Ataques intencionados
| Amenaza | Riesgo | Salvaguarda |
| Manipulación de la configuración | Parada de sistema, ausencia de seguridad y trazabilidad | Copias impresas de procedimientos de reinstalación, y configuración del sistema |
| Suplantación de la identidad del usuario | Pérdida completa de confidencialidad e integridad | Sistemas de autenticación fuertes, que incluyan medidas biométricas |
| Uso no previsto: típicamente en interés personal, juegos, etc. | Paradas del sistema | Impedir ejecución de procesos no autorizados |
| Difusión de software dañino: virus, spyware, gusanos, troyanos, bombas lógicas, etc. | Parada de sistema, ausencia de seguridad y trazabilidad | Software de eliminación de virus y de eliminación de software malicioso. Procedimientos de reinstalación y configuración del sistema. Copias de seguridad. |
| Análisis de tráfico | Conocimiento de las pautas de actividad de la empresa | Aleatorización de las rutas de comunicaciones, y encapsulamiento de protocolos |
| Repudio | Pérdida de trazabilidad de las operaciones | Empleo de firmas digitales |
| Interceptación de información (escucha) | Pérdida de confidencialidad | Empleo de técnicas de criptografía |
| Destrucción de la información | Paradas de sistema | Copias de seguridad |
| Divulgación de la información | Pérdida de confidencialidad | Empleo de técnicas de criptografía |
| Denegación de servicio | Paradas de sistema | Penalización a solicitudes recurrentes. Monitorización de recursos disponibles y alarma |
| Robo de equipos o soportes | Paradas de sistema y perdida de confidencialidad | Alarmas antirrobo, sistemas de anclaje de equipos, técnicas de criptografía |
| Ataque destructivo (vandalismo, terrorismo, etc.) | Paradas de sistema | Copias de seguridad fuera de las instalaciones, acuerdos de alquiler de equipos para casos de emergencia, copias impresas de procedimientos de reinstalación y configuración del sistema |
| Ingeniería social | Parada de sistema, ausencia de seguridad y trazabilidad | Formación, empleo de mecanismos de autenticación fuertes con métodos biométricos |
Definición
Criptografía
Es el “arte de escribir con clave secreta o de un modo enigmático”. Aplicar a un mensaje técnicas de criptografía, o de encriptación, consiste en modificarlo mediante algún procedimiento secreto o privado, de manera que el resultado sea un enigma.
Se persigue que, aunque el mensaje encriptado se haga público, no se revele el mensaje original; o al menos que el enigma divulgado ofrezca resistencia para conocer con facilidad el mensaje original.
4. Salvaguardas y tecnologías de seguridad más habituales
Las salvaguardas, o contramedidas, persiguen detectar, prevenir, impedir, reducir, y controlar una amenaza y el daño que pueda generar. Son elementos de defensa, para que las amenazas no causen tanto daño. Como en el caso de las amenazas, las salvaguardas se pueden clasificar según distintas categorías. Por ejemplo, existirán:
1 Salvaguardas preventivas o proactivas, que persiguen anticiparse a la ocurrencia del incidente.
2 Salvaguardas reactivas, que persiguen reducir el daño una vez ocurre el incidente.
3 Salvaguarda de “no hacer nada”, o de aceptar el riesgo existente para los equipos (cuando se cumplan los criterios de aceptación de riesgo de la empresa, y solo cuando esta decisión sea autorizada por la Dirección).
Por ejemplo, son salvaguardas preventivas las relacionadas con los controles de acceso de los usuarios a los equipos, como el uso de contraseñas. Controlando el acceso de los usuarios exclusivamente a la información que necesitan conocer para el desempeño de su trabajo, se previenen daños a la confidencialidad e integridad de la información.
Definición
Salvaguarda
Guarda que se pone para la custodia de una cosa. Custodia, amparo, o garantía.
Por ejemplo, son salvaguardas de carácter reactivo las copias de seguridad. Las copias no evitan que se produzca un incidente que derive en pérdida de información, pero sí reducen el daño limitando la pérdida a la información modificada desde la última copia de seguridad verificada.
Como aclaración de salvaguarda de “no hacer nada”, se tomará de ejemplo una empresa, cuya política de seguridad establece que se aprobarán los riesgos, cuando sean inferiores al 10 % del valor de los activos. Si el análisis de riesgos establece que este es del 5 % del valor de los equipos, puede decidirse asumirlo, y no interponer salvaguardas para reducirlo; pero siempre debe ponerse en conocimiento de la Dirección, que es el órgano responsable en última instancia del riesgo que se asume.
En los siguientes apartados, se introducirán algunas áreas de seguridad específicas, con sus tecnologías habituales y salvaguardas.
4.1. Seguridad de recursos humanos
Tanto antes del empleo, como durante el empleo, y a la terminación del mismo, conviene adoptar medidas, salvaguardas, o controles, para proteger la información que será accedida, e impactada por las personas. Se trata, por ejemplo, de establecer obligaciones y responsabilidades legales durante la contratación, o de establecer cómo actuar, de cara a la información, cuando una persona abandone la empresa. Dependiendo de cada circunstancia, podría corresponder