Descargar

Seguridad informática y de la información en Grupo Plasencia Tabacos Honduras (página 2)


Partes: 1, 2, 3, 4

En el principio de la confidencialidad de la información como su propósito principal es el asegurar que solo la persona correcta acceda a la información que se quiere distribuir.

La información que se intercambia entre empleados dentro de la empresa y con otras empresas no siempre debe ser conocida por todo el mundo. Mucha de la información generada por las personas se destina a un grupo específico de individuos, y muchas veces a una única persona. Eso significa que estos datos deberán ser conocidos solo por un grupo controlado de personas, definido por el responsable de la información. Por lo general este principio puede ser roto en la empresa accidentalmente por alguna persona que accede a una información que no le corresponde, pero el responsable ni se logra a dar cuenta de esto.

Tener confidencialidad es muy importante en una empresa como Clasificadora y Exportadora de Tabaco ya que si información delicada como planillas de pago llega a manos de personas sin autorización puede causarle pérdidas a la empresa por ejemplo (un intruso puede ver la cantidad total del pago de una planilla en una de las fincas de la empresa y de acuerdo a esta suma podría motivarlo a cometer un asalto, como ya ha ocurrido en Jamastran y Talanga en donde las planillas de pago se cancelan en efectivo). Tener confidencialidad en la comunicación, es la seguridad de que lo que se le dijo a alguien o escribió en algún lugar será escuchado o leído solo por quien tenga ese derecho, entonces la confidencialidad en la comunicación es sumamente importante para conservar la seguridad de la información. La perdida de confidencialidad significa perdida de secreto.

Garantizar la confidencialidad es uno de los factores determinantes para la seguridad y una de las tareas más difíciles de implementar, pues involucra a todos los elementos que forman parte de la comunicación de la información, desde su emisor, el camino que ella recorre, hasta su receptor. Y también, cuanto más valiosa es una información, mayor debe ser su grado de confidencialidad, también los empleados deben seleccionar cuidadosamente las carpetas y archivos que van a compartir en red con sus compañeros. Y cuanto mayor sea el grado de confidencialidad, mayor será el nivel de seguridad necesario de la estructura tecnológica y humana que participa de este proceso: del uso, acceso, tránsito y almacenamiento de las informaciones.

El principio de la disponibilidad es otro de los principios fundamentales para mejorar la seguridad de la información y se refiere a que una vez que nos aseguramos que la información correcta llegue a los destinatarios o usuarios correctos, ahora lo que debemos garantizar es que llegue en el momento oportuno, y precisamente de esto trata este principio de la seguridad de la información: la disponibilidad, que al igual que todos los principios tiene la misma importancia para cualquier empresa ya que se necesita que la información esté disponible en el tiempo que uno la necesité. Ya que para que los empleados puedan utilizar la información debe de estar disponible. Y esto se refiere a la disponibilidad de la información y de toda la estructura física y tecnológica que permite el acceso, transito y almacenamiento. Este principio le permite a la empresa que la información se utilice cuando sea necesario, que esté al alcance de sus usuarios y destinatarios, y que se pueda accederla en el momento en que necesiten utilizarla.

Para garantizar la disponibilidad, se podría tomar en cuenta muchas medidas en la empresa. Entre ellas destacamos:

  • La configuración segura de un ambiente, donde todos los elementos que forman parte de la cadena de la comunicación están dispuestos en forma adecuada para asegurar el éxito de la lectura, tránsito y almacenamiento de la información.

  • La autenticidad permite definir que la información requerida y utilizable en tiempo, forma y distribución. Esta propiedad también le permite a la empresa asegurar el origen de la información, validando el emisor de la misma, para evitar suplantación de identidades.

  • También se realizan las copias de respaldo – BackUp.

Para aumentar aún más la disponibilidad de la información deberán:

  • a) Definirse estrategias para situaciones de contingencia

  • b)  Establecerse rutas alternativas para el tránsito de la información, para garantizar su acceso y la continuidad de los negocios incluso cuando algunos de los recursos tecnológicos, o humanos, no estén en perfectas condiciones de operación.

Los puntos débiles son los que las amenazas aprovechan. Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta.

Las vulnerabilidades a las cuales los activos de la empresa podrían estar expuestos serian:

  • Físicas

  • Naturales

  • De hardware

  • De software

  • De medio de almacenaje

  • De comunicación

  • Humanas

Los puntos débiles son los elementos que, al ser explotados por amenazas, afectarían la confidencialidad, disponibilidad e integridad de la información de la empresa. Uno de los primeros pasos en la empresa para la implementación de la seguridad seria rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información. Al ser identificados los puntos débiles, será posible que la empresa dimensione los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección.

Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está almacenando o manejando.

Algunos ejemplos de este tipo de vulnerabilidad en la empresa se distinguen: instalaciones inadecuadas para el área de servidores o dividirla con pared de vidrio, implementación de piso falso en la sala de servidores, Ausencia de recursos para el combate de incendios en el área de servidores, falta de identificación de personas y de locales u oficinas, entre otros.

Estos puntos débiles, al ser explotados por amenazas, afectan directamente los principios básicos de la seguridad de la información, principalmente la disponibilidad.

Los puntos débiles naturales son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.

Muchas veces, la humedad, el polvo y la contaminación podrán causar daños a los activos. Por ello, los mismos deberán estar protegidos para poder garantizar sus funciones.

