Entendemos el término de seguridad como una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño y riesgo. Se entiende por peligro o daño, todo aquello que pueda afectar el funcionamiento directo o los resultados que se obtienen del mismo [95].
Existen debilidades internas y externas del sistema con respecto a la seguridad, pero, ¿somos concientes de esas debilidades? La seguridad informática se convierte, sin duda, en un nuevo motivo de preocupación. A finales del siglo XX y comienzos del XXI, las empresas, organismos e incluso particulares comienzan a tener verdadera conciencia de su importancia. En los años 80 el uso de ordenador personal comienza a ser común y se refleja por tanto una clara preocupación por la integridad de los datos. En los años 90 aparecen los llamados virus y gusanos y se toma conciencia del peligro que nos aguarda como usuarios de PCs y equipos conectados a la red. Comenzamos a tener ataques a sistemas informáticos, dándose a conocer el término hacker. En el presente siglo XXI es cuando los acontecimientos fuerzan a que nos tomemos muy en serio los problemas de la seguridad informática. Principalmente por el uso masivo de Internet, el tema de la protección de la información se ha transformado en una necesidad y con ello se populariza como medio de seguridad una terminología técnica basada en: cifrado, descifrado, criptografía, criptoanálisis, firma electrónica, autoridades de certificación, comercio electrónico, etc, términos que estudiaremos a continuación.
A diario vemos en los medios de comunicación noticias relativas a fallos de seguridad informática y a problemas éticos asociados a ellos. Veamos en la Tabla tres ejemplos, como muestra reciente de estos casos:
Tabla 5.1: Noticias Sobre Fallos de Seguridad
Usuarios, desarrolladores y expertos en la materia debemos aplicar soluciones para intentar resolver los asuntos e incrementar las responsabilidades éticas relativas al uso de las TIC’s (Tecnologías de Información y Comunicación). ¿Qué uso de las TIC’s es considerado impropio, irresponsable o dañino para individuos u organizaciones?, ¿Cuál sería el uso más adecuado, responsable y respetuoso dentro de una organización o en nuestros propios hogares?, ¿A quienes se le atribuyen como responsables los problemas de inseguridad: al gobierno, la organización o a nosotros mismos?, ¿Cómo nos podemos proteger de los abusos demostrados en el uso de las TIC’s?
Desde el punto de vista de una empresa, los asuntos éticos se deben analizar tanto por su efecto para los clientes, como para los empleados, para otras empresas del entorno y por supuesto, para la sociedad en general.
Para que un sistema lo podamos calificar de seguro debe de disponer de cuatro elementos éticos relativos a la tecnología:
- Disponibilidad: hace referencia al grado en que un dato está en un lugar, momento y forma en que es requerido por el usuario autorizado. También podemos denominar disponibilidad a la situación que se produce cuando se puede acceder a un sistema informático en un periodo de tiempo aceptable. Un sistema seguro debe mantener la información disponible para los usuarios. Tanto hardware como software, en todo momento deben estar funcionando eficientemente y deben de ser capaz de recuperarse rápidamente en caso de fallo. Así mismo, los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen. Lo opuesto a la disponibilidad, y uno de los posibles métodos de ataques para el sistema informático, se denomina denegación de servicios, lo cual significa que los usuarios dejan de disponer de los sistemas de recursos deseados. El ordenador puede sufrir una caída del sistema operativo, se puede quedar sin memoria suficiente para ejecutar programas, no se puede acceder a la información, etc. Muchos ataques realizados a equipos informáticos no buscan robar, modificar o borrar información sino bloquear el sistema creando nuevos procesos capaces de saturar recursos.
- Confidencialidad: Este factor nos garantiza que la información no es disponible o descubierta por personas, entidades o procesos no autorizados. La confidencialidad a veces se enlaza con el secreto o la privacidad, refiriéndose a la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. En la mayoría de los trabajos, las normas éticas nos aseguran que los usuarios pueden acceder sólo a la información a la que están permitidas en base a su nivel de autoridad, o del servicio que ofrece. Algunos de los mecanismos utilizados para salvaguardar la confidencialidad de los datos son: El uso de técnicas de control de acceso a los sistemas y el cifrado de la información confidencial.
