El activo más importante que se
posee es la información, y por lo tanto deben existir técnicas que
la aseguren, más allá de la seguridad física que se establezca
sobre los equipos en los cuales se almacena. Estas técnicas las
brinda la seguridad lógica, que consiste en la aplicación de
barreras y procedimientos que resguardan el acceso a los datos y
sólo permiten acceder a ellos a las personas autorizadas para
hacerlo. Existe un viejo dicho en la seguridad informática: "
lo que no
está permitido debe estar prohibido" y esto es lo que debe
hacer ésta seguridad lógica.
Los objetivos para conseguirlo
son:
- Restringir el acceso (de personas
de la organización y de las que no lo son) a los programas y
archivos.
- Asegurar que los operadores puedan trabajar pero que no puedan
modificar los programas ni los archivos que no correspondan (sin
una supervisión minuciosa).
- Asegurar que se utilicen los datos, archivos y programas
correctos en/y/por el procedimiento elegido.
- Asegurar que la información transmitida sea la misma que reciba
el destinatario al cual se ha enviado y que no le llegue a
otro.
- Asegurar que existan sistemas y pasos de emergencia alternativos
de transmisión entre diferentes puntos.
- Organizar a cada uno de los empleados por jerarquía informática,
con claves distintas y permisos bien establecidos, en todos y cada
uno de los sistemas o programas empleados.
El riesgo más habitual, que se verá
en este capítulo, es el spam o correo basura, se trata de
correo no deseado que llega de emisores desconocidos o con
identidad falsa, suelen tener por finalidad engañar a la gente o
vender productos de dudosa procedencia (por ejemplo medicamentos
falsos) o utilidad. Aunque parezca increíble a veces en la lista de
correo de la Universidad de Murcia, se dan casos de
spamoriginado en miembros de esta universidad.
Otro problema que se considerará, son los virus, generalmente
vienen como adjuntos a los correos, consisten en programas
ejecutables diseñados para infiltrarse en el ordenador y causar
daños de diversa índole. Algunos se reenvían de nuevo a nuestros
contactos de correo.
También se da el robo de identidades, como por ejemplo claves de
acceso a determinado sitios o claves de tarjetas de
crédito, un ejemplo de cómo funcionan los troyanos bancarios se
muestra en el vídeo:
Algunos tópicos erróneos
acerca de la seguridad en informática:
- Mi sistema no es importante para un
<
a href="http://es.wikipedia.org/wiki/Hacker">
hacker. Este tópico se basa en la idea de que no introducir
passwords seguros en una empresa no entraña riesgos pues,
quién va a querer obtener información mía. Sin embargo, dado que
los métodos de contagio se realizan por medio de programas
automáticos, desde unas máquinas a otras, estos no distinguen
buenos de malos, interesantes de no interesantes, etc. Por tanto
abrir sistemas y dejarlos sin claves es facilitar la vida a los
virus.
- Estoy protegido pues no abro archivos que no conozco. Esto es
falso, pues existen múltiples formas de contagio, además los
programas (sobre todo los de Microsoft) realizan acciones sin la
supervisión del usuario poniendo en riesgo los sistemas.
- Como tengo
antivirus estoy
protegido. En general los programas antivirus no son capaces de
detectar todas las posibles formas de contagio existentes, ni las
nuevas que pudieran aparecer conforme los ordenadores aumenten las
capacidades de comunicación.
- Como dispongo de un
firewall o
cortafuegos
no me contagio. Esto únicamente proporciona una limitada capacidad
de respuesta. Las formas de infectarse en una red son múltiples.
Unas provienen directamente de accesos al sistema (de lo que
protege un
firewall) y otras de conexiones que se realizan
(de las que no me protege). Emplear usuarios con altos privilegios
para realizar conexiones puede entrañar riesgos.