Amenazas De La Informática Y Prevenciones.
Se analiza la problemática actual de la producción y acumulación mundial de información en forma de documentos electrónicos o digitales, así como los problemas derivados del acceso de esa información, sobre todo en red, dado que esto podría implicar riesgo y pérdida de esa información. Se determinan los riesgos, amenazas vulnerabilidades, etcétera, que afectan a esa información, asn la preservación confiable de esa información. Se estudian y establecen con detalle los factores que inciden a favor y en contra de los documentos digitales.
Es necesario recordar siempre que en el medio informático, en realidad no existe la "seguridad informática" total ya que el riesgo o probaí como diversas estrategias para establecer la seguridad informática y la relación de ésta cobilidad de que un evento nocivo ocurra nunca es cero. Hoy en día no existe en el planeta ninguna organización cien por ciento segura y por ello los expertos en el tema prefieren manejar en la actualidad el principio de "administración calculada del riesgo". Esto significa que el proceso de lograr la seguridad informática nunca está concluido, y nunca es total y absoluto. Por más que la organización se esfuerce, cada día surgen nuevas amenazas, riesgos y vulnerabilidades dentro de los activos informáticos y por lo mismo el proceso debe ser permanente y evolutivo: siempre será perfeccionable. El riesgo crecerá en proporción al tiempo en el que las medidas de seguridad funcionen adecuadamente y no haya incidentes mayores. La confianza lleva a bajar la guardia y nuevas vulnerabilidades aparecen. Por ello debe continuarse en este esfuerzo permanentemente para mantener al día la metodología, las políticas de seguridad, los procedimientos, los controles y las medidas de seguridad de los activos informáticos manteniendo siempre así un nivel de seguridad adecuado y una administración del riesgo razonable; todo ello a un costo proporcional y razonable al valor de los bienes informáticos guardados.
AMENAZAS INFORMÁTICAS
Las amenazas, como ya hemos mencionado, consisten en la fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en daño a los insumos informáticos de la organización y ulteriormente a ella misma. Entre ellas, identificamos como las principales:
•El advenimiento y proliferación de "malware" o "malicious software", programas cuyo objetivo es el de infiltrase en los sistemas sin conocimiento de su dueño, con objeto de causar daño o perjuicio al comportamiento del sistema y por tanto de la organización.
• La pérdida, destrucción, alteración, o sustracción de información por parte de personal de la organización debido a negligencia, dolo, mala capacitación, falta de responsabilidad laboral, mal uso, ignorancia, apagado o elusión de dispositivos de seguridad y/o buenas prácticas.
• La pérdida, destrucción, alteración, sustracción, consulta y divulgación de información por parte de personas o grupos externos malintencionados.
• El acceso no autorizado a conjuntos de información.
• La pérdida, destrucción o sustracción de información debida a vandalismo.
• Los ataques de negación de servicio o de intrusión a los sistemas de la organización por parte de ciber–criminales: personas o grupos malintencionados quienes apoyan o realizan actividades criminales y que usan estos ataques o amenazan con usarlos, como medios de presión o extorsión.
• Los "phishers", especializados en robo de identidades personales y otros ataques del tipo de "ingeniería social".6
• Los "spammers" y otros mercadotecnistas irresponsables y egoístas quienes saturan y desperdician el ancho de banda de las organizaciones.
• La pérdida o destrucción de información debida a accidentes y fallas del equipo: fallas de energía, fallas debidas a calentamiento, aterriza miento, desmagnetización, ralladura o descompostura de dispositivos de almacenamiento, etcétera.
• La pérdida o destrucción de información debida a catástrofes naturales: inundaciones, tormentas, incendios, sismos, etcétera.
• El advenimiento de tecnologías avanzadas tales como el cómputo quantum, mismas que pueden ser utilizadas para desencriptar documentos, llaves, etcétera al combinar complejos principios físicos, matemáticos y computacionales.
