Tema 1: Introduccin a la Proteccin y Seguridad de la Informacin

1. Introducci Introduccin 2. Conceptos Fundamentales

Confidencialidad Integridad Disponibilidad Otros aspectos relacionados

3. Pol Polticas de Seguridad 4. An Anlisis y Gesti Gestin de Riesgos

4.1. Valor de un SI 4.2. Vulnerabilidad, Amenazas y Contramedidas 4.3. Planes de Contingencia

5. Principios Fundamentales de la Seguridad Inform Informtica 6. El Papel de la Criptograf Criptografa en la Seguridad de la Informaci Informacin

1. Introduccin
(s. XXI) Sociedades de la Informaci Informacin: El volumen de datos (informacin) que es procesado, almacenado y transmitido es muy superior al de otra poca. Crece MUCHSIMO la importancia de la informacin. Recursos clsicos: Recursos Humanos, Materiales y Dinero El conocimiento es poder. Disponer de determinadas informaciones permite usarlas y manipularlas en beneficio propio. Si la informacin puede proporcionar beneficios, siempre existir alguien que ponga todos los medios a su alcance para obtenerla, manteniendo una proporcionalidad entre los medios y el beneficio. Los nuevos medios para transmitir y utilizar la informacin han aumentado su inseguridad. El auge de las redes y de Internet ha sido el factor que ha hecho que la Seguridad Informtica cobre importancia. Seguridad de los Sistemas de Informacin (SSI) = Seguridad de la Informacin, Seguridad de los Ordenadores, Seguridad de Datos, Proteccin de la Informacin.
2

2. Conceptos Fundamentales Definiciones

Informaci Informacin: Conjunto de datos que sirven para tomar una decisin. Sistema Inform Informtico (SI): (SI) Conjunto de recursos tcnicos, financieros y humanos cuyo objetivo es el almacenamiento, procesamiento y transmisin de la informacin. Protecci Proteccin: Accin y efecto de proteger. Proteger: Proteger Resguardar a una persona, animal o cosa de un perjuicio o peligro, ponindole algo encima, rodendolo, etc. Seguridad: Seguridad Se aplica a ciertos mecanismos que aseguran algn buen funcionamiento, precaviendo que ste falle, se frustre o se violente. Ordenador Seguro: Seguro Si podemos contar con que su hardware y su software se comporten como se espera de ellos. Protecci Proteccin y Seguridad de la Informaci Informacin (PSI): (PSI) Este trmino surge de la idea de que hay que proteger la informacin para proporcionar acceso a ella.
3

2. Conceptos Fundamentales Vulnerabilidad y Riesgos

Tecnolog Tecnologas de la Informaci Informacin Las organizaciones se exponen a riesgos por una proteccin inadecuada de la informacin (o de los sistemas de tratamiento). Ejemplos de vulnerabilidad creciente:
Expansin del uso de ordenadores personales Se magnifica el problema de la SSI, debido a la carencia de controles de seguridad bsicos. Evolucin hacia entornos con acceso global y mltiple Aumento de la conectividad entre organizaciones distintas que plantea retos importantes a la gestin de la seguridad.

Riesgos fundamentales de una incorrecta PSI:

Revelacin a personas no autorizadas (confidencialidad). Inexactitud de los datos (integridad). Inaccesibilidad de la informacin cuando se necesita (disponibilidad).
4

2. Conceptos Fundamentales PSI (I): Objetivo

Objetivo de la seguridad: seguridad Preservar las caractersticas de confidencialidad, integridad y disponibilidad que debe cubrir un SI seguro. Factores que ponen en peligro el buen funcionamiento de los SI:
Problemas tcnicos, condiciones de instalacin desfavorables, los usuarios, la situacin poltica y social y las amenazas ambientales. Amenazas: desastres naturales (inundaciones, accidentes, incendios), abusos deliberados (fraudes, robos, virus).

No existe una definicin estricta de lo que se entiende por Seguridad Informtica:

Abarca mltiples reas relacionadas con los SI (redes, BBDDs, Sis, etc.) El objetivo de la seguridad no es nico (economa, funcionalidad, etc).

