¿Cuáles son los pilares fundamentales de la Seguridad?

Es la garantía de seguridad por la que un individuo, entidad o sitio Web, es quien dice ser mediante algo que sólo él sabe (una contraseña), algo que sólo él tiene (un teléfono móvil) o algo que le identifica inequívocamente (lectura biométrica), En el contexto de una aplicación Web, la autenticación, es realizada comúnmente mediante el envío de un nombre o ID de usuario junto con la información privada que le identifica, procesada en la parte servidora con todas las garantías de seguridad y confidencialidad. 

Es la garantía de seguridad por la que un individuo, entidad o sitio Web, tiene permiso suficiente para acceder a cierto contenido o recurso, con el privilegios de operación que le fue asignado sobre dicho activo. Adicionalmente puede exigírsele una prueba adicional de autenticación, mediante un mecanismo alternativo (como 2FA) en aquellos accesos a recursos confidenciales o privados, especialmente si se encuentran alojados en servidores públicos.  A veces, pueden establecerse ventanas temporales de acceso a recursos sensibles para que pueda garantizarse la monitorización personal de dicho acceso. Toda la política de autorización de accesos y operaciones sobre los recursos se aplican sobre los llamados "roles", que son entidades genéricas sin autenticación pero con autorización sobre los recursos. Y son los usuarios, al tener asignados "roles", lo que les permite tener autorización sobre los recursos de la aplicación de forma controlada, organizada y segura.    

Es una garantía adicional de seguridad por la que la información sensible que sea mostrada o almacenada va a ser protegida contra aquellos accesos que puedan violar la política de autenticación y autorización. Los métodos de protección consisten en la anonimización, ofuscación y cifrado.  Mediante la anonimización eliminamos las referencias directas a datos confidenciales. Con la ofuscación sólo mostramos o guardamos la parte estrictamente necesaria del dato sensible. Y mediante el cifrado transformamos la información con el fin de protegerla de miradas ajenas. Al aplicar cifrado, un mensaje se altera hasta volverse irreconocible o incomprensible, pero la información no se pierde, sino que puede recuperarse más adelante.

Es la garantía de seguridad en la exactitud y coherencia de los datos almacenados, evidenciada por la ausencia de alteraciones en los mismos.

Se debe garantizar la integridad de los datos tratados por la aplicación, garantizando que dichos datos no han sido alterados desde el origen al destino por un usuario malicioso.

Los mecanismos que mantienen la integridad de los datos enviados por el emisor son:

• Hashing

• Firma digital

• Firma simétrica

Es la garantía de seguridad por la que las entidades o procesos autorizados tienen acceso a los activos en el momento de ser requeridos. Los servicios de información tienen que garantizar su disposición a ser usados cuando sea necesario, en cualquier momento.

La disponibilidad concierne a la protección de los recursos y las capacidades necesarias de los servicios de información. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.

Es la garantía que asegura que en todo momento se podrá determinar quién hizo qué y en qué momento. La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y aprender de la experiencia. La trazabilidad se materializa en la integridad de los registros de actividad.

También conocida como seguimiento de comprobación de la actividad del sistema. Permite a las empresas responder a cualquier consulta o reclamación, reconciliar cuentas, planificar presupuestos futuros en base a información histórica, permitir auditorías fiscales en base a registro de ventas e incluso investigar delitos informáticos.

Esta dimensión también afecta a requisitos de cumplimiento y aspectos como el “No repudio”.