Cuando comence a escribir este blog mi idea era tratar la problemática de la seguridad y sus riesgos al utilizarla y las características principales que se deben tomar como referencia en la aplicación de sistemas de seguridad.
Podemos entender como seguridad la característica del sistema que nos indica que éste está libre de riesgos para sus componentes. Esta seguridad se puede conseguir garantizando tres cosas: confidencialidad, integridad y disponibilidad o Triangulo CIA (por sus siglas en inglés).
Pero que es el triangulo CIA?. Pues estos son los tres principios o piedras angulares de los
objetivos de seguridad de la información. Prácticamente todas las prácticas en el marco llamado
"Seguridad de la Información" están diseñados
para proporcionar estos objetivos. Son relativamente fáciles de entender y las nociones de sentido común, sin embargo hay personas que no los llegan a entender o los confunden
en la práctica.
La confidencialidad se consigue asegurando que los objetos de un sistema solo pueden ser accedidos por elementos autorizados a ello; la integridad significa que los objetos de un sistema solo pueden ser modificados por elementos autorizados y la disponibilidad indica que los elementos del sistema tienen que permanecer accesibles a los elementos autorizados.
Por ejemplo un ataque de denegación de servicio a un servidor Web público hace que la información deje de estar disponible a los usuarios. Este tipo de ataques va contra la disponibilidad del sistema. Si en otro caso un atacante escucha el tráfico entre un servidor Web y un cliente esta atacando la confidencialidad del sistema.
Por ultimo un ejemplo de ataque a la integridad de un sistema seria lo que se llama un “defacement” (modificación del aspecto de la página web, generalmente con firmas de los atacantes o mensajes del tipo “Hackec”) de un servidor Web, en el cual un atacante modifica los contenidos del servidor sin autorización.
Algunos llegan a aumentar términos como Identificación,
Autenticación, Autorización, Responsabilidad y No Repudio, pero estos son otros
conceptos deseables en cualquier organización pero no tan necesarios como los
primarios.
En las próximas entregas estaremos revisando cada uno de estos componentes de este triangulo, cuales son las Amenazas directas y las Medidas de Protección.
