LECCIÓN 1: FUNDAMENTOS DE LA SEGURIDAD

Autor: Dr. Jorge Ramió Aguirre.
Fecha de publicación: 15 de febrero de 2016.
Colaboración diseño Web: D. Jaime Sánchez Pedrós, becario Talentum Startups.

En esta primera lección del curso, vamos a ver qué se entiende por seguridad informática y qué por seguridad de la información; aunque son similares, no son iguales pero ambas se complementan. A continuación analizaremos los objetivos de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad. Y terminaremos con un test de autoevaluación. La lección tiene como elementos multimedia las píldoras formativas Thot número 1 ¿Seguridad Informática o Seguridad de la Información? y número 5 ¿Qué es la tríada CIA?

Twittear

Temario

• APARTADO 1. ¿SEGURIDAD INFORMÁTICA O SEGURIDAD DE LA INFORMACIÓN?
• 1.1. No es lo mismo seguridad informática que seguridad de la información
• 1.2. Seguridad Informática
• 1.3. Seguridad de la Información
• 1.4. Objetivos complementarios
• APARTADO 2. ¿QUÉ ES LA TRÍADA CIA?
• 2.1. No es la CIA que piensas
• 2.2. Confidencialidad
• 2.3. Integridad
• 2.4. Disponibilidad
• APARTADO 3. EVALUACIÓN DE LA LECCIÓN 1
• 3.1. Test de evaluación personal

---

APARTADO 1. ¿SEGURIDAD INFORMÁTICA O SEGURIDAD DE LA INFORMACIÓN?

1.1. No es lo mismo seguridad informática que seguridad de la información

Está más que demostrado que la información es el mejor activo de una empresa u organización y que, por otra parte, ésta se enfrenta a una variada y cada vez más numerosa gama de amenazas. Como resulta obvio, a la misma conclusión llegaremos si se trata de nuestra información personal. Por lo tanto, la conclusión lógica a la que se llega tras un elemental primer análisis de los riesgos a los que se enfrenta dicha información, es que debemos protegerla en sus cuatro estados posibles, esto es cuando dicha información se crea, cuando se transmite, cuando se almacena y cuando se destruye, es decir durante todo su ciclo de vida.

Hasta finales del siglo XX y muy especialmente en entornos no universitarios, era bastante común apreciar una confusión ante la definición y los alcances de la seguridad informática y la seguridad de la información, una situación que hacía suponer a mucha gente que ambos términos eran sinónimos y que, por tanto, significaban lo mismo. Como a fecha de hoy se sigue observando dicha confusión y dado que la diferencia entre ambas es ya muy marcada, resulta recomendable dedicar esta primera lección para aclarar conceptos, observar similitudes y resaltar sus diferencias. No obstante, ante la duda de usar un término u otro, tal como veremos en esta lección, hoy en día lo más correcto sería referirnos a todo esto como seguridad de la información, al ser este último término más amplio que el de seguridad informática.

---

1.2. Seguridad Informática

Cuando nos referimos a seguridad informática, estamos centrando nuestra atención sólo en los aspectos de seguridad que inciden o tienen que ver directamente con la informática; es decir, en los medios informáticos en los que se genera, gestiona, almacena o destruye esta información, pero sin profundizar en aspectos sistémicos de la gestión de esa seguridad. Ateniéndonos entonces en primera instancia a las temáticas propias de la seguridad informática, entendida ésta según lo indicado en el párrafo anterior, que por lo demás es como se conocía a esta especialidad en sus inicios desde el nacimiento de la computación, podríamos representarla en 7 grandes apartados, cada uno de ellos con entidad suficiente como para convertirse en una especialidad tecnológica:

1. Protección y seguridad de los datos
2. Criptografía
3. Seguridad y fortificación de redes
4. Seguridad en aplicaciones informáticas,programas y bases de datos
5. Gestión de seguridad en equipos y sistemas informáticos
6. Informática forense
7. Ciberdelito, ciberseguridad

Así, podemos decir que la seguridad informática es la disciplina que se encarga de las implementaciones técnicas de la protección de la información con elementos físicos de hardware y software, básicamente en el entorno de la máquina, de la tecnología, de los equipos, de las infraestructuras del sistema y de los datos. Tales serían por ejemplo, técnicas de cifrado y firma digital de la información, gestión de identidades, tecnologías antimalware, uso de cortafuegos, detección de intrusos, implantación de seguridad perimetral, control y seguimiento de incidencias de seguridad en los equipos y redes, la seguridad en el web, etc.

