Seguridad informática y Seguridad de la Información

[pic 1][pic 2][pic 3] 

Unidad 1: Seguridad de la Información
1. Seguridad informática y Seguridad de la Información.

Al adentrarse en el Módulo 1 de la materia “Tecnología en Seguridad” cuando se trabajó con la definición de Seguridad, se vio que estaba constituida por tres tipos de medios que deben asociarse como partes integrantes de un todo; a saber:

• Medios humanos: constituidos por el personal de seguridad, tanto pública como privada.
• Medios técnicos: pasivos o físicos y activos o electrónicos.
• Medios organizativos: planes, normas y estrategias.

Estos últimos medios son los que veremos en esta materia, especialmente los relacionados al aspecto normativo o regulatorio. Es decir, qué leyes, normas, reglamentos o códigos deben implementarse o existen y se deben cumplir para garantizar la Seguridad.

Existen muy diversas medidas de seguridad en función de lo que se quiera proteger, por ejemplo el Estado Nacional, la Patria, la seguridad pública, la vial, fluvial, terrestre; o si queremos proteger la vida de los seres humanos, de la flora o de la fauna; para lo cual deberemos elaborar una estrategia de seguridad particular para cada uno de ellos.

Puede también referirse a la información del listado de personas que integran la Aduana o la Gendarmería Nacional y que están avocadas a la lucha contra el narcotráfico y el tráfico ilegal de bienes por las fronteras de nuestro país. Pero puede ser información que registran los hospitales públicos respecto de las personas con HIV o los niños con tratamientos oncológicos. Bajando un poco la mira, la información puede referirse al listado de propietarios de un barrio cerrado, con discriminación de cantidad de hijos (nombres, edades, sexos, colegios, actividades extracurriculares, etc.), autos (características y patentes), frecuencias de ingreso y egreso, entre tantos otros datos que el personal de custodia puede relevar sin mayores inconvenientes, procesarlos y elaborar un perfil de cada familia que le sería extremadamente útil a un tercero inescrupuloso.

Coincidirán conmigo que la información ha tomado un valor inestimable que antes nunca se pensó, ya que en el pasado lo importante era tener bienes de producción para ser próspero: hoy, si consigo el dato que van a modificar el valor del dólar y compro antes de su modificación, no necesito más que un celular para ser millonario. Antes, quien decidía un secuestro, tenía que tener un auto y un lugar donde alojar al secuestrado y proveerle de alimento, hoy con los secuestros express sólo se necesita información.
Con esta introducción, avancemos en el programa.

2. Definiciones y relaciones.
En un comienzo, únicamente se hablaba de “Seguridad Informática”, pero este concepto fue mutando, ampliándose para migrar a uno más amplio que es la “Seguridad de la Información”.
Comenta el Lic. Cristian Borghello, Director de Segu-Info, que cuando se habla de Seguridad Informática, muchas personas ya se hacen una idea bastante acabada sobre lo que se está hablando y sobre lo que esta actividad o disciplina involucra. Aunque, ¿son siempre estas "conclusiones" correctas o concluyentes? [pic 4] 

Quizás, para el inconsciente colectivo y para un usuario corriente, estas conclusiones son acertadas o al menos sirven como marco de referencia pero, como profesional, usted debe tener una definición acabada que luego permita obtener nuevos enunciados y permita llegar a entablar relaciones con otras actividades, como por ejemplo el derecho.

La "parte divertida" de la profesión suele asociarse (nuevamente en forma parcial y segmentada) al hacking, los grandes robos de cuentas bancarias que Hollywood ha implantado en nuestro cerebro, el acceso ilimitado a cualquier tipo de información, el manejo "modo dios" de herramientas tecnológicas o cualquier actividad relacionada a un conocimiento que poseen personas que viven en sótanos o garajes, y que generalmente aún no han terminado su desarrollo como adultos...
Pero, la "parte aburrida" del tema y sobre la que pocos hablan, es que trabajar en seguridad también se refiere a la educación, la privacidad, la gestión, el conocimiento sobre políticas, legislación y derecho y, sobre todo, llevar adelante una ética en el desarrollo de la profesión que los directores de películas han dejado de lado.

