo.