jueves, 15 de junio de 2017

Entendiendo el vocabulario de seguridad de información


En el campo de seguridad de la información o seguridad informática se habla continuamente de vulnerabilidades, riesgos y amenazas. Ya he mencionado esos términos en anteriores entregas cuando discutí análisis de riesgo.

Algunos intercambian estos términos y la confusión aumenta cuando se habla del valor de riesgo o la criticidad de una vulnerabilidad. Sin embargo, en nuestro campo estos términos están bien establecidos y es bueno tener clara las definiciones.

Una frase muy común es “vulnerabilidad en la seguridad”. En términos generales, una vulnerabilidad es una falencia o debilidad en un sistema o componente que permitiría a un atacante comprometer la confidencialidad, integridad o disponibilidad del componente o sistema. En alguna literatura es posible encontrar la palabra actor o amenaza en lugar de atacante. La razón es que en la literatura inglesa el término “threat” es empleado y significa la existencia de una circunstancia que tiene el potencial de hacer daño.

El agente que “explota” o toma ventaja de la vulnerabilidad es usualmente un agente “activo”. Es decir, se asume la existencia de un elemento criminal, pero es importante tener presente que en ocasiones la amenaza puede provenir de sucesos naturales que afectan negativamente a un sistema. Por ejemplo, un tornado o inundación. Los profesionales que tratan recuperación de desastre y continuidad de negocios incluyen estos factores no humanos.

En la definición de vulnerabilidad están éstos términos importantes:

- Confidencialidad. Este término se refiere a la restricción a personal autorizado al acceso de datos o información de un sistema. Un ejemplo clásico es la confidencialidad de la historia clínica de un paciente. Solo este último y su médico están autorizados a acceder a la información de la historia clínica.

- Integridad. Como su nombre lo indica la integridad de datos requiere que estos estén completos y no hayan sido alterados. Cualquier cambio debe ser realizado por personal con legítima autoridad. Siguiendo con nuestro ejemplo, solo el médico o enfermera autorizada pueden hacer cambios a la historia clínica del paciente. No sobra decir que los cambios deben dejar registros (o log trails) con hora y fecha del cambio y autor del mismo.

- Disponibilidad. Este término se refiere al acceso a un recurso, datos en este caso. Si un atacante logra negar acceso a un sistema entonces la disponibilidad del sistema ha fallado.

En la literatura inglesa los atributos son conocidos como la triada C-I-A por sus siglas en inglés (Confidentiality, Integrity, Availability). Estos tres atributos son los fundamentos de la seguridad de información y la gestión de riesgo de información se basa en su análisis.