SlideShare ist ein Scribd-Unternehmen logo

2003 07-seguridad

Osiel Alvarez Villarreal
Osiel Alvarez Villarreal
1 von 4
Downloaden Sie, um offline zu lesen
4 Actualidad TIC Seguridad Informática Desde la consolidación de Internet como medio de interconexión global, los incidentes de seguridad relacionados con sistemas informáticos vienen incrementándose de manera alarmante. Este hecho, unido a la progresiva dependencia de la mayoría de organizaciones hacia sus sistemas de información, viene provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad. En este artículo, vamos a proporcionar una visión general de los aspectos más relevantes de la seguridad informática, observando esta disciplina desde un punto de vista estratégico y táctico. Para ello destacaremos la conveniencia de afrontar su análisis mediante una aproximación de gestión, concretamente con un enfoque de gestión del riesgo. Para completar esta visión introductoria a la seguridad informática, mencionaremos las amenazas y las contramedidas más frecuentes que deberían considerarse en toda organización. En este artículo vamos a dar una visión general a los aspectos más relevantes de la seguridad informática, comenzando con una Introducción visión de la seguridad como parte integral de la gestión empresarial, continuaremos con la descripción de las amenazas más frecuentes La seguridad informática, de igual forma a como sucede con la que pueden comprometer los sistemas informáticos y con la seguridad aplicada a otros entornos, trata de minimizar los riesgos descripción de las medidas más efectivas para contrarrestarlas. Por asociados al acceso y utilización de determinado sistema de forma no último, finalizaremos mencionando las actividades más significativas autorizada y en general malintencionada. Esta visión de la seguridad que venimos realizando en el Instituto Tecnológico de Informática en informática implica la necesidad de gestión, fundamentalmente materia de seguridad. gestión del riesgo. Para ello, se deben evaluar y cuantificar los bienes a proteger, y en función de estos análisis, implantar medidas preventivas y correctivas que eliminen los riegos asociados o que los Objetivos de la Seguridad Informática reduzcan hasta niveles manejables. En general cualquier persona consideraría poco razonable El objetivo de la seguridad informática es proteger los recursos contratar a un agente de seguridad en exclusiva para proteger su informáticos valiosos de la organización, tales como la información, domicilio. Posiblemente sería una medida de seguridad excelente para el hardware o el software. A través de la adopción de las medidas evitar accesos no autorizados a nuestro domicilio, sin embargo, muy adecuadas, la seguridad informática ayuda a la organización cumplir pocos lo considerarían, simplemente por motivos económicos. Tras sus objetivos, protegiendo sus recursos financieros, sus sistemas, su evaluar el valor de los bienes a proteger, lo habitual sería considerar reputación, su situación legal, y otros bienes tanto tangibles como otras medidas más acordes con el valor de nuestros bienes. inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad Podríamos pensar en una puerta blindada, un conserje compartido informática como algo que dificulta la consecución de los propios con otros vecinos o incluso un servicio de vigilancia privada basada en objetivos de la organización, imponiendo normas y procedimientos sensores, alarmas y acceso telefónico con una central de seguridad. rígidos a los usuarios, a los sistemas y a los gestores. Sin embargo Combinando estas medidas preventivas con otras correctivas como debe verse a la seguridad informática, no como un objetivo en podría ser una póliza de seguro contra robo, alcanzaríamos un nivel sí mismo, sino como un medio de apoyo a la consecución de los de seguridad que podría considerarse adecuado. Muchas veces sin objetivos de la organización. hacerlo de forma explícita, habríamos evaluado el valor de nuestros En general el principal objetivo de las empresas, es obtener bienes, los riesgos, el coste de las medidas de seguridad disponibles beneficios y el de las organizaciones públicas, ofrecer un servicio en el mercado y el nivel de protección que ofrecen. eficiente y de calidad a los usuarios. En las empresas privadas, la En seguridad informática, los principios mostrados con nuestro seguridad informática debería apoyar la consecución de beneficios. ejemplo de seguridad en el domicilio son igualmente aplicables. Para ello se deben proteger los sistemas para evitar las potenciales Las únicas diferencias aparecen por las particularidades técnicas pérdidas que podrían ocasionar la degradación de su funcionalidad asociadas a los sistemas informáticos. La valoración económica de o el acceso a los sistemas por parte de personas no autorizadas. los bienes a proteger puede ser muchas veces una tarea compleja, De igual forma, las organizaciones públicas deben proteger sus la casuística de los riesgos potenciales muy grande, y la complejidad sistemas para garantizar la oferta de sus servicios de forma eficiente y diversidad de las medidas de seguridad disponibles dificulta su y correcta. selección. Sin embargo, el fondo sigue siendo el mismo, seguridad En cualquier caso, los gestores de las diferentes organizaciones implica proteger alguna entidad frente a un conjunto de riesgos y en deberían considerar los objetivos de la propia organización e este caso riesgos relacionados con los sistemas informáticos. incorporar la seguridad de los sistemas desde un punto de vista amplio, como un medio con el que gestionar los riesgos que pueden
Artículos Técnicos 5 comprometer la consecución de los propios objetivos, donde la uso de aplicaciones de gestión que comprometan la integridad de los cuantificación de los diferentes aspectos, muchas veces económica, datos, hasta catástrofes que inutilicen la totalidad de los sistemas. Las debe ser central. pérdidas pueden aparecer por la actividad de intrusos externos a la organización, por accesos fraudulentos, por accesos no autorizados, por el uso erróneo de los sistemas por parte de empleados propios, o Gestión del Riesgo por la aparición de eventualidades en general destructivas. Los efectos de las diversas amenazas puedes ser muy variados. La protección de los sistemas y de la información no suele eliminar Unos pueden comprometer la integridad de la información o de los completamente la posibilidad de que estos bienes sufran daños. En sistemas, otros pueden degradar la disponibilidad de los servicios consecuencia, los gestores deben implantar aquellas medidas de y otros pueden estar relacionados con la confidencialidad de la seguridad que lleven los riesgos hasta niveles aceptables, contando información. En cualquier caso una correcta gestión de los riesgos para ello con el coste de las medidas a implantar, con el valor de los debe implicar un profundo conocimiento de las vulnerabilidades de bienes a proteger y con la cuantificación de las pérdidas que podrían los sistemas y de las amenazas que los pueden explotar. Las propias derivarse de la aparición de determinado incidente de seguridad. características de las organizaciones deben influir en las medidas de Los costes y beneficios de la seguridad deberían observarse seguridad que resulten más adecuadas y más eficientes en términos cuidadosamente para asegurar que el coste de las medidas de de costes, para contrarrestar las amenazas o incluso para tolerarlas seguridad no excedan los beneficios potenciales. La seguridad debe conociendo en todo caso sus implicaciones. ser apropiada y proporcionada al valor de los sistemas, al grado de A continuación vamos a mostrar las amenazas más frecuentes que dependencia de la organización a sus servicios y a la probabilidad y deberían ser tenidas en cuenta por toda organización como fuentes dimensión de los daños potenciales. Los requerimientos de seguridad potenciales de pérdidas. Conviene destacar que la importancia de variarán por tanto, dependiendo de cada organización y de cada una u otra amenaza varía de forma significativa entre organizaciones sistema en particular. distintas y que debería hacerse un estudio individualizado de sus En cualquier caso, la seguridad informática exige habilidad para repercusiones concretas y de la probabilidad de su aparición. gestionar los riesgos de forma adecuada. Invirtiendo en medidas de seguridad, las organizaciones pueden reducir la frecuencia y la severidad de las pérdidas relacionadas con violaciones de la 1. Errores y omisiones seguridad en sus sistemas. Por ejemplo, una empresa puede estimar Los errores de los empleados al utilizar los sistemas pueden que está sufriendo pérdidas debidas a la manipulación fraudulenta comprometer la integridad de la información que maneja la de sus sistemas informáticos de inventariado, de contabilidad o de organización. Ni siquiera las aplicaciones más sofisticadas están facturación. En este caso puede que ciertas medidas que mejoren los libres de este tipo de problemas, que pueden reducirse con refuerzos controles de acceso, reduzcan las pérdidas de forma significativa. en controles de integridad de los datos y con un adiestramiento Las organizaciones que implantan medidas adecuadas de adecuado del personal. seguridad, pueden obtener un conjunto de beneficios indirectos Muchas veces, simples errores pueden comprometer no que también deberían considerarse. Por ejemplo, una organización únicamente la integridad de los datos, sino incluso puede que que cuente con sistemas de seguridad avanzados, puede desviar la causen la aparición de nuevas vulnerabilidades en los sistemas. atención de potenciales intrusos hacia víctimas menos protegidas, Este tipo de amenazas es si cabe más relevante en las empresas puede reducir la frecuencia de aparición de virus, puede generar una que se dedican al sector de las nuevas tecnologías, desarrollando mejor percepción de los empleados y otros colaboradores hacia la e implantando sistemas, muchas veces interconectados entre propia empresa, aumentando la productividad y generando empatía diversas organizaciones. Un simple error de programación, en la de los empleados hacia los objetivos organizativos. administración, o la carencia de la formación necesaria para evaluar Sin embargo, los beneficios que pueden obtenerse con medidas las implicaciones de seguridad de determinada aproximación de de seguridad presentan costes tanto directos como indirectos. desarrollo, puede causar vulnerabilidades que afecten no únicamente Los costes directos suelen ser sencillos de evaluar, incluyendo la a las organizaciones usuarias de los sistemas, sino también a las compra, instalación y administración de las medidas de seguridad. propias empresas que los desarrollan que se podrían ver muy Por su parte pueden observarse costes indirectos, como decremento perjudicadas en su imagen corporativa. en el rendimiento de los sistemas, pueden aparecer necesidades formativas nuevas para la plantilla o incluso determinadas medidas, como un excesivo celo en los controles, pueden minar la moral de los 2. Intrusiones empleados. Bajo esta amenaza se incluyen tanto actividades claramente En muchos casos los costes asociados a las medidas de seguridad fraudulentas, como meras intrusiones efectuadas por determinados pueden exceder a los beneficios esperados por su implantación, en individuos con el único fin de probar sus “habilidades” o incluso cuyo caso una correcta gestión llevaría a platearse su adopción frente actos de sabotaje, terrorismo informático o espionaje industrial. a la posibilidad de simplemente tolerar el problema. Las actividades fraudulentas, incluido el robo, puede que sean las más preocupantes para muchas organizaciones, sobre todo para Amenazas aquellas que tengan bienes de elevado valor, gestionados mediante sistemas informáticos. Ejemplos de este tipo de organizaciones Los sistemas informáticos son vulnerables a multitud de pueden ser las entidades financieras, los organismos públicos que amenazas que pueden ocasionar daños que resulten en pérdidas generen acreditaciones oficiales o incluso empresas de distribución significativas. Los daños pueden variar desde simples errores en el o comercio electrónico, donde los sistemas informáticos pueden ser
6 Actualidad TIC susceptibles de alteración malintencionada con objeto de obtener propia naturaleza, tormentas eléctricas o actividades reivindicativas provecho económico. descontroladas de determinados colectivos. Los autores de las intrusiones pueden ser tanto externos a la propia organización, como internos. Es reseñable destacar que muchos estudios sobre fraudes y robos mediante tecnologías de la 4. Lógica maliciosa información coinciden en señalar que la mayoría de las actividades Entre estas amenazas encontramos los virus, los gusanos, los fraudulentas son realizadas por personal vinculado a la propia caballos de Troya y las bombas lógicas. Aun existiendo diferencias organización. Pueden ser empleados con acceso a sistemas o técnicas entre ellas, el nexo común a todas estas amenazas consiste información no controlada, antiguos empleados con conocimientos en que se trata de software creado en general para causar daño. tanto de los sistemas como de las medidas de seguridad internas o Los costes asociados a su aparición pueden ser significativos y personas vinculadas en cierta forma con la organización y que gozan varían en función de la virulencia de sus acciones. Pueden suponer de determinados privilegios que muchas veces se esconden bajo simplemente pérdidas debidas a la dedicación de personal y recursos aparentes relaciones cordiales con la propia empresa. a su eliminación o pérdidas mucho mayores si resultan afectados, En muchos casos las intrusiones generan importantes daños corrompidos o destruidos sistemas críticos para la organización. económicos, pero en todos los casos causan una importante sensación de desprotección en toda la organización, que se agrava si no es posible identificar a los autores de las intrusiones, las técnicas 5. Amenazas a la privacidad de las personas empleadas para cometerlas o los objetivos que persiguen. La acumulación de enormes cantidades de datos de carácter La creciente importancia de las intrusiones maliciosas en los personal por entidades públicas y privadas, unida a la capacidad de sistemas informáticos la podemos encontrar reflejada en el siguiente los sistemas informáticos para combinar y procesar las informaciones 90000 vienen generando claras amenazas a la privacidad de los individuos. 82094 La constatación de estas amenazas por parte de la mayoría de 80000 Incidencias países ha llevado a la elaboración de leyes y normas que limitan el 70000 tratamiento de los datos de carácter personal. 60000 Estas amenazas no sólo afectan a los individuos, sino también a 52658 50000 toda organización que manipule información sensible de personas. De no observarse la legislación vigente y en caso de no implantar 40000 las medidas adecuadas para su cumplimiento, se pueden derivar 30000 pérdidas, tanto económicas por las correspondientes multas, como 21756 20000 de imagen corporativa. 9859 10000 2573 2134 3734 6 132 252 406 773 1334 2340 2412 Medidas de Seguridad 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 Figura 1: Evolución de las incidencias intervenidas por el CERT/CC Existe un gran abanico de medidas de seguridad que pueden (fuente: www.cert.org). reducir el riesgo de pérdidas debidas a la aparición de incidentes gráfico, donde se puede observar el alarmante incremento de en los sistemas informáticos. Muchas veces al hablar de medidas incidentes de seguridad ocurrido en los últimos años. de seguridad, solo se mencionan las meramente técnicas, como Concretamente el gráfico muestra el número de incidentes cortafuegos, antivirus o sistemas de copias de respaldo. Sin ocasionados por intrusiones, y comunicados al CERT, un embargo, las medidas más efectivas suelen ser las medidas de organismo de reconocido prestigio internacional dedicado a la gestión planteadas a medio y largo plazo desde un punto de vista prevención y análisis de los incidentes de seguridad aparecidos en estratégico y táctico. Internet. Conviene destacar que las cifras únicamente muestran A continuación mencionaremos brevemente las medidas y los datos comunicados al CERT, y que vienen a representar a las sistemas de seguridad más frecuentes agrupándolas bajo dos intrusiones efectuadas por parte de individuos externos a las propias aspectos. Medidas de gestión y medidas técnicas. Las primeras organizaciones. Los datos se refieren a todo el mundo, sin embargo deben ser implantadas por los gestores de las organizaciones como también destacamos que las cifras provienen mayoritariamente de parte de los planes estratégicos y tácticos, mientras que las segundas grandes empresas, asentadas fundamentalmente en los Estados se corresponden con herramientas y sistemas técnicos diseñados Unidos, Europa y Japón. Sin embargo, pese a lo parcial de las cifras, para evitar, controlar o recuperar los daños que pueden sufrir los no deja de resultar ilustrativa la curva de crecimiento y las magnitudes sistemas por la aparición de determinadas amenazas de seguridad. de los incidentes constatados. 1. Medidas de gestión 3. Accidentes y desastres Los gestores de toda organización deberían contemplar la Eventualidades tan cotidianas como la simple rotura de una seguridad informática como parte integral de las estrategias y tácticas cañería, la pérdida de fluido eléctrico o la rotura de equipos o corporativas. Una vez plasmada la importancia de los sistemas para mecanismos de comunicaciones pueden tener efectos claramente la consecución de los propios objetivos y los riesgos que puede negativos sobre los sistemas de información. Debe incluso suponer para la empresa la pérdida de integridad de su información, contemplarse la posibilidad de aparición de eventos más graves, la indisponibilidad de sus sistemas o la violación de la confidencialidad como incendios, atentados terroristas, inundaciones causadas por la
Artículos Técnicos 7 de su información, pueden plantearse con mayor rigor el resto de sistemas de autenticación biométricos basados en el reconocimiento medidas encaminadas a servir a los objetivos empresariales. mecanizado de características físicas de las personas. Por último, Emanando de la vertiente estratégica de la información y de todo esquema de seguridad debe contemplar en una u otra medida el los sistemas corporativos, suelen generarse dos herramientas de cifrado de información sensible. A veces puede ser suficiente el cifrado gestión no menos importantes: las políticas de seguridad y el plan de de las contraseñas, mientras que en otras resulta imprescindible el contingencia. cifrado de las comunicaciones y de las bases de datos. Las políticas de seguridad de una organización son las normas Como medidas más avanzadas, podemos mencionar la y procedimientos internos que deben seguir los integrantes de la esteganografía, la detección de vulnerabilidades y la detección organización para respetar los requerimientos de seguridad que de intrusos. Las técnicas esteganográficas tratan de ocultar deseen preservarse. Debe describirse la criticidad de los sistemas y información. A diferencia de la criptografía, que trata de hacer de la información, los roles de cada puesto de trabajo y la mecánica indescifrable la información, la esteganografía trata de evitar que de acceso a los sistemas, herramientas, documentación y cualquier siquiera se note su existencia. Por ejemplo las empresas dedicadas otra componente del sistema de información. Resulta frecuente a producir documentos digitales, pueden estar interesadas en incluir desglosar las políticas de seguridad en procedimientos detallados determinada marca invisible de forma que sea demostrable su autoría para cada componente del sistema de forma individualizada, así por y puedan perseguirse copias ilegales. ejemplo, pueden crearse documentos que describan las políticas de Las herramientas de detección de vulnerabilidades suelen verse tratamiento de correos electrónicos, políticas de uso de Internet, de como herramientas de auditoria, que pueden mostrar las vías que copias de respaldo, de tratamiento de virus y otra lógica maliciosa, con mayor probabilidad utilizarían los intrusos para acceder a los políticas formativas en materia de seguridad para la plantilla, etc. sistemas. Por último, los sistemas de detección de intrusos tratan de Conviene destacar que las políticas de seguridad deben emanar de descubrir, muchas veces en tiempo real, accesos no autorizados a la estrategia corporativa y que se trata de documentos que deberían los sistemas, tanto desde el exterior de la organización, como desde conocer todos los integrantes de la plantilla. dentro de las propias instalaciones de la empresa. Por su parte, el plan de contingencia describe los procedimientos que deben seguirse ante la aparición de eventualidades significativas que puedan suponer graves consecuencias para la organización. Debe Seguridad en el Instituto Tecnológico de detallarse los pasos a seguir, por ejemplo en caso de destrucción total Informática de los sistemas por inundación, fuego, etc. Muchas veces la simple elaboración del plan descubre defectos en los sistemas que pueden El área de Sistemas Fiables del Instituto Tecnológico de ser paliados con relativa facilidad. Por ejemplo puede descubrirse Informática, centra su trabajo en la investigación y desarrollo de que no se mantienen copias de respaldo de información crucial para entornos orientados a aumentar la fiabilidad y la disponibilidad, la empresa en lugares físicamente seguros, o al menos en lugares donde la seguridad informática se plantea como uno de los ejes distantes a la ubicación de los sistemas susceptibles de daños. fundamentales. En esta área vienen realizándose proyectos de consultoría y auditoría de seguridad informática, cubriéndose los aspectos 2. Medidas técnicas estratégicos, tácticos y técnicos de los sistemas informáticos. Existen innumerables herramientas y sistemas de seguridad El objetivo de estos proyectos consiste en la elaboración de un orientadas a preservar la integridad, confidencialidad y disponibilidad procedimiento de consultoría utilizable por terceras empresas de información y sistemas. La oferta en este sentido es muy numerosa consultoras. y toda organización debería dedicar un esfuerzo significativo a su Además de la consultoría, se están desarrollando diversos estudio y selección. En este breve artículo, más que describir con proyectos de investigación y desarrollo, entre los que destacan detalle todas las herramientas y medidas de seguridad aplicables IntruDec y TigerWeb. El primero consiste en un sistema de detección y sus variaciones disponibles en el mercado, nos limitaremos a de intrusos basado en el reconocimiento de patrones de conducta mencionar las técnicas más utilizadas, apuntando finalmente algunas sospechosos, observables al analizar el tráfico en la red y al analizar de las más novedosas. la actividad de los equipos informáticos. Por su parte, TigerWeb es Entre las técnicas más consolidadas encontramos las copias una herramienta de detección de vulnerabilidades perimetrales. Con de respaldo, los antivirus, los cortafuegos, los mecanismos de esta herramienta se puede obtener una visión aproximada de las vías autenticación y la criptografía. Las copias de respaldo y en general más fácilmente explotables por potenciales intrusos para acceder a cualquier forma de redundancia, se encaminan a garantizar la los sistemas desde el exterior de la organización. disponibilidad de los sistemas frente a cualquier eventualidad. Por último, el grupo de Sistemas Fiables también se encuentra Los antivirus pretenden evitar la aparición de lógica maliciosa y inmerso en la investigación de las implicaciones de seguridad que en caso de infección tratan de eliminarla de los sistemas. Entre los tiene el empleo de sistemas inalámbricos y móviles, estudiando entre antivirus conviene destacar aquellos que inspeccionan los correos otros los mecanismos de autenticación, cifrado, encaminamiento y electrónicos evitando la infección de sus destinatarios. Por su parte, las arquitecturas software más convenientes donde se contemple la los cortafuegos tratan de reducir el número de vías potenciales de seguridad desde el punto de vista particular de este tipo de entornos. acceso a los sistemas corporativos desde el exterior, estableciendo limitaciones al número de equipos y de servicios visibles. Otra de las técnicas imprescindibles en toda organización la forman los Autor: Pablo Galdámez mecanismos de autenticación. Estos mecanismos pueden variar Para más información sobre Seguridad Informática: desde esquemas simples basados en los pares usuario contraseña, seguridad@iti.upv.es hasta complejos sistemas distribuidos basados en credenciales o

Empfohlen

2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridadfidel barrios
 
Investigacion
InvestigacionInvestigacion
Investigacionsmmarcatoma
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticosJuanita Noemy Miniano Corro
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 

Empfohlen

2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridadfidel barrios
 
Investigacion
InvestigacionInvestigacion
Investigacionsmmarcatoma
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticosJuanita Noemy Miniano Corro
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Cicyt
CicytCicyt
CicytRoberto Valdes
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Marco
MarcoMarco
Marcomarco080030557
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA yesly0816
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresamariabustosrojas
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 
Santa Semana 2010 - Día 31/03/10
Santa Semana 2010 - Día 31/03/10Santa Semana 2010 - Día 31/03/10
Santa Semana 2010 - Día 31/03/10juannabis
 
Limpieza de Aceites en Rope Shovels
Limpieza de Aceites en Rope ShovelsLimpieza de Aceites en Rope Shovels
Limpieza de Aceites en Rope ShovelsRenzo D´Angelo
 
Power 14
Power 14Power 14
Power 14maestrojuanavila
 
M 12
M 12M 12
M 12maestrojuanavila
 
Revista de Materia de Sobrevivencia Universal en Español
Revista de Materia de Sobrevivencia Universal en EspañolRevista de Materia de Sobrevivencia Universal en Español
Revista de Materia de Sobrevivencia Universal en EspañolHernando Coral Rosero
 
Papá Te Quiero con Toda Mi Vida
Papá Te Quiero con Toda Mi VidaPapá Te Quiero con Toda Mi Vida
Papá Te Quiero con Toda Mi VidaUnidad Educativa Maria Auxiliadora
 
Presentacion redes
Presentacion redesPresentacion redes
Presentacion redesRosi Vallejo
 
EVENTOS
EVENTOSEVENTOS
EVENTOSjuliancastrillonp
 
Estructura del documento de investigación
Estructura del documento de investigaciónEstructura del documento de investigación
Estructura del documento de investigaciónRolando Jose Lara Cisneros
 

Weitere ähnliche Inhalte

Was ist angesagt?

Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA yesly0816
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresamariabustosrojas
 

Was ist angesagt? (13)

Cicyt
CicytCicyt
Cicyt
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Marco
MarcoMarco
Marco
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informática
 
Red segura
Red seguraRed segura
Red segura
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD DE LA EMPRESA
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresa
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 

Andere mochten auch

Santa Semana 2010 - Día 31/03/10
Santa Semana 2010 - Día 31/03/10Santa Semana 2010 - Día 31/03/10
Santa Semana 2010 - Día 31/03/10juannabis
 
Limpieza de Aceites en Rope Shovels
Limpieza de Aceites en Rope ShovelsLimpieza de Aceites en Rope Shovels
Limpieza de Aceites en Rope ShovelsRenzo D´Angelo
 
Revista de Materia de Sobrevivencia Universal en Español
Revista de Materia de Sobrevivencia Universal en EspañolRevista de Materia de Sobrevivencia Universal en Español
Revista de Materia de Sobrevivencia Universal en EspañolHernando Coral Rosero
 
Presentacion redes
Presentacion redesPresentacion redes
Presentacion redesRosi Vallejo
 
Carla Rabuffetti - Fotosíntesis
Carla Rabuffetti - FotosíntesisCarla Rabuffetti - Fotosíntesis
Carla Rabuffetti - Fotosíntesisudesavirtual
 
Programa Feria de la Belleza, Cosmética y Moda 2014
Programa Feria de la Belleza, Cosmética y Moda 2014Programa Feria de la Belleza, Cosmética y Moda 2014
Programa Feria de la Belleza, Cosmética y Moda 2014FERIA BADAJOZ IFEBA
 
CV Rotario de Pablo Ruiz Amo hasta Marzo 2014
CV Rotario de Pablo Ruiz Amo hasta Marzo 2014CV Rotario de Pablo Ruiz Amo hasta Marzo 2014
CV Rotario de Pablo Ruiz Amo hasta Marzo 2014Pablo Ruiz Amo
 
Principals elements dels ordinadors
Principals elements dels ordinadorsPrincipals elements dels ordinadors
Principals elements dels ordinadorsjovives95
 
Pres3 - GabrielaAlonzo
Pres3 - GabrielaAlonzoPres3 - GabrielaAlonzo
Pres3 - GabrielaAlonzoGaby Alonzo
 
Trabajo de tecnología e informática
Trabajo de tecnología e informáticaTrabajo de tecnología e informática
Trabajo de tecnología e informáticakevroz
 

Andere mochten auch (20)

Santa Semana 2010 - Día 31/03/10
Santa Semana 2010 - Día 31/03/10Santa Semana 2010 - Día 31/03/10
Santa Semana 2010 - Día 31/03/10
 
Limpieza de Aceites en Rope Shovels
Limpieza de Aceites en Rope ShovelsLimpieza de Aceites en Rope Shovels
Limpieza de Aceites en Rope Shovels
 
Power 14
Power 14Power 14
Power 14
 
M 12
M 12M 12
M 12
 
Revista de Materia de Sobrevivencia Universal en Español
Revista de Materia de Sobrevivencia Universal en EspañolRevista de Materia de Sobrevivencia Universal en Español
Revista de Materia de Sobrevivencia Universal en Español
 
Papá Te Quiero con Toda Mi Vida
Papá Te Quiero con Toda Mi VidaPapá Te Quiero con Toda Mi Vida
Papá Te Quiero con Toda Mi Vida
 
Presentacion redes
Presentacion redesPresentacion redes
Presentacion redes
 
EVENTOS
EVENTOSEVENTOS
EVENTOS
 
Estructura del documento de investigación
Estructura del documento de investigaciónEstructura del documento de investigación
Estructura del documento de investigación
 
Carla Rabuffetti - Fotosíntesis
Carla Rabuffetti - FotosíntesisCarla Rabuffetti - Fotosíntesis
Carla Rabuffetti - Fotosíntesis
 
Mi perfil profesional
Mi perfil profesionalMi perfil profesional
Mi perfil profesional
 
Conciliaciones
ConciliacionesConciliaciones
Conciliaciones
 
Programa Feria de la Belleza, Cosmética y Moda 2014
Programa Feria de la Belleza, Cosmética y Moda 2014Programa Feria de la Belleza, Cosmética y Moda 2014
Programa Feria de la Belleza, Cosmética y Moda 2014
 
CV Rotario de Pablo Ruiz Amo hasta Marzo 2014
CV Rotario de Pablo Ruiz Amo hasta Marzo 2014CV Rotario de Pablo Ruiz Amo hasta Marzo 2014
CV Rotario de Pablo Ruiz Amo hasta Marzo 2014
 
Actividades fehispor2013
Actividades fehispor2013Actividades fehispor2013
Actividades fehispor2013
 
Principals elements dels ordinadors
Principals elements dels ordinadorsPrincipals elements dels ordinadors
Principals elements dels ordinadors
 
Pres3 - GabrielaAlonzo
Pres3 - GabrielaAlonzoPres3 - GabrielaAlonzo
Pres3 - GabrielaAlonzo
 
Trabajo de tecnología e informática
Trabajo de tecnología e informáticaTrabajo de tecnología e informática
Trabajo de tecnología e informática
 
Argentina
ArgentinaArgentina
Argentina
 
comunicacion
comunicacion comunicacion
comunicacion
 

Ähnlich wie 2003 07-seguridad

2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad62380088
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica63369871
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticarosa posaclla
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaelmer1993
 
Evaluación 1
Evaluación 1Evaluación 1
Evaluación 1Stefy_uce
 
Evaluación 1
Evaluación 1Evaluación 1
Evaluación 1Stefy_uce
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticacarmenrico14
 
seguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.pptseguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.pptYakyakUtopico
 
Seguridad de informática
Seguridad de informáticaSeguridad de informática
Seguridad de informáticaneutro12
 
Seguridad de informática
Seguridad de informáticaSeguridad de informática
Seguridad de informáticaneutro12
 
Presentación auditoría de sistemas
Presentación auditoría de sistemasPresentación auditoría de sistemas
Presentación auditoría de sistemasJose Madrid
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfJuanPabloYabetaMaldo
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 

Ähnlich wie 2003 07-seguridad (20)

2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
seguridad 2015-2
seguridad 2015-2 seguridad 2015-2
seguridad 2015-2
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Evaluación 1
Evaluación 1Evaluación 1
Evaluación 1
 
Evaluación 1
Evaluación 1Evaluación 1
Evaluación 1
 
Marco
MarcoMarco
Marco
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
 
seguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.pptseguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.ppt
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
Seguridad de informática
Seguridad de informáticaSeguridad de informática
Seguridad de informática
 
Seguridad de informática
Seguridad de informáticaSeguridad de informática
Seguridad de informática
 
Presentación auditoría de sistemas
Presentación auditoría de sistemasPresentación auditoría de sistemas
Presentación auditoría de sistemas
 
Que es la seguridad patrimonial
Que es la seguridad patrimonialQue es la seguridad patrimonial
Que es la seguridad patrimonial
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdf
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 

Mehr von Osiel Alvarez Villarreal

Mehr von Osiel Alvarez Villarreal (10)

Como configurar una red virtual
Como configurar una red virtualComo configurar una red virtual
Como configurar una red virtual
 
Ethernet equipo 1
Ethernet equipo 1Ethernet equipo 1
Ethernet equipo 1
 
3 unidad so2
3 unidad so23 unidad so2
3 unidad so2
 
Capitulo09 ethernet
Capitulo09 ethernetCapitulo09 ethernet
Capitulo09 ethernet
 
Equipo 5 copia
Equipo 5 copiaEquipo 5 copia
Equipo 5 copia
 
15 serie
15 serie15 serie
15 serie
 
Hersell palnteamiento del problema
Hersell palnteamiento del problemaHersell palnteamiento del problema
Hersell palnteamiento del problema
 
Rotacional
RotacionalRotacional
Rotacional
 
Ananananaan
AnanananaanAnanananaan
Ananananaan
 
Ananananaan
AnanananaanAnanananaan
Ananananaan
 

2003 07-seguridad

  • 1. 4 Actualidad TIC Seguridad Informática Desde la consolidación de Internet como medio de interconexión global, los incidentes de seguridad relacionados con sistemas informáticos vienen incrementándose de manera alarmante. Este hecho, unido a la progresiva dependencia de la mayoría de organizaciones hacia sus sistemas de información, viene provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad. En este artículo, vamos a proporcionar una visión general de los aspectos más relevantes de la seguridad informática, observando esta disciplina desde un punto de vista estratégico y táctico. Para ello destacaremos la conveniencia de afrontar su análisis mediante una aproximación de gestión, concretamente con un enfoque de gestión del riesgo. Para completar esta visión introductoria a la seguridad informática, mencionaremos las amenazas y las contramedidas más frecuentes que deberían considerarse en toda organización. En este artículo vamos a dar una visión general a los aspectos más relevantes de la seguridad informática, comenzando con una Introducción visión de la seguridad como parte integral de la gestión empresarial, continuaremos con la descripción de las amenazas más frecuentes La seguridad informática, de igual forma a como sucede con la que pueden comprometer los sistemas informáticos y con la seguridad aplicada a otros entornos, trata de minimizar los riesgos descripción de las medidas más efectivas para contrarrestarlas. Por asociados al acceso y utilización de determinado sistema de forma no último, finalizaremos mencionando las actividades más significativas autorizada y en general malintencionada. Esta visión de la seguridad que venimos realizando en el Instituto Tecnológico de Informática en informática implica la necesidad de gestión, fundamentalmente materia de seguridad. gestión del riesgo. Para ello, se deben evaluar y cuantificar los bienes a proteger, y en función de estos análisis, implantar medidas preventivas y correctivas que eliminen los riegos asociados o que los Objetivos de la Seguridad Informática reduzcan hasta niveles manejables. En general cualquier persona consideraría poco razonable El objetivo de la seguridad informática es proteger los recursos contratar a un agente de seguridad en exclusiva para proteger su informáticos valiosos de la organización, tales como la información, domicilio. Posiblemente sería una medida de seguridad excelente para el hardware o el software. A través de la adopción de las medidas evitar accesos no autorizados a nuestro domicilio, sin embargo, muy adecuadas, la seguridad informática ayuda a la organización cumplir pocos lo considerarían, simplemente por motivos económicos. Tras sus objetivos, protegiendo sus recursos financieros, sus sistemas, su evaluar el valor de los bienes a proteger, lo habitual sería considerar reputación, su situación legal, y otros bienes tanto tangibles como otras medidas más acordes con el valor de nuestros bienes. inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad Podríamos pensar en una puerta blindada, un conserje compartido informática como algo que dificulta la consecución de los propios con otros vecinos o incluso un servicio de vigilancia privada basada en objetivos de la organización, imponiendo normas y procedimientos sensores, alarmas y acceso telefónico con una central de seguridad. rígidos a los usuarios, a los sistemas y a los gestores. Sin embargo Combinando estas medidas preventivas con otras correctivas como debe verse a la seguridad informática, no como un objetivo en podría ser una póliza de seguro contra robo, alcanzaríamos un nivel sí mismo, sino como un medio de apoyo a la consecución de los de seguridad que podría considerarse adecuado. Muchas veces sin objetivos de la organización. hacerlo de forma explícita, habríamos evaluado el valor de nuestros En general el principal objetivo de las empresas, es obtener bienes, los riesgos, el coste de las medidas de seguridad disponibles beneficios y el de las organizaciones públicas, ofrecer un servicio en el mercado y el nivel de protección que ofrecen. eficiente y de calidad a los usuarios. En las empresas privadas, la En seguridad informática, los principios mostrados con nuestro seguridad informática debería apoyar la consecución de beneficios. ejemplo de seguridad en el domicilio son igualmente aplicables. Para ello se deben proteger los sistemas para evitar las potenciales Las únicas diferencias aparecen por las particularidades técnicas pérdidas que podrían ocasionar la degradación de su funcionalidad asociadas a los sistemas informáticos. La valoración económica de o el acceso a los sistemas por parte de personas no autorizadas. los bienes a proteger puede ser muchas veces una tarea compleja, De igual forma, las organizaciones públicas deben proteger sus la casuística de los riesgos potenciales muy grande, y la complejidad sistemas para garantizar la oferta de sus servicios de forma eficiente y diversidad de las medidas de seguridad disponibles dificulta su y correcta. selección. Sin embargo, el fondo sigue siendo el mismo, seguridad En cualquier caso, los gestores de las diferentes organizaciones implica proteger alguna entidad frente a un conjunto de riesgos y en deberían considerar los objetivos de la propia organización e este caso riesgos relacionados con los sistemas informáticos. incorporar la seguridad de los sistemas desde un punto de vista amplio, como un medio con el que gestionar los riesgos que pueden
  • 2. Artículos Técnicos 5 comprometer la consecución de los propios objetivos, donde la uso de aplicaciones de gestión que comprometan la integridad de los cuantificación de los diferentes aspectos, muchas veces económica, datos, hasta catástrofes que inutilicen la totalidad de los sistemas. Las debe ser central. pérdidas pueden aparecer por la actividad de intrusos externos a la organización, por accesos fraudulentos, por accesos no autorizados, por el uso erróneo de los sistemas por parte de empleados propios, o Gestión del Riesgo por la aparición de eventualidades en general destructivas. Los efectos de las diversas amenazas puedes ser muy variados. La protección de los sistemas y de la información no suele eliminar Unos pueden comprometer la integridad de la información o de los completamente la posibilidad de que estos bienes sufran daños. En sistemas, otros pueden degradar la disponibilidad de los servicios consecuencia, los gestores deben implantar aquellas medidas de y otros pueden estar relacionados con la confidencialidad de la seguridad que lleven los riesgos hasta niveles aceptables, contando información. En cualquier caso una correcta gestión de los riesgos para ello con el coste de las medidas a implantar, con el valor de los debe implicar un profundo conocimiento de las vulnerabilidades de bienes a proteger y con la cuantificación de las pérdidas que podrían los sistemas y de las amenazas que los pueden explotar. Las propias derivarse de la aparición de determinado incidente de seguridad. características de las organizaciones deben influir en las medidas de Los costes y beneficios de la seguridad deberían observarse seguridad que resulten más adecuadas y más eficientes en términos cuidadosamente para asegurar que el coste de las medidas de de costes, para contrarrestar las amenazas o incluso para tolerarlas seguridad no excedan los beneficios potenciales. La seguridad debe conociendo en todo caso sus implicaciones. ser apropiada y proporcionada al valor de los sistemas, al grado de A continuación vamos a mostrar las amenazas más frecuentes que dependencia de la organización a sus servicios y a la probabilidad y deberían ser tenidas en cuenta por toda organización como fuentes dimensión de los daños potenciales. Los requerimientos de seguridad potenciales de pérdidas. Conviene destacar que la importancia de variarán por tanto, dependiendo de cada organización y de cada una u otra amenaza varía de forma significativa entre organizaciones sistema en particular. distintas y que debería hacerse un estudio individualizado de sus En cualquier caso, la seguridad informática exige habilidad para repercusiones concretas y de la probabilidad de su aparición. gestionar los riesgos de forma adecuada. Invirtiendo en medidas de seguridad, las organizaciones pueden reducir la frecuencia y la severidad de las pérdidas relacionadas con violaciones de la 1. Errores y omisiones seguridad en sus sistemas. Por ejemplo, una empresa puede estimar Los errores de los empleados al utilizar los sistemas pueden que está sufriendo pérdidas debidas a la manipulación fraudulenta comprometer la integridad de la información que maneja la de sus sistemas informáticos de inventariado, de contabilidad o de organización. Ni siquiera las aplicaciones más sofisticadas están facturación. En este caso puede que ciertas medidas que mejoren los libres de este tipo de problemas, que pueden reducirse con refuerzos controles de acceso, reduzcan las pérdidas de forma significativa. en controles de integridad de los datos y con un adiestramiento Las organizaciones que implantan medidas adecuadas de adecuado del personal. seguridad, pueden obtener un conjunto de beneficios indirectos Muchas veces, simples errores pueden comprometer no que también deberían considerarse. Por ejemplo, una organización únicamente la integridad de los datos, sino incluso puede que que cuente con sistemas de seguridad avanzados, puede desviar la causen la aparición de nuevas vulnerabilidades en los sistemas. atención de potenciales intrusos hacia víctimas menos protegidas, Este tipo de amenazas es si cabe más relevante en las empresas puede reducir la frecuencia de aparición de virus, puede generar una que se dedican al sector de las nuevas tecnologías, desarrollando mejor percepción de los empleados y otros colaboradores hacia la e implantando sistemas, muchas veces interconectados entre propia empresa, aumentando la productividad y generando empatía diversas organizaciones. Un simple error de programación, en la de los empleados hacia los objetivos organizativos. administración, o la carencia de la formación necesaria para evaluar Sin embargo, los beneficios que pueden obtenerse con medidas las implicaciones de seguridad de determinada aproximación de de seguridad presentan costes tanto directos como indirectos. desarrollo, puede causar vulnerabilidades que afecten no únicamente Los costes directos suelen ser sencillos de evaluar, incluyendo la a las organizaciones usuarias de los sistemas, sino también a las compra, instalación y administración de las medidas de seguridad. propias empresas que los desarrollan que se podrían ver muy Por su parte pueden observarse costes indirectos, como decremento perjudicadas en su imagen corporativa. en el rendimiento de los sistemas, pueden aparecer necesidades formativas nuevas para la plantilla o incluso determinadas medidas, como un excesivo celo en los controles, pueden minar la moral de los 2. Intrusiones empleados. Bajo esta amenaza se incluyen tanto actividades claramente En muchos casos los costes asociados a las medidas de seguridad fraudulentas, como meras intrusiones efectuadas por determinados pueden exceder a los beneficios esperados por su implantación, en individuos con el único fin de probar sus “habilidades” o incluso cuyo caso una correcta gestión llevaría a platearse su adopción frente actos de sabotaje, terrorismo informático o espionaje industrial. a la posibilidad de simplemente tolerar el problema. Las actividades fraudulentas, incluido el robo, puede que sean las más preocupantes para muchas organizaciones, sobre todo para Amenazas aquellas que tengan bienes de elevado valor, gestionados mediante sistemas informáticos. Ejemplos de este tipo de organizaciones Los sistemas informáticos son vulnerables a multitud de pueden ser las entidades financieras, los organismos públicos que amenazas que pueden ocasionar daños que resulten en pérdidas generen acreditaciones oficiales o incluso empresas de distribución significativas. Los daños pueden variar desde simples errores en el o comercio electrónico, donde los sistemas informáticos pueden ser
  • 3. 6 Actualidad TIC susceptibles de alteración malintencionada con objeto de obtener propia naturaleza, tormentas eléctricas o actividades reivindicativas provecho económico. descontroladas de determinados colectivos. Los autores de las intrusiones pueden ser tanto externos a la propia organización, como internos. Es reseñable destacar que muchos estudios sobre fraudes y robos mediante tecnologías de la 4. Lógica maliciosa información coinciden en señalar que la mayoría de las actividades Entre estas amenazas encontramos los virus, los gusanos, los fraudulentas son realizadas por personal vinculado a la propia caballos de Troya y las bombas lógicas. Aun existiendo diferencias organización. Pueden ser empleados con acceso a sistemas o técnicas entre ellas, el nexo común a todas estas amenazas consiste información no controlada, antiguos empleados con conocimientos en que se trata de software creado en general para causar daño. tanto de los sistemas como de las medidas de seguridad internas o Los costes asociados a su aparición pueden ser significativos y personas vinculadas en cierta forma con la organización y que gozan varían en función de la virulencia de sus acciones. Pueden suponer de determinados privilegios que muchas veces se esconden bajo simplemente pérdidas debidas a la dedicación de personal y recursos aparentes relaciones cordiales con la propia empresa. a su eliminación o pérdidas mucho mayores si resultan afectados, En muchos casos las intrusiones generan importantes daños corrompidos o destruidos sistemas críticos para la organización. económicos, pero en todos los casos causan una importante sensación de desprotección en toda la organización, que se agrava si no es posible identificar a los autores de las intrusiones, las técnicas 5. Amenazas a la privacidad de las personas empleadas para cometerlas o los objetivos que persiguen. La acumulación de enormes cantidades de datos de carácter La creciente importancia de las intrusiones maliciosas en los personal por entidades públicas y privadas, unida a la capacidad de sistemas informáticos la podemos encontrar reflejada en el siguiente los sistemas informáticos para combinar y procesar las informaciones 90000 vienen generando claras amenazas a la privacidad de los individuos. 82094 La constatación de estas amenazas por parte de la mayoría de 80000 Incidencias países ha llevado a la elaboración de leyes y normas que limitan el 70000 tratamiento de los datos de carácter personal. 60000 Estas amenazas no sólo afectan a los individuos, sino también a 52658 50000 toda organización que manipule información sensible de personas. De no observarse la legislación vigente y en caso de no implantar 40000 las medidas adecuadas para su cumplimiento, se pueden derivar 30000 pérdidas, tanto económicas por las correspondientes multas, como 21756 20000 de imagen corporativa. 9859 10000 2573 2134 3734 6 132 252 406 773 1334 2340 2412 Medidas de Seguridad 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 Figura 1: Evolución de las incidencias intervenidas por el CERT/CC Existe un gran abanico de medidas de seguridad que pueden (fuente: www.cert.org). reducir el riesgo de pérdidas debidas a la aparición de incidentes gráfico, donde se puede observar el alarmante incremento de en los sistemas informáticos. Muchas veces al hablar de medidas incidentes de seguridad ocurrido en los últimos años. de seguridad, solo se mencionan las meramente técnicas, como Concretamente el gráfico muestra el número de incidentes cortafuegos, antivirus o sistemas de copias de respaldo. Sin ocasionados por intrusiones, y comunicados al CERT, un embargo, las medidas más efectivas suelen ser las medidas de organismo de reconocido prestigio internacional dedicado a la gestión planteadas a medio y largo plazo desde un punto de vista prevención y análisis de los incidentes de seguridad aparecidos en estratégico y táctico. Internet. Conviene destacar que las cifras únicamente muestran A continuación mencionaremos brevemente las medidas y los datos comunicados al CERT, y que vienen a representar a las sistemas de seguridad más frecuentes agrupándolas bajo dos intrusiones efectuadas por parte de individuos externos a las propias aspectos. Medidas de gestión y medidas técnicas. Las primeras organizaciones. Los datos se refieren a todo el mundo, sin embargo deben ser implantadas por los gestores de las organizaciones como también destacamos que las cifras provienen mayoritariamente de parte de los planes estratégicos y tácticos, mientras que las segundas grandes empresas, asentadas fundamentalmente en los Estados se corresponden con herramientas y sistemas técnicos diseñados Unidos, Europa y Japón. Sin embargo, pese a lo parcial de las cifras, para evitar, controlar o recuperar los daños que pueden sufrir los no deja de resultar ilustrativa la curva de crecimiento y las magnitudes sistemas por la aparición de determinadas amenazas de seguridad. de los incidentes constatados. 