Por: Mg. Ing. Jorge Luis Carranza Lujan
Casi todas las organizaciones públicas o privadas, al igual que las personas, dependen de alguna manera de la tecnología de la información como una herramienta esencial para lograr sus objetivos de negocio o para poder desarrollar actividades en su vida cotidiana; al mismo tiempo, todos tienen que enfrentarse con una amplia gama de amenazas y vulnerabilidades asociadas a los entornos informáticos de hoy.
La seguridad de la información es más que un problema de seguridad de datos en los computadores; debe estar básicamente orientada a proteger la propiedad intelectual y la información importante de las organizaciones y de las personas.
Los riesgos de la información están presentes cuando confluyen dos elementos: amenazas y vulnerabilidades. Las amenazas y vulnerabilidades están íntimamente ligadas, y no puede haber ninguna consecuencia sin la presencia conjunta de éstas. Las amenazas deben tomar ventaja de las vulnerabilidades y pueden venir de cualquier parte, interna o externa, relacionada con el entorno de las organizaciones.
Las vulnerabilidades son una debilidad en la tecnología o en los procesos relacionados con la información, y como tal, se consideran características propias de los sistemas de información o de la infraestructura que la contiene. Una amenaza, en términos simples, es cualquier situación o evento que puede afectar la posibilidad de que las organizaciones o las personas puedan desarrollar sus actividades afectando directamente la información o los sistemas que la procesan.
TIPOS DE AMENAZAS
Básicamente, podemos agrupar las amenazas a la información en cuatro grandes categorías: Factores Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de información; Desastres naturales y; Actos maliciosos o malintencionados; algunas de estas amenazas son:
* Virus informáticos o código malicioso
* Uso no autorizado de Sistemas
Informáticos
* Robo de Información
* Fraudes basados
en el uso de computadores
* Suplantación de identidad
* Denegación de Servicios (DoS)
* Ataques de Fuerza Bruta * Alteración de la Información
* Divulgación de Información
* Desastres Naturales
* Sabotaje, vandalismo * Espionaje
A continuación se presenta la descripción de algunas de las principales amenazas:
Spyware (Programas espías): Código malicioso cuyo principal objetivo es recoger información sobre las actividades de un usuario en un computador (tendencias de navegación), para permitir el despliegue sin autorización en ventanas emergentes para robar información personal (p.ej. números de tarjetas de crédito). Hay iniciativas de utilizarlos para controlar el uso de software pirata. Según algunas estadísticas, cerca del 91% de los computadores tienen spyware instalado.
Troyanos, virus y gusanos: Son programas de código malicioso, que de diferentes maneras se alojan el los computadores con el propósito de permitir el acceso no autorizado a un atacante, o permitir el control de forma remota de los sistemas. El virus, adicionalmente, tiene como objetivo principal ser destructivo, dañando la información de la máquina, o generando el consumo de recursos de manera incontrolada para blo quear o negar servicios.
El vector de propagación de estos códigos es, casi siempre, otro programa o archivo (un programa ejecutable, imagen, video, música, reproducciones flash, etc.); de otra parte, los virus, se replican ellos mismos una vez instalados en el sistema.
Phishing: Es un ataque del tipo ingeniería social, cuyo objetivo principal es obtener de manera fraudulenta datos confidenciales de un usuario, especialmente financieros, aprovechando la confianza que éste tiene en los servicios tecnológicos, el desconocimiento de la forma en que operan y la oferta de servicios en algunos casos con pobres medidas de seguridad. Actualmente, los ataques de phishing son bastante sofisticados, utilizando mensajes de correo electrónico y falsos sitios Web, que suplantan perfectamente a los sitios originales.
Spam: Recibo de mensajes no solicitados, principalmente por correo electrónico, cuyo propósito es difundir grandes cantidades de mensajes comerciales o propagandísticos. Se han presentado casos en los que los envíos se hacen a sistemas de telefonía celular– mensajes de texto, o a wassap.
Botnets (Redes de robots): Son máquinas infectadas y controladas remotamente, que se comportan como “zombis”, quedando incorporadas a redes distribuidas de compu tadores llamados robot, los cuales envían de forma masiva mensajes de correo “spam” o código malicioso, con el objetivo de atacar otros sistemas; se han detectado redes de más de 200.000 nodos enlazados y más de 10.000 formas diferentes de patrones de “bots”.
Las organizaciones deberían revisar los computadores de sus redes de datos para de tectar síntomas de infecciones relacionadas con este patrón, para evitar ser la fuente de ataques hacia otras redes o sistemas. También se requiere de la colaboración y aporte permanente de los usuarios finales y de los proveedores de acceso a Internet y prestadores de servicios.