---

1.3. Seguridad de la Información

Cuando además de lo anterior tenemos en cuenta aquellos aspectos sistémicos de la gestión de la seguridad, como podrían ser por ejemplo en una empresa u organización las políticas y planes de seguridad con su respectivo análisis y gestión del riesgo, la continuidad del negocio, la adecuación al entorno legal y a las normativas internacionales, entonces es más propio hablar de seguridad de la información. Esto es debido a que en la actualidad existen otras temáticas muy importantes que están relacionadas con la seguridad de la información y la protección de los datos pero que, a diferencia de los apartados vistos anteriormente, su entorno no está físicamente tan cerca de los equipos informáticos y de las redes, sino de la gestión, de la gerencia y del buen gobierno de la empresa. Entre estos otros temas más propios de un entorno empresarial, se pueden contemplar también 7 grandes apartados, a saber:

1. Gestión de la seguridad de la información
2. Asesoría y auditoría de la seguridad
3. Análisis y gestión de riesgos
4. Continuidad de negocio
5. Buen gobierno
6. Comercio electrónico
7. Legislación relacionada con seguridad

Al referirnos ahora a seguridad de la información, está claro que el enfoque es el de una disciplina orientada a la gestión de esa información, como un bien o activo que requiere protección porque manifiesta vulnerabilidades, contemplando por tanto la evaluación de las amenazas que pueden explotar dichas vulnerabilidades y provocar un daño, el análisis y la posterior gestión de los riesgos, el uso de buenas prácticas, la adecuación a las normativas y legislaciones nacionales e internacionales, los controles y auditorías de esa seguridad, así como la concienciación entre los miembros de la organización y la generación de confianza, entendiendo este todo como un negocio y la importancia de la continuidad del mismo.

---

1.4. Objetivos complementarios

Con estas ideas generales sobre seguridad informática y seguridad de la información presentadas en los apartados anteriores, resulta claro que los objetivos que ambas persiguen se complementan, en tanto protegen el activo información en el más amplio sentido de la palabra, desde dos enfoques distintos pero complementarios. La dirección de seguridad informática estará centrada en el aspecto tecnológico y la dirección de seguridad de la información en el aspecto estratégico.

Por lo tanto, si a todo lo ya indicado reforzamos la idea de que uno de los parámetros más importantes en la seguridad y en la protección de la información es el negocio, y por consiguiente la continuidad del mismo, resultan claras las diferencias entre los enfoques que tienen ambos términos.

Por último, es bueno recordar que la seguridad no es un producto sino un proceso, en el que intervienen todos los aspectos de la tecnología y también las personas, siendo estas últimas por lo general el eslabón más débil de toda la cadena. Aunque pongamos barreras a nuestros sistemas, fortifiquemos nuestras redes, cifremos y firmemos cuando corresponda nuestra información, tengamos adecuados sistemas de copias de seguridad, etc., si no entendemos que la seguridad es un proceso, que debe ser constantemente revisado y actualizado, no estaremos aplicando las correctas políticas de seguridad para proteger nuestro sistema y su información.

En la figura 1.1 encontrarás estas ideas resumidas en una píldora formativa Thoth. Repasa estos conceptos y memoriza los aspectos principales que se muestran en el vídeo.

Figura 1.1. Píldora formativa Thot 1: ¿Seguridad Informática o Seguridad de la Información?

---

APARTADO 2. ¿QUÉ ES LA TRÍADA CIA?

2.1. No es la CIA que piensas

Aunque las siglas CIA nos traiga inmediatamente a la mente imágenes de historias de espías, secretos y misterios, lo cierto es que en seguridad no estamos hablando de dicha Agencia Central de Inteligencia de los Estados Unidos, sino de las iniciales en inglés de los tres objetivos o principios básicos de la seguridad de la información, esto es la confidencialidad (Confidentiality), la integridad (Integrity) y la disponibilidad (Availability).

En la literatura y en Internet existen muchas definiciones de estos tres términos. Entre las más acertadas están obviamente las de la Organización Internacional de Estandarización ISO/IEC que se encuentran reflejadas en la norma ISO-27000.

Aunque la palabra activo ya ha aparecido en el capítulo anterior y todos tenemos más o menos una idea de su significado, vamos a definir ahora con más precisión qué se entiende por un activo. Esto es muy importante en la gestión de la seguridad, porque es la base sobre la cual vamos a valorar nuestros bienes, analizar sus vulnerabilidades, evaluar las amenazas, aplicar las contramedidas necesarias y, con ello, establecer políticas de seguridad que nos permitan gestionar el riesgo y proteger la información. Un activo es cualquier bien tangible o intangible, que tiene un valor para la organización. Por ejemplo, la información, los equipos, el software, sus instalaciones, las personas, el conocimiento y experiencia de cómo hacer las cosas (know-how), los productos y/o servicios que ofrece, su reputación, etc.

Como hemos visto, hay activos como los intangibles que en principio no los consideramos como tales, pero que juegan un papel fundamental en el futuro de la empresa y por lo tanto debemos cuidar y proteger.

---

2.2. Confidencialidad

Según la definición de la ISO, confidencialidad es la propiedad por la que el activo información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados.

