Presentación
Como Secretaria de la Función Pública he asumido la responsabilidad de contribuir al perfeccionamiento de la organización y definir la política informática en el ámbito de la Administración Pública Nacional.
Para dar cumplimiento a estos objetivos y desde el inicio de mi gestión, vengo dedicando importantes esfuerzos y recursos para favorecer el uso pleno de la tecnología con el fin de alcanzar un Estado moderno y eficiente al servicio de los ciudadanos, que permita a nuestro país interactuar con las naciones más avanzadas.
En este marco, permítanme citarles como ejemplo la firma del Decreto Nº 427/98, por el cual se crea la Infraestructura de Firma Digital para el Sector Público Nacional, habilitando el uso de esa tecnología para los actos internos de administración y otorgando a la Secretaría de la Función Pública las funciones de Autoridad de Aplicación y de Organismo Licenciante, a cargo de la habilitación de Autoridades Certificantes para su funcionamiento dentro de la Administración Pública Nacional. Quiero destacar la importancia de la promulgación del decreto mencionado, ya que constituye el primer antecedente a nivel nacional que otorga validez a la firma digital, en este caso por un plazo experimental de 24 meses, y distingue a nuestro país entre los primeros en el mundo en promulgar una normativa de avanzada en este novedoso campo.
Asimismo, emitimos los Estándares Tecnológicos para la Administración Pública Nacional, que constituyen una eficaz herramienta que posibilita que los organismos públicos avancen en los procesos de racionalización, estandarización y homogeneización de las contrataciones tecnológicas y que han trascendido el ámbito propio de aplicación habiendo sido adoptados por numerosas jurisdicciones provinciales, otros poderes del Estado y organismos rectores de Política Informática de Países Iberoamericanos.
No puedo dejar de hacer referencia al Problema del Año 2000, que motiva mi preocupación y la de las autoridades de los organismos de la Administración Nacional. Hemos iniciado una intensa labor con el objetivo de garantizar las funciones críticas que debe cumplir el Estado. A tal efecto, trabaja un grupo de profesionales nucleados en la Unidad Ejecutora 2000 con el objeto de brindar asistencia técnica y supervisar las acciones tendientes a la búsqueda de soluciones para la problemática, cubriendo no sólo a los organismos de la Administración Pública Nacional, sino también a los entes reguladores de actividades que implican servicios públicos para el ciudadano. Puedo afirmar, sin equivocarme, que nos encontramos a la cabeza en Latinoamérica respecto de la metodología seguida en el Sector Público, habiendo participado en numerosos foros nacionales e internacionales y siendo consultados en forma permanente por diversas entidades del Sector privado nacional.
Sin embargo, sé que las tecnologías por sí mismas de poco sirven: es lo que la gente hace con ellas lo que marca la diferencia. Por ello estamos dedicando importantes esfuerzos para la jerarquización del personal que desarrolla funciones informáticas y para la valorización de las áreas responsables de los sistemas de información. En esta campo hemos fomentado la capacitación en materia de Tecnologías Informáticas, a fin de lograr un mayor entendimiento de sus potencialidades, especialmente para el gerenciamiento público.
Ya en el campo específico que motiva el trabajo que sigue, nadie puede discutir hoy en día que la seguridad de las Tecnologías Informáticas es un componente necesario de los sistemas de información y tanto los entes públicos como los privados, del país y del mundo, empiezan a dedicar recursos materiales y humanos cada vez más significativos a esta área.
Por ello he dispuesto la adopción de una serie de medidas, entre las cuales se inscribe el presente trabajo, con el objetivo de robustecer el área de Seguridad Informática en el ámbito de mi competencia.
Este manual fue elaborado con la intención de facilitar la tarea de quienes tienen a su cargo la administración de las redes del Sector Público Nacional. Colaboraron en su redacción el Ing. Leonardo Hoet, los Sres. Rodolfo Cozzi, Rodolfo Baader y Rodrigo Seguel y el personal de la Dirección Nacional de Coordinación e Integración Tecnológica. A ellos, mi reconocimiento por la labor realizada.
Claudia E. Bello
Secretaria de la Función Pública
Introducción
En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las operaciones.
La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organización.
La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. "Hackers", "crakers", entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes
Además de las técnicas y herramientas criptográficas, es importante recalcar que un componente muy importante para la protección de los sistemas consiste en la atención y vigilancia continua y sistemática por parte de los responsables de la red.
