Connect with us

Director y Jefe de Seguridad

Gestión de Departamentos de Seguridad –Director y jefe de Seguridad

Gestión de Departamentos de Seguridad –Director y jefe de Seguridad

Published

on

Photo: fjcastro

  • Introducción

En el tema anterior proponíamos diferentes organigramas como modelo de la estruc- tura de un Departamento de Seguridad, donde debemos tender a que el Departamento de Seguridad se encuentre a nivel de cualquier otro Director, por tanto siendo miembro de la Alta Dirección de la Empresa (Consejo de Administración…),como así ocurre en In- dustrias de la Defensa, Organismos Oficiales del Estado, Empresas de Alta Tecnología …

La existencia de los Departamentos de Seguridad, en determinadas empresas, vie- ne determinada por lo dispuesto en el Artículo 26 de la Ley Orgánica de Protección de Seguridad Ciudadana, 4/2015, de 30 de marzo, donde nos dice que los establecimientos e instalaciones obligados a adoptar medidas de seguridad, se determinará reglamentaria- mente, en desarrollo de lo dispuesto en esta Ley, en la legislación de seguridad privada, en la de infraestructuras críticas o en otra normativa sectorial. Se nos expresa que podrá establecerse la necesidad de adoptar medidas de seguridad en establecimientos e instala- ciones industriales, comerciales y de servicios, así como en las infraestructuras críticas, con la finalidad de prevenir la comisión de actos delictivos o infracciones administrativas, o cuando generen riesgos directos para terceros o sean especialmente vulnerables. En el anterior artículo 13 y en la disposici6n adicional de la Ley Orgánica 1/1992, sobre pro- tección de la seguridad ciudadana, con mayor exactitud establecía que con la finalidad de prevenir la comisión de actos delictivos, autoriza a la Secretaria de Estado de Seguridad, para supuestos supraprovinciales, o a las Delegaciones o Subdelegaciones del Gobierno para de puedan ordenar que las empresas industriales, comerciales o de servicios adopten las medidas de seguridad que, con carácter general o para supuestos específicos, deban establecen. Estas habilitación se ha concretado en el art.111 del RSP que establece la obli- gatoriedad de tener el mencionado Departamento cuando la naturaleza o importancia de la actividad económica que desarrollan las empresas y entidades privadas, la localización de sus instalaciones, la concentración de sus clientes, el volumen de los fondos o valores que manejen, el valor de los bienes muebles u objetos valiosos que posean, o cualquier otra causa lo hiciesen necesario, el Secretario de Estado de Seguridad para supuestos supraprovinciales, o los Delegados o Subdelegados del Gobierno, podrán exigir a la em- presa o entidad que adopten las medidas de seguridad que, con carácter general o para supuestos específicos, se establecen en el Reglamento de Seguridad Privada.

Estas medidas son:

  1. Creación del departamento de seguridad.
    1. Establecimiento del servicio de vigilantes de seguridad, con o sin armas a cargo de personal integrado en empresas de seguridad.
    1. Instalación de dispositivos y sistemas de seguridad y protección.
    1. Conexión de los sistemas de seguridad con centrales de alarmas, ajenas o pro- pias, que deberán ajustarse en su funcionamiento a 1o establecido en los artí- culos 46, 48 y 49, y reunir los requisitos que se establecen en el apartado 6.2 del anexo del RSP; no pudiendo prestar servicios a terceros si las empresas o entidades no están habilitadas como empresas de seguridad.

En todo caso deberá existir Departamento de Seguridad cuando concurran las circunstancias de los párrafos b) y c) del artículo 96.2 del RSP.

  • El departamento de seguridad de una empresa obligada a tenerlo

EI departamento de seguridad obligatoriamente establecido, único para cada entidad, empresa o grupo empresarial y con competencia en todo el ámbito geográfico en que es- tos actúen, comprenderá la administración y organización de los servicios de seguridad de la empresa o grupo, incluso, en su caso, del transporte y custodia de efectos y valores, correspondiéndole la dirección de los vigilantes de seguridad o guardas rurales y sus especialidades, el control del funcionamiento de las instalaciones de sistemas físicos y electrónicos, así como del mantenimiento de estos y la gestión de las informaciones que generen.

Al frente del departamento habrá un director de seguridad designado por la entidad, empresa o grupo empresarial, que ejercerá las funciones determinadas en los artículos 95, 97 y 98, excepto las previstas en los párrafos d) y h) del artículo 95 de la LSP. En aquellas entidades y empresas de seguridad en las que el departamento de seguridad se caracterice por su gran volumen y complejidad, en dicho departamento existirá, bajo la dirección de seguridad, a la que corresponderán las funciones del director de seguridad, la estructura necesaria, con los escalones jerárquicos y territoriales adecuados, al frente de los cuales se encontrarán los delegados correspondientes.

Por otra parte vimos como independientemente de las funciones del Director de Se- guridad, marcadas legalmente por La Ley y el Reglamento de Seguridad Privada, defi- níamos al directivo de seguridad como la persona que dentro de una organización formal tiene a sus órdenes al menos otra persona y que tiene encomendado el objetivo de conse- guir el equilibrio entre las aspiraciones y deseos de los distintos colectivos, aportando una visión de conjunto de la organización, viviendo, sintiendo y comunicando los valores de la misma y encaminados al desarrollo personal de todos sus miembros.

Las funciones de un directivo de seguridad son esencialmente las de concebir, pro- gramar, planificar, organizar, dotar de personal, dirigir, controlar y evaluar, en una con- cepción clásica o tradicional, a las que debemos añadir las de interrelación, elemento de enlace entre los diferentes subsistemas (áreas, servicios, secciones …) por medio del cual se mantiene el equilibrio de la estructura.

Donde el Director de Seguridad ha de desarrollar sus funciones en las siguientes áreas de actividad:

  1. El directivo como partícipe en el flujo de trabajo externo.
  2. El directivo como líder
  3. El directivo como observador.

Por tanto, vemos como entre las funciones del Departamento de Seguridad está la de facilitar todos los medios humanos y materiales necesarios para desempeñar el servicio ofertado al mercado y una vez, obtenidas las acreditaciones necesarias ha de velar por el cumplimiento de la normativa reguladora del servicio que presta.

  • El control del departamento

de seguridad

La función de control y supervisión sobre los recursos humanos, materiales, proce- dimentales y organizacionales han de ser cumplidos por los niveles más altos de respon- sabilidad en la empresa, donde un elemento fundamental, para el buen desempeño de sus funciones, es el contar con un sistema de gestión empresarial que nos facilite la dirección de la misma.

Vimos en temas anteriores como nosotros propugnamos un estilo de dirección par- ticipativa apoyado en la gestión de calidad total en la que tras definir perfectamente todo el mapa de procesos y procedimientos nos facilitará el control de las actividades, incluso, en tiempo real.

El Departamento de Seguridad y su equipo directivo, cuando se pretenda la apertura de un establecimiento u oficina obligado a disponer de las medidas de seguridad estable- cidas en el RSP, solicitarán la autorización del Delegado o Subdelegado del Gobierno, el cual ordenará a los funcionarios encargados del Cuerpo Nacional de Policía o, en su caso, del Cuerpo de la Guardia Civil el examen y comprobación de las medidas de seguridad. Así mismo, han de comprobar que todas las medidas y los sistemas de seguridad cumplen con la legislación reguladora de seguridad privada y que los procedimientos, procesos y comunicaciones se realizan convenientemente, por tanto ha de comprobar que la empresa de seguridad y su personal contratado tienen todas la habilitaciones necesarias en:

  • Inscripción y autorización de la empresa de seguridad privada
    • Modificación de inscripción y cancelación.
    • Especial auxilio y colaboración con FFCCSE.
    • Comunicación a las Fuerzas y Cuerpos de Seguridad de cualesquiera circuns- tancias e informaciones relevantes para la prevención, el mantenimiento o el restablecimiento de la seguridad ciudadana, así como los hechos delictivos de que tuvieren conocimiento en el desarrollo de dichas actividades.
    • Comunicación de la fecha de comienzo de sus actividades a la Dirección Gene- ral de la Policía y a las dependencias periféricas de la misma o a las de la Direc- ción General de la Guardia Civil del lugar en que radiquen. Las empresas que se dediquen a la explotación de centrales de alarmas, deberán dar cuenta, además, de las fechas de efectividad de las distintas conexiones a las dependencias poli-

                                ciales a las que corresponda dar respuesta a las alarmas.

  • Publicidad de la empresa cuenta con el número de orden de inscripción en el Registro del Ministerio del Interior que le corresponda y deberá figurar en los documentos que utilice y en la publicidad que desarrolle.
  • Los vehículos utilizados por las empresas de seguridad habrán de reunir las ca- racterísticas a que se refiere el artículo 1.d) del RSP.
  • La empresa de seguridad lleva los libros-registros que obligatoriamente ha de diligenciar:
  • Libro-registro de contratos, en el que se reseñan los concertados por la empresa, con indicación de número de orden, fecha, número de contrato, clase de actividad objeto del mismo, persona física o jurídica contratante y su domicilio, así como la vigencia del contrato.
  • Libro-registro de personal de seguridad, en el que se anotarán, con respecto al personal de la empresa, el número de orden, apellidos y nombre, cargo o clase de función, fechas de alta y baja en la empresa y en la Seguridad Social, así como el número de afiliación a la misma y número de la tarjeta de identidad profesional y la fecha de expedición.
  • Libro-catálogo de medidas de seguridad, en el que, tras la diligencia de habilitación, sus hojas iniciales se destinarán a la enumeración, descripción de aparatos, equipos e instrumentos instalados, lugar de la instalación y modificaciones posteriores; dedicándose el resto de las hojas del libro a la anotación de revisiones obligatorias, con sus fechas, deficiencias observadas y fechas de subsanación; así como averías producidas entre revisiones, y fechas de la notificación de éstas y de su arreglo o subsanación.
  • Libro-registro de comunicaciones a las Fuerzas y Cuerpos de Seguridad, en el que se anotarán cuantas realicen sobre aspectos relacionados con la seguridad ciudadana, fecha de cada comunicación, órgano al que se dirige e indicación de su contenido.
  • Libro-registro de entrada y salida de armas, concebido de forma que sea posible su tratamiento y archivo mecanizado e informatizado.
  • Libro-registro de escoltas.
  • Libro-registro de depósito y custodia de objetos valiosos o peligrosos y explosivos.
  • Libro-registro de transporte de objetos valiosos o peligrosos y explosivos.
  • Libro-registros de revisiones.
  • libro-catálogo de las instalaciones.
  • La adecuación de los servicios que presten a los riesgos posibles, puesto que la empresa de seguridad prestataria, antes de formalizar la contratación de un servicio de seguridad, deberán determinar bajo su responsabilidad la adecuación del servicio a prestar respecto a la seguridad de las personas y bienes protegidos, así como la del personal de seguridad que haya de prestar el servicio, teniendo en cuenta los riesgos a cubrir, formulando, en consecuencia, por escrito, las in- dicaciones procedentes.
  • El aseguramiento de la comunicación entre el lugar de prestación del servicio y la sede de la empresa. Las empresas deberán asegurar la comunicación entre su sede y el personal que desempeñe los siguientes servicios:
    • Vigilancia y protección de polígonos industriales o urbanizaciones.
    • Transporte y distribución de objetos valiosos o peligrosos.
    • Custodia de llaves en vehículos en servicios de respuesta a alarmas.
    • Aquellos otros que, por sus características, se determinen por la Delegación o Subdelegación del Gobierno de su provincia.
  • Adecuación de los Armeros. En los lugares en que se preste servicio de vigilan- tes de seguridad con armas o de protección de personas determinadas, salvo en aquellos supuestos en que la duración del servicio no exceda de un mes, deberán existir armeros que habrán de estar aprobados por la Delegación o Subdelega- ción del Gobierno de su provincia, previo informe de la correspondiente Inter- vención de Armas y Explosivos de la Guardia Civil, una vez comprobado que se cumplen las medıdas de seguridad determinadas por la Dirección General de la Guardia Civil. El armero podrá sustituirse por el uso de la caja fuerte del local, custodiando el arma en una -caja metálica cerrada con llave.
  • Comprobar que el personal de seguridad contratado realiza los ejercicios obli- gatorios de tiro en la fecha que se determine por las empresas de seguridad, bajo la supervisión de la Guardia Civil, de acuerdo con las instrucciones que imparta la Dirección General de dicho Cuerpo.
  • Comprobar que la actividad de protección de personas se desarrolla únicamente por escoltas privados integrados en la empresa de seguridad, que ha de estar inscrita para el ejercicio de dicha actividad.
  • Comprobar que en el contrato que se establezca para la seguridad de depósito y custodia de objetos valiosos o peligrosos y explosivos consta la naturaleza de los objetos que hayan de ser depositados o custodiados y, en su caso, clasifica- dos, así como una valoración de los mismos.
  • Comprobar que el transporte y distribución de los objetos de valor, peligrosos o explosivos se realizan con los vehículos adecuados y cin la dotación de personal establecida legalmente, contando con la hoja de ruta debida.
  • Comprobar que el transporte, de los anteriores objetos, se ha comunicado a la

D.G.P. o D.G.G.C. cuando proceda.

