|
|
Muchas
veces cuando se quiere proveer de “seguridad”
a un sistema de información, una de las decisiones mas difíciles es
decidir que tipo de software tenemos que adquirir y que método me permite
hacerlo, sin duda, la decisión definitiva depende de un estudio detallado y
largo, según sea el tamaño de la corporación a la cual queremos proveer
de seguridad. Sin embargo en muchas ocasiones tanto se carece de los
recursos como del personal adecuado para poder realizar dicho estudio, en
muchos casos se justifica un gasto que permita realizar satisfactoriamente
todo el proceso, pero en otros muchos casos no es posible hacer ese gasto,
pero entonces, cómo proveer de seguridad a nuestra información sin caer
presa de los vendedores, en muchos casos muy lejanos de la verdadera solución.
Existe una forma no simple pero si esquemática de cómo hacer tal elección,
el detalle consiste en por ejemplo haciendo la similitud a una
“enfermedad”, si alguien tiene una molestia y quiere resolver ese
problema además de quedar inmune a esa y otras “enfermedades”, entonces
lo que hace es acudir a un médico, pero quedan dos opciones mas, una mejor
y otra no buen vista, la primera consiste en acudir a un especialista que
supondríamos resolverá nuestro problema de manera mas contundente,
por otro lado existe solo acudir a una farmacia y pedir alguna
“medicina”, el primer método es frecuentemente mas costoso, el segundo
es muy riesgoso y en muchos casos contraproducente.
Pero bien entonces que pasa con el caso de acudir a un médico, en tal caso
se sigue así, primero nos realiza una inspección general y mide posibles síntomas
por ejemplo la temperatura, el color de los
ojos, posible inflamación
en algún órgano, posible dolor de algún órgano etc., Después de todo
esto el médico en base a su experiencia y preparación emite un diagnóstico
del posible mal y dictamina que medicamentos debemos de ingerir, y de que
forma debe de ser administrado.
Pues bien, en el caso de la seguridad de la información es algo parecido a
este proceso, el comprar un “producto” que “cure” nuestros problemas
de seguridad es similar a comprar los “medicamentos” que debemos de
ingerir para curar alguna eventual “enfermedad” y/o prevenirla. Entonces
el problema es contratar a un “doctor” que nos
proporcione un diagnóstico y a partir de ahí nos recomiende que
tipo de solución necesitamos, es claro,
que quizá en muchos casos no es rentable realizar esto, por lo tanto
por mientras no podamos conseguir a un profesional de la seguridad de la
información, tan fácil como un médico, quizá baste que el encargado
actual de nuestro sistema haga ese trabajo. Entonces, que método tenemos que seguir para poder comprar
la solución adecuada a nuestro problema, pues bien al igual que en el caso
médico primero debemos identificar que “enfermedad” tenemos o cuales
son nuestras debilidades para así fortalecerlo.
Como en el caso de la salud de un humano hay veces que es muy difícil
saber que enfermedad se tiene e incluso si es una enfermedad totalmente
desconocida o nueva, así mismo en el caso de la seguridad de la información
existen “enfermedades” que aun no se conocen o que son muy complicadas.
Sin embargo hay otras que están muy bien identificadas y pueden ser curadas
satisfactoriamente, este tipo de “enfermedades” de la seguridad de la
información tienen ya una “medicina” conocida y efectiva.
Entonces el principio para
poder tener seguridad en la información, lo básico es saber si tenemos
esas “enfermedades” ya conocidas y entonces podremos administrar con
seguridad la “medicina” que es efectiva ya en ese caso.
Pues bien es un grave error sin saber que tipo de problema tenemos decidamos
comprar una “medicina”, es decir, un producto que se nos ofrece por
alguna otra razón.
Así también es un error muy frecuente que quienes venden algún producto
desconocer por completo para que sirven realmente y en muchas ocasiones
superestimar o equivocar lo que realmente hacen los productos.