Dependiendo del tipo de SI el orden de importancia de los tres aspectos (C., I., D.) es diferente.
5

2. Conceptos Fundamentales PSI (II): Confidencialidad

Confidencialidad: Confidencialidad Servicio de seguridad o condicin que asegura que la informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. Tambin puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la informacin almacenada en l. Privacidad: Cuando nos referimos a datos de carcter personal. Seguridad Gubernamental: Los usuarios pueden acceder a la informacin que les est permitida en base a su grado o nivel de autoridad (disposiciones legales o administrativas) MULTINIVEL . Entornos de Negocios: La confidencialidad asegura la proteccin en base a disposiciones legales o criterios estratgicos de informacin privada. Mecanismos para salvaguardar la confidencialidad de los datos:
El uso de tcnicas de control de acceso a los sistemas. El cifrado de la informacin confidencial o de las comunicaciones.
6

2. Conceptos Fundamentales PSI (III): Integridad

Integridad: Integridad Servicio de seguridad que garantiza que la informacin es modificada, incluyendo su creacin y borrado, slo por el personal autorizado. Se unen varios conceptos: precisi precisin, integridad, integridad autenticidad. autenticidad El sistema no debe modificar o corromper la informacin que almacene, o permitir que alguien no autorizado lo haga. El problema de la integridad no slo se refiere a modificaciones intencionadas, sino tambin a cambios accidentales. Redes y comunicaciones Autenticidad: Se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quin los envi y cundo fueron enviados y recibidos. Entornos financieros o bancarios: Al realizar transacciones es ms importante mantener la integridad y precisin de los datos que estos sean interceptados o conocidos (confidencialidad). Criptografa: Hay mtodos para mantener y asegurar la autenticidad de los mensajes y la precisin de los datos. Se usan cdigos o firmas aadidos a los mensajes, asegurando integridad y autenticidad. 7

2. Conceptos Fundamentales PSI (IV): Disponibilidad

(1) Grado en que un dato est en el lugar, momento y forma en que es requerido por el usuario. (2) Situacin que se produce cuando se puede acceder a un SI en un periodo de tiempo considerado aceptable. Un sistema seguro debe mantener la informacin disponible para los usuarios. El sistema, tanto hardware como software, debe mantenerse funcionando eficientemente y ser capaz de recuperarse rpidamente en caso de fallo. Denegaci Denegacin de servicio: servicio Los usuarios no pueden obtener los recursos deseados. Motivos:
El ordenador puede estar estropeado o el SO cado. No hay suficiente memoria para ejecutar los programas. Los discos, impresoras o cualquier otro recurso no estn disponibles. No se puede acceder a la informacin
8

2. Conceptos Fundamentales PSI (V): Definicin

Confidencialidad Integridad

Informacin

Disponibilidad

PSI

Conjunto de recursos y tcnicas que permiten asegurar la confidencialidad, integridad y disponibilidad de la informacin. 9

2. Conceptos Fundamentales Otros aspectos relacionados

Autenticidad: Autenticidad Propiedad que asegura el origen de la informacin. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser. Imposibilidad de rechazo (no repudio): repudio) Propiedad que asegura que cualquier entidad que enva o recibe informacin no puede alegar ante terceros que no la envi o no la recibi. Consistencia: Consistencia Asegura que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados. Aislamiento: Aislamiento Regula el acceso al sistema, impidiendo que personas no autorizadas entren en l. Auditor Auditora: Capacidad de determinar qu acciones o procesos se han llevado a cabo en el sistema y quin y cundo los ha llevado a cabo. Para ello se mantiene un registro de las actividades del sistema (log), altamente protegido contra modificacin.

10

3. Polticas de Seguridad Concepto

Pol Poltica de Seguridad (PS): (PS) Es una declaracin de intenciones de alto nivel que cubre la seguridad de los SI y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requerirn. La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las distintas medidas a tomar para proteger la seguridad del sistema, las funciones y responsabilidades de los distintos componentes de la organizacin y los mecanismos para controlar su correcto funcionamiento. Los directivos y los expertos en TI deben definir los requisitos de seguridad La seguridad es parte de la operativa habitual, no es un

extra aadido.

La poltica debe ser consistente con las prcticas de seguridad de otros departamentos.
11

3. Polticas de Seguridad Reglas bsicas para establecer una Poltica

1. Toda PS debe cubrir todos los aspectos relacionados con el sistema:
Proteccin en todos los niveles: fsico, humano, lgico y logstico. Debe tener en cuenta los distintos componentes del sistema y la interaccin entre ellos (hardware, software, usuarios, etc). Debe tener en cuenta el entorno del sistema (R2).

