miércoles, 22 de diciembre de 2010

Las amenazas al CID


CID. En un anterior artículo introducíamos este curioso acrónimo lleno de referencias. CID (Confidencialidad, Integridad y Disponibilidad) como ya indicamos anteriormente hace referencia a las características básicas de la información que debemos preservar para garantizar la seguridad de ésta (si en castellano resulta curioso en acrónimo resultante que decir del generado por las iniciales inglesas CIA).

Debemos preservar el CID, ¿pero de qué?, ¿qué amenaza la integridad de la información?, ¿y su disponibilidad?, ¿cuáles son las amenazas que apuntan directamente a la confidencialidad?, ¿hasta qué nivel debemos garantizar esta?, ¿debemos actuar igual con toda la información?...

Como vemos son muchas las preguntas que nos surgen y, creo, debemos empezar por el principio; entender por qué son fundamentales los componentes del CID y cómo y por qué se puede amenazar dicho valor.

Confidencialidad. Los motivos para preservar la confidencialidad de la información son fundamentalmente dos; por motivos regulatorios para garantizar los derechos de los afectados por la información (LOPD) y por supuesto por motivos estratégicos para mantener la posición de ventaja alcanzada por la tenencia de dicha información. Amenazas concretas a cada uno de los elementos que componen CID.

Las amenazas son diferentes si los ataques son generados por una u otra causa. La confidencialidad de las informaciones de carácter personal se ve amenazada fundamentalmente por el mal uso empresarial (cesiones ilícitas,...) o por técnicas de ingeniaría social y phising (ambas técnicas pueden ser consideradas como timos modernos y serán objeto de una atención directa en un próximo articulo). La confidencialidad de la información estratégica está amenazada fundamentalmente por el espionaje industrial.

Integridad. Si la información es alterada de forma incontrolada no solo pierde su valor sino que puede tomar un valor absolutamente contrario (pensemos en una decisión basada en ella). Una de buena parte de principales amenazas a la integridad de la información son internas y no intencionadas y proceden de los tratamientos erróneos que se les aplica. Las amenazas intencionadas, que pueden utilizar mecanismos comunes con las no intencionadas, son originadas fundamentalmente por la actividad de la empresa o por su relación con diferentes personas o grupos.

Disponibilidad. Al igual que en la integridad la disponibilidad se ve fuertemente amenazada por los tratamientos y las consecuencias de estos. Entre las amenazas intencionadas han tomado últimamente una alta relevancia los ataques de denegación de servicio (DoS y DDoS), como los realizados contra la SGAE por el cobro del canon digital o el instrumentado contra wikileaks tras la salida a la luz del cablegate. Sin duda iremos conociendo nuevos casos de utilización de este tipo mecanismos.





Fotografía del autor
Publicado por Jaez a las 9:11 1 comentarios
Claves:

domingo, 12 de diciembre de 2010

Una hora son sesenta minutos



¿Qué significa derecho al trabajo? El derecho de toda persona a acceder a un puesto de trabajo es como suele entenderse habitualmente este derecho fundamental y social. Además se deben añadir adjetivos como igual de oportunidades, sin discriminaciones, en condiciones morales mínimas y algunos otros de similar calado. Es cierto. Bueno, no exactamente. Los derechos fundamentales (aquellos que presuntamente han de garantizarse de forma obligatoria) suelen caer rápidamente en contradicciones muy propias de una sociedad a la que le cuesta enmarcar adecuadamente estos conceptos básicos y vitales.
La medida de la experiencia
En realidad, el derecho al trabajo es más bien un medio para acceder a otros derechos de mayor significación: aquellos relativos a cubrir nuestras necesidades, digámoslo así en general. Necesidad de comer, de vestir, de alojarse, de aprender y, por qué no, de entretenerse, de viajar, de rodearse de pequeños (o grandes) lujos. La necesidad es un concepto altamente relativo en la época que nos ha tocado vivir.
En la mayoría de los casos, tanto para cubrir necesidades elementales como para cubrir “necesidades” de mayor calibre, el trabajo es un medio y un camino para lograr los ingresos precisos para comprar esas exigencias. No obstante, hay colectivos que lo ven de otro modo: los llamados vocacionales. Artistas, científicos, médicos, periodistas piensan que su trabajo es una necesidad en sí misma y viven apasionadamente su dedicación diaria sin pensar (eso dicen) en los ingresos que les reporta.
Pero lo que se está dejando de lado en nuestra avanzada sociedad respecto al tema del trabajo (no sé si es un derecho, una obligación o algo que no se puede en realidad catalogar) es el derecho a la organización del trabajo. Y en este sentido no sólo me estoy refiriendo a que una empresa esté adecuadamente estructurada basándose en una racional división de las funciones, diferenciando e integrando correctamente a sus componentes individuales o colectivos, todo ello de acuerdo a unos principios estratégicos o valores de grupo definidos por una jerarquía. Me estoy refiriendo también a una organización de las trayectorias profesionales y laborales a lo largo y ancho de una carrera (a veces en su sentido de galopada en vez del de recorrido) discurriendo por diferentes empresas, proyectos y entidades varias.
Sí, estoy refiriéndome al derecho de que la vida laboral se organice en: primero aprendo, después comienzo a aplicar mis conocimientos (la estructura me arropa para ser productivo poco a poco), luego voy escogiendo oportunidades de responsabilidad (al abrigo de los mayores), se sigue con el aumento de la capacidad de producir de manera más consistente (el conocimiento se incrementa a la par), hasta llegar a la madurez profesional que tanto en puestos de alta jerarquía como en ubicaciones especializadas mantienen y hacen crecer el ciclo vital de la organización basada en las trayectorias profesionales y laborales. Finalmente, la llamada jubilación debería ser el broche de oro para cualquier carrera (veloz o lenta) consagrada en cualquier organización, sea como promotor de negocios, como productor de actividad, como aprendiz de méritos.
No demos la vuelta al transcurso esencial del ciclo de madurez haciendo que los inexpertos se conviertan antes de tiempo en expertos. La experiencia se adquiere con el tiempo, y las horas han de medir siempre sesenta minutos.

Ángel Luis Herrero
Socio Consultor en InnoSIB



Foto cortesía de Imagebase


Publicado por ... InnoSIB a las 18:20 1 comentarios
Claves: , , ,

lunes, 6 de diciembre de 2010

Protegiendo la información (I)



Podemos definir la seguridad de la información como la disciplina que trata de proteger la información de tal forma que se mantenga intacta en su contenido, que siga manteniendo su valor para la empresa y que ésta (la empresa) pueda utilizarla en el momento en el que la necesite.

Esta sencilla definición introduce las tres características básicas de la información que hay que preservar para garantizar su seguridad, o lo que es lo mismo para conseguir que la información siga siendo información y no simplemente una colección de datos sin valor alguno.

Cuando decimos ...que se mantenga intacta... estamos introduciendo el concepto de integridad. La información es la que es, cualquier cambio en su contenido realizado de forma fraudulenta, o de forma no autorizada, o por un tratamiento erróneo o simplemente por un accidente o una negligencia puede cambiar sustancialmente su significado y por tanto su valor para la organización. No creo necesario poner ningún ejemplo para resaltar la importancia de la integridad, todos somos conscientes de lo que puede cambiar el significado de una frase con la simple inclusión o eliminación de una sencilla coma o incluso un acento mal colocado.

Estamos hablando claramente de la disponibilidad al decir ...pueda utilizarla en el momento en el que la necesite. Disponibilidad significa que la información esté donde debe estar. Que se pueda acceder a ella cuando sea necesario o que se obtenga con la velocidad necesaria (ni más rápido ni más despacio). Por último significa también que pueda acceder a ella quien lo necesita y está autorizado para ello.

Al mencionar ... que siga manteniendo su valor para la empresa ... estamos introduciendo de forma algo sutil la tercera característica de la información: La confidencialidad. La información tiene valor para la organización en tanto en cuanto es conocida por los miembros de la organización que la necesitan y se respetan las normas y leyes relacionadas con la confidencialidad de la información. Si la información se divulga de forma descontrolada pierde todo el valor estratégico que pudiera tener.
Estar tres características son conocidas La triada CID por sus iniciales (CIA en ingles de las iniciales de Confidentiality, Integrity y Availability.

Si estas tres características básicas no se ven afectadas es porque se ha mantenido la seguridad de la información, pero ¿Cómo podemos saberlo? Para dar respuesta a esta pregunta surgen nuevas características derivadas de la información. Hablaremos de ellas en un artículo próximo. También hablaremos en otro artículo de los peligros y las formas de ataque a los que está expuesta la triada CID.






Fotografía por cortesía de PD Photo.org
Publicado por Jaez a las 10:14 0 comentarios
Claves: ,
Suscribirse a: Entradas (Atom)
Licencia de Creative Commons
Las ideas de InnoSIB by InnoSIB is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License