La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local, de acuerdo con el tipo de amenaza natural que pueda ocurrir en una determinada región geográfica.

Entre las amenazas naturales más comunes y que pudieran poner en riesgo a la empresa:

  • Ambientes sin protección contra incendios (Como el área de servidores).

  • Locales próximos a ríos, en este caso la empresa se encuentra a unos 500 mts de un rio que se encuentra seco pero el local de la oficina de administración donde se maneja la información se ubica en un lugar dentro de la empresa no propenso a inundaciones.

  • Infraestructura incapaz de resistir las manifestaciones de la naturaleza como terremotos u huracanes.

Las vulnerabilidades de hardware: serian los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos.

Existen muchos elementos que representan puntos débiles de hardware. Entre ellos podemos mencionar: la ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan, y conservación inadecuada de los equipos.

Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus funciones, si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados.

Vulnerabilidad de software: Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red que en este caso es también el jefe de informática.

Los puntos débiles relacionados con el software podrían ser explotados por diversas amenazas ya conocidas: Entre éstos destacamos:

La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.

Algunos ejemplos para la empresa que pudieran representar riesgo serian:

  • a) Lectores de e-mail que permiten la ejecución de códigos maliciosos, b) Editores de texto que permiten la ejecución de virus de macro etc., Estos puntos débiles colocan en riesgo la seguridad de los ambientes Tecnológicos.

Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

Ejemplo

También podrán tener puntos débiles de aplicaciones los programas Utilizados para la edición de texto e imagen, para la automatización de procesos y los que permiten la lectura de la información de la empresa, como los navegadores de páginas del internet.

Los sistemas operativos como Microsoft ® Windows ® y Unix ®, que ofrecen la interfaz para configuración y organización de un ambiente tecnológico.

Estos son el blanco de ataques, pues a través de los mismos se podrán realizar cualquier alteración de la estructura de una computadora o red, en el caso de la empresa todo su equipo cuenta con sistema operativo Microsoft Windows.

Ejemplos de cómo atraves de los sistemas operativos la empresa pudiera ser vulnerable:

La configuración e instalación inadecuada, ausencia de actualización, programación insegura etc.

La vulnerabilidad de medios de almacenaje, los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para almacenar la información.

Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar:

  • Disquetes

  • CD-ROM

  • Cintas magnéticas

  • Discos duros de los servidores y de las bases de datos.

  • Memorias USB

Si el personal de la empresa no utiliza de forma adecuada los soportes que almacenan la información, el contenido en los mismos podría estar vulnerable a una serie de factores que podrían afectar la integridad, confidencialidad y disponibilidad de la información.

Ejemplos de cómo se pondría en riesgo la información atraves de los medios de almacenamiento serian:

  • plazo de validez y caducidad

  • defecto de fabricación

  • uso incorrecto

  • lugar de almacenamiento en locales insalubres o con alto nivel de humedad, magnetismo o estática, moho, etc.

En las vulnerabilidades de la comunicación abarca todo el tránsito de la

Información. Donde sea que la información transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.

Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, internet, fax, etc.

Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que: cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso. La información sea alterada en su estado original, afectando su integridad.

Por lo tanto, la seguridad de la información también está asociada con el desempeño de los equipos involucrados en la comunicación, pues se preocupa por: la calidad del ambiente que fue preparado para el tránsito, tratamiento, almacenamiento y lectura de la información.

Ejemplo de vulnerabilidades en la comunicación que podrían afectar los activos de la empresa:

  • La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada. Y en el caso de la empresa el único sistema para encriptar que se usa es en los documentos de office con la opción que ya trae por Default para encriptar.

  • La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito. En la empresa se utiliza mucho la aplicación de Skype para comunicarse entre el personal del Grupo Plasencia, pero no sería recomendable mandarse información que represente activos para la empresa.

En el caso de las vulnerabilidades humanas están relacionadas con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta.

Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.

Destacamos dos puntos débiles humanos por su grado de frecuencia que se ha visto en la empresa:

  • La falta de capacitación específica para la ejecución de las actividades Inherentes a las funciones de cada uno.

  • La falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.

En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como:

  • Vandalismo,

  • Estafas,

  • Invasiones, etc.

Este es uno de los puntos débiles más fuertes en toda empresa algunos ejemplos de este tipo de punto débil seria:

Contraseñas débiles, falta de uso de criptografía en la comunicación, compartimiento de identificadores tales como nombre de usuario y contraseñas, usuarios que no mantienen sus computadoras con contraseña, entre otros.

Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.

La empresa implementa algunas medidas de seguridad pero debería profundizar más en estas medidas ya que existe una gran variedad de clases de puntos débiles que afectan la seguridad de la información, deberían existir en la empresa medida de seguridad específica para el tratamiento de cada caso.

Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;

Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información o

Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.

También existen las medidas de seguridad globales que la empresa debería tener en cuenta como lo son:

  • Administración de seguridad

  • Política de seguridad

  • Especificación de seguridad

  • Análisis de riesgos

El análisis de riesgos este es un paso muy importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de la empresa, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.

La relación entre amenaza-incidente-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.

En la empresa Clasificadora y Exportadora de Tabaco como en todas las empresas existen incidentes e impactos.

Los impactos pueden ser desastrosos según su amplitud y gravedad.

