target="_blank" rel="nofollow" href="#fb3_img_img_fdba2b23-2618-571d-8ab1-08c7ad1306ef.png" alt="Image"/>
Definición
Criptografía
Es el “arte de escribir con clave secreta o de un modo enigmático”. Aplicar a un mensaje técnicas de criptografía, o de encriptación, consiste en modificarlo mediante algún procedimiento secreto o privado, de manera que el resultado sea un enigma.
Se persigue que, aunque el mensaje encriptado se haga público, no se revele el mensaje original; o al menos que el enigma divulgado ofrezca resistencia para conocer con facilidad el mensaje original.
4. Salvaguardas y tecnologías de seguridad más habituales
Las salvaguardas, o contramedidas, persiguen detectar, prevenir, impedir, reducir, y controlar una amenaza y el daño que pueda generar. Son elementos de defensa, para que las amenazas no causen tanto daño. Como en el caso de las amenazas, las salvaguardas se pueden clasificar según distintas categorías. Por ejemplo, existirán:
1 Salvaguardas preventivas o proactivas, que persiguen anticiparse a la ocurrencia del incidente.
2 Salvaguardas reactivas, que persiguen reducir el daño una vez ocurre el incidente.
3 Salvaguarda de “no hacer nada”, o de aceptar el riesgo existente para los equipos (cuando se cumplan los criterios de aceptación de riesgo de la empresa, y solo cuando esta decisión sea autorizada por la Dirección).
Por ejemplo, son salvaguardas preventivas las relacionadas con los controles de acceso de los usuarios a los equipos, como el uso de contraseñas. Controlando el acceso de los usuarios exclusivamente a la información que necesitan conocer para el desempeño de su trabajo, se previenen daños a la confidencialidad e integridad de la información.
Definición
Salvaguarda
Guarda que se pone para la custodia de una cosa. Custodia, amparo, o garantía.
Por ejemplo, son salvaguardas de carácter reactivo las copias de seguridad. Las copias no evitan que se produzca un incidente que derive en pérdida de información, pero sí reducen el daño limitando la pérdida a la información modificada desde la última copia de seguridad verificada.
Como aclaración de salvaguarda de “no hacer nada”, se tomará de ejemplo una empresa, cuya política de seguridad establece que se aprobarán los riesgos, cuando sean inferiores al 10 % del valor de los activos. Si el análisis de riesgos establece que este es del 5 % del valor de los equipos, puede decidirse asumirlo, y no interponer salvaguardas para reducirlo; pero siempre debe ponerse en conocimiento de la Dirección, que es el órgano responsable en última instancia del riesgo que se asume.
En los siguientes apartados, se introducirán algunas áreas de seguridad específicas, con sus tecnologías habituales y salvaguardas.
4.1. Seguridad de recursos humanos
Tanto antes del empleo, como durante el empleo, y a la terminación del mismo, conviene adoptar medidas, salvaguardas, o controles, para proteger la información que será accedida, e impactada por las personas. Se trata, por ejemplo, de establecer obligaciones y responsabilidades legales durante la contratación, o de establecer cómo actuar, de cara a la información, cuando una persona abandone la empresa. Dependiendo de cada circunstancia, podría corresponder aplicar, con mayor o menor exhaustividad, alguna de las siguientes salvaguardas habituales:
1 Definición de roles y responsabilidades que contraerá el trabajador.
2 Investigación de antecedentes.
3 Formación y capacitación de los trabajadores en seguridad de la información.
4 Definición de procesos disciplinarios.
5 Definir las responsabilidades a la terminación del contrato.
6 Devolución de activos.
7 Retirada de derechos de acceso a la información.
4.2. Seguridad ambiental
Los equipos informáticos deben disponer de un entorno adecuado. Por ejemplo, no es óptimo que un servidor empresarial comparta las mismas condiciones de temperatura y suministro eléctrico que los ordenadores de usuario. De ser posible, hay que proporcionarle un espacio mejor, porque el riesgo de una amenaza actuando sobre él es mayor. Si existe la posibilidad, debe proporcionarse un sistema de alimentación eléctrica ininterrumpido, y unas condiciones de temperatura adecuadas (por ejemplo entre 20° y 25°, que reduzcan el deterioro de sus componentes si se vieran forzados a trabajar a temperaturas elevadas). Debe intentar ubicarse en un recinto separado, que se denominará en adelante Centro de Proceso de Datos o CPD.
Las amenazas vistas en el apartado anterior, en la categoría de “desastres naturales”, y amenazas “de origen industrial”, precisan de salvaguardas, de las que las más habituales son:
1 Medidas que eviten el fuego, el humo o el agua: sistema anti-incendio y anti-inundaciones, bien solo de alarma, o incluso de extinción del incendio, o de evacuación del agua.
2 Medidas que eviten las vibraciones, golpes, y caídas accidentales: como la fijación en armarios industriales para fijación de equipos informáticos, o armarios tipo rack).
3 Medidas para proporcionar temperatura y humedad adecuadas, como equipos de aire acondicionado, y alarmas por exceso, o por defecto (riesgo de condensación).
4 Medidas que eviten fallos de suministro eléctrico (corte del suministro, variaciones de tensión por encima o por debajo del suministro nominal, caídas de rayos, etc.).
5 Seguridad del cableado, tanto en los materiales empleados, como en su disposición o tendido, siguiendo pautas de un sistema de cableado estructurado, que aseguren una correcta acometida al CPD, un trazado interior adecuado, y unas conexiones a los equipos correctas, de manera practicable, ordenada, e identificada.
6 Un mantenimiento preventivo de los equipos, según indicaciones del fabricante, y al menos con chequeos periódicos generales (vías de salida de aire de los chasis, revisiones de temperatura de los procesadores y/o placa base, revisiones de leds, u otros indicadores del buen funcionamiento de discos duros, fuentes de alimentación, etc.).
7 Asegurar condiciones de seguridad para desplazamientos del equipo fuera del CPD (vigilancia, exposición a campos electromagnéticos, condiciones de embalaje, y transporte).
8 Seguridad al final del ciclo de vida del equipo, incluida su destrucción segura.
Recuerde
Las amenazas no pueden impedirse en su totalidad, por lo que deben contemplarse, anticipando la situación
