Protegiendo "los pilares" de la Seguridad Informática

La confidencialidad se entiende en el ámbito de la seguridad informática, como la protección de datos y de información intercambiada entre un emisor y uno o más destinatarios frente a terceros. Esto debe hacerse independientemente de la seguridad del sistema de comunicación: Internet). utilizado: de hecho, un asunto de gran interés es el problema de garantizar la confidencialidad de la comunicación utilizado cuando el sistema es inherentemente inseguro (como la Internet).

En un sistema que garantice la confidencialidad, un tercero que entra en posesión de la información intercambiada entre el remitente y el destinatario no es capaz de extraer cualquier contenido inteligible.

Para garantizarla se utilizan mecanismos de cifrado y de ocultación de la comunicación. Digitalmente se puede mantener la confidencialidad de un documento con el uso de llaves asimétricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo necesario para descifrar el mensaje. Por esta razón, es necesario determinar durante cuánto tiempo el mensaje debe seguir siendo confidencial. No existe ningún mecanismo de seguridad absolutamente seguro.

La integridad se entiende como la autenticidad de los datos y por ende de la información contenida en un sistema, en éste nivel deben establecerse flujos de comunicación donde se asegure la integridad por medio de protocolos a través de los cuales se realice la  correspondiente verificación y validación de datos, con corrección de los mismos de ser necesario, de igual manera se deben implementar esquemas de transacciones sobre los datos, con el fin de disminuir las posibilidades de daños a los datos y como  consecuencia de esto falta de integridad en los mismos.

Una de las medidas para garantizar la información es la creación de replicas y backups de un sistema de información, esto permitirá tener un punto de comparación y validación de datos, en caso de posible corrupción de los datos.

Finalmente a nivel de disponibilidad se desea que un sistema esté disponible siempre que éste deba ser usado, es decir que la tendencia es al 24 x 7 x 365, es decir 24 horas al día, 7 días a la semana los 365(6) días del año. 

Ahora bien, cuando se habla de disponibilidad, se debe nuevamente involucrar factores físicos, lógicos y humanos, dado que un sistema con una excelente red eléctrica, no garantiza la disponibilidad del mismo. Uno de los casos más frecuentes en los cuales los sistemas no están disponibles es sobrecarga a los servidores, cuellos de botella, entre otros.

Finalizando esta pequeña introducción, sería recomendable revisar el Cubo McCumber, que se muestra en la figura a continuación, en éste al igual que un cubo rubick se pretende mostrar las diferentes y posibles combinaciones a tener en cuenta al momento de disminuir riesgos en los 3 pilares base de la seguridad informática.

En general éstos pilares, de acuerdo a los diferentes enfoques que encontramos en el Cubo McCumber, podrían asegurarse con algunas de las siguientes ideas:

Software

• ACL o Listas de Control de Acceso.
• Sistemas de autenticación
• Control de Acceso basado en el modelo Bell  Lapadula, estableciendo Niveles de seguridad
• normal user
• secret  user
• top-secret user
• full-secret user
• Políticas de seguridad Chinesse Wall
• Modelo de seguridad Biba, el cual está orientado al control de acceso con el fin de garantizar la integridad de los datos
• Balanceo de cargas
• Backups
• FireWall (Squid)
• CheckSum
• Redundancia
• Implementación de IPTABLES
• Zonas desmilitarizadas
• Replicas de la información
• Técnicas de Cifrado (Simétrico / Asimétrico)
• Uso de protocolos (TCP/IP, )
• Uso de estándares (ISO 27001, 9001,)

Hardware

• Firewalls
• Router
• Switch
• Redundancia
• DataCenters
• Cuartos de telecomunicaciones
• Cableado estructurado
• Aseguramiento de los espacios físicos de los servidores
• Control de Acceso

Personal

Capacitación de riesgos

Capacitación en buenas prácticas

Establecimiento de políticas de procedimientos

Quizá en un tiempo estaré describiendo algunas de éstas ideas y otras cosas que se pasen por mi cabeza.

Saludos!