Ejemplos de la relación entre amenaza, incidente e impacto serian:

La pérdida de una base de datos confidencial, que trae el listado de los principales deudores de la empresa. El incidente de la pérdida de esta información en sí es pequeño, pero el impacto que puede causar es inmenso, cuando se divulguen los nombres de las personas deudoras.

En el caso de la acción de una amenaza de un fenómeno meteorológico como un huracán, el incidente puede ser muy grande, pero si la empresa cuenta con la protección adecuada en su infraestructura, el impacto puede ser pequeño.

Al ver estos ejemplos basándolos a la empresa, se mira lo que ya sabemos que la tecnología es clave para cualquier empresa o negocio y con el incremento en frecuencia de los ataques a los mismos, la seguridad de la empresa se convierte en algo vital para la supervivencia de la empresa.

En conclusión un análisis de riesgos seria una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.

Además esta actividad sería muy beneficiosa para la empresa ya que tiene por resultado lo siguiente:

  • Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.

  • Identificar las amenazas que puedan explotar estas vulnerabilidades y de esta manera se pueda llegar a su corrección o eliminación.

  • Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.

  • Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará a la empresa. Así, esta visión orienta la implementación de las medidas de seguridad sólo en las situaciones en que la relación costo-beneficio se justifique.

La empresa debe definir un equipo humano de trabajo para la realización del análisis de riesgos.

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos.

A continuación cito un ejemplo de por qué es necesario que las personas que integren en equipo de analistas sean sólo personas de confianza del jefe de informática:

  • El personal que seleccione para realizar las entrevistas a los usuarios, debe ser de entera confianza, ya que en muchos de los casos manejaran información crítica de la empresa. Por ejemplo, las vulnerabilidades que tiene el sistema de nóminas de la compañía.

Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.

  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,

  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación

  • Conocer la forma con que se da el flujo de información dentro del proceso,

  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Otra etapa del análisis de riesgos es el análisis técnico.

El análisis técnico de seguridad es una de las etapas más importantes del análisis de riesgos. A través de éste se hacen las colectas de información sobre la forma en que los activos:

  • Fueron configurados,

  • Estructurados en la red de comunicación, y

  • La forma en que son administrados por sus responsables.

El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.

Algunos ejemplos que se pueden considerar en cuanto al análisis técnico:

  • Identificar la falta de actualizaciones de seguridad en las maquinas de los usuarios del área de contabilidad.

  • Revisar las políticas de respaldos en los servidores de bases de datos para conocer si son los adecuados para la información almacenada en ellos.

Otra etapa del análisis de riesgos para realizarlo en la empresa Clasificadora y Exportadora de Tabaco y en cualquier otra empresa es análisis de seguridad física.

El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.

Estos ambientes deben ser observados con relación a lo siguiente:

Disposición Organizativa: Se considera la disposición organizativa en especial sobre:

  • La organización del espacio con relación a cómo están acomodados los muebles y los activos de información.

  • Que las áreas de circulación de personas en lugares de alto transito estén libres de activos de valor o importancia para la empresa.

  • Que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.

Sistema de combate a incendios: Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados:

  • los detectores de humo, que en el caso de la empresa no funcionaria adecuadamente ya que detectaría el humo de tabaco de fumadores en el área de administración debido a que es una empresa Tabacalera.

  • los aspersores de agua,

  • los extintores de incendio, entre otras cosas.

Control de acceso: Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de:

  • cámaras de video,

  • hombres de seguridad,

  • trinquete para acceso,

  • mecanismos de reconocimiento individual,

  • entre otros.

Exposición al clima y medio ambiente: Disposición de las ventanas y puertas de áreas críticas.

  • Se preocupa que se encuentren ubicadas próximas a activos críticos, en este caso el servidor se encuentra cercano a una ventana que siempre está dentro a la empresa pero puede representar un peligro.

  • Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.

Topografía: Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Cito algunos ejemplos de cómo esta empresa puede hacer un análisis de seguridad física dentro del análisis de riesgos:

  • Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias.

  • Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

La seguridad en el equipamiento la empresa podría seguir varias recomendaciones como que los equipos estén instalados en áreas en las cuales el acceso a los mismos solo sea para personal autorizado, que cuenten con mecanismos de ventilación adecuados y detección de incendios adecuados.

Para protegerlos la empresa debe tener en cuenta:

  • La temperatura no deberá sobrepasar los 18 °C y el límite de humedad no debe superar el 65% para evitar el deterioro.

  • Los centros de computo como ya he dicho deben estar provistos de equipo para la extinción de incendios en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito.

  • La empresa debe instalar extintores manuales (portátiles) y/o automáticos (rociadores) en más lugares aparte de las zonas donde ya cuenta.

Cableado, los cables que se utilizan para construir las redes locales van del cable telefónico normal al cable coaxial o la fibra óptica.

Los riesgos más comunes para el cableado se pueden resumir en los siguientes:

  • Interferencia: estas modificaciones pueden estar generadas por cables de alimentación de maquinaria pesada o por equipos de radio o microondas.

  • Corte del cable: la conexión establecida se rompe, lo que impide que el flujo de datos circule por el cable, la interrupción del internet en la empresa pasa generalmente por el corte de fibra.

  • Daños en el cable: los daños normales con el uso pueden dañar el apantallamiento que preserva la integridad de los datos transmitidos o dañar al propio cable, lo que hace que las comunicaciones dejen de ser fiables.