  • Comprobar que la instalación y mantenimiento de aparatos, dispositivos y siste- mas de seguridad se realicen por personal con la cualificación exigida.
  • Comprobar que se realizan las revisiones periódicas contratadas sobre los apa- ratos, dispositivos y sistemas de seguridad.
  • Comprobar que se realiza el mantenimiento de los medios y sistemas adecua- do, a los efectos de mantener el funcionamiento de las distintas medidas de seguridad que obligatoriamente dispone el RSP, con una finalidad preventiva y protectora, propia de cada una de ellas.
  • Comprobar que la empresa de seguridad contratada dispone del servicio de aten- ción 24/7 de averías y que su respuesta es acorde con lo contratado, en evitación de falsas alarmas reiteradas o desconexión del sistema de alarmas.
  • Asegurarse de que las empresas facilitan un manual de la instalación y un ma- nual de uso del sistema y de su mantenimiento.
  • Asegurarse de que la empresa contratada cuenta con el servicio de llaves 24/7 como respuesta a las alarmas que se produzcan.
  • En cuanto al personal de seguridad que presta el servicio dependiente del De- partamento de Seguridad, se comprobará que tienen la habilitación y formación adecuada; participan de los programas de formación permanente, legalmente establecidos; cuentan con las licencias de armas debidas; equipos caninos de- bidamente entrenados; realización de ejercicios de tiro y pruebas psicotécnicas periódicas.
  • Comprobará que los procedimientos organizativos y operativos son eficaces en cuanto a las prevenciones y actuaciones en casos de delito, controles en el ac- ceso a inmuebles, represión del tráfico y consumo de estupefacientes, actuación en el exterior de inmuebles, servicio en polígonos industriales o urbanizaciones, responsabilidad por la custodia de las armas.
  • Realizar las comunicaciones pertinentes a las Fuerzas y Cuerpos de Seguridad.
  • Comprobar que los libros-registro que se han de llevar desde el Departamen- to de Seguridad estén a disposici6n de los miembros del Cuerpo Nacional de Policía, encargados de su control, para las inspecciones que deban realizar, fa- cilitando el acceso de los funcionarios de las Fuerzas y Cuerpos de Seguridad competentes a los armeros, al objeto de que puedan realizar las comprobaciones pertinentes sobre los propios armeros y las armas que contengan; de la cámara acorazada con el fin de hacer las pertinentes comprobaciones de los datos que figuren en los libros-registro; y que puedan comprobar en cualquier momento el estado de las instalaciones y su funcionamiento correcto.
  • Los directores de seguridad de Bancos, Cajas de Ahorro y demás Entidades de Crédito comprobarán la adecuación en la instalación y funcionamiento de las cámaras acorazadas, cajas de alquiler, cajas fuertes, dispensadores de efectivo y cajeros automáticos, debiendo contar con los planos de planta a disposición de las Fuerzas y Cuerpos de Seguridad, cuando los requieran.
  • Los directores de seguridad de joyerías, platerías, galerías de arte y tiendas de antigüedades deberán comunicar las exhibiciones y subastas,, con una antela- ción no inferior a quince días, al Delegado o Subdelegado del Gobierno de la provincia donde vaya a efectuarse la exhibición o subasta.
  • Inspección del departamento

de seguridad

Una de las obligaciones de los Jefes y Directores de Seguridad es la de inspeccionar el denominado Plan General de Seguridad de una empresa que contempla el conjunto de medidas organizativas, procedimentales, técnicas y materiales que atendidas por los con- venientes recursos humanos han de cumplir el objetivo de seguridad marcado, así como la inspección interna de las diversas áreas de actividad de la Dirección.

Por tanto, la inspección no solo es sobre las actividades que desarrolla el personal de seguridad, sino también sobre la adecuación de la organización interna y su funciona- miento, de los procesos y procedimientos técnico-operativos y sobre la dotación de los medios materiales, técnicos y electrónicos que han de cumplir las especificaciones técni- cas marcadas por sus normas de producción e instalación.

La inspección está muy relacionada con las funciones de control que hemos visto en el apartado anterior, si bien ésta se realiza de forma mediata sobre el funcionamiento y adecuación de todos los sistemas establecidos y por tanto ha de tener una perfecta pla- nificación en su ejecución para asegurarnos el cumplimiento de los objetivos marcados.

Esa inspección sobre el Departamento de Seguridad ha de contemplar todas las áreas de actividad( informática, administración, laboral, comunicaciones, prevención de ries- gos laborales…) y contar con un Plan de Inspección.

El Plan de Inspección debe contemplar:

  • Una introducción en donde se describa el área o actividad a examinar.
  • Una descripción de los objetivos que se van a conseguir.
  • Descripción de los pasos a seguir debidamente, indicando la persona quien va efectuar el trabajo, la fecha de inicio, fecha final, referencias, las observaciones en caso de existir y finalmente la firma de quien realiza y quien lo revisa.

Nuestra inspección debe ir orientada a comprobar el buen funcionamiento adminis- trativo, de los procedimientos y del cumplimiento de las normas que regulan nuestro sec- tor productivo, de cara a tener todo perfectamente engranado para cumplimentar y supe- rar la Auditoría interna o externa a la que periódicamente nos someterá nuestra Empresa.

Por tanto, nuestra inspección podemos denominarla operativa o administrativa que tiene por objeto el análisis y la mejora de cualquier componente de la organización a ex- cepción de su sistema financiero y contable. Esto es: su campo de actuación comprende las funciones de gestión con objeto de verificar su funcionamiento, proponer mejoras y mejorar sus comportamientos disfuncionales.

Los objetivos de la Inspección Operativa son:

  • Control: Orientan los esfuerzos en su aplicación y poder evaluar el comporta- miento organizacional en relación con estándares preestablecidos.
  • Productividad: Dirigen las acciones para optimizar el beneficio de los recursos de acuerdo con la dinámica administrativa establecida por la organización.
  • Organización: Determinan que su curso apoye la definición de la competencia, funciones y procesos a través del manejo efectivo de la delegación de autoridad y el trabajo en equipo.
  • Servicio: Representan la manera en que se puede comprobar que la organi- zación posee un proceso que la enlaza cualitativamente y cuantitativa con las expectativas y satisfacción de sus clientes.
  • Calidad: Orientan que tienda a elevar los niveles de desempeño de la organiza- ción en todos sus contenidos y ámbitos, con el fin de producir bienes y servicios altamente competitivos.
  • Cambio: Transforman en un instrumento que hace más transparente y receptiva a la organización (flexibilidad).
  • Aprendizaje: Permiten que se transforme en un mecanismo de aprendizaje ins- titucional con el fin de que la organización pueda asimilar sus experiencias y las capitalice para convertirlas en oportunidades de mejora.

Como importante sector económico desarrollado al amparo de la cada vez más necesaria seguridad individual y de los negocios, el Estado, en su afán de facilitar el cubrir en la ma- yor cuantía posible esta necesidad, ha ido cediendo/compartiendo la responsabilidad de la seguridad y está regulando permanentemente las relaciones entre las necesidades y la prestación de los servicios, pues en esta acción social de relación y evolución continua, se han de ir adaptando las normas con la agilidad necesario para obtener la eficacia prevista.

Nos encontramos con un sector ampliamente regulado en todas sus posibilidades, donde la Administración procura contemplar los requerimientos del mercado y pretende abarcar los diferentes ámbitos de la seguridad para garantizar la prevención y protección de las personas y bienes que conforman las organizaciones.

La regulación de la seguridad privada se ve afectada por diferentes leyes, reglamentos, órdenes ministeriales y resoluciones de diferente rango que van actualizando la regula- ción del sector a las necesidades y avances tecnológicos. Así podemos ver, sin ánimo de ser exhaustivos, la regulación en cuanto al ámbito de aplicación en :

  • Ley de seguridad privada y su reglamento de desarrollo
  • Seguridad contra actos antisociales

La Seguridad contra actos antisociales nos la encontramos regulada en:

  1. Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana.
    1. Ley 5/2014, de 4 de abril, de Seguridad Privada,
    1. Modificaciones a la Ley 23/1992, de 30 de julio, de Seguridad Privada, y cuan- tas normas de igual o inferior rango no se opongan a lo dispuesto en la nueva Ley 5/2014, de 4 de abril .( Disposición derogatoria única. Derogación norma- tiva de Ley 5/2014):
      1. Real Decreto-Ley 2/1999 de 29 de enero
      1. Real Decreto-Ley 8/2007 de 14 de septiembre
    1. Normas de desarrollo de la Seguridad Privada:
  2. Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada, modificado por:
    1. Real Decreto 938/1997, de 20 de junio
    1. Real Decreto 1123/2001, de 19 de octubre
    1. Real Decreto 4/2008, de 11 de enero
    1. Real Decreto 1628/2009, de 30 de octubre
  3. Real Decreto 2487/1998, de 20 de noviembre, por el que se regula la aptitud psicofísica necesaria al personal de seguridad privada
  4. Real Decreto 524/2002, de 14 de junio, por el que se garantiza la prestación de servicios esenciales en el ámbito de la seguridad privada en situaciones de huelga.

43

  • Orden del Ministerio del Interior de 14 de enero de 1999, por el que se aprueban los modelos de informes de aptitud psicofísica necesaria para tener y usar armas y para prestar servicios de seguridad privada.
  • Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada
  • Resolución de la Secretaria de Estado de Seguridad de 12 de noviembre, por los que se determinan los programas de formación del personal de Seguridad Privada.
  • Seguridad contra incendios

La Seguridad contra incendios nos la encontramos regulada básicamente en :

  1. Real Decreto 2177/1996, de 4 de noviembre, por el que se aprueba la Norma Básica de la Edificación NBE-CPI/96 : Condiciones de Protección contra In- cendios en los Edificios.
    1. Real Decreto 1942/1993, de 3 de noviembre, por el que se aprueba el Reglamen- to de Instalaciones de Protección contra Incendios.
    1. Ordenanzas Municipales de la ciudad donde se ubique la instalación/Edificio.
  • Emergencia y evacuación

Los procedimientos sobre emergencia y evacuación se encuentran regulados en :

  1. Ley 2/1985, de 21 de febrero, sobre Protección Civil.
    1. Real Decreto 1378/1985, de 1 de agosto, sobre Medidas provisionales para ac- tuación en situaciones de emergencia en los casos de grave riesgo, catástrofe o calamidad pública.
    1. Real Decreto 407/1992, de 24 de abril, por el que se aprueba la Norma Básica de Protección Civil.
    1. Orden de 29 de noviembre de 1984 por el que se aprueba el Manual de Autopro- tección para el desarrollo del Plan de Emergencias contra Incendios y Evacua- ción de Locales y Edificios.

A P

  • Seguridad y salud laboral

Nos la encontramos regulada en :

  1. Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
    1. Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.
    1. Real Decreto 773/1997, de 30 de mayo, sobre disposiciones mínimas de seguri- dad y salud relativas a la utilización por los trabajadores de equipos de protec- ción individual.
  • La delegación de autoridad

En la inspección se comprueba cómo funciona el Departamento en cuanto a la dele- gación de la autoridad, como herramienta de dirección que nos permite hacer una distri- bución de funciones más operativa, más eficiente.

No existe consenso en la definición del término “empowerment”( Delegación) a pesar de que sabemos que se está hablando de una distribución ordenada del poder y la autoridad.

