Razones por las que las
políticas de seguridad informática generalmente no se implantan.
Aunque no todas las empresas son conscientes de los riesgos que corren
al no tener PSI en su organización, algunas gastan gran cantidad de tiempo y
esfuerzo definiéndolas, convenciendo a los altos mandos (labor extremadamente
ardua, ya que estas políticas no aumentan el rendimiento del sistema y a veces
lo vuelven más complicado), para que finalmente
sean escritas y archivadas para nunca ser usadas. ¿Qué pasa en esos casos? ¿Por
qué ocurre esto?
Muchos factores concurren en la no implantación de las políticas. Uno
de ellos, ya tocado anteriormente, es el vocabulario técnico que los expertos de seguridad manejan. Hacen
poco entendible las normas, por la que los empleados las ignoran y siguen
actuando de manera convencional.
Otro de los factores que generalmente se olvida en el establecimiento
de las políticas es algo, que aunque ajeno al conocimiento general de los
expertos, es muy importante: estrategia de mercadeo. Las políticas de seguridad
deben ser presentadas a los altos mandos, y ellos deben ver una retribución en
esa inversión, ya que si no se muestra de manera explícita y obvia, podrán
pensar que la inversión solo es un “juguete para ingenieros”. Los gerentes
deben conocer de manera clara las consecuencias de sus decisiones, lo mejor y
lo peor que puede pasar. Las políticas deben integrarse a las estrategias de
negocio, misión y visión… todo esto para que se conozca el efecto de las PSI
sobre las utilidades de la compañía. ¡MERCADEO!
Un tercer elemento es la ausencia de conexión entre las acciones
diarias de los empleados y las PSI. Estas deben ir acompañadas de una visión de
negocio que promueva las actividades diarias de los empleados, actividades
donde se identifican las necesidades y acciones que hacen existir a las
políticas
Para evitar que las políticas no sean implantadas en la compañía, se
dejan algunas recomendaciones útiles a la hora de presentarlas a los miembros
de la organización.
·
Cree ejemplos donde se den fallas de seguridad
que capten la atención de las personas.
·
Haga que estos ejemplos se conecten a las
estrategias de la organización
·
Muestre una valoración costo-beneficio ante
posibles fallas de seguridad
·
Justifique la importancia de las PSI en función
de hechos y situaciones CONCRETAS, que muestren el impacto, limitaciones y beneficios de estas sobre los activos de la
población.
Las políticas de seguridad
informática como base de la administración de la seguridad integral.
Las PSI se definen como el conjunto de lineamientos que una
organización debe seguir para garantizar la seguridad de sus sistemas,
lineamientos que constituyen un compromiso de la organización para actuar de
manera apropiada en situaciones que vulneren la seguridad de la misma. Es por
esta razón que se agrupan en el conjunto de acciones usadas por la empresa para
proteger sus activos. Sin embargo, siendo lineamientos, estas políticas no
constituyen una garantía para la seguridad de la organización.
Teniendo en cuenta estas premisas, podemos estratificar la seguridad en
varios niveles:
·
Estrato de marco jurídico
·
Estrato de medidas técnico-administrativas
(procedimientos para la creación de funciones, administración de la seguridad,
auditoría de sistemas de información interna…)
Esta estratificación es muy importante porque define los límites de las
personas encargadas de cada uno de los temas concernientes a la seguridad.
Ambos estratos deben ser independientes y nunca una persona encargada de un
estrato puede intervenir o administrar el otro. En cada estrato debe haber una
definición de funciones y una separación suficiente de tareas. En este caso, en
el estrato técnico - administrativo por ejemplo, pueden existir coordinadores
en cada área funcional y geográfica de la organización, dependiendo de la
complejidad de la misma. No tiene lógica que un coordinador autorice una
transacción de información del sistema al exterior, y luego él mismo la revise.
Esto da pie a fraudes o a encubrimientos de anomalías. Deben intervenir siempre
personas diferentes en cada elemento del sistema de seguridad.
