La Seguridad de la Información
La Seguridad de la Información
Las cualidades que conforman la seguridad de los activos de información de una organización o empresa son la confidencialidad, la integridad y la disponibilidad.
La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados, con independencia del lugar en que reside la información o la forma en que se almacena..
La información sensible o valiosa que organización custodia o maneja, necesita ser protegida mediante estrictas medidas de control. La verificación y la autorización son dos mecanismos que se emplean para asegurar la confidencialidad de la información..
La integridad se refiere a la protección de información, datos, sistemas y otros activos informáticos contra cambios o alteraciones en su estructura o contenido ya sean intencionados, no autorizados o casuales.
También es importante proteger los procesos o programas que se emplean para manipular los datos. La información se debe preservar y poner a disposición de sus propietarios y de los usuarios autorizados de una forma precisa, completa y oportuna.
La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten. La falta de disponibilidad se manifiesta principalmente de dos formas:
La denegación, o repudio, del servicio debido a la falta de garantías de la prestación del mismo, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación fehaciente, falta de prestaciones de los equipos, congestión de líneas, etc.).
La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.
CONTROLES DE SEGURIDAD
Un entorno operativo seguro exige la garantía de que sólo puedan acceder a una determinada información aquéllos que están autorizados para ello, que la información se procese correctamente y que está disponible cuando se necesita.
Para aplicar controles adecuados, es preciso comprender primero quién o qué es lo que amenaza dicho entorno, así como conocer los riesgos asociados a dichas amenazas si llegan a materializarse.
Amenazas
La información se ve sometida a distintas amenazas que pueden clasificarse en intencionadas, no intencionadas y naturales.
Las amenazas intencionadas las ejercen usuarios no autorizados que acceden de forma indebida a los datos o información sensible. Los usuarios no autorizados pueden ser externos o pertenecientes a la propia organización y se pueden clasificar como curiosos o maliciosos.
Los curiosos normalmente ojean un poco y no siempre entran con unas pretensiones concretas, ni saben lo que van a encontrar. Los maliciosos entran a los sistemas para apropiarse de datos o información por intereses económicos, o bien con ánimo de dañar o destruir recursos. El acceso no autorizado de usuarios ya sean curiosos o maliciosos significa siempre una violación de la confidencialidad y con frecuencia acarrea violaciones de la integridad y de la disponibilidad.
Las amenazas no intencionadas provienen típicamente de empleados con poca formación o negligentes que no han seguido los pasos para proteger sus contraseñas, asegurar adecuadamente sus ordenadores o actualizar con la frecuencia debida el programa antivirus.
Las amenazas no intencionadas también implican a veces a los programadores o personal de proceso de datos cuando no se siguen las normas y procedimientos de seguridad establecidos, cuando existen. Este entorno operativo es especialmente sensible ya que sencillos errores en un programa pueden afectar a la integridad de la aplicación global y de cualquier otra aplicación con la que comparta información en común.
Las amenazas naturales incluyen fallos de equipos y calamidades tales como incendios, inundaciones y terremotos que pueden causar la pérdida de equipos y datos. Las amenazas naturales suelen afectar a la disponibilidad de los recursos y de la información.
Riesgos
Los riesgos asociados a la pérdida de la confidencialidad, integridad o disponibilidad son de diverso tipo y casi siempre implican daños económicos incluyendo responsabilidad contractual, falsos datos financieros, mayores costes, pérdidas de activos, pérdida de negocios, descrédito y pérdida de imagen pública.
Matriz de Amenazas/Cualidad/Riesgo
Amenaza Problema Riesgo
Usuario no autorizado Confidencialidad Acceso no autorizado
(curioso) Integridad Divulgación no autorizada
Observación no autorizada
Monitorización no autorizada
Copias no autorizadas
Sustracción de información
Usuario no autorizado Confidencialidad Acceso indebido, copia o sustracción de datos
(malicioso) Integridad Alteración de datos, falsificación, fraude
Disponibilidad Destrucción, pérdida, repudio del servicio
Usuario autorizado Integridad Pérdida o alteración de información
Disponibilidad Daños, denegación o alteración de servicio
Catástrofe natural Disponibilidad Destrucción, daños, averías, pérdida de servicio
Salvaguardas
Estudios realizados en los últimos años demuestran que un alto porcentaje de organizaciones han experimentado algún tipo de pérdida de información o soporte físico, siendo las causas más frecuentes los errores no intencionados y los virus. Hoy en día, debiera ser impensable tener PCs o servidores sin programas de protección contra virus.
El aumento en el número de delitos informáticos está haciendo replantearse a los profesionales de las tecnologías de la información las medidas de seguridad y mecanismos de control. Los delitos informáticos se han convertido en un mayor riesgo debido por una parte a que hay un mayor número de personas que conocen la informática y tienen acceso a recursos informáticos, y por otra al alto nivel de interconexiones entre redes tanto internas como externas. Pero sigue ocurriendo que la mayoría de los incidentes se originan interiormente a la organización, tanto los no intencionados como los maliciosos.
Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varias salvaguardas de seguridad. Las salvaguardas se pueden clasificar en tres principales categorías:
administrativas
físicas
técnicas
Las salvaguardas administrativas incluyen las políticas y procedimientos de seguridad. Las políticas establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización. También incluyen procedimientos para la renovación de claves de acceso, autorizaciones para acceder a sus recursos, la revisión y validación periódica de la vigencia del tipo acceso, la asignación de responsabilidades, conocimientos de la seguridad y formación técnica, gestión y supervisión de las tecnologías y soluciones aplicadas, la recuperación tras avarías o fallos y la realización y aplicación de planes de contingencia.
Los controles administrativos también incluyen la revisión de seguridad e informes de auditoria, que se utilizan para identificar si los usuarios siguen las políticas y procedimientos. Finalmente, los controles administrativos incluyen la asignación de propiedad de los datos y los recursos. Cada persona de la organización debe de tener claras sus responsabilidades relativas a la seguridad de cada componente asu cuidado, y estas responsabilidades se deben incluir en los objetivos de cada persona para asegurar que se les valore por la responsabilidad asignada y se les evalúe según el cumplimiento de sus obligaciones.
Las salvaguardas físicas limitan el acceso físico directo a los equipos. Las salvaguardas físicas consisten en cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo. Las salvaguardas físicas también incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida (UPS).
Las salvaguardas técnicas son controles que se implantan a través de soportes físicos o lógicos que típicamente son difíciles de vencer y, una vez implantados, pueden funcionar sin la intervención humana.. El soporte lógico específico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, herramientas de gestión de red, contraseñas, tarjetas inteligentes, control de acceso de llamadas, sistemas de rellamada, seguimiento de huellas o trazas de auditoría y sistemas expertos de detección de intrusiones.
Los controles de acceso protegen contra la utilización o manipulación no autorizada de recursos mediante la verificación y la autorización. La verificación asegura la identidad del usuario o sistema que solicita acceso. Los controles de autorización aseguran que el acceso a la información y los recursos informáticos se limiten de acuerdo con las directrices de la dirección. Otro término relacionado a la seguridad es el no-repudio.
El no-repudio previene la posibilidad de que una de las partes de un intercambio o transacción niegue en falso después que haya tenido lugar la misma. El control técnico que se emplea para garantizar el no-repudio es la firma digital. Las operaciones comerciales celebradas a través de redes internas e Internet se han vuelto corrientes.
Allí donde antes se empleaba una firma manuscrita para verificar que se había hecho una compra o celebrado un determinado contrato, ahora existe una alternativa digital para verificar que una persona cumplirá con sus obligaciones. La firma digital consiste en una clave privada que sólo conoce o puede duplicar el tenedor de la clave, parecido a su firma y rúbrica manuscrita. Las firmas digitales verifican la fuente, autenticidad e integridad de mensajes electrónicos.
Las salvaguardas administrativas, físicas y técnicas se pueden subdividir en preventivas y correctivas. Las preventivas intentan evitar la ocurrencia de acontecimientos indeseados, mientras que las salvaguardas correctivas intentan identificar los incidentes y reducir sus efectos después de que hayan sucedido. Es siempre preferible evitar un incidente de seguridad en lugar que tener que hacerle frente a posteriori.
Las salvaguardas correctivas se han diseñado para identificar el problema con suficiente rapidez para reducir los daños al mínimo y para poder valorar con precisión la magnitud de los daños causados por el incidente. La Figura siguiente presenta los controles administrativos, físicos y técnicos específicos, y los clasifica además en mecanismos preventivos o correctivos.
Controles de Seguridad de Información
Preventivos Correctivos
Controles Físicos
Archivos y documentación de reserva Detectores de movimiento
Verjas Detectores de humo y fuego
Guardias de seguridad Monitorización por televisión de circuito cerrado
Sistemas de tarjetas de identificación Sensores y alarmas
Cerraduras y llaves
Candados cifrados
Potencia de reserva
Controles biométricos de acceso
Selección de emplazamiento
Extintores de incendios
Bloqueo de teclados
Controles Administrativos
Conocimientos de seguridad y formación técnica Revisiones y auditorías de seguridad
Separación de obligaciones Control de calidad
Procedimientos sancionadores Investigaciones de antecedentes
Políticas y procedimientos de seguridad Rotación de responsabilidades
Gestión y supervisión
Recuperación de averías y planes de contingencia
Administración de accesos de usuarios
Gestión de propietarios de datos y recursos
Controles Técnicos
Programas de control de acceso Logs y trazas para auditoría
Programas cortafuegos y antivirus Sistemas expertos de detección de intrusiones
Gestión de contraseñas
Tarjetas inteligentes
Cifrado
Las tres tipos de salvaguardas deben utilizarse conjuntamente para hacer frente a los riesgos estimados en cada entorno concreto de trabajo. La dirección debe decidir cuánto invertir razonablemente en la seguridad, los procedimientos de gestión y control, y en herramientas tecnologicas para limitar el riesgo de forma proprcionada y equilibrada. Según las organizaciones se van reestructurando y reducen su complejidad para competir en una economía global, es imperativo el empleo de las tecnologías de la información y las comunicaciones para lograr una ventaja competitiva o una mayoer eficacia..
CONCLUSIÓN
Una Arquitectura de Seguridad de la Información (ISA) global y flexible implantada en toda la organización es el primer paso que es necesario realizar para proteger la confidencialidad, integridad y disponibilidad de la información y los recursos del sistema.
Los programas de seguridad más eficaces son aquellos que cuentan con una participación activa desde dentro de la organización. Fuentes externas pueden proporcionar conocimientos y experiencia específica. No obstante, el programa de seguridad en sí debe ser dirigido y gestionado internamente.
La ISA es necesaria en los entornos actuales de proceso distribuido, en los que todo el mundo tanto de dentro de la organización como externo a la misma que tiene una responsabilidad en la seguridad de los sistemas y redes a que tiene acceso. Los controles implantados deben incluir una combinación de procedimientos administrativos, físicos y técnicos que se seleccionan en función de los tipos de amenazas y el riesgo real estimado.
La organización debe empezar por reconocer la importancia de la seguridad al nivel de dirección en que se pueden asignar recursos adecuados para implantar los procedimientos con eficacia. La ISA comienza en el nivel estratégico, a través de la planificación y apoyo de la dirección ejecutiva. El primer paso de ese apoyo consiste en incluir la seguridad en los objetivos de un Plan Estratégico para las tecnologías de información.
Esto asegurará que los esfuerzos integrados de las personas responsables de la seguridad en la organización se canalicen hacia una objetivo común que sea realista, factible y apoyado adecuadamente por toda la estructura organizativa.