Trashing: Un método cuyo nombre hace referencia al manejo de la basura. No es una técnica relacionada directamente con los sistemas de información, pues los atacantes se valen de otra forma de ingeniería social y para ello, el mecanismo utilizado, es la búsqueda en las canecas de la basura o en los sitios donde se desechan papeles y documentos de extractos bancarios, facturas, recibos, borradores de documentos, etc., y posteriormente utilizarla según convenga, elaborando un perfil de la víctima para robar su identidad, o teniendo acceso directamente a la información que se suponía confidencial.
LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
“La información es un activo que, al igual que otros activos del negocio, es esencial para la organización, y por lo tanto debe ser protegido de forma adecuada.”
Existen una serie de Directrices para la Seguridad de los Sistemas de Información, las cuales tratan de promover el uso y desarrollo de una cultura de la Seguridad y estas son: Concientización, Responsabilidad, Respuesta Adecuada, Ética, Democracia, Evaluación del Riesgo, Diseño y Realización de la Seguridad, Gestión de Seguridad, Reevaluación.
Con la evolución de los sistemas de información y de la forma de hacer negocios, la información se ha convertido en uno de los activos de mayor valor para las personas y especialmente para las organizaciones. “Los sistemas, redes y servicios de información afines, deben ser fiables y seguros, dado que los participantes son cada más dependientes de estos.
Los objetivos que se buscan con la Gestión de la Seguridad de la Información son la protección de la confidencialidad, integridad y disponibilidad de la información y de los bienes que la contienen o procesan. De esta manera, las organizaciones y personas se pueden proteger de:
• Divulgación indebida de información sensible o confidencial, de forma accidental o bien, sin autorización.
• Modificación sin autorización o bien, de forma accidental, de información crítica, sin conocimiento de los propietarios.
• Pérdida de información importante sin posibilidad de recuperarla.
• No tener acceso o disponibilidad de la informaci n cuando sea necesaria
La información debe ser manejada y protegida adecuadamente de los riesgos o ame nazas que enfrente. La información valiosa se puede encontrar en diferentes formas: impresa, almacenada electrónicamente, transmitida por diferentes medios de comunicación o de transporte, divulgada por medios audiovisuales, en el conocimiento de las personas, etc.
CONCLUSIONES y RECOMENDACIONES
La información ha sido uno de los elementos claves en el desarrollo y éxito de los negocios y en el desarrollo de la gran mayoría de actividades diarias para los seres humanos. Por esta razón, las organizaciones son cada vez más conscientes de la necesidad de proteger la información de las diferentes amenazas a las que están expuestas.
Hay muchos tipos de amenazas contra los sistemas de información y contra la información en general. No todas las amenazas están relacionadas con delitos informáticos, pero todas, de alguna forma, significan un riesgo para las organizaciones y sus consecuencias deben ser evaluadas. Fallas de Hardware o software, situaciones ambientales o naturales, accidentes, amenazas deliberadas con carácter delictivo como robo o destrucción de propiedad, y en general cualquier tipo de amenazas con origen interno o externo.
La seguridad de la información está orienta a proteger una serie de atributos que principalmente están relacionados con la confidencialidad, integridad y disponibilidad de ésta y por lo tanto a evitar que las amenazas a estas categorías puedan afectar a las organizaciones.
Sin embargo, no hay ninguna medida que pueda garantizar un ambiente libre de amenazas o sin riesgos para la información y para las organizaciones o individuos que la requieren. Por esta razón es que se hace necesario adoptar modelos adecuados de gestión de la seguridad de la información que permitan logar niveles efectivos de protección, basados en la relación coordinada de los diferentes mecanismos existentes, especialmente, los elementos físicos de protección basados en hardware y software, los elementos administrativos como políticas y procedimientos, y el recurso humano que administra, opera y utiliza los recursos informáticos.
Un modelo de gestión ampliamente aceptado es el que se presenta en la norma ISO/IEC 27001, que permite tener un sistema de gestión de la seguridad de la información alineado con los objetivos que las organizaciones tengan para la protección de su información, con la incorporación de las obligaciones en el cumplimiento de normas, leyes y regulaciones.
Finalmente, el soporte fundamental para lograr los niveles de protección adecuados es una permanente concientización a las personas, para sensibilizarlas en el uso adecuado de los recursos informáticos, en los riesgos propios de su utilización y en la necesidad de adoptar mecanismos de protección que permitan preservar las características básicas de la información de las consecuencias derivadas de posible materialización de los diferentes tipos de amenazas identificadas.