Seguridad

SEGURIDAD DE LA INFORMACION: REALIDAD O UTOPIA

“It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door”

F.T. GRAMPP

“Las únicas organizaciones razonablemente protegidas son aquellas que disponen de personal dedicado a la seguridad de los sistemas, con medios para mantener el nivel de seguridad que hayamos decidido”.

ENRIQUE ANTON PEREGRINA

La Seguridad de la Información es uno de los temas de mayor preocupación de las organizaciones en todo el mundo. Los responsables de las áreas de sistemas siempre intentan estar un paso adelante, tomando las precauciones correspondientes con la finalidad de evitar ataques o desastres en los datos de la organización. Sin embargo, muchas veces estos esfuerzos no son correctamente encaminados. Bajo este contexto es bueno recordar lo señalado por Jorge Sendra Mas , quien indica lo siguiente:

“La Seguridad de la Información ha experimentado una continua evolución durante la última década, desde un enfoque puramente tecnológico, donde las necesidades se cubren mediante la adquisición de herramientas con el fin de mitigar las últimas vulnerabilidades conocidas, hasta un enfoque dominado por la necesidad de justificar las inversiones en seguridad de la información, como un activo esencial. Este enfoque se basa en una gestión continua de los riesgos sustentados en la optimización de ratios empresariales como es el de coste/beneficio.”

Lo que se tiene que tener en cuenta siempre es que no hay nada seguro al 100 %, y que el tema de seguridad es dinámico es decir que no termina, de hecho es un error creer que una vez que se tiene una solución de seguridad ya se alcanzó la máxima protección y para siempre. Lo peor que puede pasar es que una organización crea que está protegida porque tiene un antivirus, un firewall o cualquier otro sistema de seguridad o cualquier tecnología que puede existir y con eso crea que está segura.

La mayoría de expertos señalan que la seguridad no se consigue únicamente con hardware y software, sino con una estrategia integral que involucra políticas y prácticas. Tales políticas llevan a definir roles dentro de la organización. El tema de seguridad debe estar pensado y considerado desde el principio de cualquier proyecto e implantación.

Otra de las ideas que debe de tenerse en cuenta es que no existe una solución de seguridad que sea aplicable a todas las organizaciones. Es decir la solución que se debe de implantar a una universidad es distinta a la que se aplicaría a un banco; y también es distinta la estrategia para proteger a una empresa privada que aquella para brindar protección a la información de la policía o de las fuerzas armadas. En palabras de Julio C. Ardita :

"Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra."

A pesar de que muchas personas asocian la idea de protección informática con los hackers, esta es sola una de las amenazas que hay que considerar al momento de diseñar un sistema de seguridad. La seguridad informática o la seguridad de la información tienen muchos frentes. La tecnología es solo un aspecto de la seguridad. La seguridad es un monstruo que tiene muchos tentáculos o aristas que deben de tenerse en cuenta, tal como lo indica Lukas Alarcón :

“Actualmente hay varias formas de encarar el tema de la seguridad de la información. Un ejemplo podría tener políticas de seguridad de información cuyo contenido y estructura refleje el ámbito cultural de la propia empresa y su dinámica respecto a su quehacer, una arista mas es la implementación efectiva de las políticas en las que los elementos técnicos que me ayudan en la implementación estén de acuerdo a mis objetivos. Otro punto importante es la adhesión a alguna normativa de seguridad internacional que me ayude con la dirección de generación de políticas y también se encuentra la educación hacia los usuarios finales quienes son los que manipulan la información.

Desde un punto de vista de elementos técnicos existen varias capas de seguridad que me permiten asegurar desde la seguridad perimetral, gateways de seguridad web , de correo, de encriptación, de inspección de datos incluyendo sistemas de archivamiento , de respaldo de datos , gestión de identidad, identificación de vulnerabilidades hasta la protección final de los endpoints con servicios con antivirus, firewalls, encriptadores de discos, sistemas de respaldos de archivos, control de periféricos y control de fuga de información entre algunos elementos a considerar”.

Uno de los frentes de la seguridad es la protección física de los computadores, por ejemplo la protección de los servidores en una sala especialmente acondicionada. En este rubro se pueden incluir soluciones de control de acceso para restringir el ingreso de personas no autorizadas a la zona de los equipos de cómputo. Aquí entran a tallar entre otros, los dispositivos biométricos, de lectura de huella digital, de la palma de la mano o del iris del ojo.

Otro punto importante a señalarse es que se puede tener la mejor infraestructura de redes, pero si la puerta del centro de cómputo está abierta, no sirve. A la seguridad física es necesario agregar los sistemas de control de incendios, la seguridad eléctrica, sistemas de UPS, generadores eléctricos, entre otros.

Los ataques a una organización no solo pueden venir desde afuera, sino también desde adentro. Es por ello que según los principales estudios de seguridad se señala que el 70 % de la malversación de información privilegiada viene del interior de la organización. Muchas de las veces los responsables de sistemas se preocupan por los hackers, pero son los propios empleados quienes pueden manipular indebidamente la información.

De acuerdo con un estudio elaborado por el Instituto Ponemon (USA), frente a las crecientes amenazas que suponen los virus y la evolución del malware para los sistemas de TI de las empresas, existe un peligro cada vez mayor que hay que tener muy en cuenta: los propios empleados.

“Según el estudio realizado entre más de 3.000 profesionales, seis de cada diez encuestados apunta que ha perdido datos sensibles como resultado de una negligencia por parte de los empleados de la compañía. Además, otro dato destacable de este estudio resalta que tres de cada diez encuestados afirma haber sufrido el robo de datos sensibles por parte de sus propios empleados.

Ante estos datos, desde el Instituto Ponemon apuntan hacia la necesidad de que las empresas tengan especial cuidado con el uso que sus empleados hacen de los sistemas de TI, así como del acceso y utilización de los datos corporativos que pueden consultar y manejar. No en vano, los expertos señalan que los daños que ocasionan los trabajadores a la empresa se han convertido en un aspecto tanto o más preocupante que el que suponen los virus y el malware para los sistemas de TI. De hecho, el 84 por ciento de los profesionales encuestados en distintas empresas de Alemania, Australia, Estados Unidos y Gran Bretaña, confirma haber sufrido algún tipo de virus o intrusión de código malicioso en su red en los últimos 12 meses.

Junto a ello, otro punto en el que el estudio hace especial hincapié es en el hecho de que el 76 por ciento de los empleados puede enviar a través del correo electrónico datos internos fuera de la organización, y que el 70 por ciento puede descargar datos corporativos en un dispositivo USB sin que sea detectado.

Sin embargo, a pesar de los peligros a los que están expuestas las empresas si no se tiene especial cuidado con estos riesgos, el estudio muestra que el 75 por ciento de las empresas dispone de tecnologías antivirus y anti-malware, lo cual ya es un primer paso en esta protección de sus sistemas que, sin duda, y ante la creciente evolución de las amenazas, tanto externas como internas, deberá complementarse con otras soluciones y políticas de seguridad para incrementar su protección”.

Pero no solamente lo señalado en el punto anterior puede ser valedero, si no lo contrastamos con lo que indica Christopher Leidigh :

“Las personas son realmente el eslabón más débil de cualquier esquema de seguridad. La mayoría de las personas no son cuidadosas a la hora de mantener sus contraseñas y códigos de acceso en secreto. Estos elementos son la base de la mayoría de los sistemas seguros. Todos los sistemas de seguridad se basan en una serie de medidas que se toman para controlar el acceso, verificar identidades y evitar que se divulgue información importante. Por lo general, para que estas medidas sean eficaces, es necesario guardar uno o más "secretos". Si se revelara o robara un secreto, los sistemas que esos secretos protegen podrían verse en riesgo. Puede parecer una afirmación absolutamente obvia, pero los riesgos que afectan a la mayoría de los sistemas son provocados por causas muy básicas. Quizá parezca una tontería dejar una nota con la contraseña de acceso

...