Curso de introducción a la Ciberseguridad
Este curso online es una interesante introducción a la ciberseguridad, en el que aprenderás los conceptos básicos y...
Te contamos qué es el Triángulo de Seguridad Informática y la importancia que tiene hoy en día, en el que la información que se genera no deja de crecer.
La información se encuentra en todas partes. Vivimos en un mundo en donde cada cosa que realizamos, cada actividad que decidimos realizar contribuye a un conjunto de extensa magnitud denominado información.
Un mensaje de texto como “Hola, como estás”, tal vez sea insignificante para muchas personas, sin embargo, dentro de un contexto repetitivo en el cual un individuo lo hace frecuentemente, indicaría un patrón. O una imagen de Instagram, una inocente foto que cualquier persona podría publicar, no obstante, en manos de la persona adecuada puede significar mucho.
La información es un conjunto de datos con características similares que cuentan una historia, esta historia a menudo puede determinar la personalidad de su propietario por medio de ciencias dentro de la informática, como por ejemplo ingeniería social.
Como te habrás dado cuenta, existen ciertos peligros dentro de la información que publicamos, por lo cual existen principios que nos permiten salvaguardar la información de la misma. Es esto a lo que llamamos el triángulo de la seguridad informática.
El triángulo de la seguridad informática consta de: Confidencialidad, Integridad, Disponibilidad (CIA en inglés). Estos 3 pilares juntos se encargan de brindar una protección a la sensibilidad de los datos que se manejan.
Piénsalo de esta forma, ¿si la información de tu primo que tenía solo unas fotos de las últimas vacaciones se pierde, no sería el fin del mundo, ¿verdad? Ahora imagina que se filtra información de un sitio web de citas de adultos, en donde su principal atractivo es para “personas comprometidas buscando algo más”. ¿Suena algo grave, cierto? Ahora imagina que en ciertos países la infidelidad, poligamia entre otros no solo es de mal gusto, en ciertos estados es considerado un crimen, por lo cual las personas involucradas podrían hasta ser ejecutados por ello.
Con lo explicado anteriormente quiero dar una idea del impacto que puede tener una simple “fuga” de información, por esta razón existen principios que nos permiten salvaguardar nuestro activo más preciado: la información.
Ahora hablemos de cada uno de los principios, y cuáles son sus puntos fuertes, comenzando con el más importante según muchas personas, incluído yo mismo.
Es sumamente simple, de hecho, su objetivo es no permitir el manejo inadecuado de la información por terceros. Sabemos que la información debe viajar por un largo tramo denominado internet, pero si bien es cierto el tiempo es en milisegundos (para el usuario), siempre puede ser intervenido por alguien más. Para poder verificarlo se utilizan credenciales previamente establecidas, de esta forma solo se ubica su usuario y contraseña para acceder al recurso.
Mediante la verificación de “roles de usuario” se comprueba quien realiza la petición y la respuesta que se le va a dar a la misma. Es decir, nos permiten dar permisos y autorizaciones diferentes a lo que un usuario puede hacer con un recurso, acciones como ver, editar e incluso eliminar son varias de las actividades que puede otorgarse hacia un rol especifico.
Los dos roles más conocidos o más generales son: administrador y usuario. De forma general el usuario es a quien se le concede permisos limitados sobre el manejo de la información, mientras que el ADMIN hace la función de gestionar todo, incluso monitorear las actividades del usuario, todo esto con la finalidad de ofrecer seguridad a la información.
Para poder ofrecer a sus usuarios este tipo de confianza, se suelen utilizar técnicas de criptografía, que permiten verificar que solo la persona autorizada es quien está al otro lado de la comunicación, de esta forma evitando riesgos innecesarios, tales como Man in the Middle.
Alguna vez han notado que en WhatsApp dice “Esta conversación está cifrada” o frases similares. O tal vez han intentado abrir un archivo de bases de datos de WhatsApp, ¿es acaso posible?
Mediante la confidencialidad puedo asegurarme que se verifique el destinatario para posteriormente enviar su respectivo mensaje.