2. La PS debe adecuarse a las necesidades y los recursos. Deben

evaluarse los riesgos, el valor del sistema y el coste de atacarlo. Las medidas tomadas deben ser proporcionales a estos valores ANLISIS Y GESTIN DE RIESGOS

3. Toda PS debe basarse en el sentido comn:

Conocimiento del sistema a proteger y su entorno. Conocimiento y experiencia en la evaluacin de riesgos y en el establecimiento de medidas de seguridad. Conocimiento de la naturaleza humana, de los usuarios y de sus posibles motivaciones.

12

3. Polticas de Seguridad Pasos bsicos

Al establecer una PS hay que responder las siguientes preguntas:
Qu necesitamos proteger? De qu necesitamos protegerlo? Cmo vamos a protegerlo? determinacin de activos determinacin de amenazas y vulnerabilidades determinacin de medidas de seguridad o salvaguardas

Esto lleva a los siguientes pasos b bsicos: sicos 1. Determinar los recursos a proteger y su valor. AR 2. Analizar las vulnerabilidades y amenazas del sistema, su probabilidad y
su coste.

3. Definir las medidas a establecer para proteger el sistema, proporcionales GR

a (1) y (2) y a todos los niveles (Requisito 1 de diapositiva anterior). Debe definirse una estrategia a seguir en caso de fallo. 4. Monitorizar el cumplimiento de la poltica, revisarla y mejorarla cada vez que se detecte un problema. AR: Anlisis de Riesgos (1,2) GR: Gestin de Riesgos (3,4)
13

4. Anlisis y Gestin de Riesgos Evaluacin de riesgos

Una violacin de la seguridad es cualquier suceso que compromete el objetivo de la SSI (C., I., D.). El AGR es un mtodo formal para investigar los riesgos de un SI y recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. Evaluacin de riesgos Tener en cuenta tres costes:
Cr: Valor del SI = recursos + informacin. Ca: Coste de los medios necesarios para romper las medidas de seguridad. Cs: Coste de las medidas de seguridad.

Relacin econmica lgica: Ca > Cr > Cs Valor de un SI (Cr ): Al evaluar un SI su valor puede desglosarse en (Cr) dos partes fundamentales: 1. Valor intrnseco del producto a proteger.

2. Los costes derivados de su prdida a veces no son

mensurables
14

4. Anlisis y Gestin de Riesgos Valor de un SI

Valor intr intrnseco.
Fcil de valorar: Valores objetivos y mensurables (recursos e informacin). Ejemplo: Servidor de un departamento con varios grupos de investigacin:
Valor del hardware. Valor del software. Valor de los resultados de investigacin almacenados. Coste del esfuerzo y material invertido para obtener los datos. Valor de la informacin personal que contiene.

Costes derivados.
Ms difciles de enumerar y cuantificar. Dependen del tipo de SI; su valor e importancia pueden variar. Conceptos:
Valor de sustituir el hardware. Valor de sustituir el software. Valor de los resultados. Valor de reproducir los experimentos significativos. Coste de regenerar la informacin personal.

Prestigio Planificacin Etc. 15

4. Anlisis y Gestin de Riesgos Vulnerabilidad

Vulnerabilidad: Vulnerabilidad Aspecto del sistema que es susceptible de ser atacado o de daar la seguridad del mismo. La seguridad total es difcil de lograr. Esto implicara describir todos los riesgos y amenazas a que puede verse sometido el sistema. No se puede hablar de SI totalmente seguro, sino de uno en el que no se conocen tipos de ataques que puedan vulnerarlo. Tipos de vulnerabilidades: vulnerabilidades
Vulnerabilidad fsica: Nivel de edificio o entorno fsico. Cmo se soluciona? Vulnerabilidad natural: Desastres naturales/ambientales. Vulnerabilidad del hardware y del software: Ciertos tipos de dispositivos pueden ser ms vulnerables que otros. Bugs de los SO. Vulnerabilidad de los medios o dispositivos: robos, daos, etc. Vulnerabilidad por emanacin: Radiaciones electromagnticas. Vulnerabilidad de las comunicaciones: (1) penetrar en el sistema a travs de la red, (2) interceptar informacin en la transmisin. Vulnerabilidad humana: El 50% de los problemas son debidos a los 16 usuarios.

