Conceptos basicos
- 1. 1.6 Servicios de seguridad de la información Confidencialidad Mediante este servicio o función de seguridad se garantiza que cada mensaje transmitido o almacenado en un sistema informático sólo podrá ser leído por su legítimo destinatario. Autenticación La autenticación garantiza que la identidad del creador de un mensaje o documento es legítima, es decir, gracias a esta función, el destinatario de un mensaje podrá estar seguro de que su creador es la persona que figura como remitente de dicho mensaje. Asimismo, también podemos hablar de la autenticidad de un equipo que se conecta a una red o intenta acceder a un determinado servicio. Es este caso la autenticación puede ser unilateral, cuándo sólo se garantiza la identidad del equipo o mutua, en el caso de que la red o servidor también se autentica de cara al equipo, usuario o terminal que establece la conexión. Integridad La función de integridad se encarga de garantizar que un mensaje o archivo no ha sido modificado desde su creación o durante su transmisión a través de una red informática. No repudiación El objeto de este servicio de seguridad consiste en implementar un mecanismo probatorio que permita demostrar la autoría y envío de un determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema no pueda posteriormente negar esta circunstancia, situación que también se aplica al destinatario del envío. Este aspecto es de especial importancia en las transacciones comerciales ya que permite proporcionar a los compradores y vendedores seguridad jurídica que va a estar soportada por este servicio. Disponibilidad La disponibilidad del sistema informático también es una cuestión de especial importancia para garantizar el cumplimiento de sus objetivos, ya que se debe diseñar un sistema lo suficientemente robusto frente a ataques e interferencias como para garantizar su correcto funcionamiento, de manera que pueda estar permanentemente a disposición de los usuarios que deseen acceder a sus servicios.
- 2. Dentro de la disponibilidad también debemos considerar la recuperación del sistema frente a posibles incidentes de seguridad, así como frente a desastres naturales o intencionados (incendios, inundaciones, sabotajes...) Es importante resaltar que de nada sirven lo demás servicios si el sistema no está disponible para que pueda ser utilizado por sus legítimos usuarios y propietarios. Autorización (control de acceso a equipos y servicios) Mediante el servicio de autorización se persigue controlar el acceso de los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático , una vez superado el proceso de autenticación de cada usuario. Para ello, se definen una Listas de Control de Acceso (ACL) con la relación de usuarios y grupos de usuarios y sus distintos permisos de acceso a los recursos del sistema. Auditabilidad El servicio de auditabilidad o trazabilidad permite registrar y monitorear la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados. De este modo, es posible detectar situaciones o comportamientos anómalos por parte de los usuarios, además llevar un control del rendimiento del sistema (tráfico cursado, información almacenada y volumen de transacciones realizadas, por citar algunas de las más importantes). Reclamación de origen Mediante la reclamación de origen el sistema permite probar quién ha sido el creador de un determinado mensaje o documento. Reclamación de propiedad Este servicio permite probar que un determinado documento o un contenido digital protegido por derechos de autor (canción, video, libro....) pertenece a un determinado usuario u organización que ostenta la titularidad de los derechos de autor. Anonimato en el uso de los servicios En la utilización de determinados servicios dentro de las redes y sistemas informáticos también podría resultar conveniente garantizar anonimato de los usuarios que accede a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad. Este servicio de seguridad, no obstante podría entrar en conflicto con otros de los ya mencionados, como la autenticación o la auditoría del acceso a los recursos. Como ocurre en los
- 3. casos de gobiernos que preocupados por la seguridad nacional (ej terrorismo) tienden a invadir la privacidad de los ciudadanos. Protección a la réplica Mediante este servicio de seguridad se trata de impedir la realización de "ataques de repetición" (replay attacks) por parte de usuarios maliciosos, consistentes en la interceptación y posterior reenvío de mensajes para tratar de engañar al sistema y provocar operaciones no deseadas, como podría ser el caso de realizar varias veces la misma transacción bancaria.. Para ello, en este servicio se suele recurrir a la utilización de un número de secuencia o sello temporal en todos los mensajes y documentos que necesiten ser protegidos dentro del sistema, de forma que se puedan detectar y eliminar posibles repeticiones de mensajes que ya hayan sido recibidos por el destinatario. Confirmación de la prestación de un servicio o la realización de una transacción Este servicio de seguridad permite confirmar la realización de una operación o transacción, reflejando los usuarios o entidades que han intervenido en ésta. Referencia temporal (certificación de fechas) Mediante este servicio de seguridad se consigue demostrar el instante concreto en que se ha enviado un mensaje o se ha realizado una determinada operación (utilizando generalmente un referencia UTC-Universal time clock). Para ello, se suele recurrir al sellado temporal del mensaje o documento en cuestion. Certificación mediante terceros de confianza La realización de todo tipo de transacciones a través de medios electrónicos requiere de nuevos requisitos de seguridad, para garantizar la autenticación de las partes que intervienen, el contenido e integridad de los mensajes o la constatación de la realización de la operación o comunicación en un determinado instante temporal. Para ofrecer algunos de estos servicios de seguridad se empieza a recurrir a "Terceros de Confianza", "Trusted third parties", organismo que se encarga de certificar la realización y el contenido de las operaciones y de avalar la identidad de los intervinientes, dotando de este modo a las transacciones electrónicas de una mayor seguridad jurídica.
- 4. Se pueden recurrir a la implantación de distintas técnicas y mecanismos de seguridad para poder ofrecer los servicios de seguridad que se han descrito anteriormente: Identificación de usuarios y políticas de contraseñas Control lógico de acceso a los recursos Copias de seguridad Centros de respaldo Encriptación de las transmisiones Huella digital de mensajes Sellado temporal de mensajes Utilización de firma electrónica Protocolos criptográficos Análisis y filtrado del tráfico (firewalls) Servidores proxy Sistema de Detección de Intrusos (IDS) Antivirus