Esto es llamado “seguridad integral”: varios usuarios responsables de
la política de seguridad informática, engranados en un sistema de seguridad
global de la organización (como o es la seguridad física de las instalaciones,
los planes de contingencia ante situaciones financieras graves, etc.).
Riesgos en la organización
Las entidades nunca estarán exentas de riesgos inherentes a su
naturaleza. Siempre existirá la posibilidad de que se dé una violación a la
seguridad o un error respecto a la transferencia de información. Lo ideal sería
que cualquier error que vulnere la seguridad del sistema sea suprimido, pero
dichas supresiones tienen un costo asociado. Veamos un ejemplo:
Supongamos que un usuario va a acceder a información específica de la
empresa. Una de las políticas de seguridad más usadas es la consistente en que
el usuario se identifique y se autentique su identidad (política de “login y
password”). Y ahora, supongamos que este usuario tomará la información de la
empresa para llevarlas, físicamente, a otra empresa. En este caso, se usa otra
política de seguridad basada en el cifrado o encriptado de datos (generación de
un código que “encripte” y “desencripte” la información dependiendo del
usuario), para que, si el dispositivo que contiene la información cae en otras manos, estos no
puedan ver la información. Si quisiéramos asegurarnos de que la información es
obtenida por ese usuario autorizado y solo ese usuario, podríamos incluir en la
autenticación, medidas biométricas como la detección de la huella digital, el
iris, firma con reconocimiento automático, etc. Pero cada uno de estos
elementos, como se indicó anteriormente, posee un costo económico.
Es entonces necesario saber hasta qué nivel deseamos exponer nuestra
organización a riesgos (detectar los riesgos y tomar decisiones a partir de
esta detección), o ciertos elementos de nuestra organización a vulnerabilidades
den pro del costo económico asociado. El riesgo máximo que puede soportar la organización es una
decisión primordial para la definición de PSI, y debe contemplar, entre muchos
elementos, algunos muy comunes. Expondremos acá algunos de estos elementos:
·
Accesos indebidos a datos (generalmente a través
de las redes)
·
“Perdida” de dispositivos magnéticos o sólidos
con información crítica de la organización.
·
Daños físicos a los elementos que guardan la
información (incendios, inundaciones, terremotos…)
·
Variación o copia indebida de programas para
beneficio personal o para causar un daño.
·
Los Hackers y crackers. Los primeros, acceden a
los sistemas para detectar vulnerabilidades y los segundos acceden a los sistemas para generar estragos y daños a
la organización.
·
Los virus. Esta amenaza, aunque latente, es de
menor importancia ahora que antes, ya que la configuración de los sistemas
actuales permite mayor seguridad y flexibilidad en estos temas.
En definitiva, las amenazas pueden llegar a afectar los datos, las
personas, los equipos, los programas, o en un caso extremo, a todos de ellos
(desastres naturales, por ejemplo). ¿Qué es lo más crítico que debe protegerse?
Sin dudarlo, y como respuesta inicial, las personas resultan el punto más
crítico de protección. Nada vale más que una vida humana, y la organización
puede reiniciar sus operaciones con un buen factor humano. En segundo caso, los
datos son el elemento más crítico de la organización luego de los empleados.
Ahora, aunque el umbral de riesgo es escogido por los altos mandos para
la configuración de las PSI, existen unos niveles de trabajo con la información
que no pueden ser ignorados, y que deben aplicarse en todo momento para
proteger la información. Estos niveles de ri se verán a continuación.
Niveles de trabajo con los
datos.
Los niveles de datos son los siguientes:
·
Confidencialidad:
se refiere a la protección de la información respecto al acceso no autorizado,
sea en los elementos computarizados del sistema o en elementos de
almacenamiento.
·
Integridad:
Protección de la información respecto a modificaciones no autorizadas, tanto a
la almacenada en los elementos computarizados de la organización como la usada
como soporte. Estas modificaciones pueden llevarse a cabo de manera accidental,
intencional, o por errores de hardware-software.
·
Autenticidad:
Garantía de que el usuario autorizado para usar un recurso no sea suplantado
por otro usuario.
