krocz | changes topic to 'UMeet'2005, next talk: 18:00 GMT Vicente Aceituno: "Crítica de Confidencialidad, Integridad, Disponibilidad" || #qc -> preguntas y comentarios |
---|---|
krocz | Buenas dias a todos |
krocz | en nuestra siguiente charla |
krocz | tengo el gusto de presentar a una persona que es como de la casa |
krocz | el ya se ha presentado en anteriores versiones de Umeet |
krocz | y siempre ha colaborado para que esto se lleve a cabo |
krocz | el es parte de ISECOM |
krocz | con ustedes dejo a Vicente Aceituno |
krocz | el canal es tuyo vicente |
vaceituno | Muchas gracias |
vaceituno | Para empezar, asumo que casi todos estamos |
vaceituno | familiarizados con los terminos confidencialidad, integridad, disponibilidad |
vaceituno | que para abreviar llamarí© C, I, D en la charla |
vaceituno | Estos tí©rminos son muy especialmente utilizados en estándares de seguridad |
vaceituno | Y son casi |
vaceituno | un credo para los que trabajan con seguridad |
vaceituno | Mi crítica de estos conceptos tiene varias facetas |
vaceituno | El primero de todos consiste en un sutil defecto |
vaceituno | No se puede demostrar que estos conceptos nos sean válidos |
vaceituno | no sean validos |
vaceituno | -¿Por quí© es un defecto, y no una virtud? |
vaceituno | Debido a que existe un criterio de demarcación entre teorías científicas |
vaceituno | y no científicas, conocido como falsabilidad |
vaceituno | En mi opinión, por muy basada que la seguridad de la información estí© basada en la tí©cnica, |
vaceituno | la buena ingenieria está basada en buena ciencia |
vaceituno | La falsabilidad dice |
vaceituno | que una teoría científica debe ser vulnerable a la experimentación, |
vaceituno | esto es, debemos poder idear experimentos que tendrían un resultado en caso de ser cierta, y otro de ser falsa |
vaceituno | La relatividad de Einstein es falsable, por ejemplo |
vaceituno | y de hecho hay anomalías como la trayectoría de las sondas pioneer. |
vaceituno | que llevan a cuestionarse los limites de su validez |
vaceituno | Disculpar por extenderme aqui, pero es un punto importante y complejo. |
vaceituno | Si tenemos, por ejemplo, la teoria de que el bacilo de Koch causa la tuberculosis |
vaceituno | no basta con infectar unos animales y ver si enferman |
vaceituno | si no que necesitamos otros animales no infectados |
vaceituno | -¿porque? |
vaceituno | porque si el bacilo de koch es la causa, el grupo no infectado no enfermara |
vaceituno | si enfermase, esto "falsficaría" la teoria de causalidad |
vaceituno | volviendo a la seguridad de la informacion |
vaceituno | no hay experimientos que demuestren que por ejemplo una amenaza no pertenece a ninguna categoría de C, I, D |
vaceituno | Siempre puedes decir "pertenece a este tipo" |
vaceituno | Por ejemplo, la falta de sincronizacion se considera un defecto de D |
vaceituno | La razon es que C I D clasifica por efectos, no por causas |
vaceituno | Es posible que alguno se pregunte -¿que más da? |
vaceituno | En mi opinión si importa, por que el uso del mí©todo científico hace avanzar el conocimiento |
vaceituno | mientras que las creencias extendidas lo estancan. |
vaceituno | Un segundo motivo por el que la defnicion me parece poco acertada es su poca utilidad. |
vaceituno | (Voy a recordar las definiciones para los no habituados) |
vaceituno | Confidenciality, defined as the ability to grant access to authorized users and deny access to unauthorized users, so this approach can be considered a subset of the CIA paradigm |
vaceituno | (espero que el inglí©s no sea un problema) |
vaceituno | Integrity, defined as the ability to guarantee that some information or message hasn’t been manipulated. |
vaceituno | • Availability is defined as the ability to access information or use services at any moment we demand it, with appropriate performance. |
vaceituno | En el caso de C, nos referimos a varias cosas al mismo tiempo |
vaceituno | 1- salvaguardar información secreta |
vaceituno | 2- salvaguardar información personal |
vaceituno | 3- salvaguardar propiedad intelectual |
vaceituno | 4- salvaguardar secretos |
vaceituno | De modo que podemos mirar una base de datos y decir "confidencialidad alta" |
vaceituno | -¿Y que? |
vaceituno | Eso no me ayuda a saber como protegerla, dado que no sí© si quiero evitar que se lea (secreto), si quiero evitar que se relacione con otra base de datos (privada) |
vaceituno | o si quiero cobrar por leerla (propiedad intelectual) |
vaceituno | uff, se me a ido la cabeza con el 4- (perdon) |
vaceituno | Los mismo se puede decir de integridad y disponibilidad |
vaceituno | Si miro un mensaje de correo y tiene un valor de integridad "alto" |
vaceituno | -¿que quiere decir? |
vaceituno | -¿Que quiero que no se estropee, o sea que dure mucho? |
vaceituno | -¿O me refiero a que quiero saber quien lo escribió? |
vaceituno | Y por la parte de Disponibilidad (Availability) |
vaceituno | No se distingue entre fiabilidad y disponibilidad. |
vaceituno | Un sistema puede tener disponibilidad baja (2 horas al día) |
vaceituno | y fiabilidad alta, pongamos 99,9999% de operación dentro de la ventana de disponibilidad |
vaceituno | El último punto que me lleva a criticar C I D es que si miras 10 estandares 10 presentaciones impartidas en conferencias, |
vaceituno | te encontraras como al menos 4 o 5 definiciones distintas de C I D. |
vaceituno | En resument, C I D es ambiguo, acientífico y poco útil. |
vaceituno | Sólo faltaría que fuera incorrecto...pero eso no se puede demostrar :) |
vaceituno | Creo que eso es todo |
vaceituno | Vaya, ha sido mucho más breve de lo que esperaba. :) |
vaceituno | ¿alguna pregunta? ¿en qc? |
MJComa | bueno, muy buena charla ! |
vaceituno | muchas gracias |
MJComa | parece que esté todo claro :) |
vaceituno | Si, pero pasado mañana habrá exámenes de certificación donde habrá una pregunta "Que es seguridad" |
vaceituno | y para aprobar habrá que poner "C I D" |
vaceituno | Bueno, me tengo que ir. Gracias a la organización de Umeet y a los asistentes |
vaceituno | Felices Fiestas |