La seguretat de la informació als sistemes informàtics

Més enllà dels aspectes tècnics i organitzatius d’Internet, trobem un dels elements més valuosos que tenim en la societat actual: la informació. Sense ella, Internet seria simplement una xarxa de comunicacions. Per tant, la seguretat de la informació és de vital importància per a les organitzacions.

Però qui gestiona la informació que es publica a Internet? Qui estableix què s’hi pot publicar i què no? Qui estableix els paràmetres de seguretat? Per a contestar estes preguntes hem de tindre en compte que Internet es va concebre com a una xarxa lliure on, a priori, qualsevol pot publicar el que desitge. Este ha sigut un dels seus pilars fonamentals des dels seus inicis. Però la seguretat cobra, cada vegada, major importància.

El frau a Internet es basa en la utilització maliciosa de tres elements sobre els quals es construeix l’engany. La presència d’estos elements varia segons el tipus de frau, i s’utilitzen de manera complementària per vulnerar la seguretat de la informació.

1.- L’enginyeria social és l'eina més utilitzada per dur a terme qualsevol classe d’estafa i frau sobre els usuaris més confiats a través de l’engany. Estes tècniques consisteixen a utilitzar un reclam per atraure l'atenció de l'usuari i aconseguir que actue de la forma desitjada, com per exemple convencent-lo de la necessitat de reenviar un correu a la seua llista d'adreces, que obri un arxiu que acaba de rebre, el qual conté un codi maliciós, o que, com passa en el phishing, proporcione els seus codis i claus bancàries en una determinada pàgina web.

Per tal de captar l’atenció de l’usuari que rep el correu, s’utilitzen referències a temes d’actualitat, noms de personatges famosos, denúncies d’injustícies, catàstrofes humanitàries o dates significatives com per exemple el Nadal. A més, els estafadors adverteixen de conseqüències negatives per a l’usuari si no segueixen les seues indicacions.

2.- El correu massiu i no desitjat, conegut com a spam, constitueix el millor i més barat mecanisme de difusió de qualsevol informació i, per tant, de qualsevol intent de frau i amenaça contra la seguretat.

3.- El malware, virus, cucs, troians, keyloggers, capturadors de pantalla, etc. dissenyats específicament per realitzar operacions fraudulentes, intercepten les dades que l’usuari intercanvia amb una determinada entitat o les pulsacions del seu teclat.

Les amenaces de seguretat contra les infraestructures TIC són:

• Software malintencionat: virus dissenyats per infectar ràpidament sistemes de còmput a tot el món mitjançant Internet, el correu electrònic i missatges instantanis.
• Correu electrònic no desitjat: bústies inundades amb correus electrònics no sol·licitats que bloquegen els recursos de la xarxa i sobrecarreguen les safates d’entrada del correu electrònic. L’spam representa una amenaça per a la productivitat empresarial, a més de convertir-se en un transport comú per a codis maliciosos.
• Accés no autoritzat a la xarxa: els procediments i les polítiques de seguretat que són adequats per a protegir les dades poden ser inefectius quan la xarxa s'obri a estranys per a missatges i col·laboració.
• Accés no autoritzat a les dades: els negocis estan cada volta més preocupats per la informació confidencial que es filtra fora del negoci a través de la infraestructura de missatges i col·laboració. Amb la incorporació dels servicis al núvol, este tipus d’amenaces es converteix en prioritària.

Els servicis o les infraestructures de comunicacions han cobrat enorme importància, fins al punt que l’ordinador ha passat a un segon pla i s’ha convertit en un element més que forma part de tota la infraestructura que utilitzem habitualment.

La seguretat TIC porta associada aspectes no només tècnics, sinó també organitzatius i jurídics. La seguretat TIC té en compte lleis i normes que estableixen criteris i mesures de seguretat no només des d'un punt de vista tècnic, sinó també des del punt de vista organitzatiu o legal.