Seguridad

SEGURIDAD DE LA INFORMACION: REALIDAD O UTOPIA

“It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door”

F.T. GRAMPP

“Las únicas organizaciones razonablemente protegidas son aquellas que disponen de personal dedicado a la seguridad de los sistemas, con medios para mantener el nivel de seguridad que hayamos decidido”.

ENRIQUE ANTON PEREGRINA

La Seguridad de la Información es uno de los temas de mayor preocupación de las organizaciones en todo el mundo. Los responsables de las áreas de sistemas siempre intentan estar un paso adelante, tomando las precauciones correspondientes con la finalidad de evitar ataques o desastres en los datos de la organización. Sin embargo, muchas veces estos esfuerzos no son correctamente encaminados. Bajo este contexto es bueno recordar lo señalado por Jorge Sendra Mas , quien indica lo siguiente:

“La Seguridad de la Información ha experimentado una continua evolución durante la última década, desde un enfoque puramente tecnológico, donde las necesidades se cubren mediante la adquisición de herramientas con el fin de mitigar las últimas vulnerabilidades conocidas, hasta un enfoque dominado por la necesidad de justificar las inversiones en seguridad de la información, como un activo esencial. Este enfoque se basa en una gestión continua de los riesgos sustentados en la optimización de ratios empresariales como es el de coste/beneficio.”

Lo que se tiene que tener en cuenta siempre es que no hay nada seguro al 100 %, y que el tema de seguridad es dinámico es decir que no termina, de hecho es un error creer que una vez que se tiene una solución de seguridad ya se alcanzó la máxima protección y para siempre. Lo peor que puede pasar es que una organización crea que está protegida porque tiene un antivirus, un firewall o cualquier otro sistema de seguridad o cualquier tecnología que puede existir y con eso crea que está segura.

La mayoría de expertos señalan que la seguridad no se consigue únicamente con hardware y software, sino con una estrategia integral que involucra políticas y prácticas. Tales políticas llevan a definir roles dentro de la organización. El tema de seguridad debe estar pensado y considerado desde el principio de cualquier proyecto e implantación.

Otra de las ideas que debe de tenerse en cuenta es que no existe una solución de seguridad que sea aplicable a todas las organizaciones. Es decir la solución que se debe de implantar a una universidad es distinta a la que se aplicaría a un banco; y también es distinta la estrategia para proteger a una empresa privada que aquella para brindar protección a la información de la policía o de las fuerzas armadas. En palabras de Julio C. Ardita :

"Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra."

A pesar de que muchas personas asocian la idea de protección informática con los hackers, esta es sola una de las amenazas que hay que considerar al momento de diseñar un sistema de seguridad. La seguridad informática o la seguridad de la información tienen muchos frentes. La tecnología es solo un aspecto de la seguridad. La seguridad es un monstruo que tiene muchos tentáculos o aristas que deben de tenerse en cuenta, tal como lo indica Lukas Alarcón :

“Actualmente hay varias formas de encarar el tema de la seguridad de la información. Un ejemplo podría tener políticas de seguridad de información cuyo contenido y estructura refleje el ámbito cultural de la propia empresa y su dinámica respecto a su quehacer, una arista mas es la implementación efectiva de las políticas en las que los elementos técnicos que me ayudan en la implementación estén de acuerdo a mis objetivos. Otro punto importante es la adhesión a alguna normativa de seguridad internacional que me ayude con la dirección de generación de políticas y también se encuentra la educación hacia los usuarios finales quienes son los que manipulan la información.

Desde un punto de vista de elementos técnicos existen varias capas de seguridad que me permiten asegurar desde la seguridad perimetral, gateways de seguridad web , de correo, de encriptación, de inspección de datos incluyendo sistemas de archivamiento , de respaldo de datos , gestión de identidad, identificación de vulnerabilidades hasta la protección final de los endpoints con servicios con antivirus, firewalls, encriptadores de discos, sistemas de respaldos de archivos, control de periféricos y control de fuga de información entre algunos elementos a considerar”.

Uno de los frentes de la seguridad es la protección física de los computadores, por ejemplo la protección de los servidores en una sala especialmente acondicionada. En este rubro se pueden incluir soluciones de control de acceso para restringir el ingreso de personas no autorizadas a la zona de los equipos de cómputo. Aquí entran a tallar entre otros, los dispositivos biométricos, de lectura de huella digital, de la palma de la mano o del iris del ojo.

Otro punto importante a señalarse es que se puede tener la mejor infraestructura de redes, pero si la puerta del centro de cómputo está abierta, no sirve. A la seguridad física es necesario agregar los sistemas de control de incendios, la seguridad eléctrica, sistemas de UPS, generadores eléctricos, entre otros.

Los ataques a una organización no solo pueden venir desde afuera, sino también desde adentro. Es por ello que según los principales estudios de seguridad se señala que el 70 % de la malversación de información privilegiada viene del interior de la organización. Muchas de las veces los responsables de sistemas se preocupan por los hackers, pero son los propios empleados quienes pueden manipular indebidamente la información.

De acuerdo con un estudio elaborado por el Instituto Ponemon (USA), frente a las crecientes amenazas que suponen los virus y la evolución del malware para los sistemas de TI de las empresas, existe un peligro cada vez mayor que hay que tener muy en cuenta: los

...