SEGURIDAD INFORMÁTICA
INTRODUCCIÓN
En muchas ocasiones
se tiende a denominar como virus a cualquier amenaza informática, algo que no
es del todo correcto, dado que para cada amenaza hay un nombre específico. En
esta entrada vamos a conocer cuáles con los nombres que reciben cada una de
ellas y que pueden poner en peligro no solo nuestro ordenador particular sino
la red informática de cualquier empresa.
Teniendo en cuenta
que España es el tercer país del mundo en cuanto a ciberataques, con unos
200.000 ataques diarios según el Centro Nacional de Protección de
Infraestructuras Críticas, nunca está de más conocer cuáles son las amenazas
que nos rondan.
El objetivo de este trabajo es conocer cuáles son las
amenas que nos afectan hoy en dia ya que es algo que en la actualidad es algo
preocupando en la sociedad.
Y entender que la tecnología es algo muy importante como útil
pero sabiendo como utizarla para que así sea un benefició para nosotros y no
una amenaza
SEGURIDAD DE ARCHIVOS
Es la problemática actual de
la producción y acumulación mundial de información en forma de documentos
electrónicos o digitales, así como los problemas derivados del acceso de esa
información, sobre todo en red, dado que esto podría implicar riesgo y pérdida de
esa información. Se determinan los riesgos, amenazas vulnerabilidades,
etcétera, que afectan a esa información, así como diversas estrategias para
establecer la seguridad informática y la relación de ésta con la preservación
confiable de esa información. Se estudian y establecen con detalle los factores
que inciden a favor y en contra de los documentos digitales.
El ambiente de los sistemas de información que predominó hasta
principios de la década de los noventa, –previo a la globalización de las
telecomunicaciones, las redes mundiales de teleproceso, la Internet, etcétera– tuvo como
una de sus características más relevantes la de poseer entornos informáticos en
los que se operaba de manera aislada o en redes privadas en las cuales, la
seguridad impuesta por el acceso físico y algunas simples barreras informáticas
bastaban para que la seguridad de la información en ellos contenida estuviese
garantizada.
Hay que recordar que,
aunque los ataques DDoS, son uno de los más letales que puede haber hoy en día,
hay muchas otras amenazas como las que vamos a enumerar a continuación.
·
Malware – Son códigos diseñados por ciberdelincuentes cuyo objetivo es
el de variar el funcionamiento de cualquier sistema informático, sobre todo sin
que el usuario infectado se dé cuenta. Tienen la capacidad de corromper los
archivos que haya guardado en el disco duro o incluso destruir determinados archivos.
·
Spyware – Se trata de un software espía que tiene la capacidad de
recopilar información de un ordenador y transmitirla sin el conocimiento de la
persona afectada, poniendo en peligro la seguridad del ordenador afectado
(claves, cuentas de correo, cuentas bancarias, etc.)
·
Ransomware – Tanto para ordenadores como para teléfonos móviles, es una
de las amenazas que más está creciendo últimamente. Un programa bloquea
cualquiera de estos dos dispositivos con un mensaje en el que se pide un
rescate para que el usuario pueda volver a recuperar el control. Se le exige un
rescate en Bitcoin para que no pueda ser rastreada la persona o personas que
han lanzado esta amenaza.
·
Phishing – Es otra de las grandes amenazas actuales y llega mediante
correo electrónico. Mediante ingeniería social o con webs que simulan a la
perfección ser webs auténticas se consigue adquirir información confidencial de
forma fraudulenta.
·
Troyanos – En este caso, se trata de un programa que cuando se ejecuta,
proporciona al atacante la capacidad de controlar el equipo infectado de forma
remota y en muchas ocasiones sin el conocimiento del usuario.
·
Gusanos – Pueden replicarse bajo mil y una formas diferentes en nuestro
sistema, y hacer que desde nuestro ordenador se envíe un gran número de copias
de sí mismo a muchos otros equipos mediante el correo electrónico a nuestros
contactos y éstos a los suyos, convirtiéndose en una seria amenaza.
·
Backdoor o puerta trasera – En ocasiones, algunos programadores
maliciosos dejan una puerta trasera para así poder evitar los sistemas de
seguridad de acceso para poder acceder al sistema con total comodidad y sin
conocimiento de los usuarios.
Estas son tan solo
algunas de las amenazas que rondan por la red y que pueden meternos en un lío
si no prestamos especial atención a una conducta correcta en cuanto a nuestro
acceso a Internet, descarga de programas o aplicaciones o tener buenos
softwares anti malware y antivirus en nuestro equipo.