A la hora de plantearse en qué elementos del sistema se deben de ubicar los servicios de seguridad podrían distinguirse dos tendencias principales:
Protección de los sistemas de transferencia o transporte. En este caso, el administrador de un servicio asume la responsabilidad de garantizar la transferencia segura al usuario final de la información de forma lo más transparente posible.
Ejemplos de este tipo de planteamientos serían el establecimiento de un nivel de transporte seguro, de un servicio de mensajería con MTAs (Mail Transport Agents) seguras, o la instalación de un firewall, que defiende el acceso a una parte protegida de una red.
Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el correo electrónico, consistiría en construir un mensaje en el cual el contenido ha sido asegurado mediante un procedimiento de encapsulado previo al envío. De esta forma, el mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la validez de los servicios de seguridad provistos. Aunque el acto de asegurar el mensaje cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario deberá usar una herramienta amigable proporcionada por el responsable de seguridad de su organización. Esta misma operatoria, puede usarse para abordar el problema de la seguridad en otras aplicaciones tales como videoconferencia, acceso a bases de datos, etc.
En ambos casos, un problema de capital importancia es la gestión de passwords. Este problema es inherente al uso de la criptografía y debe estar resuelto antes de que el usuario esté en condiciones de enviar un solo bit seguro.
En este contexto, hemos elaborado este material. Con él nos proponemos facilitar las tareas de todos aquellos que se encuentran actualmente involucrados en las decisiones respecto de las redes de información y de sus modos de administración, al tiempo de alertar sobre la importancia crítica de la seguridad. Creemos que un adecuado tratamiento de esta problemática resulta absolutamente vital, debido a las amenazas cada vez mayores a las que la información se encuentra expuesta.
En el transcurso de las diversas secciones se desarrollarán básicamente, los siguientes temas:
El valor de los datos
Las políticas de seguridad informática
Los procedimientos para el resguardo de la información
Los principales ataques a las redes de información
Las passwords
Las herramientas de control y seguimiento de accesos
El material cuenta, además, con un glosario final en el que se definen los principales términos que se utilizan durante este trabajo.
Esperamos que constituya un buen punto de partida para la reflexión y el debate sobre estas problemáticas en su organización.
1 – Conceptos de seguridad
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales [1,2] han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
En este sentido, las políticas de seguridad informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento.
1.1 – ¿Cuál puede ser el valor de los datos?
Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentación o las aplicaciones. Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.
Cuando hablamos del valor de la información nos referimos, por ejemplo, a qué tan peligroso es enviar la información de mi tarjeta de crédito a través de Internet para hacer una compra, en una red gigantesca donde viajan no únicamente los 16 dígitos de mi tarjeta de crédito sino millones de datos más , gráficas, voz y vídeo.
De hecho, este tema es complejo. Algunos expertos opinan que se corre más peligro cuando se entrega una tarjeta de crédito al empleado de un restaurante o cuando se la emplea telefónicamente para efectivizar alguna compra.
El peligro más grande radica no en enviar la información sino una vez que esta información, unida a la de miles de clientes más, reposa en una base de datos de la compañía con las que se concretó el negocio. Con un único acceso no autorizado a esta base de datos, es posible que alguien obtenga no únicamente mis datos y los de mi tarjeta, sino que tendrá acceso a los datos y tarjetas de todos los clientes de esta compañía.
En efecto, el tema no está restringido únicamente a Internet. Aunque no se esté conectado a Internet, una red está expuesta a distintos tipos de ataques electrónicos, incluídos los virus.
Para tratar de asignar un valor al costo del delito electrónico podríamos mencionar el reporte de la agencia norteamericana Defense Information Systems Agency titulado "Defending the Defense Information Infrastructure- Defense Information Systems Agency", del 9 de julio de 1996. En dicho informe las corporaciones más grandes de los Estados Unidos reportan haber experimentado pérdidas estimadas en U$S 800 millones dólares en 1996 debido a ataques a la red. Asimismo el informe de marzo de 1997 de The Computer Security Institute (CSI) indica que el crimen de cómputo continúa en alza y se reportan pérdidas superiores a los U$S 100 millones de dólares y esto es tan solo durante el primer cuarto del año 1997. Si, además, tenemos en cuenta que según las estadísticas de estas agencias norteamericanas sólo 1 de cada 500 ataques son detectados y reportados, ya es posible hacerse una idea de los valores involucrados en este tipo de delito.
