lunes, 21 de febrero de 2011

Protegiendo la información (II). Características derivadas u operativas.

Ya hemos hablado en posts anteriores de que para garantizar la seguridad de la información basta con proteger al CID, es decir preservar su Confidencialidad, Integridad y Disponibilidad. Pero ¿cómo estamos seguros?, ¿cómo sabemos que la información no ha sido manipulada o conocida por terceros?.

Con respecto a la Disponibilidad las cosas pueden parecer bastante sencillas. Adoptamos las medidas que consideremos necesarias para garantizar la continuidad de nuestros sistemas (o soportes) y si cada vez que una de las personas autorizadas necesita acceder a la información puede hacerlo entonces podremos concluir con cierta razón que estamos garantizando la disponibilidad de la información.

Pero, ¿es igual de sencillo con la confidencialidad y la integridad? La verdad es que no. No podremos ser conscientes del éxito o fracaso en nuestros intentos de salvaguardar la integridad y/o confidencialidad de la información sin introducir nuevas características de la información. Se trata de características NO BÁSICAS que solo persiguen acreditar las actuaciones y resultados en post de garantizar la seguridad de la información.

A continuación se introducen alguna de estas características operativas indicando que objetivo se persigue con ella. Como es lógico cada organización tendrá estructuras, culturas, fines y problemas diferentes. Dependerá de todos estos factores los criterios que cada organización contemple y los controles que implemente, eso sí; siempre tratando de preservar las tres características básicas: el CID.

Carácter Regulatorio. La información y su entorno debe respetar todo compendio regulatoria que la afecta (P.Ej, LOPD) ya sea éste de orden público o privado (propio de la Organización).

No Repudio. La información no puede ser repudiada por de las partes implicadas en su gestación, al menos mientras mantenga su naturaleza actual.
Trazabilidad. Los movimientos y modificaciones de la información dejan rastro de tal forma que en un momento dado pueda ser reproducida la actividad que se ha realizado en torno a ella (tanto a nivel consulta como modificación de su contenido).
Estas características, que en sí mismas no aportan valor, nos permiten conocer el existo o fracaso de nuestros esfuerzos por proteger al CID.

Sin duda alguna en futuros artículos iremos profundizando en alguna de estas características.




Fotografía por cortesía de www.everystockphoto.com
Publicado por Jaez a las 10:48 0 comentarios
Claves: ,

lunes, 14 de febrero de 2011

Enredarse

Que la unión hace la fuerza ya lo sabemos todos. Que el afán colectivo supera grandes barreras es patente. Que compartir la adversidad y la fatiga siempre es más tolerable todos convenimos en su evidencia. Por eso, hablar en términos de novedoso, original y moderno del denominado networking no es muy acorde con la realidad.
El asociacionismo, las alianzas y las colaboraciones en el ámbito profesional y de negocio han sido en todos los tiempos un baluarte de la optimización de beneficios y esfuerzos. Siempre hemos buscado y rebuscado ese interés mutuo, esa unión de objetivos comunes, ese acuerdo de perspectivas provechosas.
Lo que quizá podamos referirnos como más novedoso o, si queremos decirlo así, más consecuente con los tiempos actuales de crisis y de recomposición de las formas de actuación profesional es la búsqueda de una colaboración más estrecha entre profesionales independientes. Como todos sabemos (por la prensa claro está) la economía del momento ha promovido y fomentado —aún a expensas del desacuerdo del profesional— que multitud de experimentados y avezados expertos de diferentes especialidades y materias hayan decidido, como autónomo o como microempresa, ejercitar su capacitación.
Independencia y eficacia: las claves
Es aquí donde hemos de interpretar la melodía de la unión, la armonía de la coalición, el ritmo de la alianza beneficiosa. Somos expertos, competentes e incluso ingeniosos, pero como entes aislados no llegaremos fácilmente a encontrar aquellos clientes que nos pueden necesitar. En cambio, mediante la colaboración mutua fusionamos capacidades, aumentamos nuestro horizonte de pesca, coordinamos acciones y conseguimos proyectos como si fuéramos una empresa de cierta envergadura.
El networking tecnológico facilita, al abrigo de nuestros puestos domésticos, el encuentro de profesionales afines, con objetivos similares, con ganas de mantener viva la llama del emprendimiento. Así pues, las redes específicamente profesionales en Internet, los eventos presenciales de networking directo, los auspiciadores (asociaciones, escuelas, etc.) del intercambio de experiencias conforman lo verdaderamente novedoso. Sin olvidar obviamente los contactos personales acumulados en tantos años de brega.
Enredarse es la palabra.


Ángel Luis Herrero
Socio Consultor en InnoSIB





Foto propia
Publicado por ... InnoSIB a las 20:36 1 comentarios
Claves: , , ,

domingo, 6 de febrero de 2011

Algo que tienes, algo que sabes, algo que eres.

Uno de los aspectos más populares y conocidos por todos de la seguridad informática es el control de acceso de usuarios.
Cuando nos conectamos a un ordenador, red o página web mediante la introducción de nuestro usuario y password se están realizando varias operaciones diferentes:
IDENTIFICACIÓN. Al introducir el código de usuario el sistema identifica quién dentro de los múltiples usuarios existentes se está conectando.
AUTENTICACIÓN. Se debe comprobar que realmente somos quien decimos que somos. El sistema nos solicita algo que debe ser privativo del usuario que se ha identificado.
CONTROL DE ACCESO. Una vez superadas las fases anteriores se comprueba cuales son las capacidades permitidas al usuario conectado y se le conceden los accesos que tiene autorizados.

Es de la autenticación y de los diferentes tipos que ésta puede tener de lo que quiero hablar en este artículo. La autenticación no es un proceso específico del control de acceso informático. Cada vez que alguien nos solicita el DNI está autenticando nuestra identidad.
Como indicaba anteriormente para autenticar a un usuario este debe aportar algo que le sea privativo. Este algo puede ser de tres naturalezas diferentes. Cada naturaleza aportará un nivel de fiabilidad diferente así como aspectos técnicos específicos.
ALGO QUE SE SABE. Es el método más habitual y también el más sencillo ya que no requiere elementos de entrada específicos. La utilización de Palabras de Paso (password) es su forma más corriente. Su efectividad depende de dos factores fundamentales. La complejidad de las palabras de paso y la conservación de estas de forma confidencial.
ALGO QUE SE TIENE. Cuando acreditamos nuestra identidad mediante la presentación de información asociada unívocamente a un dispositivo que en el sistema se sabe está asociado a nosotros. Son por ejemplo los Tokens de Seguridad o las tarjetas de acceso. Su efectividad depende de la capacidad del usuario para mantener el dispositivo siempre en su poder.
ALGO QUE SE ES. Si para acceder al sistema debemos acreditar nuestra identidad presentando al sistema alguna parte de nuestro cuerpo (los más comunes son los ojos y los dedos). Son los sistemas Biométricos y el riesgo de pérdida y/o compartición queda muy reducido por la propia naturaleza del sistema.
Los sistemas de autenticación se pueden complicar tanto como se quiera (realmente se deben complicar tanto como se necesite). Un buen método para robustecer el proceso de autenticación es usar la combinación de al menos dos de los tres tipos comentados.
En futuros artículos profundizaremos en las características de cada uno de ellos.




Fotografía por cortesía de www.freephotosbank.com
Publicado por Jaez a las 12:57 0 comentarios
Claves:
Suscribirse a: Entradas (Atom)
Licencia de Creative Commons
Las ideas de InnoSIB by InnoSIB is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License