Tendencias en la gestión de la seguridad de la información

Transcripción

1 Tendencias en la gestión de la seguridad de la información Seguridad de Tecnología de Información en las empresas La tecnología de información (TI) ha venido reformando los procesos administrativos en las empresas de hoy día permitiendo que los procesos se integren más fácilmente y a la vez sean más eficientes, además posibilita agilizar el tener información necesaria para la toma de decisiones, todo esto es posible en la mayoría de los casos gracias a la penetración que ha logrado la tecnología del Internet. Cuando una empresa maneja información en la red pública de Internet y hasta internamente en su red local, la misma corre el riesgo de que dicha información pueda ser obtenida por competidores o personas no autorizadas y en muchos casos la información puede llegar a ser destruida si quien logra acceder a ella tiene fines malignos. Si uno de estos eventos sucederá entonces que no se tendría la base de información correcta cuando se requiera al momento de tomar las decisiones. Para proteger la información empresarial a través del tiempo se han desarrollado tecnologías de software y hardware tales como antivirus, firewalls, entre otras. Anteriormente, cuando las redes estaban diseñadas para cubrir solamente la oficina local (redes de área local) el tener simplemente un software antivirus y ciertas medidas físicas de seguridad ayudaba bastante a proteger la información de que la misma no llegara a ser destruida o robada por personas que perseguían dichos fines. En los tiempos actuales dicho modelo no sería efectivo ni práctico debido a que las empresas tienen ya por lo menos una puerta abierta hacia el Internet ya que utilizan dicho servicio o utilizan un sistema de mensajería electrónica que a su vez deberá intercambiar mensajes con el mundo externo a la empresa. Para proteger la información en una empresa donde exista una conexión con la red pública se utilizan estrategias de firewalls, routers, software de firewall, antispyware, detección de intrusos, etc. y el objetivo final será de proteger la red local, el sistema de mensajería, la información de la empresa, etc. Imaginemos una empresa pequeña o mediana en donde el personal esté normalmente orientado a mantener las operaciones de los sistemas de TI y mantienen una continua vigilancia sobre los mismos, lo cual es el cuadro promedio en nuestros días, pero en lo que respecta a los temas de seguridad no hay esa continua vigilancia por parte del personal sino

2 que normalmente se utilizan programas que realizan dicha tarea y en muchos casos el personal de TI no vigila de cerca los eventos que registran dichos sistema de control ya sea por su gran carga de trabajo o por no tener políticas de TI que así lo exijan. En dicho caso, que repito es bastante común en nuestros días, la empresa quedaría desprotegida en cualquier momento porque los piratas informáticos y los desarrolladores de virus cada día que pasa encuentran nuevas formas de violar dichos sistemas de seguridad. La valoración de lo que sucede en nuestros días, será que en el futuro venidero, las empresas, debido a la importancia y valor que tiene la información, deberán de reorganizar su departamento de TI teniendo personas totalmente dedicadas a los aspectos de soporte, desarrollo de red y programas así como por otro lado a personas totalmente dedicadas a los aspectos de seguridad que garanticen la protección de la información. Es decir, si actualmente en una empresa pequeña sólo tenemos una persona responsable de todos los aspectos del área de TI, tendremos que variar este esquema por uno que incluya otra persona para solamente trabajar con los aspectos relacionados a la seguridad. Entre las principales razones para realizar dichos cambios se encuentran: La gran cantidad de personas y empresas dedicadas a violar los sistemas para conseguir las informaciones de las empresas y hacer negocio con estas. La vulnerabilidad que traen consigo muchos programas desarrollados inclusive por empresas tales como Microsoft y las mismas son descubiertas por los programadores y los piratas informáticos para poder acceder a los sistemas y obtener la información. Un método comúnmente utilizado por ejemplo es el habilitar un virus troyano anexado a una foto o página web que regularmente accedemos y que abre un puerto del computador permitiéndole al interesado entrar en la red de la empresa y realizar lo que desee. La necesidad que tiene la empresa en dedicarse estratégicamente en los aspectos que la ponen en riesgo ante las demás empresas. El poder tener un departamento de TI que pueda laborar más eficientemente. Mantener una buena reputación en la red pública y ante las demás empresas. Garantizar las operaciones de la empresa Es indudable que las empresas, especialmente aquellas que tienen sus operaciones interconectadas a través de la red pública corren un alto riesgo de que su información llegue a estar en poder de manos no deseadas y que el manejo de la misma por estos medios agiliza su flujo y permite a las empresas dar respuestas más rápidas al mundo cambiante de hoy, pero aquellas que se enfocan en darle la importancia y el valor correcto a este aspecto cuidan uno de los activos más valiosos en estos tiempos ya que si se quedan sin el pueden hasta perder su propio negocio.