Por esto, y por cualquier otro tipo de consideración que se tenga en mente, es realmente válido pensar que cualquier organización que trabaje con computadoras – y hoy en día más específicamente con redes de computadoras – debe tener normativas que hacen al buen uso de los recursos y de los contenidos, es decir, al buen uso de la información.
1.2 – Definiciones
Dado que se está tratando con conceptos que pueden tener múltiples interpretaciones, parece prudente acordar ciertos significados específicos. Por tanto, hemos recurrido a algunas definiciones, todas ellas extraídas del diccionario Espasa Calpe.
Seguridad: es "calidad de seguro", y, seguro está definido como "libre de riesgo".
Información: es "acción y efecto de informar". Informar: es "dar noticia de una cosa".
Redes: es "el conjunto sistemático de caños o de hilos conductores o de vías de comunicación o de agencias y servicios o recursos para determinado fin".
Uniendo todas estas definiciones, podemos establecer qué se entiende por Seguridad en redes.
Seguridad en Redes: es mantener la provisión de información libre de riesgo y brindar servicios para un determinado fin.
Si trabajamos en definir Seguridad en Redes con los elementos que conocemos, podemos llegar a una definición más acertada :
Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos basados en una política de seguridad tales que permitan el control de lo actuado.
1.3 – Seguridad Global
¿Qué es una red global?. El concepto de red global incluye todos los recursos informáticos de una organización, aún cuando estos no estén interconectados:
Redes de área local (LAN),
Redes de área metropolitana (MAN),
Redes nacionales y supranacionales (WAN), Computadoras personales, minis y grandes sistemas.
De manera que, seguridad global es mantener bajo protección todos los componentes de una red global.
Al fin de cuentas, los usuarios de un sistema son una parte a la que no hay que olvidar ni menospreciar. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas.
Obtener de los usuarios la concientización de los conceptos, usos y costumbres referentes a la seguridad, requiere tiempo y esfuerzo. Que los usuarios se concienticen de la necesidad y, más que nada, de las ganancias que se obtienen implementando planes de seguridad, exige trabajar directamente con ellos, de tal manera que se apoderen de los beneficios de tener un buen plan de seguridad. (Por ejemplo: permite que se determine exactamente lo que debe hacer cada uno y cómo debe hacerlo, y, también las desviaciones que se pueden producir). De esta forma, ante cualquier problema, es muy fácil determinar dónde se produjo o de dónde proviene.
Para realizar esto, lo más usado, y que da muy buenos resultados es hacer "grupos de trabajo" en los cuales se informen los fines, objetivos y ganancias de establecer medidas de seguridad, de tal manera que los destinatarios finales se sientan informados y tomen para sí los conceptos. Este tipo de acciones favorece, la adhesión a estas medidas.
1.4 – Impacto en la organización
La implementación de políticas de seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. ¿Cómo pueden impactar si se implementan para hacer más seguro el sistema?. En realidad, la implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativa.
Por ejemplo, la disminución de la funcionalidad o el decremento de la operatividad tal vez sea uno de los mayores problemas. Esto se puede aclarar de la siguiente manera: en un primer momento, el usuario, para acceder a tal recurso, debía realizar un solo login. Ahora, con la implementación del nuevo esquema de seguridad, debe realizar dos logines: uno para ingresar al sistema y otro para acceder al recurso. El usuario visualiza esto como un nuevo impedimento en su tarea, en lugar de verlo como una razón de seguridad para él, pues de esta manera, se puede controlar más el uso del recurso y, ante algún problema, será mucho más fácil establecer responsabilidades.
Por otro lado, al poner en funcionamiento una nueva norma de seguridad, ésta traerá una nueva tarea para la parte técnica (por ejemplo, cambiar los derechos a algo de algunos usuarios) y administrativamente, se les deberá avisar por medio de una nota de los cambios realizados y en qué les afectará.
1.5 – Visibilidad del proceso
En un reciente estudio de Datapro Research Corp. se resumía que los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución:
Errores de los empleados 50% Empleados deshonestos 15% Empleados descuidados 15% Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad física de instalaciones 10% )
Se puede notar que el 80% de los problemas, son generados por los empleados de la organización, y, éstos se podrían tipificar en tres grandes grupos:
Problemas por ignorancia Problemas por haraganería Problemas por malicia
Entre estas razones, la ignorancia es la más fácil de direccionar. Desarrollando tácticas de entrenamiento y procedimientos formales e informales son fácilmente neutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberían conocer.
La haraganería será siempre una tentación –tanto para los administradores de sistemas como para los usuarios – pero, se encuentra que éste es un problema menor cuando los usuarios ven las metas de los sistemas de seguridad. Esto requiere soporte de las Gerencias y de la Administración, y de la organización como un todo formado por usuarios individuales. En adición, una atmósfera que se focalice en las soluciones, en lugar de censurar, es generalmente más eficiente que aquella que tiende a la coerción o la intimidación.
La malicia, se debe combatir creando una cultura en la organización que aliente la lealtad de los empleados.
La visibilidad es permitir el aporte de las personas de la organización y, dar a conocer las acciones tomadas. Es decir que, cuando se deben producir cambios en las políticas no es necesario que se decidan unilateralmente. Es altamente deseable que se formen grupos de trabajo para discutir y/o conocer el alcance y el tipo de medidas a llevar a cabo (esta metodología de trabajo se puede implementar por lo menos en un 80 % de las veces en que se presenta esta cuestión). Esto, además de llevar algunas veces a obtener soluciones que son más efectivas que las que se pensaban tomar, hace que aquellos que sean tocados por las modificaciones no se sientan recelosos de los cambios realizados y se comprometan con el cambio. Luego, una vez tomada la decisión, se debe comunicar fehacientente a los involucrados de los cambios realizados por medio de minutas, notas o boletines informativos.
De esta manera, aseguramos que los hechos son visibles al resto de la organización. Como consecuencia, las personas no sienten resquemores o recelos de las nuevas medidas implementadas y adhieren rápidamente a ellas. Cabría, asimismo, tener en cuenta cuando deban realizarse modificaciones, hacerlas contando con la asesoría de la parte legal. Así, se pueden llegar a establecer los alcances de las penalidades en caso de infringir las normas dictadas. Respecto de este punto, es también aconsejable que las modificaciones o nuevas normativas, así como las penalizaciones, estén bien publicitadas, ya sea por medio de boletines, en tableros de novedades, en transparencias o por cualquier medio que permita llevar a cabo estas acciones con razonable éxito.
1.6 – Implementación
La implementación de medidas de seguridad, es un proceso técnico- administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Hay que tener muy en cuenta la complejidad que suma a la operatoria de la organización la implementación de estas medidas (ver párrafo "Impacto en la Organización"). Será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen.
También, como hemos mencionado anteriormente, es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad a los actos de la administración.
De todo lo expuesto anteriormente, resulta claro que proponer o identificar una política de seguridad requiere de un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
1.7 – Apostilla
Un reciente estudio indica que para el 25% de los responsables de la información en empresas de más de 100 empleados, a la seguridad no se le da una prioridad alta dentro de la organización y, en los casos en que se da esta prioridad, creen que el resto de la organización no presta a este tema la atención que requiere. Este estudio nos presenta un material interesante para pensar y debatir.
2 – Políticas generales de seguridad
2.1 – ¿Qué son las políticas de seguridad informática (PSI)?
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes [3, pág.382]. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.
2.2 – Elementos de una política de seguridad informática
Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos: [4]
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
Definición de violaciones y de las consecuencias del no cumplimiento de la política.
Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios.
De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qué pasara o cuándo algo sucederá; no es una sentencia obligatoria de la ley. [4, pág.383]
Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.
2.3 – Algunos parámetros para establecer políticas de seguridad
Si bien las características de la PSI que hemos mencionado hasta el momento, nos muestran una perspectiva de las implicaciones en la formulación de estas directrices, revisaremos a continuación, algunos aspectos generales recomendados para la formulación de las mismas.
Considere efectuar un ejercicio de análisis de riesgos informático, a través del cual valore sus activos, el cual le permitirá afinar las PSI de su organización. Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI.
Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de su área u organización.
Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la organización, que permita una actualización oportuna de las mismas.
Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto los alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas.
2.4 – Proposición de una forma de realizar el análisis para llevar a cabo un sistema de seguridad informática
Tal como puede visualizarse, en el gráfico están plasmados todos los elementos que intervienen para el estudio de una política de seguridad.
Se comienza realizando una evaluación del factor humano interviniente – teniendo en cuenta que éste es el punto más vulnerable en toda la cadena de seguridad -, de los mecanismos con que se cuentan para llevar a cabo los procesos necesarios ( mecanismos técnicos, físicos ó lógicos), luego, el medio ambiente en que se desempeña el sistema, las consecuencias que puede traer aparejado defectos en la seguridad (pérdidas físicas, pérdidas económicas, en la imagen de la organización, etc.), y cuáles son las amenazas posibles.
Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los pasos a tomar para poder asegurar el umbral de seguridad que se desea. Luego, se pasa al plan de acción, que es cómo se va a llevar a cabo el programa de seguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buen destino.
Con el propósito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurar un marco efectivo, se realizan auditorías a los controles y a los archivos logísticos que se generen en los procesos implementados (de nada vale tener archivos logísticos si nunca se los analizan o se los analizan cuando ya ha ocurrido un problema).
Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventos que atenten contra la seguridad del sistema. Como el proceso de seguridad es un proceso dinámico, es necesario realizar revisiones al programa de seguridad, al plan de acción y a los procedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos tratados en el primer párrafo y, de esta manera, el proceso se vuelve a repetir.
Es claro que el establecimiento de políticas de seguridad es un proceso dinámico sobre el que hay que estar actuando permanentemente, de manera tal que no quede desactualizado; que, cuando se le descubran debilidades, éstas sean subsanadas y, finalmente, que su práctica por los integrantes de la organización no caiga en desuso.
2.5 – ¿Por qué las políticas de seguridad informática generalmente no consiguen implantarse?
Muchas veces, las organizaciones realizan grandes esfuerzos para definir sus directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo éxito. Según algunos estudios [5] resulta una labor ardua convencer a los altos ejecutivos de la necesidad de buenas políticas y prácticas de seguridad informática.
Muchos de los inconvenientes se inician por los tecnicismos informáticos y por la falta de una estrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos a pensamientos como: "más dinero para los juguetes de los ingenieros". Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometer su información sensible y por ende su imagen corporativa.
Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podría ocurrir. [3, pág.394] Una intrusión o una travesura puede convertir a las personas que no entendieron, en blanco de las políticas o en señuelos de los verdaderos vándalos. Luego, para que las PSI logren abrirse espacio en el interior de una organización deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.
De igual forma, las PSI deben ir acompañadas de una visión de negocio que promueva actividades que involucren a las personas en su hacer diario, donde se identifiquen las necesidades y acciones que materializan las políticas. En este contexto, entender la organización, sus elementos culturales y comportamientos nos debe llevar a reconocer las pautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones y funcionalidad de la compañía.
A continuación, mencionamos algunas recomendaciones para concientizar sobre la seguridad informática:
Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la atención de sus interlocutores.
Asocie el punto anterior a las estrategias de la organización y a la imagen que se tiene de la organización en el desarrollo de sus actividades.
Articule las estrategias de seguridad informática con el proceso de toma de decisiones y los principios de integridad, confidencialidad y disponibilidad de la información. Muestre una valoración costo-beneficio, ante una falla de seguridad.
Justifique la importancia de la seguridad informática en función de hechos y preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de la organización.
2.6 – Las políticas de seguridad informática como base de la administración de la seguridad integral.
Las políticas de seguridad informática conforman el conjunto de lineamientos que una organización debe seguir para asegurar la confiabilidad de sus sistemas. En razón de lo anterior, son parte del engranaje del sistema de seguridad que la organización posee para salvaguardar sus activos. Las PSI constituyen las alarmas y compromisos compartidos en la organización, que le permiten actuar proactivamente ante situaciones que comprometan su integridad. Por tanto, deben constituir un proceso continuo y retroalimentado que observe la concientización, los métodos de acceso a la información, el monitoreo de cumplimiento y la renovación, aceptación de las directrices y estrategia de implantación, que lleven a una formulación de directivas institucionales que logren aceptación general.
Las políticas por sí mismas no constituyen una garantía para la seguridad de la organización. Ellas deben responder a intereses y necesidades organizacionales basados en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos y a reconocer en los mecanismos de seguridad informática factores que facilitan la normalización y materialización de los compromisos adquiridos con la organización.
La seguridad tiene varios estratos: El marco jurídico adecuado.
Medidas técnico-administrativas, como la existencia de políticas y procedimientos o la creación de funciones, como administración de la seguridad o auditoría de sistemas de información interna.
Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las dos ni existir dependencia jerárquica de una función respecto de otra.
En cuanto a la administración de seguridad pueden existir, además, coordinadores en las diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión, la complejidad organizativa o el volumen de la entidad así lo demandan.
En todo caso, debe existir una definición de funciones y una separación suficiente de tareas. No tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir cualquier anomalía; por ello deben intervenir funciones / personas diferentes y existir controles suficientes. La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares.