4. Anlisis y Gestin de Riesgos Amenazas (I)

Amenaza: Amenaza Posible peligro del sistema o atacante que aprovecha las debilidades (vulnerabilidades) del sistema.
Persona. Programa. Suceso natural o de otra ndole.
Intercepcin: Una persona, programa o proceso logra el acceso a una parte del sistema a la que no est autorizado. Amenaza difcil de detectar. Interrupcin: Se interrumpe mediante algn mtodo el funcionamiento del sistema. Puede ser intencionada o accidental. Modificacin: Se accede no slo a una parte del sistema a la que no se tiene autorizacin, sino que se cambia en todo o en parte el contenido o modo de funcionamiento. Fabricacin: Posibilidad de aadir informacin o programas no autorizados en el sistema. 17

4. Anlisis y Gestin de Riesgos Amenazas (II)

Clasificaci Clasificacin de las amenazas :
Hardware: Sistema. Software: programas de usuario, aplicaciones, bases de datos, SO, etc. Datos.

18

4. Anlisis y Gestin de Riesgos Amenazas (III)

Clasificaci Clasificacin de las amenazas de acuerdo al origen: origen
Amenazas naturales o fsicas: Desastres naturales y condiciones medioambientales. Amenazas involuntarias: Relacionadas con el uso descuidado del equipo por falta de entrenamiento o concienciacin sobre la seguridad.
Borrar sin querer parte de la informacin. Dejar sin proteccin determinados ficheros bsicos del sistema. Dejar pegado a la pantalla un post-it con la clave u olvidarse de salir del sistema.

Amenazas intencionadas: Procedentes de personas que pretenden acceder al sistema para borrar, modificar o robar la informacin; para bloquearlo o por simple diversin.

Causantes del da dao:

Internos: (1) empleados despedidos/descontentos, (2) empleados coaccionados, (3) empleados que obtienen beneficios personales. Externos: Penetran en el sistema de mltiples formas:
Entrando al edificio o accediendo fsicamente al ordenador. Entrando al sistema a travs de la red explotando las vulnerabilidades software. Consiguiendo acceder a travs de personas que estn autorizadas. 19

4. Anlisis y Gestin de Riesgos Contramedidas (I)

Contramedida: Contramedida Tcnica de proteccin del sistema contra las amenazas. SSI se encarga de:
Identificacin de las vulnerabilidades del sistema. Establecimiento de contramedidas que eviten que las distintas amenazas posibles exploten las vulnerabilidades.

Criterios de diseo de SI: economa, eficiencia, eficacia, etc. Diseo mediante criterios de seguridad: Ms complejo.
Amenazas poco cuantificables y variadas. La aplicacin de medidas para proteccin del sistema implica:
Anlisis y cuantificacin previa de los riesgos y vulnerabilidades. Definicin de una poltica de seguridad y su implementacin mediante medidas.

Las medidas de seguridad llevan un coste asociado: asociado

A mayores y ms restrictivas medidas, menos funcional es el sistema. El sistema es menos cmodo para los usuarios: Limita su actuacin y establece unas reglas ms estrictas que dificultan el manejo del sistema. Una posible reduccin del rendimiento (Ej. Chequeo antivirus)
20

10

4. Anlisis y Gestin de Riesgos Contramedidas (II)

Tipos de medidas: medidas
Lgicas. Fsicas. Administrativas. Legales.

Medidas Legales Medidas Administrativas Medidas Fsicas Medidas Lgicas Sistema Informtico

21

4. Anlisis y Gestin de Riesgos Contramedidas (III)

Medidas l lgicas: gicas
Incluyen las medidas de acceso a los recursos y a la informacin y al uso correcto de los mismos, as como la distribucin de las responsabilidades. Se refiere a la proteccin de la informacin almacenada y transportada. Controles lgicos de una PS:
1) 2) 3) 4) 5) 6)
Establecimiento de una poltica de control de accesos. Definicin de una poltica de instalacin y copia de software. Uso de la criptografa para proteger los datos y las comunicaciones. Uso de cortafuegos para proteger una red local de Internet. Definicin de una poltica de copias de seguridad. Definicin de una poltica de monitorizacin (logging) y auditoria (auditing) del sistema.