1. Medidas de gestión 3. Accidentes y desastres Los gestores de toda organización deberían contemplar la Eventualidades tan cotidianas como la simple rotura de una seguridad informática como parte integral de las estrategias y tácticas cañería, la pérdida de fluido eléctrico o la rotura de equipos o corporativas. Una vez plasmada la importancia de los sistemas para mecanismos de comunicaciones pueden tener efectos claramente la consecución de los propios objetivos y los riesgos que puede negativos sobre los sistemas de información. Debe incluso suponer para la empresa la pérdida de integridad de su información, contemplarse la posibilidad de aparición de eventos más graves, la indisponibilidad de sus sistemas o la violación de la confidencialidad como incendios, atentados terroristas, inundaciones causadas por la
  • 4. Artículos Técnicos 7 de su información, pueden plantearse con mayor rigor el resto de sistemas de autenticación biométricos basados en el reconocimiento medidas encaminadas a servir a los objetivos empresariales. mecanizado de características físicas de las personas. Por último, Emanando de la vertiente estratégica de la información y de todo esquema de seguridad debe contemplar en una u otra medida el los sistemas corporativos, suelen generarse dos herramientas de cifrado de información sensible. A veces puede ser suficiente el cifrado gestión no menos importantes: las políticas de seguridad y el plan de de las contraseñas, mientras que en otras resulta imprescindible el contingencia. cifrado de las comunicaciones y de las bases de datos. Las políticas de seguridad de una organización son las normas Como medidas más avanzadas, podemos mencionar la y procedimientos internos que deben seguir los integrantes de la esteganografía, la detección de vulnerabilidades y la detección organización para respetar los requerimientos de seguridad que de intrusos. Las técnicas esteganográficas tratan de ocultar deseen preservarse. Debe describirse la criticidad de los sistemas y información. A diferencia de la criptografía, que trata de hacer de la información, los roles de cada puesto de trabajo y la mecánica indescifrable la información, la esteganografía trata de evitar que de acceso a los sistemas, herramientas, documentación y cualquier siquiera se note su existencia. Por ejemplo las empresas dedicadas otra componente del sistema de información. Resulta frecuente a producir documentos digitales, pueden estar interesadas en incluir desglosar las políticas de seguridad en procedimientos detallados determinada marca invisible de forma que sea demostrable su autoría para cada componente del sistema de forma individualizada, así por y puedan perseguirse copias ilegales. ejemplo, pueden crearse documentos que describan las políticas de Las herramientas de detección de vulnerabilidades suelen verse tratamiento de correos electrónicos, políticas de uso de Internet, de como herramientas de auditoria, que pueden mostrar las vías que copias de respaldo, de tratamiento de virus y otra lógica maliciosa, con mayor probabilidad utilizarían los intrusos para acceder a los políticas formativas en materia de seguridad para la plantilla, etc. sistemas. Por último, los sistemas de detección de intrusos tratan de Conviene destacar que las políticas de seguridad deben emanar de descubrir, muchas veces en tiempo real, accesos no autorizados a la estrategia corporativa y que se trata de documentos que deberían los sistemas, tanto desde el exterior de la organización, como desde conocer todos los integrantes de la plantilla. dentro de las propias instalaciones de la empresa. Por su parte, el plan de contingencia describe los procedimientos que deben seguirse ante la aparición de eventualidades significativas que puedan suponer graves consecuencias para la organización. Debe Seguridad en el Instituto Tecnológico de detallarse los pasos a seguir, por ejemplo en caso de destrucción total Informática de los sistemas por inundación, fuego, etc. Muchas veces la simple elaboración del plan descubre defectos en los sistemas que pueden El área de Sistemas Fiables del Instituto Tecnológico de ser paliados con relativa facilidad. Por ejemplo puede descubrirse Informática, centra su trabajo en la investigación y desarrollo de que no se mantienen copias de respaldo de información crucial para entornos orientados a aumentar la fiabilidad y la disponibilidad, la empresa en lugares físicamente seguros, o al menos en lugares donde la seguridad informática se plantea como uno de los ejes distantes a la ubicación de los sistemas susceptibles de daños. fundamentales. En esta área vienen realizándose proyectos de consultoría y auditoría de seguridad informática, cubriéndose los aspectos 2. Medidas técnicas estratégicos, tácticos y técnicos de los sistemas informáticos. Existen innumerables herramientas y sistemas de seguridad El objetivo de estos proyectos consiste en la elaboración de un orientadas a preservar la integridad, confidencialidad y disponibilidad procedimiento de consultoría utilizable por terceras empresas de información y sistemas. La oferta en este sentido es muy numerosa consultoras. y toda organización debería dedicar un esfuerzo significativo a su Además de la consultoría, se están desarrollando diversos estudio y selección. En este breve artículo, más que describir con proyectos de investigación y desarrollo, entre los que destacan detalle todas las herramientas y medidas de seguridad aplicables IntruDec y TigerWeb. El primero consiste en un sistema de detección y sus variaciones disponibles en el mercado, nos limitaremos a de intrusos basado en el reconocimiento de patrones de conducta mencionar las técnicas más utilizadas, apuntando finalmente algunas sospechosos, observables al analizar el tráfico en la red y al analizar de las más novedosas. la actividad de los equipos informáticos. Por su parte, TigerWeb es Entre las técnicas más consolidadas encontramos las copias una herramienta de detección de vulnerabilidades perimetrales. Con de respaldo, los antivirus, los cortafuegos, los mecanismos de esta herramienta se puede obtener una visión aproximada de las vías autenticación y la criptografía. Las copias de respaldo y en general más fácilmente explotables por potenciales intrusos para acceder a cualquier forma de redundancia, se encaminan a garantizar la los sistemas desde el exterior de la organización. disponibilidad de los sistemas frente a cualquier eventualidad. Por último, el grupo de Sistemas Fiables también se encuentra Los antivirus pretenden evitar la aparición de lógica maliciosa y inmerso en la investigación de las implicaciones de seguridad que en caso de infección tratan de eliminarla de los sistemas. Entre los tiene el empleo de sistemas inalámbricos y móviles, estudiando entre antivirus conviene destacar aquellos que inspeccionan los correos otros los mecanismos de autenticación, cifrado, encaminamiento y electrónicos evitando la infección de sus destinatarios. Por su parte, las arquitecturas software más convenientes donde se contemple la los cortafuegos tratan de reducir el número de vías potenciales de seguridad desde el punto de vista particular de este tipo de entornos. acceso a los sistemas corporativos desde el exterior, estableciendo limitaciones al número de equipos y de servicios visibles. Otra de las técnicas imprescindibles en toda organización la forman los Autor: Pablo Galdámez mecanismos de autenticación. Estos mecanismos pueden variar Para más información sobre Seguridad Informática: desde esquemas simples basados en los pares usuario contraseña, seguridad@iti.upv.es hasta complejos sistemas distribuidos basados en credenciales o