El propósito de este nombre es liberar a alguien del control riguroso existente en instrucciones y órdenes y darle libertad para asumir las responsabilidades de sus ideas y acciones, liberar a personas para llevar a cabo tareas más complejas que de otra manera permanecerían escondidas.

En general se está buscando dotar a personas de un mayor poder, formar y proporcio- nar a una persona de todos los elementos necesarios y suficientes que le permitan atender y resolver todas las situaciones que se planteen a su nivel.

En nuestra cultura se definiría este concepto empresarial como delegación inteligen- te que significa:

  • asignar poder, autoridad y trabajo a otra persona
  • autorizar a otros a que tomen decisiones y lleven el trabajo a la practica
  • confiar a otros determinadas áreas de responsabilidad y trabajo
  • autorizar para hacer uso de los medios, sistemas y equipos disponibles
  • determinar las condiciones de trabajo y la planificación del tiempo de otros
  • representar a otros miembros de superior categoría
  • Ventajas de la delegaciónlos niveles de la toma de decisiones resultan más apropiadoslibera al directivo para desempeñar otras funcionesse efectúa un mejor uso de la formación específica, experiencia y actitudes del personal

A P

  • se eleva el nivel de competencia del personal
    • se incrementa el número de personas capaces de solucionar problemas
    • se incrementa el sentido de responsabilidad y la conciencia motivacional
    • se ponen a prueba las aptitudes y habilidades del personal
    • la carga de trabajo se distribuye entre un mayor número de personas
    • refuerza el grado de compromiso y de bienestar del personal
  • Reglas para la delegación y consejos para una delegación inteligente

Las reglas de delegación pueden dividirse en dos categorías:

  • Reglas tangibles de delegación: estas reglas son específicas, racionales, direc- tamente comprensibles y utilizables por todo el mundo. Son fáciles de enseñar. Se refieren, principalmente, a cinco cuestiones fundamentales: ¿Qué?, ¿Quién?,

¿Por qué?, ¿Cómo? y ¿Cuándo?

  • ¿Qué hay que hacer?
    • ¿Quién es responsable?
      • ¿Por qué debe realizarse esa tarea?
      • ¿Cómo debe efectuarse la tarea?
      • ¿Cuándo debe estar terminado?

A estas cinco preguntas fundamentales deberíamos añadir:

  • descripción de la tarea por escrito
    • comprensión de la misma
      • asistencia al equipo
      • control
      • feedback
      • información a los demás
      • anticipación de problemas
  • trabajo finalizado
    • calidad
    • Reglas intangibles de delegación: Estas reglas están relacionadas con los senti- mientos, actitudes y relaciones. Para manejarlas es necesaria una comprensión de la naturaleza humana. Son más difíciles de señalar, ya que muchos directi- vos han aprendido solamente cómo dirigir de acuerdo con las reglas del mundo de los hechos.

Los directivos deben trabajar principalmente en sus propias actitudes; la con- fianza en sí mismos, en su personal y en la delegación como herramienta de dirección. Para ello:

  • demuestre confianza
    • eleve el nivel de autoconfianza de su equipo
      • demuestre su reconocimiento
      • sea flexible
      • acepte los errores

Al igual que es posible establecer unas reglas de delegación para los directivos, tam- bién es posible que los componentes de una organización sigan unas reglas.

  • La delegación eficaz

Delegar eficazmente supone el seguir los pasos o etapas siguientes:

  1. Analice las tareas que realiza e identifique alguna que considere que le propor- cionaría libertad adicional, así como un beneficio para el empleado a quien le asignaría la responsabilidad.
  2. Seleccione al individuo más adecuado para la tarea que identificó y deléguesela.
  3. Instruya a la persona, con detalles. Explíquele por qué es importante la tarea.
  4. Asegúrese que el empleado está preparado para asumir la nueva responsabilidad.
  5. Dé al empleado libertad por unos días de practicar la nueva asignación.
  6. Realice seguimientos en forma positiva. Felicítele cuando lo merezca.
  7. Considere la rotación de tareas.

A P

  • Delegue aquellas misiones que preparen a los subordinados para hacerse cargo durante la ausencia de otros, incluyendo la suya propia.
  • Pida ideas. Dé a todos la oportunidad de contribuir.
  • Para generar ideas y entusiasmo, discuta con todo el grupo las nuevas tareas y los planes de rotación.
  • La motivación

Las organizaciones necesitan conseguir que sus miembros aporten su tiempo, ener- gías, esfuerzo y habilidades para obtener los mejores resultados económicos posibles, y para ello un factor importantísimo es que han de MOTIVARLOS.

Es una labor imprescindible del Director de Seguridad el intentar confluir los obje- tivos de la organización con los objetivos individuales de tal manera que se consiga un equilibrio entre las aportaciones realizadas y los beneficios obtenidos tanto por la organi- zación como por el individuo . Son las Relaciones de Intercambio.

Pero, ¿qué es lo que hay que motivar? Hay que motivar siempre LA CONDUCTA, pero no todo de ella sino “lo más relevante para la Organización”, por tanto, y según KATZ,

  1. La conducta de ingreso y permanencia
  2. La ejecución adecuada de los roles
  3. Las conductas espontáneas e innovadoras
  4. Las conductas de salida
  • Elementos básicos a motivar

La conducta humana se ve motivada primordialmente por:

  1. Las necesidades que son los requisitos para la supervivencia y el bienestar personal.
    1. Los valores que son los aspectos que se consideran buenos o beneficiosos y que van desde los principios ético-morales hasta las preferencias más cotidianas.
    1. Las metas que son el estado final hacia el que tienden las acciones.
    1. Las emociones que es el estado personal que resulta de comparar los valores y metas con las acciones o resultados.
    1. Las cogniciones que es la acción y el efecto que produce el conocimiento del individuo aplicado en su trabajo. Se refleja en su autoeficacia – autoestima.

La organización debe intentar la aceptación de sus valores y objetivos por los traba- jadores de tal forma que desarrollan actitudes favorables hacia ello, estableciéndose un compromiso como “intensidad de la identificación y la implicación del individuo con la organización” (PORTER).

  • Técnicas para motivarSistema de Recompensas InstrumentalesPagas e incentivosNivel general de salariosProcedimiento para fijar el salario individualComunicación de la pagaParticipación en el diseño y administración de la paga

La remuneración influye en la decisión del individuo de incorporarse y perma- necer en la organización e influye en la rotación de los Puestos de Trabajo y en el absentismo laboral.

  • Ascensos y promociones
    • Promoción vertical
      • Promoción central
      • Promoción circular

Puede ser la recompensa individual más importante desde el punto de vista motivacional.

  • El contenido del trabajoAtributos de la tareaEl interés de las tareasLa variedadLa importancia o significadoLa identidad
  • Autonomía
    • De destrezas
      • De medios
      • Habilidades y Aptitudes
      • Feedback
  • La participaciónIncrementa:
  • La moral
  • La satisfacción laboral
  • La información
  • La creatividad
  • La comunicación
  • La comprensión de tareas
  • La implicación en el desempeño
  • La consecución de objetivos
  • Reduce
    • La rotación
      • El absentismo
      • El conflicto
      • La resistencia a la aceptación
  • El sistema normativo y disciplinarioLas normas, son directrices que activan y orientan la conducta.La autoridad legal que faculta para ejercer el poder legítimo.La disciplina que conlleva la vigilancia de la adecuación entre comportamiento y normas y la imposición de sanciones.
  • El director de seguridad como agente motivador

Una de las funciones del Director es motivar a los miembros de su Departamento. Ejerciendo su liderazgo practicará su habilidad para estimular y dirigir a los subordinados.

Además es motivador el cómo coordina las actividades del personal, administra los sistemas de recompensas, la participación, la moderación en conflictos, el ejemplo que importe o transmite …

Las estrategias para motivar las debe apoyar según la base de influencia en los po- deres de:

  1. Recompensa
    1. Castigo
    1. Experto
    1. Referente – carismático

d)    Legítimo o autoridad

Bibliografía

  • GARCÍA MOLINA, José y ARA CALLIZO, Javier, Una estructura de Seguridad basada en la coordinación, Revista de Policía nº 134, Dirección General de la Poli- cía, Madrid, Febrero 1999.
  • HUSE, Edgar F. Y BOWDITCH, James L., El comportamiento humano en la Orga- nización, Deusto, Bilbao, 1980.
  • VALDERAS TELLO, Pedro, GARCÍA MOLINA, José y otros, Técnicas de Direc- ción y Mando, Departamento de Seguridad de la Presidencia del Gobierno, Madrid, 1998.
  • Ley Orgánica de Fuerzas y Cuerpos de Seguridad, L.O 2/1986, de 13 de marzo. Bo- letín Oficial del Estado nº 63 de 14 de marzo de 1986. España-1986.
  • Ley de Seguridad Privada, Ley 5/2014, de 4 de abril, Boletín Oficial del Estado nº 83 de 5 de abril de 2014. España-2014
  • Reglamento de Seguridad Privada, Real Decreto 2364/1994, de 9 de diciembre, Bo- letín Oficial del Estado nº 8 de 10 de enero de 1995. España-1995.

Cursos

Seguridad en redes. Control de accesos y dispositivos de seguridad –Director y Jefe de Seguridad privada

Seguridad en redes. Control de accesos y dispositivos de seguridad –Director y Jefe de Seguridad privada

Published

on

Photo:fjcastro


Objetivos

  • Esta unidad pretende introducir al lector en una serie de aspectos básicos para la se- guridad de las comunicaciones en la red y que resultan imprescindibles si queremos garantizar la confidencialidad del tráfico digital establecido con terceros.
  • En primer lugar se exponen diversas cuestiones generales sobre la arquitectura de las comunicaciones en Internet para profundizar posteriormente en las amenazas que se ciernen en este mundo digital.
  • Uno de los aspectos que actualmente preocupan es la vulnerabilidad que ofrecen las conexiones inalámbricas que se han constituido como una de las estructuras de red más utilizadas en las redes informáticas ya sea en hogares, oficinas e industrias que permiten interconectar sin cables los diferentes equipos informáticos.
  • Otras amenazas que se ciernen sobre las redes informáticas lo constituyen una serie de ataques a la información como la recopilación de la información, el secuestro de sesión, la interceptación del tráfico, la falsificación, o el ataque por denegación de servicios, entre otros muchos.
  • Se exponen diverso modalidades de ataque a las redes inalámbricas que buscan apro- piarse de información ilícitamente, contraseñas, accesos y control de dispositivos electrónicos que puede acarrear ilícitos relacionados con la vulneración de la priva- cidad o la posterior comisión de delitos económicos y falsificación o usurpación de la identidad.
  • Se exponen, además, las posibilidades de control los accesos y de los dispositivos ilícitamente mediante cortafuegos consiguiéndose el control del tráfico, auditoría de comunicaciones y accesos incontrolados desde el exterior de la organización.
  • También se exponen las ventajas de la utilización proxy, como cortafuegos que tie- nen la función, tanto para retransmitir el tráfico para clientes en el exterior que qui- sieran conectarse con un servidor en el interior de la red protegida, como de clientes internos que se conectan a servicios en el exterior de la red protegida.
  • Así mismo se citan las ventajas de las redes privadas virtuales (Virtual Private Ne- twork o VPN) que se constituyen como un túnel o canal seguro a través de Internet u otras redes públicas garantizando la confidencialidad de los dispositivos conectados en la red de la organización que se pretende proteger.

Introducción

La red constituye el punto de contacto con el exterior, la frontera con el resto del mundo. En una casa necesitamos colocar puertas y ventanas para poder entrar y salir pero también se deben instalar rejas y cerraduras para impedir el acceso a intrusos.

En un mundo ideal no habría nada que temer pero por desgracia este mundo dista mucho de ese modelo por lo que se deben levantar barreras para salvaguardar nuestra intimidad y propiedad como verjas, cerraduras de seguridad e instalación de alarmas que detectan la presencia de intrusos.

En las redes informáticas, al igual que sucede con la protección de estructuras físicas, se utilizan recursos de control de intrusos de tipo perimetral basados en el empleo de cor- tafuegos y routers. Estos dispositivos actúan como las rejas de los pinchos y las puertas con diez cerrojos. Sirven para mantener fuera a los intrusos, es decir, sirven al propósito de prevenir ataques o intrusiones en la red interna por ellos protegida.

Pero, como sabemos, una puerta blindada no impide que un ladrón se cuele por otro lado más vulnerable, como por ejemplo por una ventana o por un conducto de ventila- ción o que la propia puerta se use de forma negligente, por ejemplo guardando las llaves debajo del felpudo o dejando la puerta entreabierta para no tener que andar abriendo y cerrando a todo el que llega a casa o se las deja al fontanero o a la empleada de hogar que obtiene copia para poder robar después.

En este apartado se efectuará un estudio sobre la seguridad de las redes. La seguridad en la red se construye como una cadena que se rompe por el eslabón más débil. A menudo se comete el error de fortalecer el mismo eslabón descuidándose los demás.

La defensa perimetral es muy importante pero no la única barrera de seguridad. Nun- ca debemos olvidar que la protección del perímetro resulta indispensable para mantener a los atacantes fuera, pero resulta inútil una vez están dentro.

La seguridad de los sistemas informáticos depende en gran medida de las conexiones con el exterior que este posee. Por ello las redes son uno de los puntos críticos a la hora de securizar un sistema.

La protección de un sistema aislado requiere la instalación de controles físicos de acceso para garantizar que solo el personal autorizado lo hace correctamente.

Pero en la actualidad, los sistemas informáticos están interconectados a redes de ordenadores mediante las cuales los administradores pueden acceder a sus servicios, pero también los intrusos tienen en teoría la posibilidad de realizar atacarlos a miles de kiló- metros de distancia.

La conexión a la red abre un abanico de amenazas que se van incrementado si las redes son públicas, inalámbricas…

En definitiva, se podrían resumir diciendo que a igual de contramedidas, cuanta ma- yor exposición, mayor riesgo.

1. Seguridad en redes, control de acceso y dispositivos de seguridad

Antes de entrar en materia debemos introducir una serie de conceptos básicos que nos situarán en la problemática de seguridad en Internet.

La red. Conceptos previos de arquitectura de seguridad. Protocolo TCP/IP

El protocolo más extendido en comunicaciones en la actualidad es la familia TCP/IP. Dicho conjunto de protocolos fue desarrollado por el informático estadounidense Vinton Cerf dentro de un proyecto del Gobierno, patrocinado por la Agencia de Programas Avan- zados de Investigación (ARPA), perteneciente al Departamento de Defensa de Estados Unidos.

En un primer momento fue utilizado en una red pequeña de ordenadores llamada ARPANET, en la cual tenían presencia agencias de seguridad del estado, universidades y varios laboratorios de investigación. La gran evolución de las redes de ordenadores con- dujo a la apertura de dicha red y se desarrolló hasta lo que se conoce actualmente como Internet.

Si hacemos un símil con el mundo real y tangible, los paquetes de datos en TCP/IP son como cartas en las cuales hay un remitente y un destinatario. Los carteros las recogen y clasifican, enviándolas al final a su destino correspondiente porque saben dónde deben ir en función de la dirección que la propia carta posee. Ellos actúan como encaminado- res hasta hacer llegar la información al destino. En TCP/IP todo sucede igual: un emisor manda un mensaje que, en caso de necesidad de saltar a otra red, es recogido por un enca- minador (router), el cual lo reenvía por el camino más apropiado hasta llegar a su destino.

En la actualidad TCP/IP es utilizado como protocolo en Internet, Intranets y Extra- nets: Internet es una red de redes con cobertura mundial; Intranet es una red interna de una organización que utiliza protocolos de Internet, en definitiva TCP/IP; mientras que una Extranet se define como una red de interconexión privada con el exterior para prestar servicios o establecer algún tipo de relación con trabajadores, clientes o empresas cola- boradoras, en la cual evidentemente se usa TCP/IP como conjunto de protocolos para el intercambio de información.

La principal ventaja de TCP/IP por tanto es su confianza ante fallos: si un enlace se pierde, la información puede fluir por otro camino incluso sin que el origen y el destino lleguen a darse cuenta.

TCP/IP se compone de una pila de protocolos que está estratificada en cuatro capas, siguiendo el modelo OSI1. Presenta una primera capa de acceso físico a la red en contac- to directo con los elementos de la red, implantada en los controladores (drivers) de los elementos de las comunicaciones, así como en el propio hardware. La siguiente capa de Internet tiene como propósito seleccionar la mejor ruta para enviar paquetes por la red. El propósito principal que funciona en esta capa es el protocolo IP que proporciona un enrutamiento de paquetes no orientado a conexión de máximo esfuerzo. El IP no se ve afectado por el contenido de los paquetes sino que busca una ruta hacia su destino.

En la siguiente capa, denominada de transporte, la información se une con cada ser- vicio y es responsable del flujo de datos entre los equipos que forman la comunicación. Por último, se encuentra la capa de aplicación, la que ve el usuario final. En ella coexisten multitud de protocolos orientados a diferentes servicios: Telnet, HTTP, FTP, SMTP, etc.

Redes inalámbricas

Las redes inalámbricas se han constituido como una de las estructuras de red más utilizadas en las redes informáticas ya sea en hogares, oficinas e industrias que permiten interconectar sin cables los diferentes equipos informáticos.

Las redes de área local inalámbricas (Wireless Local Networks o WLAN) permiten que varios dispositivos puedan transmitirse información entre ellos a través de ondas de radio sin necesidad de cables. Las ventajas saltan a la vista por la mayor libertad que pro- porcionan a los usuarios de red que no dependen de la existencia en las proximidades de un punto de red y pueden llevar su equipo, especialmente si es portátil, a cualquier sitio sin perder la conexión a Internet. Las rede WLAN solucionan algunos problemas asocia- dos a las redes con cables, en especial los derivados de la instalación de los mismos, que a menudo requieren pequeñas obras para la acometida. Facilitan sobremanera y reducen costes de instalación, ya que no requieren obra y se ahorra en cable y permiten alcanzar altas velocidades de transmisión.

Pero estas estructuras inalámbricas se han constituido como una de las vías de ataque a la red a través de diferentes mecanismos de intrusión lo que preocupa seriamente a la seguridad de las redes informáticas.

Amenazas y ataques en una red

Para poder implantar contramedidas de seguridad adecuadas, en primer lugar se de- ben comprender cuáles son las amenazas a que una red está expuesta y cuáles son las vul- nerabilidades de red explotadas por los ataques. A continuación se describen los riesgos más comunes, compartidos por la práctica totalidad de redes existentes, sin importar su dimensión.

Las principales amenazas a las que se enfrenta una red son, entre otras:

Recopilación de información (harvesting). El intruso busca obtener información acerca de la topología de la red, tipos de dispositivos presentes y su configuración. Gracias a esta información puede descubrir vulnerabilidades y puntos de entrada.

Interceptación de tráfico (sniffing). El intruso intercepta el tráfico de forma pasiva, es de- cir, no lo modifica, en busca de contraseñas e información sensible que circula por la red.

Falsificación (spoofing). El intruso oculta su identidad real, haciéndose pasar por otro usuario o equipo. Suele utilizarse para enmascarar la dirección real de procedencia de un ataque o para burlar un sistema de control de acceso en función de la dirección IP de origen. Es considerado un ataque por spoofing tanto la modificación de paquetes exis- tentes en la red como la creación de nuevos cuyo objeto es falsear la identidad de algún componente de la transmisión de un mensaje.

Secuestro de sesión (hijacking). El intruso utiliza una aplicación para simular el compor- tamiento del cliente o del servidor, o bien intercepta los paquetes de información por la red pudiendo visionarlos y modificarlos a su antojo. Como consecuencia, el servidor o el cliente creen estar comunicándose con el equipo legítimo, cuando en realidad se trata el equipo del atacante, que aparece a todos los efectos como el destino auténtico. Se uti- liza típicamente para obtener información de autenticación y datos sensibles. A este tipo de ataques se les conoce como ataques de hombre en el medio (Man-In-The-Middle o MITM).

Denegación de servicio (DDoS). El intruso busca denegar a los usuarios legítimos el ac- ceso a los servidores o servicios de la red inundándola con tráfico espurio que consuma todo su ancho de banda y recursos. Cabe destacar un gran grupo dentro de este tipo de ataques conocido bajo el nombre de denegación de servicio distribuida (Distributed De- nial of Service o DDoS) en el cual se coordinan varios sistemas para realizar un ataque simultáneo contra un objetivo definido.

Para evitar este tipo de ataques existen multitud de herramientas de análisis de se- guridad que deben emplearse si se desea evitar estos. De hecho, tanto el intruso como el auditor de sistemas suelen emplear las mismas herramientas para realizar el escaneo de puertos, escaneo de vulnerabilidades, análisis de tráfico (sniffing), cracking de contrase- ñas, detección de módems, enumeración de recursos, detección de redes inalámbricas, etc. como por ejemplo, ping, tracert, SNMP (Simple Network Management Protocol), Fingerprinting, etc.2.

Ataques de sistemas inalámbricos

Las redes inalámbricas pueden ser accedidas desde fuera de la organización. Una técnica ampliamente extendida consiste en ir en coche rastreando la señal en busca de redes inalámbricas, en especial para localizar las que están desprotegidas en vehículo y que denominan como Wardriving (War=guerra y Driving= conducir).

Otra técnica, conocida como Warchalking (Chalk=marcar con tiza) y que consiste en el marcado de edificios o lugares donde se albergan redes inalámbricas de interés  con símbolos especiales. Este tipo de marcas secretas se han utilizado durante muchos años por mendigos, delincuentes y malhechores para marcar puertas de viviendas y poder identificar “vivienda con poli”, “dueño agresivo”, “perro peligroso”, etc. En el caso de las redes inalámbricas disponibles, la creación de las marcas de tiza se atribuye al escri- tor Ben Hammersley, publicadas por Matt Jones. Pero actualmente, se marcan mediante la ubicación en planos digitales por las coordenadas de los lugares donde existen redes inalámbricas disponibles.

Existen multitud de aplicaciones informáticas que permiten rastrear las redes dispo- nibles y a su vez crackrear las claves de acceso mediante técnicas de fuerza bruta.

Las principales amenazas que pueden afectar a las redes inalámbricas son las siguientes:

Access Point Spoofing conocido como “Asociación Maliciosa”. El atacante simula ser un punto de acceso (Access point) y el usuario se conecta con su dispositivo pensando que es una red WLAN auténtica.

X (hombre en medio).

MAC spoofing o enmascaramiento del MAC. Este ataque se produce cuando se roba la dirección MAC de un dispositivo en una red y el invasor usurpa la identidad de un usuario de la misma accediendo a la red y sus contenidos.

WLAN escáners conocido como “Ataque de Vigilancia”. Se efectúa al recorrer un deter- minado establecimiento o local a fin de descubrir las redes WLAN activas y sus equipa- mientos informáticos para efectuar después el ataque o robo.

Wardriving y warchalking. Se llama de “Wardriving” a la actividad de encontrar puntos de acceso a redes inalámbricas, mientras uno se desplaza por la ciudad en un automóvil y haciendo uso de una notebook con una placa de red Wireless para detectar señales. Des- pués de localizar un punto de acceso a una determinada red inalámbrica, algunos indivi- duos marcan el área con un símbolo hecho con tiza en la veredera o la pared, e informan a otros invasores -actividad que se denomina “warchalkin.

Control de acceso y dispositivos de seguridad

En su acepción común, un cortafuegos es una vereda ancha que se abre en los sem- brados y montes para que no se propaguen los incendios. Su análogo informático per- sigue el mismo objetivo: aislar su red interna del resto del mundo, como si del foso de una fortaleza medieval se tratara, proporcionando un único punto de entrada y salida. El cortafuegos “firewall”, restringe el acceso de usuarios externos a la red interna y de usua- rios internos al exterior, de forma que todo acceso tiene lugar exclusivamente a través de un punto cuidadosamente controlado, algo así como el puente levadizo. De esta forma se evita que los atacantes alcancen otras defensas interiores y que se produzcan filtraciones de información desde dentro, como las causadas por troyanos. Por este motivo, el corta- fuegos se instala en el punto en el que su red interna se conecta con Internet.

