Conceptos básicos de seguridad en el web (1 / 2)

Cuando se habla de seguridad informática, hay una premisa que precede a todas las demás:

Ningún sistema es 100% seguro.

Si damos como válida esa premisa, todo sistema está destinado a fallar en una u otra medida. Sin embargo si conocemos las reglas básicas del juego, haremos mas difícil que nuestro sistema caiga en manos no autorizadas.

En esta primera parte, hablaré de conceptos básicos de seguridad, yendo de lo más general a lo más específico. En la siguiente entrega, hablaré de la parte técnica básica a trabajar en todo sistema informático.

Todo sistema es tan seguro como su eslabón mas débil

Los sistemas informáticos están compuestos al menos de 4 capas. Infraestructura tecnológica, el sistema, el usuario y el administrador. Si uno de estos eslabones es vulnerable, todo tu sistema lo será. Es muy común escuchar cosas como: “El sitio web es seguro porque usa https” ó al revés: “Dicho sistema usa PHP, por lo tanto es inseguro”. En la realidad, la tecnología es solo una pequeña parte de todo el esfuerzo. No importa si tu casa tiene alarmas, perros, vallas, sistemas de detección de intrusos si dejas la llave debajo de la alfombra.

A mayor complejidad, mas díficil es la seguridad

La complejidad tiene mucho que ver con el concepto de “superficie de ataque”. Es decir, mientras más puntos vulnerables y expuestos existan, más complicado será controlarlos. Y mientras más relacionados estén estos puntos será aún más difícil administrarlos y asegurarlos. En la medida de lo posible, es deseable usar el menor número de tecnologías diferentes (tanto en hardware como en software) para reducir la superficie de ataque y así, aumentar la seguridad.

Integridad y Disponibilidad

Un sistema debe garantizar que la información que guarda no puede ni es alterada, a esto se le llama Integridad. Y por otro lado, el sistema debe estar usable en los tiempos indicados para el usuario, aún en casos de contingencia, a esto se le llama Disponibilidad. Si se falla en alguno de estos dos conceptos, la seguridad del sistema está comprometida.

¿Autorizacion o Autenticacion? R: Ambos

Todo esquema de seguridad debe incluir la función de asegurarse que solamente los usuarios autorizados pueden acceder a los recursos permitidos. A esto se le llama Autenticación. Además, debe tener la seguridad que el usuario es quien dice ser, a esto se le llama Autorización.

El precio de la seguridad es la eterna vigilancia

Las amenazas a los sistemas informáticos no son estáticas. Todo el tiempo se están modificando los riesgos tanto por cambios internos (cambios de personal, actualizaciones de infraestructura, actualizaciones del sistema) ó por cambios externos (descubrimiento de nuevas vulnerabilidades, etc). Por lo tanto, es indispensable mantener el esfuerzo constante en actualización, conocimiento y auditorías para minimizar los riesgos.

Todos estos son conceptos básicos y comunes a todo sistema que requiera ser asegurado, sea web ó no. Partiendo de estas ideas se pueden empezar a crear técnicas, aplicar tácticas y usar herramientas para aplicar, de las cuales, hablaré en la siguiente entrega.