En otras palabras, podemos decir que el propósito de la confidencialidad es asegurar que sólo las personas autorizadas podrán acceder a esa información confidencial o secreta. En la actualidad la única manera de asegurar que esto se cumpla es utilizando técnicas de criptografía para proteger el secreto de la información, obviamente sólo si ésta fuese secreta o confidencial. Por lo tanto, el secreto será compartido sólo por los interlocutores válidos, es decir aquellos a quienes permitimos que puedan descifrar un criptograma que oculta la información verdadera, conocida como texto en claro, y por tanto desvelar dicho secreto. Por lo general, para lograr esta confidencialidad se usarán algoritmos criptográficos de clave secreta también llamados simétricos, cuya clave única deberá compartirse entre los destinatarios válidos.

El problema que se vislumbra en la última frase del párrafo anterior es: ¿cómo podemos compartir esa clave secreta con el o los destinatarios de la misma si no tenemos un encuentro personal y físico?

Este problema se nos presenta porque todo canal de comunicación es, por definición, inseguro: un teléfono fijo, teléfono móvil, Internet no seguro, un aguerrido mensajero. Independientemente de las medidas de seguridad que tenga dicho canal, si la información que viene cifrada tiene mucho valor para un tercero, de forma que los medios económicos y de tiempo que deba asignarle a la tarea de dar con esa clave le compensen el esfuerzo, es obvio lo va a intentar. Observa que no sólo hablamos de bienes materiales, la información es poder por sí sola.

Este intercambio seguro de claves, o al menos computacionalmente seguro (ya se analizará este matiz), ha sido el problema eterno de la criptografía desde sus inicios en el siglo V antes de Cristo. Se encuentra una solución tan sólo en el año 1976 después de un invento de dos investigadores de la Universidad de Stanford, lo que da lugar al nacimiento de la criptografía de clave pública o asimétrica. Un tema que queda fuera del alcance de este este curso básico de seguridad y de intoducción a la cifra clásica.

---

2.3. Integridad

Nuevamente de la mano de la ISO, definiremos a la integridad como la propiedad de salvaguardar la exactitud y completitud de los activos.

En cuanto a la exactitud, nos referimos a que la información debe ser exacta, no modificada ni manipulada, y la completitud se refiere a que el documento o la información que en este caso nos interesa proteger, sea íntegra en el sentido que no le falte ni le sobre nada.

De esta manera, decimos que el propósito que persigue la integridad es garantizar que la información no sea alterada, eliminada o destruida por entidades o personas no autorizadas. Tendremos que preservar, además, los métodos utilizados para este procesamiento. En dichos métodos también jugará un importante papel la criptografía, en este caso la criptografía de clave pública o criptografía asimétrica. Por tanto, observa que dentro de la denominada criptografía clásica, que se remonta desde el siglo V antes de Cristo hasta mediados del siglo XX, obviamente era imposible cumplir con este objetivo de la integridad tal y como se ha definido, al nacer este tipo de criptografía en 1976.

---

2.4. Disponibilidad

Por último, según la ISO disponibilidad es la propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieran.

Por lo tanto, el propósito de la disponibilidad es asegurar que los usuarios autorizados puedan tener acceso a la información y a los medios asociados en el momento que lo deseen.

En la figura 1.2 tienes estas ideas resumidas en de las píldoras formativas Thoth. Repasa estos conceptos y memoriza los aspectos principales que se muestran en el vídeo.

Figura 1.2. Píldora formativa Thot 5: ¿Qué es la tríada CIA?

---

APARTADO 3. EVALUACIÓN DE LA LECCIÓN 1

3.1. Test de evaluación personal

En las siguientes 10 preguntas, elige la respuesta correcta. Sería muy recomendable que la primera vez que contestes este test lo hagas sin repasar la lección.

Para confirmar si tus respuestas son las correctas, accede y consulta las redes sociales de Crypt4you en twitter y en facebook. Las soluciones al test de esta primera lección se publicarán en dichas redes sociales el 22 de febrero de 2016.

1. Cuando fortificamos una red con un cortafuegos, decimos que es una acción:

2. Las políticas y la gestión del buen gobierno de la seguridad son más propias de:

3. Los objetivos y acciones de la seguridad informática y la seguridad de la información:

4. Un activo es:

5. Si un documento se cataloga como de alto secreto, deberá tener principalmente:

6. Cuando firmamos digitalmente un documento, le estamos aportando:

7. El hecho de autenticarse con un login y un password está relacionado con:

8. Alguien afirma que un documento puede tener confidencialidad pero no integridad:

9. La información está segura si ésta posee:

10. Un ordenador se infecta por un virus que, tras modificar algunos archivos, no deja acceder al equipo.

---

Ir a: [Portada c4y]    [Introducción al curso] [Índice] [Lección 2]

---