Bien, entonces el método que se sugiere es reconocer que “enfermedades”
tiene nuestro sistema y así poder adquirir el producto que sea efectivo
para tal caso. Algunas de las similitudes a “enfermedades” conocidas de
la información son; no tener
confidencialidad, no tener integridad
de datos, no autenticar al usuario, el no poder rechazar la autoría de un
mensaje, el controlar el acceso, la confirmación de una acción, etc. Además
de saber que “mal” tenemos que “curar” también tenemos que saber
donde esta localizado y que tan grave pueda ser, quizá no sea necesario ni
una “curita”, de forma similar, a que como todos sabemos siempre en
nuestro cuerpo existen bacterias malignas que sin embargo si la población
no es considerable, entonces no representan problema alguno.
Lo anterior representa el lenguaje actual de la seguridad de la información,
así pues dado algún sistema de información nuestro primer paso es
identificar que tipo de problema de seguridad podemos
tener y así comprar el producto exactamente necesario y/o realizarlo uno
mismo.
Veamos un ejemplo:
Este ejemplo se refiere a un
sistema que todo mundo conoce, así poder identificar más fácilmente que
tipo de problemas de seguridad tenemos.
Entonces veamos el escenario de un cajero automático (ATM),
en este caso dividamos el sistema en tres partes, la parte del
cliente, es decir donde físicamente tenemos al cajero automático, la parte
de la transmisión de la información, y la parte del banco, que es donde se
procesa la información que se envía desde el cajero.
En el caso del cajero tenemos los problemas o las eventuales
“enfermedades” de, control de acceso (permitir con seguridad que un
usuario entre con seguridad al sistema del cajero), el problema de
autenticación (como poder estar seguro de que el poseedor de la tarjeta es
el dueño), el problema de el
no repudio (como estar seguro de que un cliente no pueda negar que efectúo
una operación, por ejemplo que retiro efectivo), etc.
Ahora en el caso de la transmisión de la información, ésta en general se
lleva acabo por medio de micro-ondas y se trasmite de una antena del cajero
a otra antena en el banco. En este caso los problemas existentes son primero
la confidencialidad, es decir como estar seguro que la información enviada
viajara sin ser vista por personas no autorizadas, también tenemos el
problema de la integridad, es decir que nos garantiza que la información no
vaya ha ser cambiada, modificada o borrada, etc.
Para la tercera parte, los problemas son primero el verificar la
autenticidad del origen de la información, es decir como saber si realmente
la información que llega es de un cajero real,
además si la transacción
solicitada sea realmente la que se solicita. Otro problema mas es la
autorización del banco, así como que el banco no pueda rechazar la operación
que autorizo, etc.
Los problemas anteriores o “enfermedades” que pudiera tener nuestro
sistema tienen solución, es decir hay “tratamiento” para ello,
y entonces poder adquirir un producto o una marca de
“medicamento” que cure estas “enfermedades”.
Existen dos problemas entonces como saber que tipo de “enfermedades”
eventuales puedo tener, y que producto “medicina” hay para poder
curarlo.
Por ejemplo:
1)
El problema (“la enfermedad”) de la confidencialidad en la
transmisión de la información por un canal inseguro, se puede resolver si existe en ambos
lados de la comunicación un algoritmo simétrico que cifre la información
antes de salir del origen y que la descifre en el momento en que llegue a
su destino. Los algoritmos usados en este caso pueden estar en
software o en hardware, y son variados
los productos que lo tienen integrado, los algoritmos más
recomendados actualmente son TDES, RC4-128, AES. El problema de la
confidencialidad también puede darse por ejemplo en una base de datos
permanente, donde se desea que esta información deba de ser vista solo por
personas autorizadas, en este caso también puede cifrarse la información y
ser descifrada solo cuando se quiera utilizar. Este problema lo podemos tener por ejemplo en: la transmisión
de información por Internet, el envío de e-mails, llamadas telefónicas,
transmisión de radio, transmisión de televisión, secretos industriales,
secretos de estado, etc.