3 Cómo proteger la intranet de mi empresa? Una Intranet es una red o un conjunto de redes informáticas interconectadas pertenecientes a una misma institución. Como en todas las redes informáticas, el propósito fundamental de la Intranet es compartir información y recursos entre los distintos usuarios de la misma. Lo que distingue a una Intranet de otros tipos de redes es el protocolo usado para la comunicación entre los ordenadores, que es el TCP/IP, el mismo que se utiliza en Internet. Con lo cual una Intranet puede ser considerada como una Internet a pequeña escala. Una Intranet permite establecer en el seno de las corporaciones utilidades relacionadas con la documentación sobre la entidad y sus proyectos, los empleados, la formación, los inventarios, etc.; propicia las aplicaciones de trabajo en grupo, los foros de discusión, planes de marketing, gestión de proyectos y actividades de diseño y fabricación; las comunicaciones son bidireccionales, permiten la comunicación entre equipos, entre departamentos, entre sedes instaladas en distintos locales, y, naturalmente, se da también comunicación de puertas afuera (Internet), mejorando las relaciones exteriores, sean nacionales o internacionales. Los objetivos de la Intranet es conseguir una mejor y más eficiente comunicación y colaboración entre directivos, empleados e incluso, si se desea, colaboradores externos. Por todo ello y teniendo en cuenta la delicada información corporativa que generalmente figura en la Intranet de las empresas, merece especial atención detenerse sobre la seguridad de las mismas. Cualquier Intranet es vulnerable a los ataques de personas que tengan el propósito de destruir o robar datos empresariales. La naturaleza sin límites de Internet y los protocolos TCP/IP exponen a una empresa a este tipo de ataques. Las Intranets requieren varias medidas de seguridad, incluyendo las combinaciones de hardware y software que proporcionan el control del tráfico; la encriptación y las contraseñas para convalidar usuarios; y las herramientas del software para evitar virus, bloquear sitios indeseables, y controlar el tráfico. Una Intranet también tiene implicaciones en lo que a protección de datos de carácter personal se refiere, en el 95% de las Intranets analizadas por Áudea, Seguridad de la Información, figuraban los datos personales de toda la plantilla de la empresa, en el 20% de los casos figuraba incluso la fotografía de los empleados, y en el 40% de las empresas analizabas figuraban datos de las personas de contacto de los proveedores y clientes. La Agencia de Protección de Datos destacó en su memoria del año 2001 algunas de las

4 resoluciones relativas a la actividad de Internet que vulneran principios de privacidad de las personas: Divulgación a través de la Red de imágenes personales. Infracciones por dejar al descubierto en Internet datos personales. Transferencia de información confidencial. Retención de datos personales, como puede ser las contraseñas de usuarios. El principal problema radica en que a pesar de que una Intranet es una red privada a la que tienen acceso grupos bien definidos y limitados, ésta no se encuentra exenta de ataques que pudiesen poner en riesgo la información que maneja, ya que la mayoría de éstos son provocados por sus mismos usuarios. La mayoría de las estadísticas de seguridad en cómputo indican que cerca del 80% de los fraudes relacionados con las computadoras provienen de los usuarios internos, por esto las intranets son las más vulnerables a ataques de ésta índole, al respecto, las medidas de Seguridad de la Información que debería adoptar una empresa a grandes rasgos son las siguientes: La creación de unas Políticas de Seguridad a nivel corporativo. Las Políticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se está tratando de protege. Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Crear un Control de Acceso El objetivo de este procedimiento persigue establecer unas normas que regulen la gestión de las contraseñas y los privilegios de acceso a los sistemas de información, aplicaciones y datos de la empresa en cuestión. Varias técnicas de seguridad, incluyendo la encriptación, ayudan a asegurarse de que las contraseñas se mantienen a salvo. También es necesario exigir que las contraseñas se cambien frecuentemente, que no sean adivinadas fácilmente o palabras comunes del diccionario, y que no se revelen simplemente. La autenticación es el paso adicional para verificar que la persona que ofrece la contraseña es la persona autorizada para hacerlo.

