• Desarrollos
• Seguridad
• Administración
• Noticias de seguridad

¿Qué es la seguridad informática?

La continuidad de las operaciones y el correcto funcionamiento de los sistemas de información son importantes para la mayoría de los negocios. Las amenazas a los sistemas informáticos son amenazas a la efectividad y la calidad del negocio.
El objetivo de la seguridad informática es el de instaurar medidas que eliminen o reduzcan las amenazas hasta un nivel admisible.

La seguridad y la gestión de riesgos están ligadas a la gestión de calidad.
Las medidas de seguridad deberían basarse en un análisis de riesgos y estar armonizadas con las estructuras de calidad, procesos y procedimientos.

¿Qué debe ser protegido, contra quienes y como?
La seguridad informática consiste en la protección de la información, los sistemas y los servicios contra los desastres, los errores y a manipulación, de modo que la probabilidad y el impacto de los incidentes de seguridad sean mínimos.

La seguridad informática consta de:

• Confidencialidad: Los elementos de negocio delicados (Información y procesos) solo se exponen ante personas debidamente autorizadas, por deben establecerse controles para restringir el acceso a dichos elementos.

• Integridad: El negocio debe controlar las modificaciones a los elementos (Información y procesos), por ello se necesitan controles para garantizar su integridad.

• Disponibilidad: Los elementos (Información y procesos) deben de estar disponibles cuando son requeridos, por ello se necesitan controles para garantizar la fiabilidad de los servicios.

• Adecuación legal: La información (Datos) recabada, procesada, usada, transferida o destruida debe ser manipulada conforme a la legislación de los países relevantes. Una amenaza es un peligro que puede afectar la seguridad (Confidencialidad, Integridad, Disponibilidad) de los activos pudiendo acabar en pérdidas o daños potenciales.

¿Por qué es necesaria la seguridad informática?

La mayoría de las compañías utilizan información electrónica en sus procesos de negocio diarios. Se almacena información de clientes, productos, contratos, resultados financieros, contabilidad, etc.
¿Qué pasaría si toda esta información electrónica estuviese al alcance de su competencia, o se alterara o fuera falsificada o desapareciese?
¿Podría su negocio continuar?

• La información sobre sus clientes o contable podría dejar de ser privada, afectando a su credibilidad y poniéndole en aprietos legales.

• Esta información podría ser usadas por competidores para crear estrategias de marketing más efectivas.

• Sus competidores podrían lanzar un ataque invisible pero eficaz que le sería difícil de probar. Si semejante ataque afectase los servicios a los clientes o destruyese datos contables, reduciría la confianza de sus clientes ayudando a sus competidores.

• Los sistemas informáticos han estado bajo ataque durante décadas, pero nunca antes hubo tantos ordenadores en red, nunca antes hubo tanto y tan baratos mecanismos automatizados de ataque disponibles para posibles enemigos. Es a menudo imposible o muy difícil averiguar si se está siendo atacado y por quién. La sofisticación de los atacantes se ha incrementado enormemente en los últimos 5 a 10 años. En los últimos 2 años muchas herramientas de ataque han aparecido en internet, facilitando que atacantes con pocos conocimientos fueran capaces de causar daños considerables.

• Muchas de estas “Armas” solo al alcance de servicios de inteligencia hace pocos años se venden hoy comercialmente.

• El desarrollo de virus se ha incrementado alarmantemente en los últimos años dejando muy pocas compañías y puede que ninguna a salvo.

• La interconexión de los sistemas incrementa los riegos de seguridad considerablemente:
  
  “La red es el ordenador (The network is the computer)” es una frase acuñada por Sun Microsystems a mediados de los 80 que se ha vuelto mas cierta ahora que entonces. Las aplicaciones se han desplazado desde grandes sistemas (p.e. mainframes) hacia múltiplos de módulos cooperantes sobre diferentes sistemas. Un ejemplo típico podría ser una aplicación cliente-servidor que consiste en un cliente (PC) que se conecta a través de una pasarela UNIX para acceder a datos en un mainframe. Para que una aplicación así sea segura es necesario proteger el PC, la red, la pasarela UNIX y el Mainframe. La seguridad de una aplicación cliente-servidor se clasifica en función del eslabón más débil del sistema. ¿De que sirve un mainframe extremadamente seguro si las contraseñas se almacenan en un archivo no cifrado en el cliente (PC) o en un post-it pegado a la pantalla?
  
