Objetivos y ámbito de aplicación de la seguridad informática
La tarea más importante en la seguridad informática es seguir los avances técnicos. El mundo de la digitalización y las redes está progresando muy rápidamente en términos de tecnología. Las nuevas tecnologías requieren nuevos programas informáticos, las nuevas áreas de aplicación requieren nuevas medidas de seguridad.
Mientras que en el pasado unos pocos ordenadores grandes simplemente asumían tareas para empresas enteras y eran operados por unas pocas personas, hoy en día hay muchísimos pequeños dispositivos que están todos interconectados.
Puede ser bastante complicado incluso explicar qué es exactamente lo que hay que proteger de qué, qué amenazas hay y qué lagunas en los sistemas de seguridad podrían ser peligrosas.
Sin embargo, los objetivos de protección, se consideran los “principales objetivos” para la seguridad informática. Estos son:
confidencialidad – integridad – disponibilidad
Si conscientemente se toman en serio estos tres objetivos de protección, ya se habrían implementado la mitad de la seguridad informática.
Confidencialidad
Los datos, la información y el conocimiento resultante deben ocultarse a las personas que no tienen derecho a verlos.
Integridad
Los datos, la información y el conocimiento resultante deben protegerse contra cambios y manipulaciones no autorizados.
Disponibilidad
Los datos, la información y los conocimientos resultantes deberían ser accesibles a quienes han permitido el acceso, cuando sea necesario.
Estos tres objetivos son tan importantes y centrales porque son igualmente importantes en el contexto privado y empresarial. Echa un vistazo a los siguientes ejemplos:
Ejemplos
Los tres objetivos de protección en un contexto privado utilizando el ejemplo de la “banca en línea”.
Imagina que utilizas el acceso online para entrar en tu cuenta bancaria. Este es un tema delicado, porque tu dinero está en juego. ¿Cómo se cumplen los objetivos de protección aquí?
Confidencialidad: Solo tú tienes acceso a los datos de acceso y de la cuenta y a las contraseñas.
Integridad: Las personas no autorizadas no pueden hacer transferencias online.
Disponibilidad: La cuenta tiene acceso ilimitado en cualquier momento y desde cualquier lugar.
Los tres objetivos de protección en el contexto empresarial. Ejemplo del “desarrollo de productos”.
Una compañía desarrolla un producto completamente nuevo que va a revolucionar el mercado. Por supuesto, no queremos que la competencia saque beneficios. ¿Cómo podrían cumplirse los objetivos de protección en este caso?
Confidencialidad: Solo las personas autorizadas tienen acceso a toda la información sobre el desarrollo del nuevo producto.
Integridad: Protección de los datos obtenidos del desarrollo del producto contra el sabotaje y la manipulación del exterior.
Disponibilidad: Todas las personas involucradas y autorizadas tienen acceso seguro al desarrollo del nuevo producto y a los datos resultantes.
Además, también hay objetivos de protección ampliada que deben considerarse según los requisitos. Éstos no tienen que estar necesariamente anclados en la seguridad de la tecnología de la información y pueden variar enormemente en el contexto privado y empresarial.
Rendición de cuentas o anonimato
Una acción en el entorno informático puede asignarse claramente a una persona – o no. En el contexto empresarial, se puede identificar a la persona responsable del sabotaje interno. En la vida privada, sin embargo, es más probable que ocurra lo contrario, es decir, que la persona goce del mayor anonimato posible en relación con sus datos – por ejemplo, al investigar temas relacionados con la salud en Internet.
Autenticidad
Los datos, la información y los conocimientos deben verificarse en cuanto a su autenticidad, por ejemplo, si los resultados de la investigación son originales o han sido manipulados por un tercero.
No Repudio
Las acciones en un entorno de las TIC no deben negarse sin más, lo cual es particularmente importante para los contratos procesados electrónicamente. En este caso, por ejemplo, se utilizan firmas electrónicas.
¿Cómo se lograrán estos objetivos en la práctica?