La llamada seguridad lógica, como el control de accesos a la información exige la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidades o de respaldo interno, o de información transmitida por línea. Puede haber cifrado de la información por dispositivos físicos o a través de programas, y en casos más críticos existen los dos niveles.
2.7 – Riesgos
La autenticación suele realizarse mediante una contraseña, aún cuando sería más lógico – si bien los costes resultan todavía altos para la mayoría de sistemas – que se pudiera combinar con características biométricas del usuario para impedir la suplantación. Entre éstas pueden estar: la realización de la firma con reconocimiento automático por ordenador, el análisis del fondo de ojo, la huella digital u otras.
Al margen de la seguridad, nos parece que el mayor riesgo, aún teniendo un entorno muy seguro, es que la Informática y la Tecnología de la Información en general no cubran las necesidades de la entidad; o que no estén alineadas con las finalidades de la organización.
Limitándonos a la seguridad propiamente dicha, los riesgos pueden ser múltiples. El primer paso es conocerlos y el segundo es tomar decisiones al respecto; conocerlos y no tomar decisiones no tiene sentido y debiera crearnos una situación de desasosiego.
Dado que las medidas tienen un costo, a veces, los funcionarios se preguntan cuál es el riesgo máximo que podría soportar su organización. La respuesta no es fácil porque depende de la criticidad del sector y de la entidad misma, de su dependencia respecto de la información, y del impacto que su no disponibilidad pudiera tener en la entidad. Si nos basamos en el impacto nunca debería aceptarse un riesgo que pudiera
llegar a poner en peligro la propia continuidad de la entidad, pero este listón es demasiado alto.
Por debajo de ello hay daños de menores consecuencias, siendo los errores y omisiones la causa más frecuente – normalmente de poco impacto pero frecuencia muy alta – y otros, como por ejemplo: el acceso indebido a los datos (a veces a través de redes), la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"), los daños por fuego, por agua (del exterior como puede ser una inundación, o por una tubería interior), la variación no autorizada de programas, su copia indebida, y tantos otros, persiguiendo el propio beneficio o causar un daño, a veces por venganza.
Otra figura es la del "hacker", que intenta acceder a los sistemas sobre todo para demostrar (a veces, para demostrarse a sí mismo/a) qué es capaz de hacer, al superar las barreras de protección que se hayan establecido.
Alguien podría preguntarse por qué no se citan los virus, cuando han tenido tanta incidencia. Afortunadamente, este riesgo es menor en la actualidad comparando con años atrás. Existe, de todas maneras, un riesgo constante porque de forma continua aparecen nuevas modalidades, que no son detectadas por los programas antivirus hasta que las nuevas versiones los contemplan. Un riesgo adicional es que los virus pueden llegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero esto es realmente difícil – no nos atrevemos a decir que imposible- por las características y la complejidad de los grandes equipos y debido a las características de diseño de sus sistemas operativos.
En definitiva, las amenazas hechas realidad pueden llegar a afectar los datos, en las personas, en los programas, en los equipos, en la red y algunas veces, simultáneamente en varios de ellos, como puede ser un incendio.
Podríamos hacernos una pregunta realmente difícil: ¿qué es lo más crítico que debería protegerse? La respuesta de la mayoría, probablemente, sería que las personas resultan el punto más crítico y el valor de una vida humana no se puede comparar con las computadoras, las aplicaciones o los datos de cualquier entidad. Ahora bien, por otra parte, podemos determinar que los datos son aún más críticos si nos centramos en la continuidad de la entidad.
Como consecuencia de cualquier incidencia, se pueden producir unas pérdidas que pueden ser no sólo directas (comumente que son cubiertas por los seguros)más facilmente, sino también indirectas, como la no recuperación de deudas al perder los datos, o no poder tomar las decisiones adecuadas en el momento oportuno por carecer de información.
Sabemos que se producen casos similares en gran parte de entidades, pero en general no conocemos a cuáles han afectado (o lo sabemos pero no podemos difundirlo), porque por imagen estos no se hacen públicos y el hecho de que se conozcan muchos más referidos a Estados Unidos y a otros puntos lejanos que respecto de nuestros países no significa que estemos a salvo, sino que nuestro pudor es mayor y los ocultamos siempre que podemos.
2.8 – Niveles de trabajo
Confidencialidad Integridad Autenticidad
No Repudio
Página siguiente |