Por una cultura de protección informática

Autor: Paulina Sánchez

Revista: Año 2002 - Número 29

Fecha de Publicación: 26-10-2009

 


La creciente amenaza de los virus informáticos y la falta de cultura acerca del tema han provocado enormes pérdidas monetarias, de productividad y de datos en todo el mundo. Tan sólo en el año 2000 los ataques de virus generaron pérdidas por $17.1 billones de dólares. Por ello, actualmente la seguridad en los sistemas de información y de cómputo se ha convertido en uno de los problemas más grandes desde la globalización de Internet.

Las amenazas se presentan de formas muy diferentes. Además, de la amenaza interna o de fuentes externas como los hackers y los virus, el tráfico de comunicaciones de datos, sonido o imagen están expuestos también al riesgo en el tránsito entre una organización y otras partes.

Aunque desafortunadamente aún no existe seguridad total para los sistemas informáticos, es fundamental que las empresas adopten una cultura de protección informática de manera más seria. Según una encuesta conducida por el Chicago Tribune para su sección tecnológica, menos de la mitad de las compañías realizan las supervisiones rutinarias de seguridad; solamente una mitad usa el cifrado de datos (encripción); sólo un 62% tienen las políticas que gobiernan el acceso Internet y 42% no vigilan el uso de Internet del empleado y solamente 30 % aplican realmente los controles de acceso.

Para Alejandro Hernández, Director General para México de Trend Micro, es prioritario informar a los tomadores de decisiones de negocios y a los responsables en la compra de tecnología en las empresas sobre las principales tendencias en la industria de seguridad informática, así como sensibilizarlos sobre la importancia de esta materia para crear más conciencia de la problemática y de esta forma más empresas adopten una política de seguridad.

La problemática de Seguridad

En los últimos años, los problemas de seguridad que se vienen observando en las empresas y organismos han sido una constante recurrente; se pueden diferenciar en tres grandes grupos:

Los problemas estructurales

La estructura de la organización no se hace pensando en la seguridad informática, por lo que no hay una definición formal de las funciones ni responsabilidades relativas a seguridad y no suelen existir canales de comunicación adecuados para tratar estos incidentes; predominan los canales de tipo informal y el de boca a boca.

Problemas en el planteamiento

Para algunos expertos en la materia, los planteamientos de seguridad se caracterizan por su falta de coherencia, ya que no están adaptados a las necesidades de la empresa. En la mayoría de los casos no se definen normas ni procedimientos salvo cuando su ausencia puede afectar al propio negocio, por lo que resulta difícil justificar gastos y recursos.

El problema tecnológico

La sensación de falsa seguridad provocada por la excesiva confianza en las soluciones tecnológicas induce a bajar la guardia.

En conclusión, la gran mayoría de las empresas no consideran el valor de la seguridad. La organización crece e implementa soluciones de seguridad de acuerdo a necesidades específicas, no existe una estrategia definida, ni normas o procedimientos; es decir, lo habitual es que no se contemple expresamente la seguridad informática.

Objetivos de una política de Seguridad

Para tratar de minimizar la vulnerabilidad que existe actualmente en los sistemas de información, resulta esencial una política o cultura de seguridad en las empresas que responda a cada aspecto concreto. Aunque nunca será suficiente, puesto que en cualquier momento podría burlarse dicha seguridad, ya sea por fuentes internas o externas, siempre deberán aplicarse procedimientos adecuados y proporcionar capacitación al personal para tratar de reducir las pérdidas al mínimo posible. Sin embargo, el objetivo fundamental de desarrollar una política de seguridad es definir las expectativas de una institución con respecto al uso adecuado de las computadoras y de la red, así como definir los procedimientos precisos para prevenir y responder a los incidentes de seguridad.

El desarrollo de una política o cultura de seguridad comprende la identificación de los activos de la organización, la evaluación de amenazas potenciales, la evaluación del riesgo, la implementación de las herramientas y tecnologías disponibles para hacer frente a los riesgos y el desarrollo de una política de uso. Asimismo, debe crearse un procedimiento de auditoría que revise el uso de la red y equipo de forma periódica.

Planificando la Seguridad

El Plan de Seguridad debe ser un proyecto que desarrolle los objetivos de seguridad a largo plazo de la organización, siguiendo el ciclo de vida completo desde la definición hasta la implementación y revisión.

La forma adecuada para plantear la planificación de la seguridad en una organización debe partir siempre de la definición de una política de seguridad que defina el qué se quiere hacer en materia de seguridad en la organización para decidir mediante un adecuado plan de implementación y el cómo se alcanzarán en la práctica los objetivos fijados.

La Política de Seguridad englobará los objetivos, conductas, normas y métodos de actuación y distribución de responsabilidades y actuará como documento de requisitos para la implementación de los mecanismos de seguridad. La política debe contemplar, al menos, la definición de funciones de seguridad, la realización de un análisis de riesgos, la definición de normatividad y procedimientos, la definición de planes de contingencia ante desastres y la definición del plan de auditoría.

A partir de la Política de Seguridad se podrá definir el Plan de Implementación, que es muy dependiente de las decisiones tomadas en ella, en el que se contemplará: el estudio de soluciones, la selección de herramientas, la asignación de recursos y el estudio de viabilidad.

Hay dos cuestiones fundamentales que deberán tenerse en cuenta para implantar con éxito una política de seguridad: Es necesario que la política sea aprobada para que esté respaldada por la autoridad necesaria que asegure su cumplimiento y la asignación de recursos, y es prioritario que se realicen revisiones periódicas que la mantengan siempre actualizada y acorde con la situación real del entorno.

Una política de uso aceptable

A pesar de lo cambiante del entorno, los requisitos de seguridad siguen siendo los mismos: Autenticación, confidencialidad, control de acceso, integridad y no repudio; aunque los objetivos y la implementación de los mismos evolucionan a velocidad vertiginosa. Sin embargo, se debe reconocer que nunca será suficiente, puesto que en cualquier momento puede burlarse dicha seguridad. Por ello deberán aplicarse procedimientos adecuados y proporcionar capacitación al personal para reducir las pérdidas al mínimo posible. En caso de infección por virus, los empleados deben saber qué hacer y qué no hacer. Pero antes de cualquier cosa para que una política de seguridad funcione de forma efectiva, debe considerar lo siguiente:

¿Quién tiene permiso para utilizar los recursos?
¿ Quién está autorizado a conceder acceso?
¿ Qué hacer con la información confidencial?
¿Cuáles son los derechos y responsabilidades de los usuarios?

Para poder entrar en un recinto, leer unos datos y modificar un registro, etc., será necesario saber de quién se trata y si la persona está autorizada. Por lo tanto, será preciso identificar al sujeto (Identificación) de forma totalmente fiable (Autenticación o Verificación) y consultar un archivo, bases de datos y/o algoritmo que indique si la persona tiene o no autorización para realizar la acción que demanda (Autorización).

Posteriormente se deben adoptar algunas técnicas y tecnologías de seguridad. Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática. Por sí mismas, las aplicaciones de software y los diversos productos de hardware que conforman la red informática de una empresa no cuentan con una política de seguridad; sin embargo, son elementos fundamentales en el establecimiento de la seguridad de las empresas.
Entre los métodos más utilizados para la seguridad de la red, están: codificación de la información, firewalls, host de base dual, host de bastión, proxies, redes virtuales privadas, protocolo SSL. Pero ninguno de éstos sería efectivo sin antes establecer dentro de la organización una verdadera cultura de seguridad informática.

 


 



Patrocinadores: