Sesión 4: Principios de la seguridad de la información

¡Hola a todos!

Hoy empezamos con la sesión 4, que coincide con el tema 4: Principios de la seguridad de la información. He decidido realizar cambios en la forma de exponer las clases, y voy a presentarlas en el blog como una explicación de los apuntes intercalando mis propias reflexiones.

¡Allá vamos!
Genéricamente se denominaba seguridad informática, pero se ha empezado a utilizar la nomenclatura seguridad de las TIC (Tecnologías de la información y comunicación), por ser más inclusivo, aunque la  intención es definir la seguridad en el ámbito de los ordenadores y las redes.
Más tarde empezaron a contemplar la posibilidad de llamarlo seguridad de la información, ya que es su principal objetivo.

Se terminó por acuñar el término ciberseguridad, que es el que se emplea actualmente. Se entiende ciberseguridad como el conjunto de herramientas, políticas, directrices, salvaguardas de seguridad o controles, acciones, formación, seguros de riesgo, métodos de gestión de riesgos, prácticas idóneas y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciber-entorno.

Simplemente con esta definición ya podemos sustraer lo importante que es proteger los datos y la información que recoge un ordenador y garantizar que se mantengan estables las propiedades de los usuarios frente a los riesgos a los que estamos expuestos en el ciberentorno.
Las propiedades establecidas por el ITU (International Telecomunication Union) son:
- Disponibilidad
- Integridad, que puede incluir la autenticidad y el no repudio
- Confidencialidad










Triángulo CIA

Modelo seguridad CIA


Vamos a continuar profundizando en los principios de seguridad más elementales

PRINCIPIO DE LA NECESIDAD DE CONOCER: Los usuarios solo deben tener acceso a la información (y a los sistemas) que necesiten para realizar sus funciones.
Ligado al principio de mínimo privilegio y el de separación de roles o funciones.

PRINCIPIO DE LA DEFENSA EN PROFUNDIDAD: Estrategia de protección con múltiples capas de seguridad para reducir el riesgo o minimizar el impacto.
"Máxima del eslabón más débil"
En todo sistema de seguridad, el máximo grado de seguridad es aquel que tiene su eslabón más débil. Al igual que en la vida real la cadena siempre se rompe por el eslabón más débil, en un sistema de seguridad el atacante siempre acaba encontrando y aprovechando los puntos débiles o vulnerabilidades.. Es decir, al margen de todas las soluciones y medidas de seguridad que puedan implantarse en la empresa, cualquier política de seguridad empresarial es tan fuerte como lo sea el  conocimiento de sus empleados en materia de seguridad informática.

Con estos dos principios.....

Ahora bien, ¿cómo se aplica esto?

Para evitar los riesgos en base a estos principios, se debe hablar de la gestión de la seguridad de la información, introduciendo diversas propuestas o métodos de actuación ante este problema.
Por ejemplo, el concepto de SGSI, abreviatura utilizada para referirse a sistemas de gestión de seguridad de la información.
Además, se implementa la concienciación como medida de seguridad que puede gestionarse.
También se habla de diferentes implementaciones: Siguiendo un método como el ISO 27000, ENS etc.
Además, se establecen unas pautas de estudio y acciones que incluyen: análisis de la seguridad, activos, amenazas, vulnerabilidades, incidentes de seguridad, impactos, riesgos, defensas, salvaguardas o medidas de seguridad y transferencias de riesgos a terceros.

Finalizado el tema, añado para concluir un artículo del profesor muy interesante para completar el post: https://www.researchgate.net/publication/283641837_Regulacion_y_ciberseguridad_Contribuciones_al_modelo_de_Gobernanza

Hemos acabado la clase creándonos cuentas en Twitter (@c_dieza) y Facebook (Cristina Díez), que utilizaremos más adelante en nuevas actividades.

Como reflexión ante este tema es interesante la labor del hacking ético como medida directa contra los riesgos inminentes de hackers que afecten a la seguridad e información de nuestros ordenadores y dispositivos.

¡Hasta la próxima!