PREVENCIÓN:
En los últimos años se han ido desarrollando diversas metodologías para la creación de una infraestructura de seguridad informática al interior de una organización y para revisar el estado que guarda la seguridad de la información en esa organización. Bajo los nuevos enfoques se destaca el hecho de que estas metodologías no sólo deben abarcar –como se hacía antes– las problemáticas de la seguridad interna de los sistemas; hoy en día deben hacer una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de la organización en cuanto a la seguridad de la información que maneja. Esta aproximación marca la diferencia del anterior concepto conocido como "seguridad de sistemas" hacia el nuevo concepto de "seguridad informática de Tecnologías de Información y Comunicaciones (TIC)". El nuevo enfoque considera también los riesgos organizacionales, operacionales, normativos y físicos de una organización, con todo lo que esto implica.
El contexto mundial acerca de esta problemática recomienda como primera etapa diseñar para cada organización una "estrategia de seguridad informática". Esto se hace generalmente en dos pasos:
Paso 1) Establecer los requisitos de seguridad. Para ello se estudian tres fuentes:
a) Los principios, objetivos, políticas, procedimientos y requisitos que la organización ha desarrollado para apoyar sus operaciones y que conforman el tratamiento de la información.
b) El conjunto de requisitos legales, estatutos, contratos y regulaciones que deben satisfacer tanto la organización en sí misma como sus socios, usuarios, contra partes, contratistas y proveedores de servicios.
c) La valoración de los riesgos de la información en la organización, a partir de sus objetivos y estrategias generales. Con ellos se identifican las amenazas a los activos, se evalúa la vulnerabilidad, la probabilidad de su ocurrencia y se estima su posible impacto. Para el análisis de riesgos es práctica generalizada seleccionar alguna metodología ya probada al efecto. Existe un buen número de ellas a nivel mundial, pero si se desea abundar en el conocimiento de este tipo de metodologías, recomiendo estudiar en particular la denominada OCTAVE – Operationally Critical Threat, Asset, and Vulnerability Evaluation7.
Este análisis o valoración de riesgos permite estar en capacidad de:
• Identificar, evaluar y manejar los riesgos de seguridad informática.
• Establecer la probabilidad de que un recurso informático quede expuesto a un evento, así como el impacto que ese evento produciría en la organización.
• Determinar las medidas de seguridad que minimizan o neutralizan ese riesgo a un costo razonable.
• Tomar decisiones preventivas y planeadas en lo tocante a seguridad.
Los elementos que un análisis de riesgos debe cubrir son:
• Análisis de los activos que son de valor.
• Análisis de amenazas cuya ocurrencia pueda producir pérdidas a la organización.
• Análisis de vulnerabilidades en los controles de seguridad y en los sistemas.
• Análisis de todos los riesgos y sus impacto en las operaciones de la organización.
• Análisis de las medidas de seguridad que actuarían como una protección total o parcial contra cada riesgo.
Paso 2) Establecer una estrategia para la construcción de la seguridad informática dentro de la organización.
Para el establecimiento de una estrategia destinada a construir la seguridad informática dentro de la institución es práctica generalizada seleccionar una metodología ya probada al efecto. Si bien existe un buen número de ellas a nivel mundial, es una práctica muy utilizada y altamente recomendada optar por alguna de las metodologías que se han convertido gradualmente en estándares en los últimos años. Existen varias ventajas en usar una metodología aprobada para este propósito:
• Da certeza y continuidad operacional a la organización.
• Da certeza en los costos de seguridad, además de su justificación.
• Permite que la seguridad se convierta en parte de la cultura de la organización, al incrementar la conciencia de seguridad en todos los niveles.
• Permite determinar y planear las acciones preventivas y correctivas en materia de seguridad.
• Brinda criterios para el diseño, operación y evaluación de planes de contingencia.
• Facilita la toma de decisiones en toda la organización que atañan a la seguridad.
• Incrementa la productividad de los recursos humanos, financieros, de equipo, etcétera dedicado a la seguridad.
Las limitantes generalmente observadas en estas metodologías son:
• Es un proceso analítico con un gran número de variables.
• Una sola metodología no es aplicable a todos los ambientes.
• Inversión considerable de tiempo y recursos dedicados a las actividades.
• Las soluciones al problema de seguridad no son instantáneas ni permanentes; el análisis de riesgos y sus soluciones es un proceso cíclico y continuo que involucra no sólo al área de tecnologías de la información sino a la organización en general.
• La seguridad informática requiere de la participación de todos los niveles de la organización y es una responsabilidad compartida.