3 minute read
4.9. Seguridad informática y ciberseguridad
cos sofisticados para que los informantes puedan depositar la información en forma tal que protejan la integridad de ésta al mismo tiempo que oculten su identidad , con el objeto de evitar represalias. Algunos gobiernos incluyendo el de México ofrecen sitios en Internet para la denuncia anónima de irregularidades. Los procedimientos criptográficos no se aplican solamente a los documentos, sino que forman parte creciente de la infraestructura misma de Internet. Por ejemplo, hay un complejo proceso criptográfico que ofrece ciertas garantías de que un sitio Web marcado con la imagen de un candado, usando el protocolo HTTPS en lugar de HTTP, que puede observarse en la “ventana” del navegador, lleve efectivamente al sitio que buscamos (banco, tienda, escuela, gobierno) y no a un impostor que nos haga darle a conocer nuestras credenciales y con ellas nos prive de nuestro patrimonio.
4.9. Seguridad informática y ciberseguridad
Advertisement
Llegados a este punto, conviene hacer un repaso brevísimo de qué se entiende por seguridad en Internet, seguridad informática, y ciberseguridad, que no son sinónimos, pero sí están estrechamente relacionados. El concepto clave es en realidad el de seguridad de la información (Voutssas M., 2010). La invulnerabilidad en sistemas de cómputo y en redes se debe diseñar alrededor de la seguridad de la información ya que ésta es el principal activo de las organizaciones, y si se diseña la protección de las computadoras o las redes por sí mismas, en lugar de hacerlo en función de la seguridad de la información, se cometen errores, se atiende a las prioridades equivocadas, se desperdician recursos, y al final del día la información no queda debidamente protegida. La seguridad de la información se define a partir de los siguientes criterios: 1. Integridad: la información presente en un archivo o comunicación es la originalmente depositada, sin alterar. Puede ser modificada exclusivamente por personas autorizadas; por 54Tejemplo, el dinero presente en una cuenta de banco debe ser el que depositamos inicialmente, más los depósitos que no-
sotros hagamos o terceros nos transfieran, más los intereses ganados, menos las cuotas y comisiones del propio banco… y nada más. Lo que se reste a la suma anterior sólo puede provenir de nuestros propios retiros y transferencias. 2. Autenticidad/autenticación: las personas o sistemas que pueden alterar la información deben demostrar que son quienes dicen ser y estar autorizados para la operación que van a realizar. Distinguimos tres pasos: identificación (decir quién se es), autenticación (demostrarlo) y autorización (obtener permisos para realizar las operaciones). Ejemplos de identificación son las credenciales y gafetes; de autenticación, la comprobación de fotografía y huellas digitales contra el padrón electoral a la hora de votar; y de autorización, el permiso de pasar a ciertas áreas de edificios dependiendo del color del gafete o de conocer los códigos numéricos para pasar la puerta a un área. La autenticación puede hacerse con entre uno y tres de los factores “algo que soy” (huella digital, imagen del iris del ojo), “algo que sé” (una contraseña, la “pregunta de seguridad”), y “algo que tengo” (un sello, una credencial, un “token” electrónico). 3. Confidencialidad: debemos determinar qué está permitido conocer y qué no para distintas personas. Aquello que consideramos secreto debe permanecer oculto o inaccesible a las personas no autorizadas. También hay información pública, no protegida como secreto, que no debemos cuidar como confidencial, pero sí en integridad. Por ejemplo los datos de los censos son públicos, y debemos cuidar que se publiquen siempre sin alterar. En cambio en un censo, los datos recabados por los trabajadores del censo en cada hogar deben permanecer confidenciales. 4. Disponibilidad: dependiendo de la información de que se trate, ésta deberá estar disponible, al alcance de quien la necesita, todo el tiempo, como la página Web de un diario o bando, o a demanda, como algunos archivos antiguos. Los ataques contra la disponibili55 Idad de la información se pueden realizar de muchas maneras.