Tambin se incluyen las medidas humanas: Se trata de definir las funciones, relaciones y responsabilidades de distintos usuarios potenciales del sistema (quin puede acceder, a qu recursos, etc.). Hay cuatro tipos de usuarios: (1) administrador del sistema (administrador de seguridad), (2) usuarios, (3) personas relacionadas con el sistema pero sin necesidad de usarlo, (4) personas ajenas al sistema.
22

11

4. Anlisis y Gestin de Riesgos Contramedidas (IV)

Medidas f fsicas: sicas
Aplican mecanismos para impedir el acceso directo o fsico no autorizado al sistema. Protegen al sistema de desastres naturales o condiciones medioambientales adversas. Se trata de establecer un permetro de seguridad en nuestro sistema. Factores fundamentales a considerar:
1) Acceso fsico al sistema por parte de personas no autorizadas. 2) Daos fsicos por parte de agentes nocivos o contingencias. 3) Medidas de recuperacin en caso de fallo.

Tipos de controles:
1) Control de las condiciones medioambientales (temperatura, humedad, polvo...) 2) Prevencin de catstrofes (incendios, tormentas, sobrecargas, cortes del 3) 4) 5) 6)

suministro elctrico ) Vigilancia (cmaras, guardias, ) Sistemas de contingencia (extintores, fuentes de alimentacin ininterrumpida) Sistemas de recuperacin (copias de seguridad, redundancia ) Control de la entrada y salida de material (elementos desechables, papeles, consumibles, material anticuado ) 23

4. Anlisis y Gestin de Riesgos Contramedidas (V)

Medidas administrativas: administrativas
Son aquellas que deben ser tomadas por las personas encargadas de definir la poltica de seguridad para ponerla en prctica, hacerla viable y vigilar su correcto funcionamiento. Medidas administrativas fundamentales.
1) Documentacin y publicacin de la poltica de seguridad y de las medidas
tomadas para ponerla en prctica. prctica.

2) Debe quedar claro quin fija la poltica de seguridad y quin la pone en 3) Establecimiento de un plan de formacin del personal. 4) Los usuarios deben tener los conocimientos tcnicos necesarios para usar la
parte del sistema que les corresponda. informacin a la que tienen acceso.

5) Los usuarios deben ser conscientes de los problemas de seguridad de la 6) Los usuarios deben conocer la poltica de seguridad de la empresa y las
medidas de seguridad tomadas para ponerla en prctica. Deben colaborar, a ser posible voluntariamente, en la aplicacin de las medidas de seguridad. 7) Los usuarios deben conocer sus responsabilidades respecto al uso del SI, y deben ser conscientes de las consecuencias de un mal uso del mismo. 24

12

4. Anlisis y Gestin de Riesgos Contramedidas (VI)

Medidas legales: legales
Se refiere ms a la aplicacin de medidas legales para disuadir al posible atacante o para aplicarle algn tipo de castigo a posteriori. Trascienden el mbito de la empresa y normalmente son fijadas por instituciones gubernamentales e incluso instituciones internacionales. LOPD: Ley Orgnica de Proteccin de Datos de Carcter Personal.
Vincula a todas las entidades que trabajen con datos de carcter personal. Define las medidas de seguridad DE CARCTER TCNICO para su proteccin y las penas a imponer en caso de incumplimiento. Otras leyes o directivas importantes: LSSI: Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico. Directiva Europea de Proteccin de Datos.

25

4. Anlisis y Gestin de Riesgos Planes de Contingencia (I)

Al hablar de polticas de seguridad hay que contemplar tanto la prevenci prevencin como la recuperaci recuperacin. Ningn sistema es completamente seguro, seguro y por tanto hay que definir una estrategia a seguir en caso de fallo o desastre. Los expertos de seguridad afirman sutilmente que hay que definir un

plan de contingencia para cuando falle el sistema, no por si falla el sistema. La clave de una buena recuperacin en caso de fallo es una preparacin adecuada. Recuperaci Recuperacin: Es tanto la capacidad de seguir trabajando en un plazo mnimo despus de producido el problema, como la posibilidad de volver a la situacin anterior al problema habiendo reemplazado o recuperado el mximo de los recursos y de la informacin. Aspectos relacionados con la recuperacin: 1. Deteccin del fallo. 2. Identificacin del origen del ataque y de los daos causados. 3. Toma de medidas a posteriori contra el atacante.
26

13

4. Anlisis y Gestin de Riesgos Planes de Contingencia (II)

La recuperacin se basa en buena medida en el uso de una adecuada poltica de monitorizacin y auditoria del sistema. La recuperaci recuperacin de la informaci informacin se basa en el uso de una poltica de copias de seguridad adecuada, mientras la recuperaci recuperacin

del funcionamiento del sistema se basa en la preparacin de

unos recursos alternativos. Una buena poltica de copias de seguridad debe contemplar:
Qu tipos de backups se realizan: completos o incrementales. Con qu frecuencia se realiza cada tipo de backup. Cuntas copias se realizan y dnde se guardan. Durante cunto tiempo se guardan las copias.