Integridad se refiere a que esté completo. ¿A qué me refiero con esto?
Por lo general, si nos dicen un mensaje para alguien más, hay una gran posibilidad que ese mensaje no lo transmitamos 100% completo. Ahora, este mensaje puede ser desde un simple diálogo entre personas, o incluso en una organización una orden de mando que tal vez haya sufrido modificaciones en su camino.
La finalidad de la integridad es asegurarse que:
Existen diversos ataques informáticos orientados a vulnerar la integridad de la información de una empresa. Es por esta razón que las organizaciones, principalmente las de e-commerce tienden a hacer pruebas de integridad, mediante uso de Hash, firmas digitales, entre otros
Mediante estas técnicas, se pretende proteger la información de cambios de terceros. Si la confidencialidad se ha encargado de que el destinatario sea el correcto, la integridad debe asegurarse de que no sufra ningún tipo de alteración, por esta razón existen logs en los cuales se encuentra información de los usuarios de forma de auditoria, quien accedió, cuando y que hizo con el recurso.
Imagina que en un colegio alguien se hace con las credenciales de su maestro, luego, decide alterar sus calificaciones en la plataforma online sin que nadie pueda notarlo. En este caso la información ha sufrido varios cambios que han provocado que se pierda los datos salvaguardados con anterioridad e incluso ha provocado un daño grave a su establecimiento educativo. En casos mayores alguien puede transferirse dinero a una cuenta X desde una cuenta de un tercero y asegurarse de que nadie lo note.
¿De qué sirve tener algo que no ha sido modificado, ni accedido por terceros sino está listo para la visualización del interesado (cliente)?
Imagina querer ver un video en YouTube y que el sistema esté caído. O querer ver una publicación en Facebook y no cargue el sitio. O algo más trágico, intentar enviar un mensaje a tu jefe por WhatsApp y que el mensaje no pueda enviarse por problemas internos.
La disponibilidad se encarga precisamente de esto, el recurso debe estar siempre a la disposición del usuario autorizado. Para esto la organización debe hacer una inversión en el hardware adecuado. Aplicar técnicas para realizar respaldo de la información, en el remoto caso de que suceda un imprevisto.
Los backups son esenciales dentro de la seguridad de la información, sin ellos la tarea de recuperar información sería prácticamente imposible. La cantidad de datos almacenadas depende de la magnitud de información que maneje la compañía, así como también que tan a menudo realizas respaldos informáticos. En una empresa mediana se estima que el promedio es de cada 24 horas un respaldo general, así como también adicionan un par de respaldos cada 6 horas para añadir información nueva que haya surgido durante ese lapso de tiempo.
Es por esta razón que WhatsApp suele hacer sus respaldos de información a una hora específica (por lo general en la madrugada), de esta forma los usuarios pueden disfrutar de los servicios de la aplicación sin mayor problema durante casi todo el día. Adicional a esto, cada persona puede escoger la frecuencia de los backups, aunque por lo general lo más recomendable es realizarlo de forma diaria, luego de esto se puede deshacer de backups anteriores, ya que el actual contiene lo anterior.
Todo esto está pensado en la disponibilidad del servicio sin brindar mayor interrupción, de hecho, en muchas empresas de videojuegos planifican las horas de mantenimiento para que el usuario este consciente de la ausencia de la aplicación en ese tiempo.
Ahora, no cualquier persona puede acceder a un recurso X, así como tampoco esta debe ser adulterada o no estar disponible. De esta forma los 3 principios trabajan en conjunto para brindar al usuario un mayor grado de satisfacción al utilizar el internet.
Así podemos estar seguros de que los “atacantes” no han tenido acceso a la información en algún punto de su viaje por el internet.
También te puede interesar
Este curso online es una interesante introducción a la ciberseguridad, en el que aprenderás los conceptos básicos y...
Para mantener la ciberseguridad, sobre todo en las empresas, vamos a profundizar en algunos métodos preventivos y la importancia de concienciar al...
Conoce los motivos por los qué formarse en ciberseguridad es una gran elección con futuro, cómo y dónde comenzar a formarse y...