Seguridad
Física: Equipos / Lógica: Aplicaciones y Datos Activa: Ataques / Pasiva: sistemas de recuperación
Física: Desastres naturales, Ubicación de los CPD (Centro de Procesamiento de Datos), Duplicación de los CPD, Robos protegiendo el acceso a los CPD, uso de vigilantes, tarjetas identificativas, Controlar los posibles fallos en el suministro eléctrico o de comunicaciones.
Lógica: Protegerse de virus, troyanos, etc., Controlar la posible pérdida de información al utilizar aplicaciones, Protegerse de los ataques a los servidores
Pasiva: Sistemas de recuperación como los SAI o Grupos Electrógenos, Restauración automática de copias de seguridad.
Activa: Protegernos de ataques y protección de los activos de la empresa: equipos, aplicaciones, datos y comunicaciones.
Confidencialidad, Disponibilidad, Integridad y No Repudio
Confidencialidad. Controlar que los datos sólo se utilicen por personal debidamente autorizado.
Autenticación: Uso de usuarios y claves.
Autorización: Permisos o privilegios generalmente de lectura o lectura/escritura.
Cifrado: Encriptación de datos para que los usuarios no autorizados les sea imposible interpretar la información contenida en los discos o comunicaciones.
Una vez realizada la autenticación se aplica una autorización sobre los datos que a ser posible tienen que estar cifrados.
Disponibilidad. Acceso a los datos con normalidad dentro de los horarios establecidos. Uso de sobredimensionamiento de recursos disponiendo de duplicación de recursos para prestar los servicios.
Integridad de datos. La información obtenida sea la esperada y no sufra o haya sufrido alteraciones.
No repudio. Las partes implicadas en la transacción (emisor – receptor) tienen que aceptar los datos de la relación creada.
Sabes – Tienes – Eres
Esquemas para analizar la autenticación de equipos y/o usuarios.
Sabes: Usuario, Clave, PIN.
Tienes: Elementos materiales de autenticación como tarjetas, DNIe, Certificados, etc.
Eres: Reconocimientos físicos del individuo (biométrica)
AAA (Autenticación, Autorización, Accounting)
Accounting: informes internos que los sistemas generan sobre eventos, actuaciones, usos, etc de si mismos. Siguiendo y analizando la información generada en estos informes se puede localizar por donde se ha producido un error o ataque e intentar resolverlo. Son los llamados logs del sistema.
e2e
Control extremo a extremo comprobando que los medios no hayan sido manipulados.