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.

2.2

Los resultados del análisis de riesgos y políticas de seguridad.

Los resultados que la empresa obtendría del análisis de riesgos.

Una vez que se realiza el análisis de riesgos, la empresa tendría en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.

El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la empresa.

Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.

Ejemplos de lo que podría resultar del análisis de riesgos:

  • El análisis de riesgos que pudiera realizar la empresa indique que es necesaria la instalación y actualización de Software Antivirus en todos los equipos de altos ejecutivos de la empresa, dada la importancia de la información manejada por ellos.

  • Después de obtener los resultados, una empresa se da cuenta que las acciones de seguridad que ha estado tomando no incluyen a los activos más relevantes para el negocio de la empresa, y por tanto tiene que reenfocar sus acciones.

Políticas de seguridad

Ahora un tema muy importante que las empresas deben tomar. Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel de la empresa.

Con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. Recientemente la empresa ha publicado sus políticas, pero después de este estudio el Gerente de TI puede determinar si puede modificarlas para mejorarlas o considerar que están bien.

Áreas de normalización de la política de seguridad dentro de la empresa serian:

  • Tecnológica

  • Humana

Enseguida expondré algunos ejemplos genéricos del porqué es necesario considerar los dos aspectos, tecnológico y humano al momento de definir una política de seguridad de la información.

En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, estrés laboral, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política.

Elaboración de la política

Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción.

a) Exigencias de la política

b) Etapas de producción

La política es elaborada tomando como base la cultura de la empresa y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.

Es importante considerar que para la elaboración de una política de seguridad institucional se debe:

  • Integrar el Comité de Seguridad responsable de definir la política.

  • Elaborar el documento final.

  • Hacer oficial la política una vez que se tenga definida y aprobada por la Gerencia.

En virtud que las políticas son guías para orientar la acción de las personas que intervienen en los procesos de la empresa, a continuación presento ejemplos que ilustran cómo esas acciones pueden comprometer los fines de la política de seguridad.

  • De nada nos sirve generar una política completa y correcta en todos los aspectos, si los empleados de la empresa no la conocen o aplican.

  • Es importante también dejar muy claras las sanciones a las que pueden hacerse acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa, tanto empleados como clientes de Clasificadora y Exportadora de Tabaco, así como todas las empresas del Grupo Plasencia.

Acompañamiento de la política

Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación:

  • Cultura

  • Herramientas

  • Monitoreo

Implantación de la política

Una política se encuentra bien implantada cuando:

  • Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas.

  • Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos.

  • Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración.

  • Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización.

La implantación de la política de seguridad depende de:

  • Una buena estrategia de divulgación entre los usuarios.

  • Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno.

  • Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje.

  • Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos.

Temas de la Política

Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas.

La división de los temas de una política depende de las necesidades de la empresa y su delimitación se hace a partir de:

  • el conocimiento del ambiente organizacional, humano o tecnológico,

  • la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa.

Algunos ejemplos de temas posibles para la empresa Clasificadora Y Exportadora de Tabaco serían:

  • Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos.

  • Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones.

  • Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia.

  • Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia.

  • Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria.

  • Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.

Usos de la Política

Una vez elaborada, la política de seguridad es importante se garantice en la implementación controles de uso adecuado de la política de seguridad.

Al implementarse ésta debería cumplir por lo menos dos propósitos:

  • Ayudar en la selección de productos y en el desarrollo de procesos.

  • Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la empresa sea garantizado.

La política al ser utilizada por la empresa de manera correcta, podemos decir que brindaría algunas ventajas como lo son:

  • Permite definir controles en sistemas informáticos.

  • Permite establecer los derechos de acceso con base en las funciones de cada persona.

  • Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad.

  • Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad.

  • Permite la realización de investigaciones de delitos por computadora.

  • Se convierte en el primer paso para transformar la seguridad en un esfuerzo común.

Debido a que una política de seguridad impactaría la forma de trabajo diario de las personas en la empresa, esta debería ser:

  • Clara (escrita en buena forma y lenguaje no elevado),

  • Concisa (evitar información innecesaria o redundante),

  • De acuerdo con la realidad práctica de la empresa (para que pueda ser reconocida como un elemento institucional).

  • Actualizada periódicamente.

Es importante que mecanismos paralelos, como una campaña para crear conciencia de la seguridad en la empresa, sean puestos en práctica para que la política de seguridad pueda ser asimilada por sus usuarios e incorporada en la empresa. Esto dependería en gran parte de la gerencia de la empresa, y ayudaría mucho a los usuarios debido a su ignorancia en el tema de la seguridad.

2.3

Acciones Hostiles

Robo: las computadoras son posesiones valiosas de esta empresa y están expuestas, de igual manera que el dinero. Es frecuente que los usuarios utilicen la computadora de la empresa para realizar trabajos privados o para otras empresas y, de esta manera, robar tiempo de máquina. La información importante o confidencial podría ser fácilmente copiada. Muchas empresas invierten miles de dólares en programas y archivos de información, a los que les dan menor protección que la que otorgan a una máquina de escribir o una calculadora.

Fraude: cada año en todo el mundo millones de dólares son sustraídos de las empresas y en la mayor parte se utilizan computadoras para este fin.

Debido a que ninguna de las partes implicadas (empresa, empleados, fabricante, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ningún tipo de publicidad a estas situaciones.