Dado que todo el tráfico que entra desde Internet o sale desde la red interna lo hace a través del cortafuegos, éste puede examinarlo y, en función de sus reglas, posee la po- testad de decidir si es aceptable o no y si lo retransmitirá a su destinatario. Ahora bien, es fundamental definir correctamente lo que significa “aceptable”. Para ello se confecciona una política de seguridad en la que se establece claramente qué tipo de tráfico está permi- tido, entre qué origen y qué destino, qué servicios se habilitan, qué contenidos se admiten, etc. Dependiendo del caso concreto, existirán políticas altamente restrictivas, en las que prácticamente nada está permitido, y otras muy permisivas, en las que no se habilitan apenas prohibiciones. La clave reside en alcanzar un compromiso entre sus necesidades de seguridad y su comodidad.

El cortafuegos, por estas características, se ha convertido en uno de los productos indispensables de todo sistema de seguridad. Entre los muchos servicios que ofrecen, destacan los siguientes:

Aislamiento de Internet. La misión de un cortafuegos es aislar su red privada de Internet, restringiendo el acceso hacia/desde su red solo a ciertos servicios, a la vez que analiza todo el tráfico que pasa a través de él. Si cualquiera de los ordenadores de la Intranet su- cumbe ante un atacante, el resto de la red local queda amenazada.

El cortafuegos actúa de pantalla, permitiendo sólo aquellos servicios que se consi- deren como seguros: por ejemplo sólo correo electrónico y navegación, o cualquier otra elección definida en la política de seguridad de la organización.

Cuello de botella. El cortafuegos se constituye en un cuello de botella, que mantiene a los atacantes y peligros alejados de la red a proteger, prohíbe en los dos sentidos servicios susceptibles a ataques y proporciona protección ante algunos tipos de ataques basados en el enrutamiento de paquetes. El cortafuegos representa el enfoque de seguridad conocido como defensa perimetral que debe combinarse con la protección a fondo de cada uno de los equipos conectados a la red, lo que se conoce como defensa en profundidad.

Detección de intrusos. Dado que todo intento de conexión debe pasar por él, un cortafue- gos adecuadamente configurado puede alertarle cuando detecta actividades sospechosas que pueden corresponder a intentos de penetración en su red, conatos de denegación de servicio o tentativas de enviar información desde ella, como los que realizarían troyanos que se hubieran colado dentro.

Auditoría y registro de uso. El cortafuegos constituye un buen lugar donde recopilar in- formación sobre el uso de la red. En su calidad de punto único de acceso, el cortafuegos puede registrar toda la actividad entre la red exterior y la interior.

Con todos estos datos, el administrador puede posteriormente estudiar estadística- mente el tipo de tráfico, las horas de mayor carga de trabajo, el ancho de banda consu- mido y, por supuesto, todos los intentos de intrusión o las pistas dejadas por un atacante.

Seguridad de contenidos. Existen otras amenazas como los virus y el contenido activo malicioso, frente a las cuales los mejores cortafuegos ofrecen una protección limitada. La inspección antivirus del material transmitido a través de los servicios como el correo electrónico, la Web o FTP es una característica incorporada por un número cada vez ma- yor de cortafuegos.

Autenticación. La determinación de la identidad de las personas o entidades que acceden a la red protegida, a través de servicios como HTTP, FTP o Telnet, etc., resulta crítica en la mayoría de los entornos. Esta autenticación se logra tradicionalmente mediante nom- bres de usuario y contraseñas. Sin embargo, no pueden considerarse una técnica fiable cuando los requisitos de seguridad son severos. En su lugar, algunos cortafuegos permiten autenticarse utilizando métodos más sofisticados, basados en tarjetas inteligentes, contra- señas de un solo uso, etc.

Traducción de direcciones de red (NAT). Otras funciones adicionales que puede realizar el cortafuegos es la de ocultar el rango de direccionamientos internos de la organización, realizando una traducción de direcciones (Network Address Translation o NAT). De esta manera, resulta posible contar con sólo una dirección válida o un rango reducido de di- recciones válidas en Internet y disponer de un gran número de direcciones privadas para las máquinas internas no enrutables desde Internet. Gracias a NAT, las direcciones de las máquinas internas quedan ocultas al exterior.

VPN. Los cortafuegos también pueden actuar como servidores de redes privadas virtua- les. Se tratan en la siguiente sección de este capítulo, por lo que no se dirá aquí nada más sobre ellas.

A pesar de todas estas virtudes, los cortafuegos no suponen la solución definitiva a todos los problemas de seguridad ya que existen amenazas que quedan fuera del alcance de los cortafuegos contra las cuales deben buscarse otros caminos de protección como los ataques desde el interior, ataques que no pasan por el cortafuegos, infección de virus sofisticados, ataques basados en fallos de los programas informáticos y otros ataques completamente novedosos3.

Pasarela proxy de aplicaciones

La idea básica de un servidor proxy es actuar de pasarela (Gateway) entre el cliente y el servidor, trabajando a nivel de aplicación. El proxy espera a una petición del cliente y la reexpide al servidor, lee la respuesta generada por el servidor y la reenvía de vuelta al cliente. Estos cortafuegos funcionan tanto para retransmitir el tráfico para clientes en el exterior que quisieran conectarse con un servidor en el interior de la red protegida, como de clientes internos que se conectan a servicios en el exterior de la red protegida. De esta forma, el cliente y el servidor no se ven uno a otro cara a cara, sino que solamente ven  al proxy, que actúa de intermediario entre ambos, de forma más o menos transparente, gestionando toda su comunicación y creando la ilusión de que el cliente está hablando con el servidor. El proxy, además, puede evaluar las peticiones del cliente o las respuestas del servidor y decidir cuáles acepto o ignora, basándose en la política de seguridad de la organización.

En lugar de disponer de un cortafuegos proxy para todas las aplicaciones, se suelen utilizar proxies dedicados, especializados en un protocolo determinado, como correo o Web.

Redes privadas virtuales

Una red privada virtual (Virtual Private Network o VPN) es un túnel o canal seguro a través de Internet u otras redes públicas. El contenido de la conexión a través de Internet se realiza mediante encriptación, de manera que sus datos quedan inaccesibles para el público, pero no para la red privada a la que se conecta. Las VPN se suelen utilizar para conectar dos redes locales a través de una red insegura como Internet. Gracias a la VPN, el ordenador remoto se conecta a la otra LAN como si estuviera directamente conectado a ella en red local.

Resumen

  • La red constituye el punto de contacto con el exterior, la frontera con el resto del mundo. En un mundo ideal no habría nada que temer pero por desgracia este mundo dista mucho de ese modelo por lo que se deben levantar barreras para salvaguardar nuestra intimidad y propiedad como verjas, cerraduras de seguridad e instalación de alarmas que detectan la presencia de intrusos.
  • En las redes informáticas, al igual que sucede con la protección de estructuras físicas, se utilizan recursos de control de intrusos de tipo perimetral basados en el empleo de cortafuegos y routers.
  • La defensa perimetral es muy importante pero no la única barrera de seguridad.
  • La seguridad de los sistemas informáticos depende en gran medida de las conexiones con el exterior que este posee.
  • La protección de un sistema aislado requiere la instalación de controles físicos de acceso para garantizar que solo el personal autorizado lo hace correctamente. En la actualidad, los sistemas informáticos están interconectados a redes de ordenadores mediante las cuales los administradores pueden acceder a sus servicios, pero también los intrusos tienen en teoría la posibilidad de realizar atacarlos a miles de kilómetros de distancia.
  • La conexión a la red abre un abanico de amenazas que se van incrementado si las redes son públicas, inalámbricas…
  • En definitiva, se podrían resumir diciendo que a igual de contramedidas, cuanta ma- yor exposición, mayor riesgo.
  • Las amenazas se ciernes sobre los accesos a los sistemas informáticos y en el flujo de las redes interiores alámbricas e inalámbricas por lo que resulta imprescindible dotas a estas de protecciones como los cortafuegos y proxys o redes virtuales internas.
Continue Reading

Cursos

Infraestructura de clave pública: Certificados Digitales –Director y Jefe de Seguridad Privada

Infraestructura de clave pública: Certificados Digitales –Director y Jefe de Seguridad Privad

Published

on

Photo: fjcastro


Objetivos

  • Esta unidad tiene como objetivo explicar cuáles son los fundamentos de la infraes- tructura de clave pública como conjunto de protocolos, servicios y estándares que soportan aplicaciones basadas en criptografía de clave pública.
  • Para ello, se realiza una descripción de los principales términos técnicos que la cons- truyen de acuerdo con el marco legal que lo regula, especialmente la Ley de Firma Electrónica.
  • Se incide en la importancia que tiene conocer la tecnología que ocupa la encriptación de las comunicaciones digitales a través del mecanismo de certificación digital y la firma electrónica que permite garantizar la seguridad en las comunicaciones y la identidad de los usuarios, permitiendo la comprobación de la procedencia y asegu- rando la integridad de los mensajes intercambiados a través de la red.
  • Se detallan los diferentes aspectos relacionados con los certificados electrónicos ex- pedidos por un prestador de servicios de certificación que cumpla los requisitos es- tablecidos en la ley lo que permite comprobar la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
  • Se describen los diferentes tipos de certificados existentes según diversos criterios su validez como factor esencial ya que se debe conocer si se puede confiar o no en que el destinatario de un mensaje será o no realmente el que esperamos.
  • Así mismo se explica el concepto de Tercera Parte Confiable como aspecto funda- mental en cualquier entorno de clave pública y el de Autoridad de Certificación, como tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real.
  • Se describe el concepto de firma electrónica como conjunto de datos relativos a una persona consignados en forma electrónica, y que junto a otros asociados con ellos, pueden ser utilizados como medio de identificación del firmante, teniendo el mismo valor que la firma manuscrita.

Introducción

Como se sabe, el avance de las nuevas tecnologías de la información y de las co- municaciones ha generado un significativo cambio de las relaciones entre los individuos y las organizaciones a nivel global. Esta evolución tecnológica ha abierto un amplísimo abanico de posibilidades tanto para ciudadanos como para empresas que han visto incre- mentar sus posibilidades de mercado antes impensables.

En España, también las Administraciones han apostado por Internet como vía de co- municación, haciendo accesible a los ciudadanos aún más los servicios que puede prestar. Estas iniciativas han sido eficazmente aceptadas lo que ha generado que se utilicen cada vez más los servicios en red.

Por esta razón, resultaba imprescindible dotar de mayor seguridad a estas las comu- nicaciones a través de Internet.

Esta seguridad se expresa en términos de confidencialidad (sólo se muestran los datos o páginas al usuario autorizado a ello), integridad (nos aseguramos de que los mensajes intercambiados llegan a su destinatario sin modificaciones) no repudio (que el emisor o el receptor no se puede desdecir del propio mensaje).

Para ello, surgen los certificados electrónicos y la firma electrónica. Estos instru- mentos son capaces de garantizar la seguridad en las comunicaciones y la identidad de los usuarios, permitiendo la comprobación de la procedencia y asegurando la integridad de los mensajes intercambiados a través de la red.

Con la ayuda de los certificados electrónicos se puede realizar la protección de la in- formación mediante un cifrado o transformación criptográfica (ocultamiento o enmasca- ramiento de la información de forma que no sea legible sin realizar la operación inversa) de los mensajes, haciendo su contenido ilegible salvo para el destinatario.

Con estos certificados electrónicos y aplicando un algoritmo de firma electrónica, obtenemos de un texto, una secuencia de datos que permiten asegurar que el titular de ese certificado ha “firmado electrónicamente” el texto y que éste no ha sido modificado.

Las claves criptográficas (conjunto de datos o información manejada y gestionada por el usuario para realizar operaciones criptográficas) posibilitan estas operaciones se generan en el momento de la solicitud del certificado y quedan unidas inequívocamente al titular de las mismas.

.                                                                                                                                                         

3.1. Infraestructura de clave pública:

certificados digitales. Requisitos de confidencialidad, integridad y disponibilidad

  • Infraestructura de clave pública

El modelo de confianza basado en Terceras Partes Confiables es la base de la defi- nición de las Infraestructuras de Clave Pública (ICPs o PKIs, Public Key Infrastructures).

Una Infraestructura de Clave Pública es un conjunto de protocolos, servicios y están- dares que soportan aplicaciones basadas en criptografía de clave pública.

Algunos de los servicios ofrecidos por una ICP son los siguientes:

  • Registro de claves: emisión de un nuevo certificado para una clave pública.
  • Revocación de certificados: cancelación de un certificado previamente emitido.
  • Selección de claves: publicación de la clave pública de los usuarios.
  • Evaluación de la confianza: determinación sobre si un certificado es válido y qué operaciones están permitidas para dicho certificado.
  • Recuperación de claves: posibilitación de recuperar las claves de un usuario.