Dependiendo del tipo de compaa puede ser necesario recuperar el funcionamiento en un plazo ms o menos breve. Todo depende del uso que se haga del sistema y de las prdidas que suponga no tenerlo en funcionamiento.
27

4. Anlisis y Gestin de Riesgos

Modelo general que representa la relacin entre los distintos componentes que intervienen en el proceso de gestin de la seguridad en TI

28

14

5. Principios fundamentales de la Seguridad Informtica

Principio de menor privilegio.
Afirma que cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno ms y slo durante el tiempo necesario.

La seguridad no se obtiene a travs de la oscuridad.

Un sistema no es ms seguro porque escondamos sus posibles defectos o vulnerabilidades, sino porque los conozcamos y corrijamos estableciendo las medidas de seguridad adecuadas. El hecho de mantener posibles errores o vulnerabilidades en secreto no evita que existan, y de hecho evita que se corrijan. No es una buena medida basar la seguridad en el hecho de que un posible atacante no conozca las vulnerabilidades de nuestro sistema. Los atacantes siempre disponen de los medios necesarios para descubrir las debilidades ms insospechadas de nuestro sistema.

29

5. Principios fundamentales de la Seguridad Informtica

Principio del eslabn ms dbil.
En todo sistema de seguridad, el mximo grado de seguridad es aquel que tiene su eslabn ms dbil. Cuando diseemos una poltica de seguridad o establezcamos los mecanismos necesarios para ponerla en prctica, debemos contemplar todas las vulnerabilidades y amenazas. No basta con establecer unos mecanismos muy fuertes y complejos en algn punto en concreto, sino que hay que proteger todos los posibles puntos de ataque.

Defensa en profundidad.
La seguridad de nuestro sistema no debe depender de un solo mecanismo por muy fuerte que este sea, sino que es necesario establecer varios mecanismos sucesivos. De este modo cualquier atacante tendr que superar varias barreras para acceder a nuestro sistema.

30

15

5. Principios fundamentales de la Seguridad Informtica

Punto de control centralizado.
Se trata de establecer un nico punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por l. Este nico canal de entrada simplifica nuestro sistema de defensa, puesto que nos permite concentrarnos en un nico punto. Adems nos permite monitorizar todos los accesos o acciones sospechosas.

Seguridad en caso de fallo.

Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro. Por ejemplo, si nuestros mecanismos de control de acceso al sistema fallan, es preferible que como resultado no dejen pasar a ningn usuario a que dejen pasar a cualquiera aunque no est autorizado.

31

5. Principios fundamentales de la Seguridad Informtica

Participacin universal.
Para que cualquier sistema de seguridad funcione es necesaria la participacin universal, o al menos la no oposicin activa de los usuarios del sistema.

Simplicidad
La simplicidad es un principio de seguridad por dos razones. En primer lugar, mantener las cosas lo ms simples posibles las hace ms fciles de comprender. Si no se entiende algo difcilmente puede saberse si es seguro. En segundo lugar, la complejidad permite esconder mltiples fallos. Los programas ms largos y complejos son propensos a contener mltiples fallos y puntos dbiles.

32

16

6. El papel de la Criptografa en la Seguridad de la Informacin

Criptograf Criptografa: Ciencia que estudia la escritura secreta, la forma de escribir ocultando el significado. Criptoan Criptoanlisis: lisis Ciencia que se ocupa de esclarecer el significado de la escritura ininteligible.

Criptolog Criptologa = Criptograf Criptografa + Criptoan Criptoanlisis.

Actualmente, la Criptografa es una herramienta muy poderosa para proporcionar servicios de seguridad en los SI. Es importante comprender los procedimientos criptogrficos en su base terica, as como su forma de utilizacin (protocolos criptogrficos), con el objetivo de entender la implantacin de servicios de seguridad en los actuales SI.

33

17