La empresa debe tener mucho cuidado con cualquier tipo de fraude ya que el nombre de nuestra empresa se vería afectado, en este caso nunca se ha registrado un fraude y este tipo de acciones no es tan común como el robo directo de equipos.

Sabotaje: el peligro más temido en los centros de procesamiento de datos, es el sabotaje. La protección contra el saboteador es uno de los retos más duros para cualquier empresa ya que no quiere robarse la información si no que eliminarla o corromperla. Y el saboteador puede ser un empleado o un sujeto ajeno a la empresa.

Acciones a tomar

Control de accesos: el control de acceso no solo requiere la capacidad de identificación, si no también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector de nuestra empresa, ideal para aplicarlo a la sala de servidores y en todo el edificio de administración.

Control de personas: el servicio de vigilancia es el encargado del control de acceso de todas las personas al edificio. En la empresa en el caso de las visitas se le da una credencial de identificación para identificarlos como visitas y el acceso a la empresa es acompañado de un empleado de la empresa del área que la visita anda visitando.

Control de vehículos: para controlar el ingreso y egreso de vehículos, el personal de vigilancia de la empresa toma nota en una planilla los datos personales de los ocupantes del vehículo, la marca, la placa y la hora de ingreso y egreso a la empresa. Para usar los datos en caso de robo, fraude, O sabotaje de la información de la empresa.

Desventaja de la utilización de guardias

La principal desventaja en la empresa podría llegar a ser que el guardia pueda llegar a ser sobornado por un tercero para lograr acceso a sectores de la empresa donde se maneje información delicada.

Sistemas biométricos: la forma de identificación atraves de los sistemas biométricos consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos. Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz).

Beneficios de una tecnología biométrica

Utilizando un dispositivo biométrico los costos de administración serian más pequeños en comparación a manejar tarjetas. Se realiza el mantenimiento del lector, y una persona se encarga de mantener la base de datos actualizada. Sumado a esto, las características biométricas de una persona son intransferibles a otra. Y en esto es mejor a la tarjeta inteligente, la empresa podría implementar este sistema en las áreas de gerencia, contabilidad e informática.

Huella digital: basado en el principio de que no existen 2 huellas dactilares iguales este sistema viene siendo utilizado desde el siglo pasado con excelentes resultados.

Verificación de voz: la dicción de una (o mas frases) frase es grabada y en el acceso se compara la voz (entonación, agudeza, etc.) este sistema es muy sensible a factores externos como el ruido, el estado de ánimo, y enfermedades de las personas, el envejecimiento, etc. Y por estas razones no sería la más recomendable para la empresa.

Verificación de patrones oculares: estos modelos pueden ser basados en los patrones del iris o de la retina y hasta el momento son los considerados más efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0).

Protección electrónica: otra recomendación que la empresa podría considerar, se le llama así a la detección de robo, intrusión, asalto, e incendios mediante la utilización de sensores conectados a centrales de alarmas. Estas centrales tienen conectados los elementos de señalización que son los encargados de hacerles saber al personal de una situación de emergencia. Cuando uno de los elementos sensores detecta una situación de riesgo, estos transmiten inmediatamente el aviso a la central; esta procesa la información recibida y ordena en respuesta la emisión de señales sonoras o luminosas alertando de la situación.

Esto serviría de alerta para que el personal de la empresa estuviera alertado de alguna situación de riesgo.

Circuito cerrado de televisión: permitiría el control de todo lo que sucede en el edificio según lo captado por las cámaras estratégicamente colocadas. Los monitores de estos circuitos la empresa los debería colocar en un sector de alta seguridad y exclusivos solo para el monitoreo de las cámaras. Las cámaras pueden ser puestas a la vista (para ser utilizadas como medida disuasiva) u ocultas (para evitar que el intruso sepa que está siendo captado por el personal de seguridad), en la empresa ya han sido implementadas en algunos sectores, pero seria de mucho beneficio para la empresa implementarlo en todos los sectores de la empresa en los que hay activos considerados de valor.

2.4

Seguridad lógica y controles de acceso.

Seguridad lógica

La seguridad lógica en la empresa debe consistir en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo permita acceder a ellos a las personas autorizadas para hacerlo, ya que en muchos casos en la empresa se le da acceso a personas que no deberían.

Identificación y autenticación: se le denomina identificación al momento en que el usuario se da a conocer en el sistema: y autenticación a la verificación que realiza el sistema sobre esta identificación.

Existen 4 tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:

  • Algo que solamente el individuo conoce por ejemplo: una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc., en este caso las claves o PINES pueden ser prestados o copiados.

  • Algo que la persona posee: por ejemplo una tarjeta magnética, también es poca segura ya que puede ser extraviada o prestada a alguien más.

  • Algo que el individuo es y que lo identifica unívocamente: por ejemplo, las huellas digitales o la voz, en el caso de voz surgen problemas por ruidos del ambiente o de otras personas.

  • Algo que el individuo es capaz de hacer: por ejemplo, los patrones de escritura

La seguridad informática se basa y debería basarse en la empresa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos, basados en la identificación, autenticación, y autorización de accesos. Esta administración abarca:

  • Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Es necesario considerar que la solicitud de habilitación de un permiso de acceso para un usuario determinado, debe provenir de su superior y, de acuerdo con sus requerimientos específicos de acceso. Debe generarse el perfil en el sistema de seguridad, el sistema operativo, o en la aplicación según corresponda.