- Integridad: La información debe ser modificada, incluyendo su creación y borrado, sólo por el personal autorizado. El concepto de integridad significa que el sistema no debe modificar o corromper la información que almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite garantizar que no se ha falseado la información, es decir, que los datos recibidos o recuperados son exactamente los mismos que fueron enviados o almacenados, sin que se haya producido ninguna modificación, adición o borrado al respecto. El problema de la integridad no sólo se refiere a los cambios intencionados sino también a aquellos que se producen de forma accidental. Suelen integrarse otros conceptos análogos en este tercer aspecto de la seguridad: la autenticidad y precisión. La primera de ellas se suele dar en el ámbito de las redes y las comunicaciones, se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quien los envió, cuando fueron enviados y recibidos. La integridad y la precisión de datos son dos conceptos que deben de estar muy unidos, esto ocurre por ejemplo en los procesos de salud, donde de acuerdo a ellos se actúa, ya sea en la toma de decisión médico-paciente, como en la toma de decisión de la dirección del sistema. En el campo de la criptografía hay diversos métodos para mantener y asegurar la autenticidad de los mensajes y la precisión de los datos recibidos. Se usan para ello códigos/firmas añadidos a los mensajes en origen y recalculadas/comprobadas en el destino. Este método puede asegurar no sólo la integridad de los datos (lo enviado es idéntico a lo recibido) sino la autenticidad de la misma (quien lo envía es quien dice que es).
- No Repudio: Este factor se encarga de asegurar la firma de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. Una vez enviado el mensaje, el emisor del mismo no puede negar su autoría de envío.
El cumplimiento de estos cuatro factores convierte a un sistema de datos seguro y protegido. En definitiva, podemos resumir que los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear, modificar, y tales datos deberán estar disponibles. Estas personas autorizadas se pueden dividir en dos bloques [49]:
- En primer lugar tenemos al administrador del sistema, considerado como la persona sobre la que cae todo tipo de responsabilidades. Debería ser la única persona con un control absoluto en su área. Esta persona es por tanto de máxima confianza exigiéndole la ley secreto profesional.
- En un nivel más bajo se encuentran las personas que deben acceder al sistema. En principio nadie más que el administrador debería tener acceso absoluto al sistema pero esto no siempre ocurre, en este caso, se debe considerar a dicha persona como si fuera un administrador más, exigiendo las mismas responsabilidades. Para evitar que el sistema tenga control absoluto por muchas personas la solución usada es establecer un sistema de acceso parcial con menores requisitos de seguridad. En este caso, la responsabilidad y el valor del sistema al que tienen acceso es mucho menor, disminuyendo la repercusión de un eventual compromiso y la importancia de la responsabilidad con la que tienen que cargar. Todas estas personas deben de ser conscientes del grado en que son responsables de la seguridad del sistema, hasta qué punto deben comprometerla y cual es su grado de responsabilidad. Nadie que no esté dispuesto o no pueda asumir dicha responsabilidad debería tener acceso al sistema bajo ningún concepto.
Como se puede comprobar el principal objetivo está en la seguridad de los datos, queremos que nuestros datos sean seguros y fiables y queden libres de cualquier ataque externo. Por ello la calidad en la información se hace fundamental. La información de cualquier empresa está formada por un conjunto de ficheros, de mensajes recibidos y enviados, de historiales pertenecientes a clientes y a proveedores, etc. Este conjunto de datos se convierte en un núcleo vital para el funcionamiento de una empresa, ocasionando la pérdida de ellos, un verdadero caos, incluso la desaparición como entidad al no haber sido capaz de recuperar la información extraviada. Por ello es fundamental disponer de unas políticas de seguridad y un seguimiento de ellas. Una buena medida para la protección de los datos es establecer una inteligente política de copias de seguridad o backups: copias de seguridad completas, incrementales haciendo copias a los ficheros modificados o creados después del último backup, copias llevadas a través de un plan creado dependiendo del volumen de información generada, etc.
El establecimiento de un plan de contingencia es esencial para la recuperación de datos en caso de desastre. Además de un aumento de seguridad se gana el conocimiento de sus fortalezas y sus debilidades. El riesgo al que se expone al no llevarlo a cabo es una pérdida irreparable de información, que le supone mucho más costosa que el establecimiento de un buen plan de seguridad.