En la
actualidad, los sistemas de información han sido sustituidos casi en su
totalidad por Tecnologías de Información y Comunicaciones (TIC) convergentes, por inmensas y cada vez más complejas redes
institucionales locales y regionales, por servidores y computadoras personales
que cada vez tienen mayor capacidad de proceso y de acceso a otros
computadores, y cuya interconexión se extiende mundialmente.
VULNERABILIDADES INFORMÁTICAS
Una vulnerabilidad es alguna característica o circunstancia de
debilidad de un recurso informático la cual es susceptible de ser explotada por
una amenaza, intencional o accidentalmente. Las vulnerabilidades pueden
provenir de muchas fuentes, desde el diseño o implementación de los sistemas,
los procedimientos de seguridad, los controles internos, etcétera; se trata en
general de protecciones inadecuadas o insuficientes, tanto físicas como
lógicas, procedimentales o legales de alguno de los recursos informáticos. Las
vulnerabilidades al ser explotadas resultan en fisuras en la seguridad con
potenciales impactos nocivos para la organización. Más detalladamente,
provienen de:
• Fallas en el diseño o construcción de programas, sobre todo en
aquellos que provienen de un mercado masivo; por ejemplo sistemas operativos,
programas de aplicación, el protocolo de comunicaciones TCP/IP, etcétera.
• Uso de computadoras, programas y equipos de red de tipo genérico
en aplicaciones críticas.
• Atención insuficiente al potencial error humano durante el
diseño, implementación o explotación de sistemas, particularmente debidas a
desviaciones u omisiones de buenas prácticas en estas etapas.
• Confianza excesiva en algún único dispositivo u oficina de
seguridad.
• Relajamiento de las políticas y procedimientos de seguridad,
debidos a falta de seguimiento de los mismos, producidas por un desempeño de
seguridad adecuado durante cierto lapso.
• Fallas de seguimiento en el monitoreo o indicadores de
seguridad.
• Pobre o nula gobernanza de los activos informáticos, debida
principalmente a un mal seguimiento de esos activos y sus contextos de
seguridad asociados de forma integral.
• Cambio frecuente de elementos de la plataforma informática.
• Falla en la adjudicación o seguimiento de responsabilidades.
• Planes de contingencia nulos o pobres, tanto para situaciones
cotidianas como extremas.
• Ignorancia, negligencia o curiosidad por parte de usuarios en
general de los sistemas.
• Equipos, programas y redes "heredados" de generaciones
tecnológicas anteriores.
• Errores inherentes al diseño de microprocesadores y microcódigos
que se encuentran en rutinas básicas o "núcleo" de los sistemas, o en
el encriptado o virtualización.
• Falta de concientización del personal en general acerca de la
importancia de la seguridad y responsabilidades compartidas e integrales.
RIESGOS INFORMÁTICOS
Como se mencionó también, riesgo se define como la probabilidad de
que un evento nocivo ocurra combinado con su impacto o efecto nocivo en la
organización. Se materializa cuando una amenaza actúa sobre una vulnerabilidad
y causa un impacto. Los principales riesgos se agrupan como:
• Sustracción de datos personales para usos malintencionados.
• Fugas de información, extracción o pérdida de información
valiosa y/o privada.
• Introducción de programas maliciosos a los sistemas de la
organización, que pueden ser utilizados para destruirlos u obstaculizarlos,
usurpar recursos informáticos, extraer o alterar información sin autorización,
ejecutar acciones ocultas, borrar actividades, robo y detentación de
identidades, etcétera.
• Acciones de "ingeniería social" malintencionada:
"phishing", "spam", espionaje, etcétera.
• Uso indebido de materiales sujetos a derechos de propiedad
intelectual.
• Daño físico a instalaciones, equipos, programas, etcétera.
IMPACTOS
Los impactos son los efectos nocivos contra la información de la
organización al materializarse una amenaza informática. Al suceder incidentes
contra la seguridad informática pueden devenir en:
• Disrupción en las rutinas y procesos de la organización con
posibles consecuencias a su capacidad operativa.
• Pérdida de la credibilidad y reputación de la organización por
parte del consejo directivo de la organización, público en general, medios de
información, etcétera.
• Costo político y social derivado de la divulgación de incidentes
en la seguridad informática.
• Violación por parte de la organización a la normatividad acerca
de confidencialidad y privacidad de datos de las personas.
• Multas, sanciones o fincado de responsabilidades por violaciones
a normatividad de confidencialidad.
• Pérdida de la privacidad en registros y documentos de personas.
• Pérdida de confianza en las tecnologías de información por parte
del personal de la organización y del público en general.
• Incremento sensible y no programado en gastos emergentes de
seguridad.
• Costos de reemplazo de equipos, programas, y otros activos
informáticos dañados, robados, perdidos o corrompidos en incidentes de
seguridad.
ESTRATEGIA Y METODOLOGÍAS PARA LA
GESTIÓN DE LA SEGURIDAD INFORMÁTICA
En los últimos años se han ido desarrollando diversas metodologías
para la creación de una infraestructura de seguridad informática al interior de
una organización y para revisar el estado que guarda la seguridad de la
información en esa organización. Bajo los nuevos enfoques se destaca el hecho
de que estas metodologías no sólo deben abarcar –como se hacía antes– las
problemáticas de la seguridad interna de los sistemas; hoy en día deben hacer
una aproximación holística a la seguridad de la información corporativa,
abarcando todas las funcionalidades de la organización en cuanto a la seguridad
de la información que maneja. Esta aproximación marca la diferencia del
anterior concepto conocido como "seguridad de sistemas" hacia el
nuevo concepto de "seguridad informática de Tecnologías de Información y
Comunicaciones (TIC)".
LOS ESTÁNDARES METODOLÓGICOS ISO EN
SEGURIDAD INFORMÁTICA
Para realizar algún estudio acerca de la seguridad de la
información dentro de alguna organización, podemos seleccionar entre varios
estándares que siguen estas metodologías modernas al efecto. Si bien existen
varios al efecto, dependiendo de épocas, regiones, costos, etcétera, para
ilustrar este documento utilizaremos como base algunos de los estándares para
la seguridad de la información provenientes de la Organización Internacional de
Estándares (ISO). En particular el estándar ISO/17799 o los estándares ISO/IEC
27001 y 27002 (Information
technology – Security
techniques – Information
security management systems – Requirements). Todos estos estándares consisten en normas
internacionalmente aceptadas que ofrecen recomendaciones para realizar la
gestión de la seguridad de la información dirigidas a los responsables de
iniciar, implantar o mantener la seguridad de una organización.
LOS DIEZ DOMINIOS O ÁREAS DEL ESTÁNDAR
SON:
• Políticas de seguridad. Es indispensable en toda
organización que posea activos informáticos contar con políticas de seguridad
documentadas y procedimientos internos de la organización acerca de las
estrategias y disposiciones que guíen los principales rubros y áreas relacionados
con la seguridad del los bienes informáticos y que permitan su actualización y
revisión por parte de un comité de seguridad interno.
Algunos de los principales objetivos de control y acciones dentro
de este dominio son:
• Políticas y procedimientos internos generales de seguridad
informática.
• Políticas de acceso a instalaciones sensibles.
• Políticas y procedimientos de inventarios de bienes informáticos
• Políticas y procedimientos de respaldo de datos.
• Políticas y procedimientos de resguardo de información.
• Políticas y procedimientos para asignación de usuarios y
lineamientos normativos de acceso.
• Políticas y procedimientos para la creación y mantenimiento
de software.
CONCLUCIONES
• Revisar periódicamente mediante un plan al efecto las normas,
políticas, procedimientos y controles de la seguridad informática para
perfeccionarlos y mantenerlos actualizados.
• Consolidar un grupo o comité oficial de seguridad informática
con personas, funciones y responsabilidades perfectamente establecidas.
• Migrar periódicamente hacia las nuevas versiones de los
estándares metodológicos; siguiendo con nuestro ejemplo esto significaría
migrar del ISO / 17799 hacia al ISO / IEC 27002 y sus derivados: 27001, 27003,
etcétera. Pero ello debe hacerse en cualquier estándar que se hubiese adoptado
en la organización. Esto debe hacerse cuando aparezcan y se estabilicen las
nuevas ediciones del mismo.
• De los inventarios, auditorías, bitácoras, etcétera se obtienen
siempre mediciones acerca de algunas estrategias y controles que siempre faltan
de implementar en toda organización o que deben perfeccionarse; debe hacerse
una revisión equivalente para evaluar los riesgos y actuar al efecto.
• Establecer los dominios de acción y objetivos que no satisfagan
del todo a lo estipulado por la organización e incidir con mayor rigor en
ellos.
• Deben implantarse métricas estandarizadas para evaluar a futuro
el estado y los avances de la seguridad informática. En este sentido serán
útiles metodologías tales como el ISO 27004 o semejantes.
• Todavía es prematuro, pero la tendencia es que en un futuro
cercano se buscarán certificaciones de organizaciones acreditadas al efecto.
Para el estudio, toma de decisiones y conveniencia de hacerlo, se recomienda
revisar los estándares EA–7 03 (de la European Accreditation) así como los
nuevos ISO 27006, ISO 27001, ISO 19011 e ISO 17021. Independientemente de que
la certificación sea deseada o no por la organización, las metodologías
mencionadas serán muy útiles para las actividades de la persona o grupo interno
de seguridad de la organización.
0 comentarios:
Publicar un comentario