La Seguridad de la Información

Según el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC):

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio."

El principal objetivo será garantizar:

· La confidencialidad de la información: que nadie no autorizado pueda verla.

· La integridad de la información: que nadie no autorizado pueda modificarla y alterarla.

· La disponibilidad de la información: que quien esté autorizado pueda acceder a ella siempre y consultarla.

Otros conceptos básicos:

· Autenticación: permite validar la identidad del emisor. Verificando que es quien dice ser. El método más conocido es el de controlar el acceso mediante usuario y contraseña. Existen otros métodos más seguros como

el certificado digital, tarjetas magnéticas, huella dactilar, reconocimiento facial, etc.

· Autorización: controla el acceso de los usuarios a información, equipos o procesos restringidos, tras pasar un proceso de autenticación. Deberemos definir sobre qué puede actuar, cuándo puede actuar y cómo puede hacerlo (p.ej. acceso a ficheros en modo de solo lectura o lectura/escritura, acceso a bases de datos con permisos de inserción, borrado o modificación, etc.) Siempre será más recomendable dar autorizaciones más restringidas y abrirlas cuando sea necesario, que dar autorizaciones muy abiertas que pueden comprometer la seguridad del sistema en caso de accesos con permisos inadecuados, bien intencionadamente o bien por error.

· Auditoría: debemos llevar un control sobre los sistemas y servicios que nos permita determinar qué acciones se han llevado a cabo y quién y cuándo las ha llevado a cabo. Periódicamente se revisará está información para analizarla y sacar conclusiones que permitan detectar posibles fallos de seguridad o mejorar los procedimientos.

· No repudio: mecanismo para asegurar que nadie pueda decir que él no fue. El emisor no podrá negar que fue él quien envió el mensaje, puesto que el receptor tendrá pruebas de ello o el receptor no podrá negar que recibió el mensaje porque el receptor tendrá información que lo confirma