5 Implantar medidas técnicas que eviten la propagación de virus por el sistema informático. Para proteger la información corporativa delicada, y para asegurar que los piratas no perjudican a los sistemas informáticos y a los datos, la empresa deberá implantar todas las medidas que estén a su alcance como el uso de barreras de seguridad denominadas firewalls que protegen a una Intranet de Internet. Otra medida técnica de fundamental importancia y quizás sea la más extendida es el uso de programas antivirus, pues bien éstos deberían ejecutarse en los terminales individuales dentro de la Intranet porque es posible que se pueda introducir un virus en la Intranet por disquetes, por ejemplo. Además de la protección contra virus, puede detectar virus y extirpar cualquier virus que encuentre. Como se puede ver existen varios y diversos métodos para implementar una Intranet segura, pero ninguno por sí sólo puede brindarnos la suficiente seguridad, sino que es la combinación de todos estos elementos junto con una acertada planeación de políticas de seguridad, unos requerimientos específicos y las características propias de la empresa, son los que podrían ayudarnos a definir una eficiente estrategia de seguridad sin que todo esto interrumpa o entorpezca las actividades de los usuarios que son para los que finalmente la Intranet se construyó. Gestión de la seguridad de la información En la actualidad, cada vez menos las inversiones en seguridad que realizan las empresas se están destinando exclusivamente a la compra de productos, sino que comienzan a dotar parte de su presupuesto para destinarlo a la gestión de la seguridad de la información. El concepto de seguridad ha variado, acuñándose un nuevo concepto: seguridad gestionada, que ha desbancado al de seguridad informática. Las medidas que comienzan a tomar las empresas giran entorno al nuevo concepto de gestión de la seguridad de la información. Éste tiene tres vertientes técnica, legal y organizativa, es decir un planteamiento coherente de directrices, procedimientos y criterios que permiten desde la dirección de las empresas asegurar la evolución eficiente de la seguridad de los sistemas de Información, la organización afín y sus infraestructuras. Para gestionar la seguridad de la información de una entidad se debe partir de una premisa fundamental y es que la seguridad absoluta no existe. Tomando como referencia esta máxima, una entidad puede adoptar alguna de las normas existentes en el mercado que establecen determinadas reglas o estándares que sirven de guía para gestionar la seguridad de la información. El presente artículo se va a centrar en una de ellas, concretamente en la norma UNE / ISO La norma UNE/ISO/IEC es un código de buenas prácticas para gestionar la

6 seguridad de la información de una organización, de tal forma que le permita en todo momento la confidencialidad, integridad y disponibilidad de la información que maneja. La creación de esta norma responde a la necesidad de proporcionar una base común, a las organizaciones, de normas y recomendaciones desde la triple óptica técnica, organizativa y jurídica, y cuyo cumplimiento implique mediante una acreditación que dicha organización mantiene una infraestructura y un esquema de funcionamiento que garantizan la seguridad de la información que manejan. Esta norma tiene su origen en el British Standard BS Esta norma británica está constituida por un código de buenas prácticas y un conjunto de controles o requerimientos que han sido adoptados por numerosas empresas a nivel mundial con el objeto de conseguir una certificación en seguridad de la información por parte de BSI (British Standard Institute) a través de la cual pueden acreditar frente a terceros (clientes, proveedores...etc) que la empresa maneja su información de forma segura, fijándose de este modo un criterio que determina la confianza en la entidad. La primera parte del BS 7799 (Part I) fue propuesta como un estándar ISO en octubre de Su aprobación se produjo en octubre del año siguiente, de forma tal que en diciembre del año 2000 fue publicado el ISO/IEC Esta norma constituye un código de buenas prácticas sin que sea posible obtener una certificación en base a sus disposiciones, puesto que todavía no ha sido aprobado la segunda parte de esta norma ISO. Para que las empresas puedan ser certificadas sobre la base de estos códigos de buenas prácticas es preciso el establecimiento de una norma que establezca los criterios o especificaciones que deben reunir los sistemas de gestión de la seguridad de la información (SGSI). Nuevamente, Gran Bretaña fue la pionera publicando la BS 7799 (Part 2) que establece los criterios que debe reunir un SGSI para ser certificable. En Europa, el proceso va más lento y se espera que la ISO /IEC (Parte II) vea la luz a lo largo del En lo que se refiere a España, el 23 de junio de 2003, en reunión extraordinaria del Subcomité 27 se aprobó la UNE Especificaciones para los sistemas de gestión de la seguridad de la información, decisión que fue ratificada por el CTN 71. Tras pasar por el correspondiente trámite de información pública y haber resuelto los comentarios el Subcomité 27 fue aprobada definitivamente por el CTN y editada definitivamente por AENOR, en febrero de Por tanto actualmente, España al igual que Gran Bretaña cuenta con una norma certificable (UNE 71502), de tal forma que cualquier empresa, que lo desee ya que el sometimiento a los requerimientos que se establecen es voluntario, podrá someterse a los procedimientos fijados para obtener un certificado en materia de gestión de la seguridad de la información, en el que al igual que ocurre en cuanto a calidad, con la norma ISO 9001 constituirá una garantía frente a terceros de que ésta establece unos controles y medidas suficientes, tanto