Esta pregunta se refiere a los puntos débiles. Se trata de encontrar y eliminar las vulnerabilidades. Como ya has aprendido, todo el software tiene puntos débiles. Estos no se identifican facilmente. A menudo se debe a una mala programación del software o al diseño del sistema informático. Esto no significa necesariamente que se haya hecho una programación “errónea”, sino simplemente que no se han tenido en cuenta en la programación todas las amenazas conocidas de las herramientas TIC. Sin embargo, el ser humano o el mal manejo de los sistemas de herramientas TIC también pueden ser puntos débiles.
Importante
Por supuesto, la seguridad informática también se puede evitar a través del hardware, no sólo a través del software. Pero esto es menos práctico, porque para manipular datos a través del hardware, tienes que estar físicamente presente, por ejemplo, con un USB en la mano o llevándote todo el ordenador.
Por lo tanto, acceder al software a través de Internet es más conveniente, y sobre todo más difícil de rastrear si te quedas a mitad.
la tarea se vuelve más difícil, porque no es posible obtener una representación del 100% de todos los puntos débiles debido al constante desarrollo de los sistemas y a la incapacidad general de mirar hacia el futuro – sólo se puede aproximar lo más posible.
Recuerda
La seguridad de la tecnología de la información depende en gran medida de los avances tecnológicos actuales; los nuevos ámbitos de aplicación de la tecnología de la información también entrañan nuevos peligros. Aquí se requiere una reacción rápida para poder ofrecer las contramedidas adecuadas.
Hay tres objetivos de protección que deben cumplirse en todas las áreas de aplicación:
Confidencialidad
Integridad
Disponibilidad
Hay tres objetivos de protección adicionales, que varían según la zona de aplicación y deben considerarse en consecuencia:
Atribuibilidad o anonimato
Autenticidad
Compromiso
Para lograr estos objetivos de protección, la tarea principal de la seguridad informática es identificar los puntos débiles de los sistemas y eliminarlos en consecuencia. Esto también puede afectar al hardware, pero actualmente más bien al software – esto se refiere principalmente a errores de programación o a debilidades en la programación.
Se intenta pero la seguridad informática perfecta pero no se cumple al 100%. Por ello, la seguridad informática debe tratarse como un todo.
La tarea más importante en la seguridad informática es seguir los avances técnicos. El mundo de la digitalización y las redes está progresando muy rápidamente en términos de tecnología. Las nuevas tecnologías requieren nuevos programas informáticos, las nuevas áreas de aplicación requieren nuevas medidas de seguridad.
Mientras que en el pasado unos pocos ordenadores grandes simplemente asumían tareas para empresas enteras y eran operados por unas pocas personas, hoy en día hay muchísimos pequeños dispositivos que están todos interconectados.
Puede ser bastante complicado incluso explicar qué es exactamente lo que hay que proteger de qué, qué amenazas hay y qué lagunas en los sistemas de seguridad podrían ser peligrosas.
Sin embargo, los objetivos de protección, se consideran los “principales objetivos” para la seguridad informática. Estos son:
confidencialidad – integridad – disponibilidad
Si conscientemente se toman en serio estos tres objetivos de protección, ya se habrían implementado la mitad de la seguridad informática.
Los datos, la información y el conocimiento resultante deben ocultarse a las personas que no tienen derecho a verlos.
Los datos, la información y el conocimiento resultante deben protegerse contra cambios y manipulaciones no autorizados.
Los datos, la información y los conocimientos resultantes deberían ser accesibles a quienes han permitido el acceso, cuando sea necesario.
Estos tres objetivos son tan importantes y centrales porque son igualmente importantes en el contexto privado y empresarial. Echa un vistazo a los siguientes ejemplos:
Ejemplos
Los tres objetivos de protección en un contexto privado utilizando el ejemplo de la “banca en línea”.
Imagina que utilizas el acceso online para entrar en tu cuenta bancaria. Este es un tema delicado, porque tu dinero está en juego. ¿Cómo se cumplen los objetivos de protección aquí?
Confidencialidad: Solo tú tienes acceso a los datos de acceso y de la cuenta y a las contraseñas.