  Los datos siguientes son un ejemplo que dan una idea de lo que ocurre en el mundo real (fuente: Datapro):
   
  • Causas comunes de daños: Error humano (52%), personas deshonestas 13%, Sabotaje técnico 10%, Fuego 15%, Agua 10% y terrorismo 3%.
   
  • Causantes de los daños: Empleados en activo 81%, Externos 13%, Ex Empleados 6%
   
  • Tipos de delitos informáticos: Robo de dinero 44%, Daños al software 16%, Robo de información 16%, alteración de datos 12%, robo de servicios 10%, allanamiento 2%.

• Los requerimientos de seguridad informática se especifican a menudo en términos de:
   
  • Confiabilidad: Confiar en que los sistemas se comportaran como se espera de ellos (Dependiendo de sus especificaciones).
   
  • Identificación/Autentificación: Cuando usuarios o programas comunican entre si, ambas partes deben identificar al otro para saber con quién se están comunicando.
   
  • Auditoría: La habilidad de saber quién hizo que, cuando, donde. Los usuarios son responsables de sus actos. Sistemas automatizados de monitorización y análisis para detectar fallos de seguridad.
   
  • Control de acceso: El acceso a ciertos recursos puede ser restringido a ciertas entidades.
   
  • Reutilización de elementos: Elementos usados en un proceso no deben poder ser reutilizados o manipulados por otro proceso de modo que la seguridad no pueda ser violada.
   
  • Adecuación: Los elementos (Información y procesos) son los adecuados y están completos.
   
  • Intercambio Seguro de Datos:
     
    • Confidencialidad: Los datos deben mantenerse privados durante la transmisión.
     
    • Integridad: Los datos deben permanecer inalterados durante la transmisión.
     
    • La autentificación es necesaria en las telecomunicaciones.
     
    • En algunos casos, puede ser necesario poder demostrar la procedencia de la información, a eso se le llama No Rechazo de Origen (En Inglés, non repudiation of origin - NRO). Un remitente puede también requerir la prueba que la información fue recibida por el destinatario correcto, No Rechazo de Recepción (En Inglés, non repudiation of receipt - NRR)
   
  • Algunos métodos para conseguir comunicaciones seguras son: Message Digest, cifrado por clave pública, firmas digitales, desafío-respuesta.
   
  • Fiabilidad de los servicios: Los datos y servicios están disponibles cuando son requeridos.
    Un sistema puede no contener información confidencial pero debe estar disponible 24/7, por lo que tiene baja sensibilidad de datos y requerimientos de alta disponibilidad. En algunos sistemas prima la confidencialidad de protección de la información frente a la integridad, en otros es justo lo contrario. Por ello sistemas con requerimientos diferentes deben de ser protegidos de diferentes maneras. Es importante hallar un equilibrio entre demasiada seguridad (uso muy restrictivo, alto coste) e insuficiente seguridad (uso sin restricciones, bajo coste aparente). El valor de la información y los procesos debería conocerse y el entorno en uso debería ser analizado para poder establecer un conjunto adecuado de contramedidas. La correcta elección de contramedidas está basada en el análisis de riesgos y la directiva de seguridad.

¿Porque es necesaria la directiva de seguridad?

La directiva de seguridad es un mecanismo preventivo para la protección de los datos y procesos de las compañías. Esta indica un estándar coherente de seguridad a los usuarios, al equipo directivo y al personal técnico.

• Una directiva puede ser usada para medir la seguridad relativa de los sistemas en uso.

• Una directiva es importante para definir interfaces de cara a colaboradores externos.

• Existen requisitos legales obligatorios de cara a la protección de los datos de clientes y empleados.

• Una directiva es un pre-requisito para un control de calidad (ISO 900x).

¿Están seguros sus sistemas actualmente?

El British Standards Institute publica una lista de 10 puntos clave para comprobar si está implementada una seguridad básica:

1. Documento de la directiva de seguridad de la información

2. Adscripción de las responsabilidades de seguridad.

3. Formación sobre seguridad de la información.

4. Informe de los incidentes de seguridad.

5. Control de virus.

6. Procedimiento de planificación de la continuidad del negocio.

7. Control sobre la copia de información propietaria.

8. Salvaguarda de los registros de la compañía.

9. Conformidad con la legislación de protección de datos.

10. Conformidad con la directiva de seguridad.

¿Cuantos de los puntos anteriores se cumplen en su organización?

---

Extraído y traducido del libro “IT Security CookBook” de Sean Boran.