7 legales, como organizativas y técnicas para mantener la confidencialidad, integridad y disponibilidad de toda la información que es manejada dentro de la entidad. El objeto de esta norma es establecer las especificaciones para que una empresa desarrolle un SGSI que pueda ser certificado por una entidad independiente. La norma básicamente comprende los siguientes aspectos. Política de Seguridad Organización de la Seguridad Clasificación y control de activos de información Gestión de la Seguridad de la información y el personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso Mantenimiento y desarrollo de sistemas Gestión de la Continuidad del negocio Conformidad Estas 10 secciones en las que está organizada la norma se dividen a su vez en 127 controles (jurídicos, técnicos y organizativos). A la hora de que una empresa decida guiar la gestión de la seguridad de la información sobre los postulados de esta norma en primer lugar deberá llevar a cabo una labor de consultoría tendente a que la entidad cumpla con los parámetros que fija la norma. Para ello deberá en líneas generales: 1. Definir el alcance del SGSI, es decir sobre qué proceso o procesos va a actuar ya que no es necesario la aplicación de la norma a toda la entidad. 2. Identificar los activos de información 3. Realizar un análisis de riesgos, el cual determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados. 4. Selección de controles 5. Determinar, bajo el principio de proporcionalidad, las medidas correctoras a adoptar para paliar las deficiencias o anomalías detectadas. 6. Generar la documentación: Política de Seguridad, procedimientos básicos de gestión de la seguridad de la información, protocolos de actuación, registros...etc

8 Una vez que la empresa ha realizado todas las actuaciones tendentes al cumplimiento de las recomendaciones establecidas en la norma podrá solicitar, si así lo estima conveniente, a una entidad certificadora que acredite dicho cumplimiento. Con anterioridad a que las entidades independientes (certificadoras) puedan dictaminar la situación de una empresa en relación a la norma, la Entidad Nacional de Acreditación (ENAC) debe crear un esquema de certificación al que las entidades certificadoras deben someterse. Concretamente, en junio de 2004, ENAC publicó una nota informativa (disponible en su página web en la que establece que los criterios de acreditación para certificadores de sistemas de gestión de la seguridad de la información están recogidos en la norma UNE-EN Requisitos generales para entidades que realizan la evaluación y certificación de sistemas de la calidad. (Guía ISO/CEI 62) y en el documento EA-7/03 Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems. Este ultimo documento, elaborado por un grupo de trabajo de European Co-operation for Accreditation (EA), recoge explicaciones para la aplicación de la norma EN en el campo de los Sistemas de Gestión de la Seguridad de la Información (SGSI). Actualmente, ninguna certificadora está acreditada por ENAC, por tanto los certificados que emiten son propios; no obstante, alguna de las entidad certificadora está acreditada ante BSI puede emitir certificados en materia de gestión de seguridad de la información conforme a la BS.