BLOG INFORMATICO
La información está
constituida por un grupo de datos ya supervisados
y ordenados, que sirven para construir un mensaje basado en un cierto fenómeno o ente. La
información permite resolver problemas y tomar decisiones, ya que su
aprovechamiento racional es la base del conocimiento.
Por lo tanto, otra perspectiva nos indica que la
información es un recurso que otorga significado o sentido a
la realidad, ya que mediante códigos y conjuntos de datos, da origen a los
modelos de pensamiento humano.
Existen diversas especies que se comunican a través
de la transmisión de información para su supervivencia; la
diferencia para los seres humanos radica en la capacidad que tiene el hombre
para armar códigos y símbolos con significados complejos,
que conforman el lenguaje común para la convivencia en sociedad.
Definición de Datos
Se conoce que la palabra Datos proviene
del latín “Dtum” cuyo significado
es “lo que se da”. Los datos son la
representación simbólica, bien sea mediante números o letras de una
recopilación de información la cual puede ser cualitativa o cuantitativa, que
facilitan la deducción de una investigación o un hecho.
Los datos indican condiciones o
situaciones que por sí solos no aportan ninguna información importante, es en
conjunto de la observación y la experiencia que un dato puede tomar cierto valor instruccional. También se dice que los datos son atributos
pertenecientes a cualquier ente, pues una utilidad muy significativa de los
datos es que se pueden emplear en estudios comparativos. Por ejemplo:
Pelotas
de golf en el mercado (CC) por Kaptain Kobold en Flickr.
Confidencialidad es la cualidad de confidencial (que se dice o hace en confianza y con
seguridad recíproca entre dos o más individuos). Se trata de una propiedad de la información que pretende garantizar el acceso
sólo a las personas autorizadas.
Cuando
se produce información confidencial (una carta, un documento,
un informe, etc.), los responsables deciden quién o quiénes tienen derecho a acceder a la misma. Los recaudos a
tomar para garantizar dicha confidencialidad dependen del contexto. Por
ejemplo, una persona que desea enviar una carta a un familiar desde el
extranjero, suele conformarse con introducir la nota dentro de un sobre,
confiando en que nadie más que su destinatario lo abrirá.
Si
la información confidencial incluye material que puede poner en riesgo la seguridad de una nación, el nivel
de precauciones será mucho mayor. Por lo general, los documentos de esta
naturaleza de ponen bajo la custodia de organismos públicos especializados, en
ubicaciones secretas, y en muchos casos se recurre a la escritura en clave.
La
confidencialidad de la información digital (como un correo electrónico) también
puede protegerse, aunque no con medidas físicas, sino con mecanismos de cifrado y otras herramientas virtuales.
Ataques a la Integridad de los Datos
Los ataques a la integridad de los datos consisten en la
modificación intencional de los datos, sin autorización alguna, en algún
momento de su ciclo de vida. En el contexto del presente artículo, el ciclo de
vida de los datos comprende las siguientes etapas:
- Introducción,
creación y/o adquisición de datos.
- Procesamiento
y/o derivación de datos.
- Almacenamiento,
replicación y distribución de datos.
- Archivado
y recuperación de datos.
- Realización
de copias de respaldo y restablecimiento de datos.
- Borrado,
eliminación y destrucción de datos.
El fraude —el más antiguo de los métodos destinados a
atacar la integridad de los datos— tiene múltiples variantes, las cuales no
analizaremos en el presente artículo, excepto para mencionar un caso que, en el
año 2008, apareció en la primera plana de los periódicos de todo el mundo: Un
empleado de Societe Generale de Francia incurrió en delitos de “abuso de
confianza, falsificación y uso no autorizado de los sistemas informáticos del
banco”, que produjeron pérdidas estimadas en €4900 millones.A juzgar por la cantidad de
publicaciones y conferencias internacionales que abordan el tema del fraude, es
probable que este caso siga estando vigente durante algún tiempo.Hace años que las organizaciones que operan tanto en el
sector público como en el privado sufren alteraciones en sus sitios web, pero,
más allá del eventual perjuicio a la reputación de una empresa, ninguno de los
daños ocasionados puede considerarse “catastrófico”.Las bombas lógicas, el software no autorizado que se
introduce en un sistema por acción de las personas encargadas de
programarlo/mantenerlo, los troyanos y demás virus similares también pueden
afectar la integridad de los datos a través de la introducción de
modificaciones (por ejemplo, al definir una fórmula incorrecta en una hoja de
cálculo) o la encriptación de datos y posterior exigencia de un “rescate” para
revelar la clave de desencriptación. En los últimos años se han producido
numerosos ataques de características similares a las mencionadas, que afectan
principalmente los discos duros de las computadoras personales. Debería
esperarse que tarde o temprano se produzcan ataques de este tipo destinados a
los servidores.La modificación no autorizada de sistemas operativos
(servidores y redes) y/o de software de aplicaciones (como los “backdoors” o
códigos no documentados), tablas de bases de datos, datos de producción y
configuración de infraestructura también se consideran ataques a la integridad
de los datos. Es lógico suponer que los hallazgos de las auditorías de TI
incluyen con regularidad las fallas producidas en procesos clave,
particularmente en la gestión del acceso privilegiado, la gestión de cambios,
la segregación de funciones y la supervisión de registros. Estas fallas
posibilitan la introducción de modificaciones no autorizadas y dificultan su
detección (hasta que se produce algún incidente).Otro método de ataque a la integridad de los datos es la
interferencia en los sistemas de control de supervisión y adquisición de datos
(SCADA, Supervisory Control and Data Acquisition), como los que se utilizan en
infraestructuras críticas (suministro de agua, electricidad, etc.) y procesos industriales.
A menudo, la función de TI no interviene en la instalación, el funcionamiento
ni la gestión de estos sistemas. El ataque dirigido a plantas de
enriquecimiento de uranio en Irán durante el año 2010 había sido planeado con
la finalidad de alterar el comportamiento de los sistemas de centrifugación sin
que los tableros de control indicaran ninguna anomalía.Cabe destacar que muchos de estos sistemas de control no
están conectados a Internet y que, en el caso de la inyección del software
Stuxnet, debió realizarse una intervención manual, hecho que confirma la teoría de que el
“hombre” sigue siendo el eslabón más débil de la cadena de
aseguramiento/seguridad de la información.
Comentarios
Publicar un comentario