sábado, 31 de mayo de 2014

¿Qué es la seguridad informática? 
Pareciera que ahora todo dependiera de las computadoras e Internet - comunicación (correos
electrónicos, teléfonos celulares), entretenimiento (cable digital,
mp3s), transporte (sistemas de
motores de automóviles, navegación en aviones), compras (negocios online, tarjetas de crédito),
medicina (equipamiento, registros médicos), y la lista sigue. ¿En qué medida la mayor parte de su vida
depende de las computadoras? ¿Qué volumen de su información personal está almacenado ya fuere en
su propia computadora o en el sistema de otra persona?
La seguridad informática abarca proteger esa información previniendo, detectando y respondiendo a
los ataques.
¿Cuáles son los riesgos?
Hay muchos riesgos, algunos más serios que otros. Entre ellos están los virus que borran todo el sistema
completo, algunos entrando en su sistema y alterando archivos, otros usando su computadora para
atacar otras, o alguien que roba información de su tarjeta de crédito y hace compras no autorizadas.
Lamentablemente, no hay una garantía 100% de que algunos de estos episodios no le ocurrirán, aún con
las mejores precauciones, pero hay pasos que usted puede tomar para minimizar las probabilidades.
¿Qué puede hacer?
El primer paso para protegerse es reconocer los riesgos y familiarizarse con algunos de los términos
asociados con ellos.

• Hacker, atacante, o intruso – Estos términos se aplican a la gente que busca explotar las
debilidades del software y los sistemas de computación para su propio provecho. Aunque sus
intenciones a veces son bastante benignas y están motivadas sólo por la curiosidad, sus
acciones típicamente violan el uso que se pretende dar a los sistemas que están explotando.
Los resultados pueden variar desde una mera travesura (crear un virus sin ningún impacto
intencionalmente negativo) a una actividad maliciosa (robar o alterar información).
• Código malicioso – Un código malicioso, a veces denominado “malware”, es una amplia
categoría que incluye cualquier código que pudiera ser usado para atacar su computadora. Un
código malicioso puede tener las siguientes características:  Fuente: www.us-cert.gov/cas/tips
______________________________________________________________________
2


o Podría requerirle que usted haga algo antes de infectar su computadora. Esta acción
podría ser abrir el adjunto de un correo electrónico o ir a una página web en
particular.
o Algunas formas se propagan sin intervención del usuario y típicamente comienzan
explotando la vulnerabilidad de un software. Una vez que la computadora víctima se
ha infectado, el código malicioso intentará encontrar e infectar otras computadoras.
Este código también puede propagarse vía correo electrónico, sitios web, o software
basado en una red.
o Algunos códigos maliciosos dicen ser una cosa mientras que en realidad hacen algo
diferente detrás de escena. Por ejemplo, un programa que dice que acelera su
computadora puede en realidad estar enviando información confidencial a un intruso
remoto.
Los virus y gusanos son ejemplos de código malicioso.
• Vulnerabilidad – En la mayoría de los casos, las vulnerabilidades son provocadas por errores de
programación en el software. Los atacantes podrían tomar ventaja de estos errores e infectar
su computadora, por lo tanto es importante aplicar actualizaciones o parches para corregir las
vulnerabilidades conocidas.
Esta serie de consejos de seguridad le dará mayor información acerca de cómo reconocer y protegerse
de los ataques

POLITICAS DE SEGURIDAD INFORMATICA

Políticas de Seguridad de la Información
volver
De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible. Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características.
El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como muchos documentos son ignorados por contener planes y políticas difíciles de lograr, o peor aún, de entender.
Esto adquiere mayor importancia aún cuando el tema abordado por estas políticas es la Seguridad Informática. Extensos manuales explicando como debe protegerse una computadora o una red con un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Protección" = "Aceite de Serpiente" del mundo.
He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.
En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra." (1)Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:
Decisión:elección de un curso de acción determinado entre varios posibles.
Plan:conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
Estrategia:conjunto de decisiones que se toman para determinar políticas, metas y programas.
Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.
Meta: objetivo cuantificado a valores predeterminados.
Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.
Norma: forma en que realiza un procedimiento o proceso.
Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.
Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.
Pronostico: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros.
Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan. (2)Riesgo:proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema." (3)La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." (5) y debe:
  • Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
  • Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
  • Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
  • Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.
No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

x