Integridad: Las personas no autorizadas no pueden hacer transferencias online.
Disponibilidad: La cuenta tiene acceso ilimitado en cualquier momento y desde cualquier lugar.
Los tres objetivos de protección en el contexto empresarial. Ejemplo del “desarrollo de productos”.
Una compañía desarrolla un producto completamente nuevo que va a revolucionar el mercado. Por supuesto, no queremos que la competencia saque beneficios. ¿Cómo podrían cumplirse los objetivos de protección en este caso?
Confidencialidad: Solo las personas autorizadas tienen acceso a toda la información sobre el desarrollo del nuevo producto.
Integridad: Protección de los datos obtenidos del desarrollo del producto contra el sabotaje y la manipulación del exterior.
Disponibilidad: Todas las personas involucradas y autorizadas tienen acceso seguro al desarrollo del nuevo producto y a los datos resultantes.
Además, también hay objetivos de protección ampliada que deben considerarse según los requisitos. Éstos no tienen que estar necesariamente anclados en la seguridad de la tecnología de la información y pueden variar enormemente en el contexto privado y empresarial.
Una acción en el entorno informático puede asignarse claramente a una persona – o no. En el contexto empresarial, se puede identificar a la persona responsable del sabotaje interno. En la vida privada, sin embargo, es más probable que ocurra lo contrario, es decir, que la persona goce del mayor anonimato posible en relación con sus datos – por ejemplo, al investigar temas relacionados con la salud en Internet.
Los datos, la información y los conocimientos deben verificarse en cuanto a su autenticidad, por ejemplo, si los resultados de la investigación son originales o han sido manipulados por un tercero.
Las acciones en un entorno de las TIC no deben negarse sin más, lo cual es particularmente importante para los contratos procesados electrónicamente. En este caso, por ejemplo, se utilizan firmas electrónicas.
¿Cómo se lograrán estos objetivos en la práctica?
Esta pregunta se refiere a los puntos débiles. Se trata de encontrar y eliminar las vulnerabilidades. Como ya has aprendido, todo el software tiene puntos débiles. Estos no se identifican facilmente. A menudo se debe a una mala programación del software o al diseño del sistema informático. Esto no significa necesariamente que se haya hecho una programación “errónea”, sino simplemente que no se han tenido en cuenta en la programación todas las amenazas conocidas de las herramientas TIC. Sin embargo, el ser humano o el mal manejo de los sistemas de herramientas TIC también pueden ser puntos débiles.
Importante
Por supuesto, la seguridad informática también se puede evitar a través del hardware, no sólo a través del software. Pero esto es menos práctico, porque para manipular datos a través del hardware, tienes que estar físicamente presente, por ejemplo, con un USB en la mano o llevándote todo el ordenador.
Por lo tanto, acceder al software a través de Internet es más conveniente, y sobre todo más difícil de rastrear si te quedas a mitad.
la tarea se vuelve más difícil, porque no es posible obtener una representación del 100% de todos los puntos débiles debido al constante desarrollo de los sistemas y a la incapacidad general de mirar hacia el futuro – sólo se puede aproximar lo más posible.
Recuerda
La seguridad de la tecnología de la información depende en gran medida de los avances tecnológicos actuales; los nuevos ámbitos de aplicación de la tecnología de la información también entrañan nuevos peligros. Aquí se requiere una reacción rápida para poder ofrecer las contramedidas adecuadas.
Hay tres objetivos de protección que deben cumplirse en todas las áreas de aplicación:
Hay tres objetivos de protección adicionales, que varían según la zona de aplicación y deben considerarse en consecuencia:
Para lograr estos objetivos de protección, la tarea principal de la seguridad informática es identificar los puntos débiles de los sistemas y eliminarlos en consecuencia. Esto también puede afectar al hardware, pero actualmente más bien al software – esto se refiere principalmente a errores de programación o a debilidades en la programación.
Se intenta pero la seguridad informática perfecta pero no se cumple al 100%. Por ello, la seguridad informática debe tratarse como un todo.