Las ICPs están compuestas por distintas terceras partes en los que todos los demás usuarios de la infraestructura confían, como:

  • Autoridad de Certificación
  • Autoridad de Registro Otras Terceras Partes Confiables como por ejemplo las Autoridades de Fechado Digital.

La eficacia de las operaciones de cifrado y firma digital basadas en criptografía de clave pública sólo está garantizada si se tiene la certeza de que la clave privada de los usuarios sólo es conocida por dichos usuarios y que la pública puede ser dada a conocer a todos los demás usuarios con la seguridad de que no exista confusión entre las claves  públicas de los distintos usuarios.

Para garantizar la unicidad de las claves privadas se suele recurrir a soportes físicos tales como tarjetas inteligentes o tarjetas PCMCIA que garantizan la dificultad de la du- plicación de las claves. Además, las tarjetas criptográficas suelen estar protegidas por un número personal sólo conocido por su propietario.

Por otra parte, para asegurar que una determinada clave pública pertenece a un usua- rio en concreto se utilizan los certificados digitales.

Un certificado digital es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula la identidad de cada usuario con las herramientas de firma electrónica (claves criptográficas), dándole a conocer como firmante en el ámbito telemático.

Un certificado no es otra cosa que un conjunto de datos vinculados entre sí y una identidad, la del titular o firmante, y cuya unión o vínculo viene avalada y garantizada por un prestador de servicios de certificación. Es la herramienta básica para la realización de gestiones desde su propio ordenador sin necesidad de desplazarse.

“1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

2. El firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.1

Los usuarios o firmantes son aquellas personas que detentan la clave privada que corresponde a la clave pública identificada en el certificado. Por lo tanto, la principal fun- ción del certificado es identificar el par de claves con el usuario o firmante, de forma tal que quien pretende verificar una firma digital con la clave pública que surge de un certifi- cado tenga la seguridad que la correspondiente clave privada es detentada por el firmante.

Son certificados reconocidos los certificados electrónicos expedidos por un pres- tador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten2.

El certificado digital contiene, de forma fiable, los datos de verificación de firma del signatario, lo que la ley describe del siguiente modo:

  • Vincula unos datos de verificación de firma a un signatario y confirma la iden- tidad de un signatario.
  • Adicionalmente, además de la clave pública y la identidad de su propietario, un certificado digital puede contener otros atributos para, por ejemplo, concretar el ámbito de utilización de la clave pública, las fechas de inicio y fin de la validez del certificado, etc. El usuario que haga uso del certificado podrá, gracias a los distintos atributos que posee, conocer más detalles sobre las características del mismo.

Los certificados se pueden clasificar de acuerdo con diversos criterios, entre los cua- les tenemos los certificados de clave pública o certificados de atributos; los certificados de autoridad de certificación o de usuario final; y los certificados de firma electrónica o de cifrado.

Con carácter general, un certificado electrónico es, sencillamente, un documento electrónico firmado que garantiza, a las terceras personas que lo reciben o que lo utilizan, una serie de manifestaciones contenidas en el mismo.

En este sentido, el certificado reconocido de clave pública para la identificación y la firma de las personas físicas es el paradigma legal de certificado electrónico, al cual se acaban asimilando los restantes certificados, como sucede en el caso de los certificados de sello electrónico para la actuación automatizada, administrativa o judicial.

Desde la perspectiva de las aplicaciones y de los usuarios de la firma electrónica, este sistema es una infraestructura que ha de existir previamente a trabajar con la firma electrónica, y se denomina “de claves públicas” porque las operaciones de firma y cifra- do requieren como elemento fundamental la publicación y la distribución de las claves públicas de los usuarios de los servicios, que suelen distribuirse en forma de certificados electrónicos de clave pública.

Los integrantes de esta infraestructura pueden ser componentes técnicos o entidades que cumplen un rol o prestan diferentes servicios, incluyendo las llamadas autoridades o entidades de certificación, de registro, de sellos de tiempo y de validación.

Las relaciones que se establecen entre estos sujetos determinan la topología de la in- fraestructura de claves públicas; es decir, la forma y el alcance del sistema de certificación.

Por otra parte, las relaciones internas entre las autoridades de certificación y entre éstas y los usuarios determinan el modelo de confianza de la infraestructura de claves públicas.

El modelo más ampliamente implantado de infraestructura de certificación es el je- rárquico, en el que una autoridad de certificación actúa como principal, o raíz, de una cierta comunidad de usuarios de certificados y debajo de la autoridad de certificación principal, este prestador despliega otras autoridades de certificación intermedias, al obje- to de expedir certificados para diversas comunidades de usuarios.

Una vez definido el concepto de certificado digital se plantea una duda:

¿Cómo confiar si un determinado certificado es válido o si está falsificado?

La validez de un certificado es la confianza en que la clave pública contenida en el certificado pertenece al usuario indicado en el certificado. La validez de este certificado en un entorno de clave pública es esencial ya que se debe conocer si se puede confiar o no en que el destinatario de un mensaje será o no realmente el que esperamos.

La manera en que se puede confiar en el certificado de un usuario con el que nunca hemos tenido ninguna relación previa es mediante la confianza en terceras partes.

La idea consiste en que dos usuarios puedan confiar directamente entre sí, si ambos tienen relación con una tercera parte ya que ésta puede dar fe de la fiabilidad de los dos.

La necesidad de una Tercera Parte Confiable (TPC ó TTP, Trusted Third Party)  es fundamental en cualquier entorno de clave pública de tamaño considerable debido a que es impensable que los usuarios hayan tenido relaciones previas antes de intercambiar información cifrada o firmada.

Además, la mejor forma de permitir la distribución de las claves públicas (o certifi- cados digitales) de los distintos usuarios es que algún agente en quien todos los usuarios confíen se encargue de su publicación en algún repositorio al que todos los usuarios ten- gan acceso.

  • La autoridad de certificación

¿Qué es una Autoridad de Certificación?

Es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real.

Actuaría como una especie de notario electrónico que extiende un certificado de cla- ves el cual está firmado con su propia clave, para así garantizar la autenticidad de dicha información.

Sin embargo ¿quién autoriza a dicha autoridad?, es decir, ¿cómo sé que la autoridad es quién dice ser?, ¿deberá existir una autoridad en la cúspide de la pirámide de autorida- des certificadoras que posibilite la autenticación de las demás?

En USA la ley de Utah sobre firma digital da una importancia fundamental a las Au- toridades Certificantes, definidas como las personas facultadas para emitir certificados. Pueden ser personas físicas o empresas o instituciones públicas o privadas y deberán ob- tener una licencia de la Division of Corporations and Commercial Code.

Están encargadas de mantener los registros directamente en línea (on-line) de claves públicas.

Para evitar que se falsifiquen los certificados, la clave pública de la CA debe ser fia- ble: una CA debe publicar su clave pública o proporcionar un certificado de una autoridad mayor que certifique la validez de su clave. Esta solución da origen a diferentes niveles o jerarquías de CAs.

En cuanto a los Certificados, son registros electrónicos que atestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten verificar que una clave pública pertenece a una determinada persona. Los certificados intentan evitar que alguien utilice una clave falsa haciéndose pasar por otro3.

Un certificado de la Agencia de Certificación Electrónica (en adelante ACE), tanto si es reconocido como si es ordinario, es una estructura informática de datos, un docu- mento electrónico, que contiene los datos de verificación de firma de un signatario, jun- tamente con otras informaciones, en especial la identidad del signatario, documento elec- trónico que es infalsificable, por haber sido firmado por la organización que lo genera; en nuestro caso, ACE, con sus propios datos de creación de firma electrónica.

Con todo, los certificados no contienen todos los datos de verificación de firma de un signatario: los certificados contienen las claves públicas, por lo que se suelen denominar también certificados de clave pública, pero no contienen otros datos de verificación de una firma, como un sello de fecha y hora o determinados atributos necesarios para deter- minar si la firma es legítima, como la existencia de poderes por parte de un administrador de la empresa.

  • La firma electrónica

La firma electrónica es el conjunto de datos relativos a una persona consignados en forma electrónica, y que junto a otros asociados con ellos, pueden ser utilizados como medio de identificación del firmante, teniendo el mismo valor que la firma manuscrita.

Permite que tanto el receptor como el emisor de un contenido puedan identificarse mutuamente con la certeza de que son ellos los que están interactuando. Evita que terceras personas intercepten esos contenidos y que los mismos puedan ser alterados, así como que alguna de las partes pueda “repudiar” la información que recibió de la otra y que inicialmente fue aceptada.

La firma electrónica es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.

La firma electrónica avanzada es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.

Una persona, llamada signatario, firma documentos mediante un dispositivo de crea- ción de firma y unos datos de creación de firma mientras que el destinatario del documen- to firmado debe verificar, mediante un dispositivo de verificación de firma y un certifica- do digital, la firma del signatario4.

De esta forma, el signatario es la persona que cuenta con un dispositivo de creación de firma y que actúa en nombre propio o en el de una persona física o jurídica a la que representa.

Los datos de creación de firma son los datos únicos, como códigos o claves cripto- gráficas privadas, que el signatario utiliza para crear la firma electrónica y los datos de verificación de firma son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.

Los anteriores datos de creación de firma electrónica deben ser empleados por un dispositivo de creación de firma, que posee el signatario. Para que la firma electrónica tenga un valor superior, veremos que el dispositivo de creación de firma debe cumplir determinados requisitos (en ese caso se denomina dispositivo seguro de creación de fir- ma); igualmente, el destinatario de un mensaje firmado debe disponer de un dispositivo de verificación de firma.

Sistemas de encriptación utilizados en la firma digital                                                                                    

Hay dos tipos de encriptación, la encriptación simétrica que obliga a los dos inter- locutores (emisor y receptor) del mensaje a utilizar la misma clave para encriptar y desen- criptar el mismo (como por ejemplo el criptosistema “DES” (desarrollado por IBM, Data Encryption Standard), y la encriptación asimétrica o criptografía de claves públicas la cual está basada en el concepto de pares de claves, de forma tal que cada uno de los ele- mentos del par (una clave) puede encriptar información que solo la otra componente del par (la otra clave) puede desencriptar. El par de claves se asocia con un sólo interlocutor, así un componente del par (la clave privada) solamente es conocida por su propietario mientras que la otra parte del par (la clave pública) se publica ampliamente para que todos la conozcan (en este caso destaca el famoso criptosistema RSA cuyas iniciales son las de sus creadores Rivest, Shamir y Adelman).

Los algoritmos de encriptación asimétrica son 100 veces más lentos que los algo- ritmos de encriptación simétrica. Por ello, los algoritmos actuales encriptan el mensaje mediante claves simétricas y envían la propia clave simétrica dentro del mensaje pero encriptada según algoritmos de claves asimétricas.

¿Cómo se realiza una firma digital?                                                                                                                       

El software del firmante aplica un algoritmo hash unidireccional sobre el texto a fir- mar. Este algoritmo hash o de huella digital obtiene mediante procedimientos matemáti- cos una huella o extracto del documento a firmar, de forma tal que se consigue un extracto de longitud fija, y absolutamente específico para ese mensaje. Un mínimo cambio en el mensaje produciría un extracto completamente diferente, y por tanto no correspondería con el que originalmente firmó el autor.

Los algoritmos hash más utilizados son el MD5 ó SHA-1. El extracto conseguido, cuya longitud oscila entre 128 y 160 bits (según el algoritmo utilizado), se somete des- pués a cifrado mediante la clave secreta del autor.

El algoritmo más utilizado en este procedimiento de encriptación asimétrica es el RSA. De esta forma obtenemos un extracto final cifrado con la clave privada del autor el cual se añadirá al final del texto o mensaje para que se pueda verificar la autoría e in- tegridad del documento por aquella persona interesada que disponga de la clave pública del autor.

¿Cómo se comprueba la validez de la firma digital?                                                                                         

Como he comentado antes es necesario la clave pública del autor para poder verificar la validez del documento o fichero. El procedimiento sería el siguiente:

El software del receptor previa introducción en el mismo de la clave pública del re- mitente (obtenida a través de una autoridad de certificación), descifraría el extracto cifra- do del autor, a continuación calcularía el extracto hash que le correspondería al texto del mensaje, y si el resultado coincide con el extracto anteriormente descifrado se conside- raría válida, en caso contrario significaría que el documento ha sufrido una modificación posterior y por tanto no es válido.