  • Además la identificación de los usuarios debe definirse de acuerdo con una norma homogénea para toda la empresa.

  • Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso establecidos. Las mismas deben encararse desde el punto de vista del sistema operativo. Y aplicación por aplicación, pudiendo ser llevadas a cabo por personal de auditoría o por la Gerencia propietaria del sistema; siempre sobre la base de que cada usuario disponga del mínimo permiso que requiera de acuerdo con sus funciones.

  • Las revisiones deben orientarse a verificar la adecuación de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuario o la autorización de cada habilitación de acceso, para esto, deben analizarse las cuentas en busca de periodos de inactividad o cualquier otro aspecto anormal que permita una redefinición de la necesidad de acceso.

  • Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado. Para implementar la rotación de funciones, o en caso de reasignar funciones por ausencias temporales de algunos empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso.

  • Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización, llevadas a cabo en forma amistosa o no. Los despidos del personal de sistemas presentan altos riesgos ya que en general se trata de empleados con capacidad para modificar las aplicaciones de la empresa o la configuración del sistema.

  • Dejando "bombas lógicas" o destruyendo sistemas o recursos informáticos. No obstante el personal de otras áreas usuarias de los sistemas también pueden causar daños por ejemplo: introduciendo información errónea a las aplicaciones intencionalmente o borrando toda la información de la empresa de su computadora.

Para evitar estas situaciones, es recomendable para la empresa anular los permisos de acceso a las personas que se desvincularan de la empresa, lo antes posible. En caso de despido, el permiso de acceso a algún sistema o correo electrónico debería anularse previamente a la notificación de la persona sobre la situación.

Modalidad de acceso

Esto se refiere al modo de acceso que se le permita al usuario de la empresa sobre los recursos y la información que comparten. Esta modalidad puede ser:

  • Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Pero la empresa debe considerar que si puede ser copiada o impresa.

  • Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.

  • Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.

  • Borrado: permite al usuario eliminar recursos del sistema. El borrado es considerado una forma de modificación.

  • Todas las anteriores o control total

Además existen otras modalidades de acceso parciales, que generalmente se incluyen en los sistemas de aplicación.

  • Creación: permite al usuario crear nuevos archivos, registros o campos.

  • Búsqueda: permite listar los archivos de un directorio determinado.

Control de acceso interno

Palabras claves (Password): generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados atraves de la utilización de palabras claves resultarían de muy bajo costo para la empresa.

Caducidad y control: este mecanismo controla cuando pueden y/o deben cambiar sus password los usuarios.

Control de acceso externo

Dispositivos de control de puertos: estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones. Por ejemplo: Un modem.

Firewalls o puertas de seguridad: permiten bloquear o filtrar el acceso entre 2 redes, usualmente una privada y otra externa (por ejemplo: Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la empresa, incluso el sistema operativo de Windows incluye una opción para Firewall al igual que los antivirus.

Accesos públicos: para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada. (Mediante por ejemplo: la consulta y recepción de información atraves del correo electrónico) deben tenerse medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.

Administración: una vez que son establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.

La política que desarrolle la empresa respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de acceso y especificando las consideraciones necesarias para el establecimiento de perfiles de usuario.

La definición de los permisos de acceso requiere determinar cuál será el nivel de seguridad necesario sobre los datos, por lo que es impredecible clasificar la información, determinando el riesgo que producirá una eventual exposición de la misma a usuarios no autorizados.

Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.

Para empezar la implementación, es conveniente empezar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones mas criticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones.

Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles.

Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacio, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo: del personal directivo en el cumplimiento de las políticas, y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno.

Pero además de este compromiso debe existir una concientización por parte de la administración de la empresa hacia el personal del grupo Plasencia en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la empresa del grupo.

2.5

Delincuencia Informática

Delitos informáticos

El delito informático o crimen electrónico, o bien ilícito digital es el término genérico para aquellas operaciones ilícitas realizadas por medio de internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de internet. Sin embargo, las categorías que definen un delito informático son aún mayores y complejas y pueden incluir delitos tradicionales como el fraude, robo, chantaje, falsificación de documentos, en los cuales los ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de internet, los delitos informáticos se han vuelto más frecuentes y sofisticados y la mayor parte de estos delitos pueden quedar en la impunidad principalmente en un país como Honduras.

Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sinnúmero de herramientas delictivas que buscan infringir y dañar todo lo que se encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración), chantajes, fraudes electrónicos, ataques a sistemas, ataques realizados por hackers, violación de información confidencial y muchos otros. Estos Serian algunos de los daños que nuestra empresa objeto de estudio podría sufrir.

Tipos de delitos informáticos

  • Delitos contra la confidencialidad, la integridad, y la disponibilidad de los datos y sistemas informáticos:

  • 1. Acceso ilícito a sistemas informáticos que maneja la empresa.

  • 2. Interceptación ilícita de datos informáticos.

  • 3. Interferencia en el funcionamiento de un sistema informático de la empresa.

  • 4. Abuso de dispositivos que faciliten la comisión de delitos.

Ejemplos dentro de este grupo: robo de identidades, la conexión a las redes de la empresa de forma no autorizada, y la utilización de spyware.

