Seguridad En Computación

SEGURIDAD EN COMPUTACIÓN E INFORMÁTICA-SECCIÓN B

LECTURA OBLIGATORIA PARA PROPONER LA ESTRUCTURA DEL SISTEMA DE SEGURIDAD INFORMÁTICA

VISIÓN ESTRATÉGICA Y TÁCTICA

ANÁLISIS ENFOCADO EN LA GESTIÓN: GESTIÓN DEL RIESGO POR LAS AMENAZAS Y CONTRAMEDIDAS MÁS FRECUENTES:

• MINIMIZAR LOS RIESGOS ASOCIADOS AL ACCESO Y USO DE DETERMINADOS SISTEMAS DE FORMA NO AUTORIZADA.

• EVALUAR Y CUANTIFICAR LOS BIENES A PROTEGER

• IMPLANTAR EDIDAS PREVENTIVAS Y CORRECTIVAS QUE ELIMINEN LOS RIESGOS ASOCIADOS QUE LOS REDUZCAN A NIVELES MANEABLES

GESTIÓN DEL RIEGO

• CONTAR CON EL COSTO DE LAS MEDIDAS A IMPLANTAR

• CONOCER EL VALOR DE LOS BIENES A PROTEGER

• CONOCER LA CUANTIFICACIÓN DE LAS PÉRDIDAS QUE PODRÍAN DERIVARSE POR ALGUNOS INCIDENTES

• CONOCER LOS COSTOS Y BENEFICIOS DE LA SEGURIDAD PARA ASEGURAR QUE EL COSTO DE LAS MEDIDAS DE SEGURIDAD NO EXCEDAN LOS BENEFICIOS POTENCIALES

• LA SEGURIDAD DEBE SER APROPIADA Y PROPORCIONADA AL VALOR DE LOS SISTEMAS, AL GRADO DE DEPENDENCIA DE LA ORGANIZACIÓN A SUS SERVICIOS Y A LA PROBABILIDAD Y DIMENSIÓN DE LOS DAÑOS POTENCIALES.

• LOS REQUERIMIENTOS DE SEGURIDAD VARIARÁN POR TANTO, DEPENDIENDO DE CADA ORGANIZACIÓN Y DE CADA SISTEMA EN PARTICULAR.

• LOS BENEFI CIOS QUE PUEDEN OBTENERSE CON MEDIDAS DE SEGURIDAD PRESENTAN COSTES TANTO DIRECTOS COMO INDIRECTOS.

• LOS COSTES DIRECTOS SUELEN SER SENCILLOS DE EVALUAR, INCLUYENDO LA COMPRA, INSTALACIÓN Y ADMINISTRACIÓN DE LAS MEDIDAS DE SEGURIDAD.

• POR SU PARTE PUEDEN OBSERVARSE COSTES INDIRECTOS, COMO DECREMENTO EN EL RENDIMIENTO DE LOS SISTEMAS, PUEDEN APARECER NECESIDADES FORMATIVAS NUEVAS PARA LA PLANTILLA O INCLUSO DETERMINADAS MEDIDAS, COMO UN EXCESIVO CELO EN LOS CONTROLES, PUEDEN MINAR LA MORAL DE LOS EMPLEADOS.

AMENAZAS

• LOS SISTEMAS INFORMÁTICOS SON VULNERABLES A MULTITUD DE AMENAZAS QUE PUEDEN CAUSAR DAÑOS QUE PRODUZCAN PÉRDIDAS SIGNIFICATIVAS

• LOS DAÑOS PUEDEN VARIAI DESDE SIMPLES ERRORES EN EL USO DE APLICACIONES DE GESTIÓN QUE COMPROMETAN LA INTEGRIDAD DE LOS DATOS, HASTA CATÁSTROFES QUE INUTILICEN LA TOTALIDAD DE LOS SISTEMAS.

• LAS PÉRDIDAS PUEDEN APARECER POR LA ACTIVIDAD DE INTRUSOS EXTERNOS A LA ORGANIZACIÓN, POR ACCESOS FRAUDULENTOS, POR ACCESOS NO AUTORIZADOS, POR EL USO ERRÓNEO DE LOS SISTEMAS POR PARTE DE EMPLEADOS PROPIOS, O POR LA APARICIÓN DE EVENTUALIDADES EN GENERAL DESTRUCTIVAS.

• LOS EFECTOS DE LAS DIVERSAS AMENAZAS PUEDES SER MUY VARIADOS. UNOS PUEDEN COMPROMETER LA INTEGRIDAD DE LA INFORMACIÓN O DE LOS SISTEMAS, OTROS PUEDEN DEGRADAR LA DISPONIBILIDAD DE LOS SERVICIOS Y OTROS PUEDEN ESTAR RELACIONADOS CON LA CONFIDENCIALIDAD DE LA INFORMACIÓN.

• EN CUALQUIER CASO UNA CORRECTA GESTIÓN DE LOS RIESGOS DEBE IMPLICAR UN PROFUNDO CONOCIMIENTO DE LAS VULNERABILIDADES DE LOS SISTEMAS Y DE LAS AMENAZAS QUE LOS PUEDEN EXPLOTAR.

AMENAZAS MÁS FRECUENTES (FUENTES POTENCIALES DE PÉRDIDAS)

1.- ERRORES Y OMISIONES

- LOS ERRORES DE LOS EMPLEADOS AL UTILIZAR LOS SISTEMAS PUEDEN COMPROMETER LA INTEGRIDAD DE LA INFORMACIÓN QUE MANEJA LA ORGANIZACIÓN. NI SIQUIERA LAS APLICACIONES MÁS SOFI STICADAS ESTÁN LIBRES DE ESTE TIPO DE PROBLEMAS, QUE PUEDEN REDUCIRSE CON REFUERZOS EN CONTROLES DE INTEGRIDAD DE LOS DATOS Y CON UN ADIESTRAMIENTO ADECUADO DEL PERSONAL.

- MUCHAS VECES, SIMPLES ERRORES PUEDEN COMPROMETER NO ÚNICAMENTE LA INTEGRIDAD DE LOS DATOS, SINO INCLUSO PUEDE QUE CAUSEN LA APARICIÓN DE NUEVAS VULNERABILIDADES EN LOS SISTEMAS. ESTE TIPO DE AMENAZAS ES SI CABE MÁS RELEVANTE EN LAS EMPRESAS QUE SE DEDICAN AL SECTOR DE LAS NUEVAS TECNOLOGÍAS, DESARROLLANDO E IMPLANTANDO SISTEMAS, MUCHAS VECES INTERCONECTADOS ENTRE DIVERSAS ORGANIZACIONES. UN SIMPLE ERROR DE PROGRAMACIÓN, EN LA ADMINISTRACIÓN, O LA CARENCIA DE LA FORMACIÓN NECESARIA PARA EVALUAR LAS IMPLICACIONES DE SEGURIDAD DE DETERMINADA APROXIMACIÓN DE DESARROLLO, PUEDE CAUSAR VULNERABILIDADES QUE AFECTEN NO ÚNICAMENTE A LAS ORGANIZACIONES USUARIAS DE LOS SISTEMAS, SINO TAMBIÉN A LAS

PROPIAS EMPRESAS QUE LOS DESARROLLAN QUE SE PODRÍAN VER MUY PERJUDICADAS EN SU IMAGEN CORPORATIVA.

2.- INTRUSIONES

- BAJO ESTA AMENAZA SE INCLUYEN TANTO ACTIVIDADES CLARAMENTE FRAUDULENTAS, COMO MERAS INTRUSIONES EFECTUADAS POR DETERMINADOS INDIVIDUOS CON EL ÚNICO FI N DE PROBAR SUS “HABILIDADES” O INCLUSO ACTOS DE SABOTAJE, TERRORISMO INFORMÁTICO O ESPIONAJE INDUSTRIAL.

- LAS ACTIVIDADES FRAUDULENTAS, INCLUIDO EL ROBO, PUEDE QUE SEAN LAS MÁS PREOCUPANTES PARA MUCHAS ORGANIZACIONES, SOBRE TODO PARA AQUELLAS QUE TENGAN BIENES DE ELEVADO VALOR, GESTIONADOS MEDIANTE SISTEMAS INFORMÁTICOS. EJEMPLOS DE ESTE TIPO DE ORGANIZACIONES PUEDEN SER LAS ENTIDADES FI NANCIERAS, LOS ORGANISMOS PÚBLICOS QUE GENEREN ACREDITACIONES OFICIALES O INCLUSO EMPRESAS DE DISTRIBUCIÓN O COMERCIO ELECTRÓNICO, DONDE LOS SISTEMAS INFORMÁTICOS PUEDEN SER SUSCEPTIBLES DE ALTERACIÓN MALINTENCIONADA CON OBJETO DE OBTENER PROVECHO ECONÓMICO.

- LOS AUTORES DE LAS INTRUSIONES PUEDEN SER TANTO EXTERNOS A LA PROPIA ORGANIZACIÓN, COMO INTERNOS. ES RESEÑABLE DESTACAR QUE MUCHOS ESTUDIOS SOBRE FRAUDES Y ROBOS MEDIANTE TECNOLOGÍAS DE LA INFORMACIÓN COINCIDEN EN SEÑALAR QUE LA MAYORÍA DE LAS ACTIVIDADES FRAUDULENTAS SON REALIZADAS POR PERSONAL VINCULADO A LA PROPIA ORGANIZACIÓN. PUEDEN SER EMPLEADOS CON ACCESO A SISTEMAS O INFORMACIÓN NO CONTROLADA, ANTIGUOS EMPLEADOS CON CONOCIMIENTOS TANTO DE LOS SISTEMAS COMO DE LAS MEDIDAS DE SEGURIDAD INTERNAS O PERSONAS VINCULADAS EN CIERTA FORMA CON LA ORGANIZACIÓN Y QUE GOZAN DE DETERMINADOS PRIVILEGIOS QUE MUCHAS VECES SE ESCONDEN BAJO APARENTES RELACIONES CORDIALES CON LA PROPIA EMPRESA.

- EN MUCHOS CASOS LAS INTRUSIONES GENERAN IMPORTANTES DAÑOS ECONÓMICOS, PERO EN TODOS LOS CASOS CAUSAN UNA IMPORTANTE SENSACIÓN DE DESPROTECCIÓN EN TODA LA ORGANIZACIÓN, QUE SE AGRAVA SI NO ES POSIBLE IDENTIFICAR A LOS AUTORES DE LAS INTRUSIONES, LAS TÉCNICAS EMPLEADAS PARA COMETERLAS O LOS OBJETIVOS QUE PERSIGUEN.

- LA CRECIENTE IMPORTANCIA DE LAS INTRUSIONES MALICIOSAS EN LOS SISTEMAS INFORMÁTICOS LA PODEMOS ENCONTRAR REFL EJADA EN EL ALARANTE INCREMENTO DE INCIDENTES DE

...