Hasta este momento hemos conseguido la autenticación del documento, su integri- dad y la imposibilidad de repudio del mismo por parte del autor.

A través de otros mecanismos como por ejemplo los que utiliza el SET (Secure Electronic Transfer protocol) se conseguiría obtener los servicios de seguridad que la ISO destaca como primordiales para la seguridad en las redes telemáticas.

Sin embargo existe un punto débil que ya he destacado anteriormente. Si todos estos medios de seguridad están utilizando el procedimiento de encriptación asimétrico, habrá que garantizar tanto al emisor como al receptor la autenticación de las partes, es decir que estas son quienes dicen ser, y sólo a través de autoridad de certificación (CA Certification Authority) podrá corregirse dicho error, certificando e identificando a una persona con una determinada clave pública.

Estas autoridades, como se ha comentado, emiten certificados de claves públicas de los usuarios firmando con su clave secreta un documento, valido por un período deter- minado de tiempo, que asocia el nombre distintivo de un usuario con su clave pública5.

En principio, no se necesita un certificado para crear una firma, porque un certificado no es un dispositivo de creación de firma; un certificado tampoco es un dato de creación de firma, ni lo contiene.

¿Cuál es, entonces, la relación entre firma electrónica y certificado?                                                        

El certificado es un elemento que permite al destinatario (D) de un mensaje cono- cer, de forma fiable el mensaje firmado por el emisor (E) de un mensaje, comprobar que efectivamente (E) posee los datos de creación de firma necesarios para crear la firma electrónica.

Para entender mejor la relación existente entre firma electrónica y certificado, ofre- cemos los siguientes pasos:

  1. E posee los datos de creación de firma (DatosCF) y un dispositivo de creación de firma (DispCF)
  2. E genera un mensaje M, y una firma F para el mensaje M.
  3. E envía a D el mensaje M y la firma F.
  4. D posee un dispositivo de verificación de firma [DispVF]
  5. D recibe el mensaje M y la firma F.
  6. Para poder verificar la firma F, D precisa DatosVF de E.
  7. D emplea el certificado de E para conocer DatosVF de E.
  8. D emplea el DispVF y los DatosVF para comprobar que la firma F de E, en relación con el mensaje M, es correcta.

Es decir, sin la existencia del certificado, el destinatario de un mensaje firmado nun- ca podría comprobar de forma fiable la firma de ese mensaje, por lo que no podría operar con la mínima seguridad mercantil en Internet u otras redes abiertas.

Para obtener un certificado de firma electrónica y si se trata de una persona física, es imprescindible contar con un ordenador que tenga acceso a Internet, acceder a la pá- gina https://www.sede.fnmt.gob.es/ y seguir los tres pasos que se indican a continuación:

  1. Consideraciones previas y configuración del navegador.
  2. Solicitud del certificado.
  3. Acreditación de la identidad mediante personación física en una oficina de registro.
  4. Descarga del certificado desde Internet6.
Reconocimiento legal de la firma electrónica                                                                                                     

La firma electrónica se encuentra reconocida en España desde la aprobación del RDL, 14/1999, de 17 de septiembre, sobre firma electrónica, publicado en el Boletín Oficial del Estado del 18 de septiembre, derogada por Ley 59/2003, de 19 de diciembre, de firma electrónica, publicado: (BOE, núm. 304, 20 de Diciembre de 2003).

Resumen

  • El avance de las nuevas tecnologías de la información y de las comunicaciones ha generado un significativo cambio de las relaciones entre los individuos y las organi- zaciones a nivel global.
  • Por esta razón, resultaba imprescindible dotar de mayor seguridad a estas las comu- nicaciones a través de Internet.
  • Esta seguridad se expresa en términos de confidencialidad (sólo se muestran los datos o páginas al usuario autorizado a ello), integridad (nos aseguramos de que los mensajes intercambiados llegan a su destinatario sin modificaciones) no repudio (que el emisor o el receptor no se puede desdecir del propio mensaje).
  • Los certificados electrónicos y la firma electrónica son capaces de garantizar la segu- ridad en las comunicaciones y la identidad de los usuarios, permitiendo la compro- bación de la procedencia y asegurando la integridad de los mensajes intercambiados a través de la red.
  • Con estos certificados electrónicos y aplicando un algoritmo de firma electrónica, obtenemos de un texto, una secuencia de datos que permiten asegurar que el titu- lar de ese certificado ha “firmado electrónicamente” el texto y que éste no ha sido modificado.
  • Las claves criptográficas (conjunto de datos o información manejada y gestionada por el usuario para realizar operaciones criptográficas) posibilitan estas operaciones se generan en el momento de la solicitud del certificado y quedan unidas inequívo- camente al titular de las mismas.
  • Una Infraestructura de Clave Pública es un conjunto de protocolos, servicios y están- dares que soportan aplicaciones basadas en criptografía de clave pública.
  • Un certificado electrónico es un documento firmado electrónicamente por un presta- dor de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
  • El firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.
  • Son certificados reconocidos los certificados electrónicos expedidos por un presta- dor de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
  • Los certificados se pueden clasificar de acuerdo con diversos criterios, entre los cua- les tenemos los certificados de clave pública o certificados de atributos; los certi- ficados de autoridad de certificación o de usuario final; y los certificados de firma electrónica o de cifrado.
  • La validez de un certificado es la confianza en que la clave pública contenida en el certificado pertenece al usuario indicado en el certificado.
  • La validez de este certificado en un entorno de clave pública es esencial ya que se debe conocer si se puede confiar o no en que el destinatario de un mensaje será o no realmente el que esperamos.
  • La necesidad de una Tercera Parte Confiable (TPC ó TTP, Trusted Third Party) es fundamental en cualquier entorno de clave pública de tamaño considerable debido  a que es impensable que los usuarios hayan tenido relaciones previas antes de inter- cambiar información cifrada o firmada.
  • La Autoridad de Certificación es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real.
  • La firma electrónica es el conjunto de datos relativos a una persona consignados   en forma electrónica, y que junto a otros asociados con ellos, pueden ser utilizados como medio de identificación del firmante, teniendo el mismo valor que la firma manuscrita.
  • Hay dos tipos de encriptación, la encriptación simétrica que obliga a los dos inter- locutores (emisor y receptor) del mensaje a utilizar la misma clave para encriptar y desencriptar el mismo (como por ejemplo el criptosistema “DES” y la encriptación asimétrica o criptografía de claves públicas la cual está basada en el concepto de pares de claves, de forma tal que cada uno de los elementos del par (una clave) pue- de encriptar información que solo la otra componente del par (la otra clave) puede desencriptar.
Continue Reading

Cursos

Criptografía Simétrica y Asimétrica Seguridad Lógica –Director y Jefe de Seguridad Privada

Criptografía Simétrica y Asimétrica Seguridad Lógica –Director y Jefe de Seguridad Privada

Published

on

Photo: fjcastro

Objetivos

  • La principal finalidad de esta unidad es introducir al lector en aspectos relacionados con la protección de la seguridad de los mensajes que circulan por la red a través de los diferentes sistemas criptográficos.
  • Para ello se imparten nociones básicas del concepto técnico de la criptografía con métodos históricos y rudimentarios y describir como evolucionaron a lo largo de la historia.
  • Se describirán los dos sistemas más empleados en la actualidad, los sistemas de clave simétrica y asimétrica detallando el proceso de emisión y recepción mediante claves privadas y públicas.
  • Se describirán los principales problemas de seguridad que resuelve la criptografía son: la privacidad, la integridad, la autenticación y el no rechazo y como se pueden proteger mediante estos sistemas de cifrado.
  • Para solucionar los problemas de lentitud de emisión de los mensajes con clave asi- métrica se describirán como se puede solventar mediante un algoritmo de clave pú- blica junto a uno de clave asimétrica.

Introducción

Los activos de información se encuentran expuestos a innumerables peligros: reve- lación o robo de datos sensibles, manipulación y alteración de documentos y transaccio- nes, interrupción en el acceso a los mismos o su total destrucción por causas naturales o humanas.

El objetivo de la confidencialidad consiste en garantizar que los datos, objetos y recursos solamente pueden ser leídos por sus destinatarios legítimos. Los datos o bien se encuentran almacenados en algún tipo de soporte físico (memoria, disco duro, disquete, etc.) o bien se encuentran en tránsito entre dos equipos a través de una red de comunica- ciones. Ambos estados de los datos, objetos y recursos requieren controles de seguridad únicos y específicos.

Los tres principios fundamentales de la gestión de la seguridad, a saber confidencia- lidad, integridad y disponibilidad, denominados a menudo la triada CID (Confidentiality, Integrity, Availability o CIA en inglés), tienen como objetivo implantar los mecanismos necesarios para salvaguardar la información frente a todo tipo de ataques y amenazas. Todo sistema de seguridad deberá por tanto garantizar los tres principios del CID:

Confidencialidad: La información debe ser accesible únicamente a las personas autorizadas.

Integridad: La información debe mantenerse completa (íntegra) y libre de manipula- ciones fortuitas o deliberadas, de manera que siempre se pueda confiar en ella.

Disponibilidad: La información debe ser accesible siempre que se la necesite, duran- te todo el tiempo que haga falta.

Para salvaguardar estos principios se suele emplear el cifrado de datos que garantiza que la información no sea inteligible para individuos, entidades o procesos no autoriza- dos. Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado.

Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son muy rápi- dos, resultando apropiados para funciones de cifrado de grandes volúmenes de datos o de información en tiempo presente, como transmisión de vídeo o voz. Los algoritmos de clave secreta más utilizados son DES, Triple DES, RC4, RC5 y AES. Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, deber ser conocida por todos.

El sistema tiene la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para las funciones de autenticación, distri- bución de claves y firmas digitales.

SEGURIDAD LÓGICA

2.1. Criptografía simétrica

y asimétrica

  • Seguridad lógica

Para comprender correctamente conceptos como firma electrónica y certificado di- gital es necesario partir de los conceptos más básicos sobre criptografía. A lo largo de la historia siempre ha habido necesidad de proteger la información. Así, la criptografía tiene su origen durante el Imperio Romano, en la época del Emperador Julio César. César utili- zó un esquema criptográfico simple pero efectivo para comunicarse con sus generales. El esquema de César consistía en desplazar cada letra del alfabeto un número determinado de posiciones. Por ejemplo, la letra “A” podría ser codificada como “M”, la “B” como “N”, la “C” como “O” … así sucesivamente. En este caso, el número que se sumaría a cada letra para realizar la codificación sería el 13.

Así pues, el mensaje “ATAQUEN HOY AL ENEMIGO” podría transformarse en “MFMCGQZ TAK MX QZQYUSA”, sin poder ser reconocido por el enemigo.

El método de cifrado introducido por Julio César introduce el concepto de “clave criptográfica”. El “desplazamiento de 13 letras” es la clave que se utiliza por César para cifrar el mensaje, necesitándose la misma clave para descifrarlo. El ejemplo de César muestra un criptosistema de clave simétrica en el que se utiliza la misma clave para cifrar y descifrar el mensaje.

Por supuesto hoy en día los sistemas criptográficos que se emplean en Internet son mucho más complicados, aunque la base es la misma.

A continuación veremos su aplicación al mundo de las telecomunicaciones.

FORMACIÓN ABIERTA

  • El cifrado digital

El concepto de cifrado es muy sencillo: dado un mensaje en claro, es decir, mensaje reconocible, al que se le aplique un algoritmo de cifrado, se generará como resultado un mensaje cifrado que sólo podrá ser descifrado por aquellos que conozcan el algoritmo utilizado y la clave que se ha empleado.

Dentro del cifrado digital encontramos dos opciones básicas: el cifrado de clave simé- trica y el de clave asimétrica. Vamos a ver a continuación en qué consiste cada uno de ellos.

La palabra criptografía proviene del griego kryptos, que significa esconder y grá- phein, escribir, es decir, escritura escondida. La criptografía, como se aprecia, ha sido usada a través de los años para mandar mensajes confidenciales cuyo propósito es que sólo las personas autorizadas puedan entender el mensaje.