  • Delitos informáticos:

  • 1. Falsificación informática mediante la introducción, borrada o supresión de datos informáticos.

  • 2. Fraude informático mediante la introducción, alteración, o borrado de datos informáticos, o la interferencia en sistemas informáticos.

El borrado fraudulento de datos, o la corrupción de ficheros, serian algunos ejemplos de delitos de este tipo que pudiera sufrir la empresa.

Delincuentes informáticos

La empresa Clasificadora y Exportadora de Tabaco y su personal no solo de informática si no que todos los empleados que manejan información de la empresa, es necesario que conozcan los diferentes delincuentes informáticos, sus características, la forma y como puede atacar a la empresa, etc. Son los siguientes:

  • 1. Pirata informático: es quien adopta por negocio la reproducción, apropiación o acaparacíon y distribución, con fines lucrativos a gran escala, de distintos medios y contenidos (software, videos, música) de los que no posee licencia o permiso de su autor, generalmente haciendo uso de un ordenador. Siendo la de software la práctica de piratería más conocida y es en la que pueden afectar a la empresa si un pirata informático le vendiera software a la empresa que no es de su propiedad.

Tipos de piratería:

  • Piratería de software

  • Piratería de música

  • Piratería de videojuegos.

  • 2. Virucker: esta palabra proviene de la unión de los términos Virus y Hacker, y se refiere al creador de un programa el cual insertado en forma dolosa en un sistema de computo destruya, altere, dañe o inutilice a un sistema de información perteneciente a la empresa.

  • 3. Hacker: es quien intercepta dolosamente un sistema informático para dañar, apropiarse, interferir, desviar, difundir, y/o destruir información que se encuentra almacenada en computadoras pertenecientes a la empresa. Los hackers por lo general son fanáticos de la informática, que tan solo con un computador personal, un modem, gran paciencia e imaginación son capaces de acceder, atraves de una red pública de transmisión de datos, al sistema informatizado de esta y cualquier otra empresa saltándose todas las medidas de seguridad, y leer información, copiarla, modificarla, preparando las condiciones idóneas para llamar la atención sobre la vulnerabilidad de los sistemas informáticos, o satisfacer su propia vanidad. Sin embargo en la zona oriental de nuestro país que es donde se encuentra nuestra empresa, no hay hackers o hasta el momento no habido un caso, han robado información y dinero de varias empresas en esta zona pero estos han sido robos físicos no atraves de las redes o la tecnología.

  • 4. Cracker: para las acciones nocivas existe la más contundente expresión, Cracker, sus acciones pueden ir desde simples destrucciones, como borrado de información, hasta el robo de información sensible; es decir, presenta dos vertientes, en el que se cuela en un sistema informático y roba información o produce destrozos en el mismo. Y el que se dedica a desproteger todo tipo de programas.

  • 5. Phreaking: es una persona con amplios conocimientos de telefonía puede llegar a realizar actividades no autorizadas con los teléfonos, por lo general celulares. Construyen equipos electrónicos artesanales que pueden interceptar y hasta ejecutar llamadas de aparatos celulares sin que el titular se percate de ello.

Legislación en Honduras

En el plano jurídico-penal, la criminalidad informática puede suponer una nueva visión de delitos tradicionales o la aparición de nuevos delitos impensables antes del descubrimiento de las nuevas tecnologías (virus informáticos, accesos indebidos a procesamiento de datos para alterar su funcionamiento, etc.). Por ello la criminalidad informática obliga a revisar los elementos constitutivos de gran parte de los tipos penales tradicionales. Cabe imaginar el estupor de un penalista del pasado siglo ante la mera alusión, hoy tan frecuente en el lenguaje referido a la criminalidad informática, de situaciones tales como: la posibilidad de que existan fraudes en los que el engaño se realiza sobre una maquina y no sobre una persona, de robos de servicios de la computadora, sin que exista un ánimo de lucro, si no un mero propósito de juego por quien lo realiza, y sin que se prive al titular de la cosa de su posesión.

La propia precariedad del sistema jurídico penal refuerza la tendencia a no denunciar estos delitos, para evitar la alarma social o el desprestigio que de su conocimiento podría derivarse. Por ello, la mayoría de las veces, las victimas prefieren sufrir las consecuencias del delito e intentar prevenirlo para el futuro, antes que inicia un proceso judicial, esta situación dificulta el conocimiento preciso del número de delitos perpetrados y la planificación de las adecuadas medidas legales sancionadoras o preventivas.

Artículos: 214, 223, y 254 del código penal de Honduras.

Artículos del código penal de Honduras

Título VI

DELITOS CONTRA LA LIBERTAD Y LA SEGURIDAD

CAPITULO VII

VIOLACION Y REVELACION DE SECRETOS

Artículo 214: quien sin la debida autorización judicial, con cualquier propósito, se apodere de los papeles o correspondencia de otro, intercepta o hace interceptar sus comunicaciones telefónicas, telegráficas, soportes electrónicos, o computadoras, similares o de cualquier otra naturaleza, incluyendo las electrónicas, será sancionado con seis (6) a ocho (8) si fuera particular y de otro (8) a doce (12) años si tratase de un funcionario o empleado público.

