Técnica y reglas de seguridad actuales

Seguridad de la información / Seguridad informática

Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema esta libre de todo peligro, daño o riesgo." 

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”

Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.

Seguridad de la información: modelo PDCA.

Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).

El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad

HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .

VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.

ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.

Métodos Actuales.

Firma Digital

La Firma Electrónica es única, es un archivo seguro y cifrado que incluye tu firma caligráfica. 

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operación anterior, generando la firma electrónica o digital. 

Por sus características, es segura y garantiza tu identidad.

Verisign

Es una empresa estadounidense con sede en Reston (Virginia), Estados Unidos.

VeriSign fue fundada en 1995 como una división de la empresa RSA, dedicada a la provisión de servicios de certificación de seguridad.

La compañía opera una gran variedad de infraestructuras de red que incluye dos de los trece servidores de nombre raíz de Internet, además del registro autoritativo para los dominios de nivel superior genéricos .com, .net y .name.

Es conocida principalmente por emitir certificados de seguridad para su uso en Internet o en aplicaciones informáticas seguras, utilizando protocolos como SSL (Secure Sockets Layer, o Capa de Conexión Segura) y TLS o Seguridad de Capa de Transporte, que codifican la información que se envía a través de redes de todo tipo.

Análisis de Riesgos

Un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos.

Probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Los medios para conseguirlo son:

• Restringir el acceso a los programas y archivos.

• Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan.

• Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.

• Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.

• Que existan y pasos de emergencia alternativos de transmisión entre diferentes puntos.

• Organizar a los empleados por jerarquía informática (con claves distintas y permisos bien establecidos).

• Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

DRP

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes.

 Existen diferentes riesgos que pueden impactar negativamente en las operaciones normales de una organización las cueles son:

• Catástrofes.
• Fuego.
• Fallas de energía.
• Interrupciones organizadas o deliberadas.
• Sistema y/o fallas de equipo.
• Error humano.                                     
• Virus informáticos.
• Cuestiones legales.
• Huelgas de empleados.
• Despidos de empleados.
• Deterioro, extravío o rotura de cintas de backup.
• Cortes de comunicación.

Monitorización.

Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y conocer el aprovechamiento de los recursos TIC disponibles.

Implementar un buen sistema de monitorización no es una tarea tan difícil como exigente en su ejecución.

Los sistemas clásicos controlan únicamente el hardware principal. Por ello, fallos en los sistemas secundarios pueden pasar inadvertidos o no ser detectados hasta que sea demasiado tarde.

Los métodos de monitorización habituales suelen limitarse a controlar que se tiene conectividad (ping) con la maquina monitorizada, o que el servicio principal (ej: servidor web) está funcionando.