Alguien que quiere mandar información confidencial aplica técnicas criptográficas para poder “esconder” o encriptar el mensaje por lo que lo remite a través de una línea de comunicación que se supone insegura y después solo el receptor autorizado pueda leer el mensaje “escondido” desencriptándolo.

Desde sus inicios la criptografía llegó a ser una herramienta muy usada en el ambien- te militar, por ejemplo en la segunda gran guerra tuvo un papel determinante, una de las máquinas de cifrado que tuvo gran popularidad se llamó “Enigma”.

Al terminar la guerra las agencias de seguridad de las grandes potencias invirtieron muchos recursos para su investigación. La criptografía actual se inicia en la segunda mi- tad de la década de los años 70.

No es hasta la invención del sistema conocido como DES (Data Encryption Stan- dard) en 1976 cuando se utiliza en áreas comerciales e industriales. Posteriormente con el sistema RSA (Rivest, Shamir, Adleman) en 1978, se abre un gran rango de aplicaciones en las comunicaciones militares, telefonía, televisión, etc.

La criptografía se divide en dos grandes ramas, la criptografía de clave privada o simétrica y la criptografía de clave pública o asimétrica, DES y RSA, respectivamente.

SEGURIDAD LÓGICA

Para poder entender algo la criptografía, es tiempo de plantear que tipo de problemas resuelve ésta. Los principales problemas de seguridad que resuelve la criptografía son: la privacidad, la integridad, la autenticación y el no rechazo.

La privacidad, se refiere al hecho de que la información sólo pueda ser leída por personas autorizadas. Se pretende, con ello, garantizar que la comunicación se mantenga privada sin interceptaciones ilícitas. Así, si mantenemos una conversación telefónica o enviamos una carta, esta comunicación se debe conservar privada sin interceptaciones ilícitas.

Por lo tanto al cifrar (esconder) la información cualquier intercepción no autorizada no podrá desvelar la información. Esto se consigue mediante técnicas criptográficas, en particular la privacidad se logra si se cifra el mensaje con un método simétrico.

La integridad, se vincula a que la información no pueda ser alterada en el transcurso de ser enviada. Por ejemplo, si adquirimos un billete de avión y los datos de configura- ción del vuelo son alterados afectará al plan de viaje. Si realizamos un ingreso bancario y la cifra es manipulada se producirá un desfase contable que afectará al cliente y al banco. La integridad es un concepto básico en las comunicaciones electrónicas especialmente en Internet.

La integridad también se puede solucionar con técnicas criptográficas particular- mente con procesos simétricos o asimétricos.

La autenticidad, permite que se pueda confirmar que el mensaje recibido ha sido enviado por quien dice que lo remitió o que el mensaje recibido es el que se esperaba de su origen.

Ejemplo, cuando pretendemos cobrar un cheque nominativo en una oficina bancaria el beneficiario debe someterse a un proceso de verificación de identidad a fin de compro- bar que en efecto es la persona quien dice ser mediante la verificación documental de este a través su documento de identidad y comprobación de su fotografía.

Como sabemos a través de Internet es muy fácil engañar a una persona con quien se tiene comunicación respecto a la identidad, resolver este problema es por lo tanto muy importante para efectuar comunicación confiable.

Las técnicas necesarias para poder verificar la autenticidad tanto de personas como de mensajes se emplea la firma digital que de algún modo ésta reemplaza a la firma au- tógrafa que se usa comúnmente. Para autenticar mensajes se usa criptografía simétrica.

El no rechazo, se refiere a que no se pueda negar la autoría de un mensaje enviado. Cuando se diseña un sistema de seguridad, una gran cantidad de problemas pueden ser evitados si se puede comprobar la autenticidad, garantizar privacidad, asegurar integridad y el no rechazo de un mensaje.

FORMACIÓN ABIERTA

La criptografía simétrica y asimétrica conjuntamente con otras técnicas, como el buen manejo de las claves y la legislación adecuada resuelven satisfactoriamente los an- teriormente problemas planteados, como lo veremos en los capítulos posteriores1.

  • Criptografía de clave simétrica

Mediante esta técnica se emplea una sola clave para cifrar y descifrar el mensaje.

Este sería el caso que acabamos de ver con Julio César.

Proceso                                                                                                                                                                            

Ana ha escrito un mensaje para Bernardo pero quiere asegurarse de que nadie más que él lo lee. Por esta razón ha decidido cifrarlo con una clave. Para que Bernardo pueda descifrar el mensaje, Ana deberá comunicarle dicha clave.

Bernardo recibe el mensaje y la clave y realiza el descifrado.

El beneficio más importante de las criptografía de clave simétrica es su velocidad lo cual hace que éste tipo de algoritmos sean los más apropiados para el cifrado de grandes cantidades de datos.

El problema que presenta la criptografía de clave simétrica es la necesidad de dis- tribuir la clave que se emplea para el cifrado por lo que si alguien consigue hacerse tanto con el mensaje como con la clave utilizada, podrá descifrarlo2.

La criptografía simétrica se refiere al conjunto de métodos que permiten tener comu- nicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado

SEGURIDAD LÓGICA

la clave correspondiente que llamaremos clave simétrica. La simetría se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar.

Este tipo de criptografía se conoce también como criptografía de clave privada o criptografía de llave privada.

La criptografía simétrica ha sido la más usada en toda la historia, ésta ha podido ser implementada en diferente dispositivos, manuales, mecánicos, eléctricos, hasta los algo- ritmos actuales que son programables en cualquier computadora. La idea general es apli- car diferentes funciones al mensaje que se quiere cifrar de tal modo que solo conociendo una clave pueda aplicarse de forma inversa para poder así descifrar.

Aunque no existe un tipo de diseño estándar, quizá el más popular es el de Fiestel, que consiste esencialmente en aplicar un número finito de interacciones de cierta forma, que finalmente da como resultado el mensaje cifrado. Este es el caso del sistema cripto- gráfico simétrico más conocido, DES.

DES es un sistema criptográfico que toma como entrada un bloque de 64 bits del mensaje. En la actualidad no se ha podido romper el sistema DES desde la perspectiva de poder deducir la clave simétrica a partir de la información interceptada, sin embargo con un método a fuerza bruta, es decir probando alrededor de 256 posibles claves, se pudo romper DES en el año 1999.

Lo anterior quiere decir que, es posible obtener la clave del sistema DES en un tiem- po relativamente corto, por lo que lo hace inseguro para propósitos de alta seguridad. La opción que se ha tomado para poder suplantar a DES ha sido emplear lo que se conoce como cifrado múltiple, es decir aplicar varias veces el mismo algoritmo para fortalecer la longitud de la clave. Esta nueva forma de cifrado se conoce actualmente como tri- ple-DES o TDES.

Este sistema TDES usa entonces una clave de 168 bits, aunque se ha podido mostrar que los ataques actualmente pueden romper a TDES con una complejidad de 2112, es decir efectuar al menos 2112 operaciones para obtener la clave a fuerza bruta.

Podemos afirmar que el estado actual de la criptografía simétrica consiste en la bús- queda de un nuevo sistema que pueda reemplazar a DES en la mayor parte de aplicacio- nes. Por esta razón se plantea el uso de un sistema criptográfico basado en claves asimé- tricas, como veremos a continuación3.

FORMACIÓN ABIERTA

Funciones hash                                                                                                                                                             

Una herramienta fundamental en la criptografía, son las funciones hash. Son usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen.

Una función hash es también ampliamente usada para la firma digital, ya que los documentos a firmar son en general demasiado grandes. La función hash les asocia una cadena de longitud 160 bits que los hace más manejables para el propósito de firma digi- tal. De alguna forma lo que se hace es tomar el mensaje partirlo en pedazos de longitud constante y combinar de alguna forma pedazo por pedazo hasta obtener un solo mensaje de longitud fija.

  • Criptografía de clave asimétrica

En este caso, cada usuario del sistema criptográfico ha de poseer una pareja de claves:

Clave privada: Que debe ser custodiada por su propietario y no se dará a conocer a ningún otro.

Clave pública: Que debe ser conocida por todos los usuarios.

Esta pareja de claves es complementaria de forma que lo que cifra una solo lo puede descifrar la otra y viceversa. Estas claves se obtienen mediante métodos matemáticos complicados lo que dificulta enormemente conocer una clave a partir de la otra.

Proceso                                                                                                                                                                            

Ana y Bernardo tienen sus pares de claves respectivas: una clave privada que sólo ha de conocer el propietario de la misma y una clave pública que está disponible para todos los usuarios del sistema.

Ana escribe un mensaje a Bernardo y quiere que sólo él pueda leerlo. Por esta razón

                 lo cifra con la clave pública de este que al ser pública es accesible a todos los usuarios.

SEGURIDAD LÓGICA

Se efectúa el envío del mensaje cifrado que no requiere el envío de la clave. De esta forma solo Bernardo, el destinatario del correo, puede descifrar el mensaje enviado por Ana ya que sólo él conoce la clave privada correspondiente.

Al no tener que remitir la clave el sistema se hace más seguro. El inconveniente se centra en la lentitud del proceso. Para solventarlo el procedimiento que suele seguirse para realizar el cifrado de un mensaje es utilizar un algoritmo de clave pública junto a uno de clave simétrica.

La criptografía asimétrica es por definición aquella que utiliza dos claves diferentes para cada usuario, una para cifrar que se le llama clave pública y otra para descifrar que es la clave privada. El nacimiento de la criptografía asimétrica se dio al estar buscando un modo más práctico de intercambiar las llaves simétricas.

Diffie y Hellman, proponen una forma para hacer esto, sin embargo no fue hasta que el popular método de Rivest Shamir y Adleman RSA publicado en 1978, cuando toma forma la criptografía asimétrica. Actualmente la Criptografía asimétrica es muy utilizada; sus dos principales aplicaciones se basan en el intercambio de claves privadas y la firma digital.

La firma digital se puede definir como una cadena de caracteres que se agrega a un archivo digital que hace el mismo papel que la firma convencional que se escribe en un documento de papel ordinario.

En la actualidad la criptografía asimétrica o de clave pública se divide en tres fami- lias según el problema matemático en el cual basan su seguridad. Una de las más conoci- das es el RSA antes mencionada.

FORMACIÓN ABIERTA

  • Cifrado de clave pública

El uso de claves asimétricas ralentiza el proceso de cifrado. Para solventar dicho inconveniente, el procedimiento que suele seguirse para realizar el cifrado de un mensaje es utilizar un algoritmo de clave pública junto a uno de clave simétrica. A continuación veremos cómo se produce el cifrado de un mensaje, mediante el cual obtenemos plena garantía de confidencialidad.

Proceso                                                                                                                                                                            

Ana y Bernardo tienen sus pares de claves respectivas. Ana escribe un mensaje a Bernardo que cifra con el sistema de criptografía de clave simétrica. Esta clave se deno- mina clave de sesión y se genera aleatoriamente. Para enviar la clave de sesión de forma segura, esta se cifra con la clave pública de Bernardo, utilizando por lo tanto criptografía de clave asimétrica.

Bernardo, destinatario del mensaje, lo recibe cifrado con la clave de sesión y esta misma cifrada con su clave pública. Para poderlo descifrar, realiza el proceso inverso, en primer lugar utiliza su clave privada para descifrar la clave de sesión. Así, una vez ha obtenido la clave de sesión, ya puede descifrar el mensaje. Con este sistema conseguimos:

Confidencialidad: Ya que solo podrá leer el mensaje el destinatario del mismo.

Integridad: Que garantiza que el mensaje no podrá ser modificado.

36

Resumen

  • Los activos de información se encuentran expuestos a innumerables peligros.
  • El objetivo de la confidencialidad consiste en garantizar que los datos, objetos y re- cursos solamente pueden ser leídos por sus destinatarios legítimos.
  • Los tres principios fundamentales de la gestión de la seguridad, a saber confidencia- lidad, integridad y disponibilidad.
  • Para salvaguardar estos principios se suele emplear el cifrado de datos que garan- tiza que la información no sea inteligible para individuos, entidades o procesos no autorizados.
  • Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta.
  • Cuando se utiliza una pareja de claves para separar los procesos de cifrado y desci- frado, se dice que el criptosistema es asimétrico o de clave pública.
  • Los criptosistemas de clave pública, aunque más lentos que los simétricos, resul- tan adecuados para las funciones de autenticación, distribución de claves y firmas digitales.
Continue Reading
Advertisement

Mas vistos