Es decir, dentro del ámbito de la Seguridad Informática está elaborar los métodos que impidan el acceso a activos tecnológicos, ya sea mediante la implementación de usuarios y claves de acceso, llaves, e-tokens o huellas dactilares, entre muchas otras opciones. [pic 5] 

Pero como nuestro objeto de estudio no son los activos tecnológicos, es decir computadoras, servidores y demás, sino la información que se encuentra almacenada en ella y en otros dispositivos más tradicionales, es que nos focalizaremos en el estudio de la Seguridad de la Información, que incluye entre sus medidas de protección a la Seguridad Informática pero que es mucho más amplia en su alcance y estudio.
Aquí cabría preguntarse, ¿Toda información debe ser protegida? 
Obviamente que no, los chismes, los chistes, seguramente no son objeto de protección, salvo que un cómico de profesión los haya debidamente registrado bajo las normas de Derecho de Autor. Tampoco debe protegerse la información genérica que las personas intercambian diariamente.

Como máxima rectora podemos elaborar la siguiente:

“Toda información es de libre circulación, salvo aquella que haya sido debidamente protegida”

Es decir, ubicándonos en el rol del “generador de la información”, debemos entender que toda persona estará autorizada a utilizar la información que le brinde, a no ser que le haya debidamente advertido de la necesidad de protegerla del acceso por terceros.
Entonces, cuando como generador he advertido sobre su protección, se deben activar todas las medidas de seguridad, y en caso de violación todas las herramientas para su bloqueo y sanción.

3. Pilares
A tal efecto, es oportuno mencionar que la Seguridad de la Información cuenta con tres pilares fundamentales, a saber: confidencialidad, integridad y disponibilidad.

Se puede definir la información confidencial, como aquella que quien la ha generado sólo desea compartirla con determinadas personas y por propósitos muy específicos y delimitados.

Se puede definir la información integral, como aquella que permanece intacta, exacta y completa cuando es transmitida entre su generador y sus receptores, salvo que los cambios y modificaciones estén autorizados y sean notificados e incorporados a la información protegida.

Se puede definir la información disponible, como aquella que puede ser consultada por las partes autorizadas cada vez que sea necesario para el fin por el que se la divulgó.

4. Amenazas
Estos pilares de confidencialidad, integridad y disponibilidad sufren constantemente amenazas por muy variados motivos y circunstancias, entre las cuales mencionaremos las siguientes:

Interceptación
Esta amenaza atenta contra la confidencialidad de la información y sucede cuando llega a manos de un tercero que no estuvo entre los designados por su emisor. Dos ejemplos: El primero, el guardia abre el sobre que trae el sello “CONFIDENCIAL” para supuestamente evaluar si esa información está bien dirigida al presidente de la compañía. El segundo, el gerente de sistemas controla el contenido de todos los correos electrónicos y sus archivos adjuntos para verificar si están en consonancia con el cargo que ejerce en la compañía.

Modificación
Esta amenaza atenta contra la integridad de la información, ya que se modifica su contenido, adulterándolo antes de que sea conocido por su destinatario. Un ejemplo sería el caso de un empleado de una empresa de análisis de riesgo crediticio cambia en la base de datos, que es luego consultada por el Banco Provincia para evaluar si le otorga el préstamo hipotecario solicitado, la calificación de su novia de “Situación 5 –Irrecuperable” por “Situación 1– Estado Normal”. 
Otro caso podría ser el de un soldado encargado de reclutar a quienes asistirán a las fuerzas de seguridad en Haití, que reemplaza en el listado a su primo por otro soldado para que sea convocado a tal misión de paz.

Interrupción
Esta amenaza atenta contra la disponibilidad de la información, ya que cuando el destinatario quiere acceder a la información protegida no puede hacerlo por haberse interrumpido su disponibilidad. Tal sería el caso de una gerencia de sistemas desde la que se accede indebidamente a la computadora asignada al Gerente de Personal y se elimina el expediente digital que se ha labrado en contra del empleado que acosó a su compañera. Por acciones de un tercero, se bloquea el acceso desde las IP (protocolo de Internet) de la empresa contratista a la Web donde la Fuerza Aérea alojó los diseños, mapas, especificaciones técnicas del proyecto de fabricación de un avión de guerra.

Las amenazas antes descriptas pueden conjugarse entre ellas afectando proporcionalmente los pilares de la Seguridad de la Información. Por ejemplo, si se intercepta una comunicación, para modificar parte de su contenido y reenviarlo a sólo alguno de los destinatarios originales, se estará afectando primero la confidencialidad, luego la integridad y finalmente la disponibilidad.
A esta altura, no debería sorprenderle lo fácil que puede ser “pinchar” un teléfono. Conozca los métodos legales e ilegales que podrían afectar su práctica en http://www.lanacion.com.ar/nota.asp?nota_id=828195. Veamos ahora cómo podemos hacer para controlar la seguridad de la información.

