RSS

Características de un servicio de seguridad

22 Jul

Hoy en día casi todo aquel que se dedica mínimamente al mundo de la seguridad o que tiene alguna relación con él, sabe que la seguridad sirve para proteger. Que para esto tenemos que implementar mecanismos de acceso, control, registro, …

Pero muchas veces cuando en entrevistas de trabajo, conferencias o entornos más serios (no, no me refiero a charlas tomando unas cervecitas) hace falta conocer los términos con los que referirse a esta “protección”. Por eso, hoy vamos a tratar de comentar formalmente que características debe tener un servicio de seguridad.

Identificación – ¿Quién es? Para todos los usuarios que quieran acceder a nuestros sistemas o instalaciones, tenemos que tener una forma de identificación que no de lugar a dudas de quien es el que está accediendo. Por ejemplo, nombres de usuario, DNI, tarjetas cifradas, …

Autenticación – ¿Es quien dice ser? A pesar de que alguien tenga unos credenciales válidos hay que comprobar que realmente son suyos. Se puede hacer por ejemplo, con contraseñas, envíos de SMS, certificados, …

Una de las cosas que se está proponiendo o intentando llevar al campo de la seguridad es identificar a alguien mediante “lo que es” (biometría), “lo que tiene” (móvil, tarjeta) y “lo que sabe” (algún tipo de pregunta).

Autorización – A pesar de que el usuario o persona pueda acceder a nuestros sistemas o zonas, no quiere decir que este pueda hacer todo lo que quiera, deben existir permisos y perfiles para actuar. Un amigo mío, decía que la mejor forma de saber que permisos necesita algo es no darle ninguno e ir dándoselos conforme aparecen cosas que necesita hacer y no puede. Quizás esto sea algo exagerado, pero si que esta bien tener perfiles para los diferentes usuarios.

Confidencialidad – Hoy en día los diferentes sistemas son utilizados por muchas personas, muchas de ellas ni siquiera tienen porque conocerse, y desde luego nuestros sistemas no tienen que ayudarles a que sepan de otras personas. Aquí es donde entra en juego la criptografía, las barreras físicas, la separación lógica de redes, …

Integridad – Cualquier acción que un usuario genere solo debe afectar a aquellas partes del sistema que esta previsto y a nada más. No deben haber acciones colaterales imprevistas. El sistema debe ser robusto. Y por supuesto, ningún usuario no autorizado podrá interferir o modificar las acciones de otro.

No repudio – Todas las acciones llevadas a cabo por un usuario deben quedar registradas en sistema, para poder identificarlas con posterioridad (usuario, acción, línea temporal). Existen procedimientos judiciales que se deben seguir para usar luego esta información como pruebas y existen técnicas de análisis forense que nos pueden salvar de más de un buen susto si todo está correctamente registrado.

Bueno, espero que os sirva de algo todo esto. Como siempre, si alguno tiene algún apunte que hacer o comentario que se anime. Nos vemos.

Anuncios
 
Deja un comentario

Publicado por en 22 julio, 2010 en seguridad

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: