Académique Documents
Professionnel Documents
Culture Documents
Introducción
Por ejemplo, recientemente se publicó una noticia* sobre un virus diseñado para lanzar
ataques masivos y cómo prevenirlo para evitar consecuencias no deseadas. Se trata de un
virus de tipo gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster el
cual aprovecha un agujero en la seguridad de Windows® 2000 y Windows® XP,
concretamente en el software que permite compartir archivos con otras máquinas. La
finalidad de la plaga es recolectar equipos para realizar un ataque de Negación de
Servicio (DoS por sus siglas en inglés) contra un sitio de Microsoft.
El virus Blaster tiene poco que ver con las plagas informáticas tradicionales: no se
propaga por los medios habituales, sino que circula por Internet en busca de máquinas
sobre las que puede realizar su ataque.
*Fuente: http://www.terra.es/tecnologia/articulo/html/tec9481.htm
Podemos representar la implantación de un sistema de seguridad de información en la
empresa como la escalada de una gran montaña, en la que poco a poco iremos subiendo
de nivel en términos de conceptos, herramientas y conocimiento del entorno
tecnológico de la empresa.
Contenido de la unidad:
Conceptos básicos
Activos
Amenazas y puntos débiles
Riesgos, medidas y ciclo de seguridad
Objetivos
Con la finalidad de proteger todos los activos vitales para la empresa :
1.1 Introducción
Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor
físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que
los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de
cámaras o guardias de seguridad. Pero,
Preguntas ¿Y la información que se encuentra dentro de servidores de archivos, qué
de reflexión transita por las redes de comunicación o que es leída en una pantalla de
computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las
mismas técnicas de protección de objetos reales?
Para dar respuesta a estas preguntas le invitamos a que continúe revisando el contenido
temático de esta unidad donde conoceremos con detalles los principios que nos
permitirán proteger la información. Por ahora en este capítulo cerraremos diciendo
que….
Es importante, además, que todos los empleados de la compañía tomen conciencia sobre
el manejo de la información de forma segura, ya que de nada sirve cualquier sistema de
seguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitan
su usuario y contraseña a personas ajenas a la empresa y con esto dejar abierta la puerta a
posibles ataques o filtraciones de información crítica al exterior de la compañía.
1.4 Lecciones aprendidas
2.1 Introducción
¿Sabía usted que el 94% de las empresas que pierden sus datos
desaparece? *
Es por esto que Hitachi Data Systems asegura que el mercado de almacenamiento de
datos crecerá alrededor de un 12% anual en Chile hasta 2008.
Enrique Mosiejko, director regional Latinoamérica Sur de Hitachi Data Systems (HDS),
explica que "los datos de una empresa pueden desaparecer o dañarse de muchas formas.
Por una mala administración de la información, errores humanos, virus, hackers, ataques
terroristas o, incluso, desastres naturales. En Chile, por ejemplo, los terremotos y las
inundaciones son una seria amenaza para los equipos que almacenan la información
crítica de las compañías".
Los activos son elementos que la seguridad de la información busca proteger. Los
activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una
protección adecuada para que sus negocios no sean perjudicados.
Revisaremos con un poco más de detalle los diferentes tipos de activos, para ello
consideramos esta clasificación:
A. Información
En este grupo están los elementos que contienen información registrada, en medio
electrónico o físico, dentro de los más importantes tenemos:
documentos
informes
libros
Ejemplos de este manuales
tipo de activos correspondencias
patentes
información de mercado
código de programación
líneas de comando
reportes financieros
archivos de configuración
planillas de sueldos de empleados
plan de negocios de una empresa, etc.
B.1 Software:
Este grupo de activos contiene todos los programas de computadora que se utilizan
para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento
de la información. Entre ellos citamos:
las aplicaciones comerciales
programas institucionales
sistemas operativos
otros
Las aplicaciones deberán estar protegidas para que la comunicación entre las bases de
datos, otras aplicaciones y los usuarios se realice de forma segura, atendiendo a los
principios básicos de la seguridad de la información.
B. 2 Hardware:
las computadoras
los servidores
los equipos portátiles
Ejemplos de este los mainframes
tipo de activos los medios de almacenamiento
los equipos de conectividad, enrutadores, switchs y
cualquier otro elemento de una red de computadoras por
donde transita la información.
B.3 Organización:
.
Se refiere a la organización lógica y
física que tiene el personal dentro de
la empresa en cuestión.
Como ejemplos de estructura organizativa , tenemos entre otros:
la estructura departamental y funcional
el cuadro de asignación de funcionarios
Ejemplos de este la distribución de funciones y los flujos de información de
tipo de activos la empresa
En lo que se refiere al ambiente físico , se consideran entre otros:
salas y armarios donde están localizados los documentos,
fototeca, sala de servidores de archivos.
C. Usuarios:
.
El enfoque de la seguridad en los usuarios, está
orientado hacia la toma de conciencia de
formación del hábito de la seguridad para la
toma de decisiones y acción por parte de todos
los empleados de una empresa, desde su alta
dirección hasta los usuarios finales de la
información, incluyendo los grupos que
mantienen en funcionamiento la estructura
tecnológica, como los técnicos, operadores y
administradores de ambientes tecnológicos.
Ejemplos de este
tipo de activos
No usar contraseñas complejas.
No bloquear la computadora.
Falta de cooperación por parte de los usuarios en materia de
seguridad.
Posibles Descuido de parte de los usuarios en el manejo de la información.
Robo de información.
vulnerabilidades
2.4 Protección de los activos
Una vez que conocemos los diferentes tipos de activos que podemos encontrar en las
empresas, ahora profundizaremos en los principios básicos que nos ayudarán a proteger
el activo de más valor en los negocios modernos: la información
Proteger los activos significa mantenerlos seguros contra amenazas que puedan afectar su
funcionalidad :
Corrompiéndola,
accediéndola indebidamente, o incluso
Eliminándola o hurtándola.
Una información se podrá alterar de varias formas, tanto su contenido como el ambiente
que la soporta. Por lo tanto, la quiebra de la integridad de una información se podrá
considerar bajo dos aspectos:
Veamos unas notas finales del propósito que queremos lograr al asegurar la integridad de
la información el cual va muy ligado al principio que veremos enseguida; la
confidencialidad de la información.
Por ese motivo, se dice que la información posee un grado de confidencialidad que se deberá
preservar para que personas sin autorización no la conozcan.
Tener confidencialidad en la comunicación, es la seguridad de que lo que se dijo a alguien o
escribió en algún lugar será escuchado o leído sólo por quien tenga ese derecho.
Pérdida de confidencialidad significa pérdida de secreto. Si una información es
confidencial, es secreta, se deberá guardar con seguridad y no ser divulgada para personas no
autorizadas.
¿Sabe usted quién pueda acceder a su información?
¿Está guardada de forma suficientemente segura para que personas no
autorizadas no la accedan?
¿El envío y la guardia de la información confidencial se realiza de forma
segura y también los medios por los cuáles transita son controlados,
Preguntas de conocidos y seguros?
reflexión Si la respuesta para alguna de estas preguntas es negativa, entonces ha llegado el
momento de pensar en la seguridad de la información para garantizar la
confidencialidad de la información de su empresa.
Pensemos en el caso de una tarjeta de crédito, el número de la tarjeta sólo
podrá ser conocido por su dueño y por el vendedor de la tienda donde lo usa.
Si este número es descubierto por alguien malintencionado, como en los casos
denunciados en los diarios de delitos en Internet, el daño de esa pérdida de
confidencialidad podrá ser muy elevado, pues este número podrá ser usado por
alguien para hacer compras vía Internet, trayendo pérdidas financieras y un gran
dolor de cabeza para el propietario de la tarjeta.
Ejemplo Lo mismo sucede en el caso de uso indebido de contraseñas de acceso a
sistemas de bancos, por ejemplo. Miles de dólares se roban diariamente por la
acción de criminales virtuales que se dedican a invadir sistemas para quebrar la
confidencialidad de las personas y empresas.
Garantía de la confidencialidad de la información
Garantizar la confidencialidad es uno de los factores determinantes
para la seguridad y una de las tareas más difíciles de implementar,
pues involucra a todos los elementos que forman parte de la
comunicación de la información, desde su emisor, el camino que ella
recorre, hasta su receptor. Y también, cuanto más valiosa es una
información, mayor debe ser su grado de confidencialidad. Y cuanto
mayor sea el grado de confidencialidad, mayor será el nivel de
seguridad necesario de la estructura tecnológica y humana que
participa de este proceso: del uso, acceso, tránsito y almacenamiento
de las informaciones.
Se deberá considerar a la confidencialidad con base en el valor que la
información tiene para la empresa o la persona y los impactos que
podría causar su divulgación indebida. Siendo así, debe ser accedida,
leída y alterada sólo por aquellos individuos que poseen permisos para
tal. El acceso debe ser considerado con base en el grado de sigilo de
las informaciones, pues no todas las informaciones sensibles de la
empresa son confidenciales
Pero para garantizar lo anterior, sólo la confidencialidad de las
informaciones no es suficiente, es importante que además de ser
confidenciales, las informaciones también deben estar íntegras. Por lo
tanto, se debe mantener la integridad de una información, según el
principio básico de la seguridad de la información.
Como se acaba de mencionar, la forma de instrumentar la confidencialidad de la
información es a través del establecimiento del grado de sigilo, veamos enseguida este
concepto fundamental:
Dependiendo del tipo de información y del público para el cual se desea colocar a
disposición los grados de sigilo podrán ser:
Confidencial
Restricto
Sigiloso
Público
Una vez que nos aseguramos que la información correcta llegue a los destinatarios o
usuarios correctos, ahora lo que debemos garantizar es que llegue en el momento
oportuno, y precisamente de esto trata el tercer principio de la seguridad de la
información: la disponibilidad.
.
Así, el ambiente tecnológico y los soportes de la información deberán estar funcionando
correctamente y en forma segura para que la información almacenada en los mismos y
que transita por ellos pueda ser utilizada por sus usuarios.
3.1 Introducción
La noticia presentada, nos lleva a confirmar que el conocer perfectamente las posibles
amenazas y riesgos a los que se encuentran expuestos nuestros activos, permite que
nuestro trabajo pueda convertirse en un caso de éxito. Veamos entonces, en este capítulo,
lo concerniente a las amenazas y puntos débiles.
3.2 Objetivos
Conocer los diferentes tipos de amenazas que puedan
presentarse en todos los activos de la empresa, para reconocer
su importancia y permitirnos minimizar el impacto que
provocan.
Identificar los diferentes tipos de puntos débiles de los
activos y conocer cómo éstos pueden permitir que las
Objetivo amenazas alteren la disponibilidad, confidencialidad o
integridad de la información.
3.3 Amenazas
Las amenazas son agentes capaces de explotar los fallos de seguridad que
denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a
los activos de una empresa, afectando sus negocios.
Concepto
clave
Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la
integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre
existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser:
1. Amenazas naturales – condiciones de la naturaleza y la intemperie que podrán causar daños a los
activos, tales como fuego, inundación, terremotos,
Estadística
Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología
también surgirán nuevas formas en las que la información puede llegar a estar expuesta,
por tanto es importante conocer el marco general de cómo se clasifican las
vulnerabilidades o puntos débiles que pueden hacer que esas amenazas impacten nuestro
sistemas, comprometiendo los principios de la seguridad de nuestra información.
Puntos débiles
Los puntos débiles son los elementos que, al
ser explotados por amenazas, afectan la
confidencialidad, disponibilidad e
integridad de la información de un
individuo o empresa. Uno de los primeros
pasos para la implementación de la
seguridad es rastrear y eliminar los puntos
débiles de un ambiente de tecnología de la
información.
Al ser identificados los puntos débiles, será
posible dimensionar los riesgos a los cuales
el ambiente está expuesto y definir las
medidas de seguridad apropiadas para su
corrección.
Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la
información . La existencia de puntos débiles está relacionada con la presencia de elementos
que perjudican el uso adecuado de la información y del medio en que la misma se está
utilizando.
a) Vulnerabilidades físicas
Estos puntos débiles, al ser explotados por amenazas, afectan directamente los principios
básicos de la seguridad de la información, principalmente la disponibilidad.
b) Vulnerabilidades naturales
Naturales
Muchas veces, la humedad, el polvo y la contaminación podrán causar daños a los
activos. Por ello, los mismos deberán estar protegidos para poder garantizar sus
funciones.
c) Vulnerabilidades de hardware
Existen muchos elementos que representan puntos débiles de hardware. Entre ellos
podemos mencionar:
d) Vulnerabilidades de software
Los puntos débiles relacionados con el software podrán ser explotados por diversas
amenazas ya conocidas.
Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan
para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están
expuestos podemos citar:
disquetes
cd-roms
cintas magnéticas
discos duros de los servidores y de las bases de datos, así como lo que está
registrado en papel.
Por lo tanto….
Si los soportes que almacenan información, no se utilizan de
forma adecuada , el contenido en los mismos podrá estar
vulnerable a una serie de factores que podrán afectar la
integridad, disponibilidad y confidencialidad de la
información
De medios de
almacenaje.
.
Los medios de almacenamiento podrán ser afectados por puntos débiles
que podrán dañarlos e incluso dejarlos indispuestos. Entre estos puntos
Ejemplo débiles, destacamos los siguientes:
plazo de validez y caducidad
defecto de fabricación
uso incorrecto
lugar de almacenamiento en locales insalubres o con alto nivel de
humedad, magnetismo o estática, moho, etc..
f) Vulnerabilidades de comunicación
De comunicación
Hay un gran intercambio de datos a través de medios de comunicación que rompen
barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.
Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el
propósito de evitar que:
Humanas
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los
errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes
institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de
seguridad adecuadas para ser adoptadas por cada elemento constituyente,
principalmente los miembros internos de la empresa.
.
Destacamos dos puntos débiles humanos por su grado de frecuencia:
vandalismo,
estafas,
invasiones, etc.
Introducción
Noticias como está son comunes en el mundo de hoy. Todos los días nos enteramos de
posibles riesgos en diferentes dispositivos o sistemas de manejo de información. Para
poder prevenir dichos riesgos es necesario conocerlos a fondo, así como conocer las
medidas de seguridad necesarias para minimizarlos.
4.2 Objetivos
El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas
o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la
integridad y la disponibilidad de la información.
Concepto
clave
Riesgos
A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden
ser de índole:
b) Política de Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos
seguridad los involucrados con el uso y mantenimiento de los activos . Es una forma de suministrar un
conjunto de normas para guiar a las personas en la realización de sus trabajos. Es el primer paso
para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la
formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.
c) Especificación Son medidas que tienen en mira instruir la correcta implementación de un nuevo ambiente
de seguridad tecnológico , por medio del detalle de sus elementos constituyentes y la forma con que los
mismos deben estar dispuestos para atender a los principios de la seguridad de la información.
d) Administración Son medidas integradas para producir la gestión de los riesgos de un ambiente. La
de la seguridad administración de la seguridad involucra a todas las medidas mencionadas anteriormente,
en forma preventiva, perceptiva y correctiva , con base en el ciclo de la seguridad que
presentamos a continuación
4.5 Ciclo de seguridad
Ahora que usted ya conoce todos los conceptos necesarios para comprender lo que es la
seguridad, presentamos a continuación el ciclo de la seguridad de la información, con
todos sus conceptos básicos.
Ciclo de seguridad de la información
El ciclo de seguridad se inicia con la
identificación de las amenazas a las cuales están
sometidas las empresas. La identificación de
las amenazas permitirá la visualización de los
puntos débiles que se podrán explotar,
exponiendo los activos a riesgos de seguridad.
Esta exposición lleva a la pérdida de uno o más
principios básicos de la seguridad de la
información, causando impactos en el negocio
de la empresa, aumentando aún más los riesgos
a que están expuestas las informaciones.
Para que el impacto de estas amenazas al
negocio se pueda reducir, se toman medidas de
seguridad para impedir la ocurrencia de puntos
débiles.
Así, concluimos la definición de seguridad de la información desde la ilustración del ciclo:
Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo
sea de mucho menor impacto para los activos, y por tanto, para la empresa.