5. Tipos de controles
Reconociendo que la organización maneja información sensible, confidencial, propietaria o como quiera calificársela, y habiendo implementado medidas de seguridad de esa información, sólo resta controlar que esa información, su calificación y las medidas protectoras estén funcionando correctamente, y en su caso, implementar las medidas correctivas.
Este control puede ser preventivo, detectivo, correctivo y disuasivo.
Preventivo
Estos controles están focalizados tanto en elaborar la normativa aplicable a la clasificación de la información como a su instrumentación. Por ejemplo, si considero que la información que voy a intercambiar con un potencial proveedor es comercialmente sensible, entonces se debe previamente celebrar un contrato de confidencialidad que me proteja y establezca qué personas del proveedor podrán acceder a dicha información sensible.

Detectivo
Una vez realizadas las acciones anteriores, debe implementar controles periódicos y aleatorios sobre toda la información protegida para evaluar si existen procedimientos que no se están cumpliendo, y de ser así, si se produjo alguna fuga y perjuicio para la empresa.

Correctivo
De encontrarse alguna novedad en el procedimiento de evaluación, se deberá analizar su impacto en la organización y en función de éste, las medidas a tomar. Por ejemplo, si sólo se relevó que no se cumplió con una parte del procedimiento por ser extremadamente burocrático, es recomendable modificarlo. Si en cambio, se relevó que el sistema implementado ha sido superado por las nuevas tecnologías, entonces se deberá actualizarla incorporando la última tecnología.

Disuasivo
En el caso que se haya producido una fuga de la información protegida, entonces la organización deberá activar las investigaciones correspondientes a fin de dilucidar dónde se produjo la fuga, quién o quiénes participaron, qué información fue afectada y demás consideraciones relacionadas.
Una vez determinados estos extremos, la organización deberá activar las sanciones, ya sea por incumplimiento contractual, por deslealtad laboral o por delitos penales, con dos claros objetivos: por un lado, sancionar al autor; y por el otro, disuadir a los demás empleados de actuar de similar manera. Todas estas alternativas serán analizadas a lo largo de la materia.

6. El control de la información y su legalidad en el ámbito laboral y comercial. Requisitos básicos. Ley 24.766.
Como se mencionara anteriormente, los procesos de Seguridad de la Información cuentan con un aspecto normativo que debe contabilizarse entre lo tantos otros aspectos que harán finalmente que la empresa u organización cuente con un sistema de gestión segura de la información.
Como todo ámbito regulatorio, está pensado para brindar seguridad a las partes, que ante un caso de violación de los parámetros establecidos se podrá accionar judicialmente buscando en primer lugar el cese de las acciones dañosas, y en segundo lugar la reparación del daño, si es que hubo alguno, mediante una justa indemnización.
Debe destacarse que la organización deberá cumplir con determinadas exigencias legales en función de su actividad, su circunstancia y sus relaciones; así como con exigencias contractuales fijadas por sus clientes y proveedores en lo que respecta al manejo de la información que ellos le envíen para su tratamiento. Al aspecto legal y al contractual, también se le debe sumar el aspecto interno, el normativo, que se aplica en organizaciones intermedias que responden a organizaciones superiores, como es por ejemplo el caso de la Dirección de Tránsito Municipal que responde a una Secretaría y al Intendente.

Sintetizando, al implementar procesos de seguridad de la información se debe contemplar la legislación vigente, que es aplicable a todo ciudadano; la normativa vigente, que es aplicable a todo integrante de una organización; y las cláusulas contractuales, que son aplicables sólo a las partes firmantes del contrato.

6.1 Marco legal
Empecemos por los aspectos legales a tener en cuenta:
La República Argentina ha dictado la ley 24.766 de Confidencialidad, cuyo título completo es “LEY DE CONFIDENCIALIDAD SOBRE INFORMACION Y PRODUCTOS QUE ESTEN LEGITIMAMENTE BAJO CONTROL DE UNA PERSONA Y SE DIVULGUE INDEBIDAMENTE DE MANERA CONTRARIA A LOS USOS COMERCIALES HONESTOS”, está promulgada desde diciembre de 1996. 

Esta ley, siguiendo los lineamientos internacionales en la materia, establece parámetros que deben cumplirse para que la ley sea aplicable y exigible.
En primer lugar, habilita tanto a las personas físicas como a las jurídicas (empresas) a que impidan que su información comercialmente sensible sea: 1) divulgada; 2) adquirida; y 3) utilizada, por terceros sin su consentimiento y en forma comercialmente deshonesta.
En segundo lugar, se deben cumplir tres requisitos: 

...