·
No
Repudio: Al ser transferida un conjunto de datos, el receptor no puede
rechazar la Transferencia, y el emisor debe poder demostrar que envió los datos
correspondientes.
·
Disponibilidad
de los recursos y de la información: protección de los elementos que poseen
la información de manera que en cualquier momento, cualquier usuario autorizado
pueda acceder a ella, sin importar el problema que ocurra.
·
Consistencia:
capacidad del sistema de actuar de manera constante y consistente, sin
variaciones que alteren el acceso a la información.
·
Control
de Acceso: posibilidad de controlar los permisos a cualquier usuario para
acceder a servicios o datos de la organización.
·
Auditoría:
capacidad para determinar todos los movimientos del sistema, como accesos,
transferencias, modificaciones, etc., en el momento en que fueron llevados a
cabo (fecha y hora).
¿En que basar la estrategia de
seguridad?
Si yo como responsable de la estrategia de seguridad de mi empresa
fuera a realizarla, ¿en qué me debo basar? Afortunadamente para nosotros,
existe un procedimiento o algoritmo muy conocido y usado para dirigir las
estrategias de seguridad de una organización. Es conocido como el algoritmo “Productor/ consumidor”.
¿Qué es este algoritmo? No es más que un modelo que permite observar
las diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de
ellos, permite hacer un análisis de los posibles pasos a seguir.
El algoritmo está compuesto por 2 entidades: El productor y el
consumidor. El productor es el encargado de crear la información, y el consumidor es el encargado de recibir y
usar la información. Existe una tercera entidad llamada “los otros”, que son
aquellos que no están autorizados a recibir la información.
Si se establece una comunicación directa entre productor y consumidor,
sin trabas, por un largo período de tiempo, diremos que hemos creado un sistema
seguro.
Existen eventos o usuarios que pueden provocar alteraciones en esta
comunicación. “El estudio de la seguridad, en pocas palabras, se basa en la determinación,
análisis y soluciones de las alteraciones del algoritmo”
Ahora, con este modelo, podemos definir 4 tipos de alteraciones
principales a este modelo, mostradas a continuación:
Hasta acá hemos usado de manera genérica el vocablo “recurso”, pero
debemos definirlo de una manera correcta para poder seguir entendiendo el
algoritmo productor/consumidor (o algoritmo P-C).
Los recursos se pueden definir como
todos aquellos bienes, de cualquier índole, que permiten el correcto
funcionamiento y existencia de la organización.
De manera que podemos definir 3 tipos de recursos:
·
Físicos:
compuestos por todo elemento físico que sostenga la información de la red, como
computadores, impresoras, routers, servidores, switches, etc.
·
Lógicos:
Todos aquellos recursos que contienen la
información de la organización, como bases de datos, listados,
documentos, etc.
·
Servicios:
son principalmente programas o aplicaciones que nos permiten realizar algún
tipo de trabajo, como el correo electrónico, los procesadores de texto, etc.
Con este término claramente definido, procedemos a explicar cada una de
las vulnerabilidades, teniendo en cuenta que cualquier acción que se lleve a
cabo para mantener estable el modelo, tiene como objetivo atacar uno de los 4
casos.
Todas las acciones correctivas que se lleven a cabo con el fin de
respetar el modelo estarán orientadas a atacar uno de los cuatro casos.
Explicaremos y daremos ejemplos de cada uno de ellos.
El caso número uno es el de Interrupción. Este caso afecta la disponibilidad
del recurso (tener en cuenta la definición de recurso: físico, lógico y
servicio).
Por ejemplo:
El segundo caso es el de
Intercepción, en el cual se pone en riesgo la privacidad de los datos.
El tercer caso, Modificación afecta directamente la integridad de los
datos que le llegan al consumidor.
El cuarto y último caso es el de la producción impropia de información.
En éste, la información que recibe el consumidor es directamente falaz.
Una vez que estamos enterados de que hay sólo cuatro posibles casos de
causas posibles de problemas, ¿Qué se hace? Hay que identificar los recursos
dentro de la organización.
No hay comentarios:
Publicar un comentario