2)
El problema de la Integridad,
puede controlarse por medio de un esquema que usa una función Hash que
determina si la información ha sido modificada o borrada, en este caso se
toman las medidas que proceden en el caso necesario. Este tipo de esquemas
también se pueden tener tanto en software como en hardware. En nuestro
ejemplo la integridad se debe de tener ya que si un usuario realiza un
retiro de 300 dólares, esta orden no debe de ser alterada para el buen
cumplimiento de la cuenta del cliente. Este problema por ejemplo, puede encontrarse también en voto
electrónico, donde es prioritario no alterar los resultados, en los
archivos de un abogado, donde es prioritario no alterar documentos que
pueden ser evidencia para algún litigio, en la transmisión de alguna
transacción bancaria alta, etc.
3)
El problema de la autenticación, es uno de los más complicados de
resolver, aun actualmente, el demostrar la identidad de una persona, es uno
de los mas grandes problemas que existen, en la practica se ha resuelto de
varias formas, cuando la comunicación es a larga distancia como Internet la
firma digital ha llegado a ser la mejor forma de poder autenticar tanto a
una persona como a una entidad, aunque
existen limitaciones y algunos problemas de adaptación. Actualmente
el algoritmo de firma digital más
usado se llama RSA. El algoritmo de firma digital esta contenida en un
elemento que se llama certificado digital.
El problema de la autenticación se presenta en una variedad muy
grande de aplicaciones, por ejemplo al cambiar un cheque, al viajar por avión,
al hacer algún tramite, al firmar un contrato, o simplemente al
identificarse con una autoridad, etc. En nuestro ejemplo el problema de la
autenticación lo tenemos al demostrar que el portador de una tarjeta es el
verdadero dueño, en este caso se usa un esquema de identificación vía un
NIP, es decir si el poseedor de la tarjeta conocer el NIP que corresponde a
la tarjeta, entonces el dueño es quien teclea el NIP correcto. Otro
problema de autenticación lo tenemos en
saber de donde provienen los mensajes, a este tipo de autenticación
se le conoce como autenticación del origen de los mensajes, y se resuelve
con un algoritmo MAC, por ejemplo lo tenemos en nuestro ejemplo al mostrar
que los mensajes provienen precisamente del cajero que dice ser.
4)
Desde el punto de vista legal un problema muy importante es el
no-repudio, que el resolverlo representa una manera probatoria de que
alguien no niegue ser autor de ciertos actos.
El no-repudio se resuelve con la firma digital, conjuntamente con un
esquema de time-stamping. Por lo general estos servicios se contratan de
forma independiente ya que tiene que haber un elemento legal extra que lo
confirme. Estos servicios se contratan con un notario electrónico,
conjuntamente con un certificado digital.
En nuestro ejemplo este problema no es resuelto, es decir que no
existen elementos probatorios legales para probar que un usuario realizo un
retiro o no lo hizo, de forma similar, no existen elementos probatorios para
que se le demuestre al banco que hizo o no hizo alguna emisión.
5)
Entre otros problemas más están: el control de acceso, el
anonimato, la revocación, la confirmación, la autorización, etc.
Aunque
pareciera un poco distante este vocabulario al vocabulario comercial ésta es
la formas más seguras, de poder primero conocer que tipo de problema de
seguridad de la información tenemos, y después de poder adquirir el
producto o la solución exacta para poder reducir al mínimo el riesgo que
pueda tener nuestra información.
Algo importante, es hacer notar que en muchas ocasiones es necesario hacer
una solución a la medida del problema que tengamos por resolver, sin
embargo en varios casos podremos ya comprar algún dispositivo o software
que este en el mercado.
Claro esta que en la mayoría de los mercados es muy difícil que los
productos tengan especificaciones tan técnicas, sin embargo el poder hacer
una mejor elección del producto necesario parte
de poder identificar con precisión que tipo de problema de seguridad
tenemos que resolver, de la misma forma que poder encontrar a un vendedor
que tenga los conocimientos adecuados para poder identificar bien la solución
de nuestro problema concreto.
Vale comentar que quizá para una sola PC o un pequeño sistema si podamos
evitar tal análisis, y quizá solo con un antivirus, un firewalls, la buena
elección y administración de passwords y eventualmente con un certificado
digital podamos contar con la seguridad óptima.
D. José de Jesús Ángel Ángel
e-mail:
jesus@seguridata.com
Maestría en Ciencia.
|
