CONCEPTOS

 

El principal objetivo será garantizar:

· La confidencialidad de la información: que nadie no autorizado pueda verla.

· La integridad de la información: que nadie no autorizado pueda modificarla y alterarla.

· La disponibilidad de la información: que quien esté autorizado pueda acceder a ella siempre y consultarla.

Otros conceptos básicos:

• Autenticación: permite validar la identidad del emisor. Verificando que es quien dice ser. El método más conocido es el de controlar el acceso mediante usuario y contraseña. Existen otros métodos más seguros como el certificado digital, tarjetas magnéticas, huella dactilar, reconocimiento facial, etc.

• Autorización: controla el acceso de los usuarios a información, equipos o procesos restringidos, tras pasar un proceso de autenticación. Deberemos definir sobre qué puede actuar, cuándo puede actuar y cómo puede hacerlo (p.ej. acceso a ficheros en modo de solo lectura o lectura/escritura, acceso a bases de datos con permisos de inserción, borrado o modificación, etc.) Siempre será más recomendable dar autorizaciones más restringidas y abrirlas cuando sea necesario, que dar autorizaciones muy abiertas que pueden comprometer la seguridad del sistema en caso de accesos con permisos inadecuados, bien intencionadamente o bien por error.

• Auditoría: debemos llevar un control sobre los sistemas y servicios que nos permita determinar qué acciones se han llevado a cabo y quién y cuándo las ha llevado a cabo. Periódicamente se revisará está información para analizarla y sacar conclusiones que permitan detectar posibles fallos de seguridad o mejorar los procedimientos.

• No repudio: mecanismo para asegurar que nadie pueda decir que él no fue. El emisor no podrá negar que fue él quien envió el mensaje, puesto que el receptor tendrá pruebas de ello o el receptor no podrá negar que recibió el mensaje porque el receptor tendrá información que lo confirma.