DELITOS CONTRA LA PROPIEDAD

CAPITULO III

HURTO

ARTICULO 223. Comete el delito de hurto quien:

  • 1. Quien sin la voluntad de su dueño toma bienes muebles ajenos los animales incluidos, sin violencia o intimidación en las personas ni fuerza en las cosas;

  • 2. Encontrándose una cosa perdida no la entrega a la autoridad o a su dueño si sabe quien lo es y se apodera de la misma con ánimo de dueño; y,

  • 3. Sustraiga o utilice los frutos u objetos del daño que hubiera causado, salvo los casos previstos en el libro tercero.

Se le equipara a la cosa mueble la energía eléctrica, el espectro radioeléctrico y las demás clases de ondas o energía en los sistemas telefónicos, televisivos, facsimilares de computación o cualquier otra que tenga valor económico.

CAPITULO IX

Daños

Artículo 254: se impondrá reclusión de tres (3) a cinco (5) años a quien destruya, inutilice, haga desaparecer o de cualquier modo, deteriore cosas muebles o inmuebles o animales de ajena pertenencia, siempre que el hecho no constituya un delito de los previstos en el capitulo siguiente.

La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas, o documentos electrónicos ajenos, contenidos en redes, soportes o sistemas informáticos.

Estos son los tres artículos que en cierto modo abarca a los delitos informáticos, pero han sido muy pocos los casos en los que se ha metido preso a alguien por delitos informáticos en nuestro país, los pocos casos que se han dado han sido en San Pedro Sula y Tegucigalpa, pero en la zona oriental principalmente en Danlí no se han dado casos de delitos informáticos y este antecedente de que muy pocas personas han sido sentenciadas por delitos informáticos, lleva a Clasificadora y Exportadora de Tabaco en invertir y seguir invirtiendo en seguridad de la información tanto física como electrónica para evitar este tipo de casos que desprestigiaría a la empresa y seguramente no se castigaría al responsable ya que solo se cuenta con estos 3 artículos y muy poco los aplica la justicia Hondureña, que tiene manchado al país porque la mayoría de cualquier tipo de delito queda impune.

2.6

Medidas de prevención

Repuesta a incidentes de seguridad

Como responder la empresa a incidentes de seguridad. Específicamente se trata de:

  • El uso de una lista de comprobación de respuesta a incidentes.

  • La contención de los efectos de un ataque.

Lista de comprobación de respuesta a incidentes:

  • Reconocer que se está produciendo un ataque

  • Identificar el ataque

  • Informar del ataque

  • Contener el ataque

  • Implementar medidas preventivas

  • Documentar el ataque

  • Disponer de planes y procedimientos de respuesta a incidentes claros, completos, y bien comprobados es la clave para permitir una reacción rápida y controlada ante las amenazas

  • Para limitar el efecto de un ataque, es importante que la respuesta sea rápida y completa. Para que esto suceda, se debe realizar una supervisión y auditoria de los sistemas.

  • Una vez identificado un ataque, la respuesta al mismo dependerá del tipo de ataque

  • Comunicar que el ataque se ha producido a todo el personal pertinente

  • Contener los efectos del ataque en la medida de lo posible

  • Tomar medidas preventivas para asegurar que el ataque no pueda repetirse

  • Crear documentación para especificar la naturaleza del ataque, como se identifico y como se combatió.

Contención de los efectos de un ataque

  • Cuando un sistema sufre un ataque, se debe apagar y quitar de la red, y se debe proteger el resto de los sistemas de la red.

  • Los servidores afectados se deben conservar y analizar, y es necesario documentar las conclusiones.

  • Puede ser muy difícil cumplir las normas legales para la conservación de pruebas mientras se continúan las actividades cotidianas. Con la ayuda de asesores legales, se debe desarrollar un plan detallado que permita conservar las pruebas del ataque y que cumpla los requisitos legales de jurisdicción, de modo que pueda ponerse en práctica un plan cuando la red sufra un ataque.

Funcionamiento: Estabilización, y desarrollo de medidas preventivas

edu.red

En general, la disciplina de administración de riesgos de seguridad se basa en los siguientes componentes de la guía de ciclo de vida de tecnología de información.

Después de la implementación de las medidas preventivas nuevas o que han cambiado, es importante mantener el proceso de las operaciones, las tareas que los administradores de seguridad o los administradores de redes tienen que realizar pueden incluir:

  • Administración del sistema

  • Mantenimiento de cuentas

  • Supervisión de servicios

  • Programación de trabajos

  • Procedimientos de copia de seguridad

Personal

Hasta aquí se ha presentado al personal de la empresa como posible victima de atacantes externos; sin embargo, sabotajes o accidentes relacionados con los sistemas informáticos. El 70% son causados por el propio personal de la empresa propietaria de dichos sistemas. Y esto es algo que la empresa tiene muy claro ya que muchas veces se trata de proteger mucho la empresa de atacantes externos, pero no se trata de proteger a la empresa internamente ya que por lo mismos empleados puede haber un ataque (muchas veces accidentalmente o inocentemente).

Esto es realmente preocupante para la empresa y cualquier otra empresa de Honduras, ya que, una persona que trabaje con el administrador, el programador, o el encargado de una maquina conoce perfectamente el sistema, sus puntos fuertes y débiles; de manera que un ataque realizado por esa persona podrá ser más directo, difícil de detectar y más efectivo que el de un atacante externo pueda realizar.

Existen diversos estudios que tratan sobre los motivos que lleva a una persona a cometer delitos informáticos contra su empresa, pero sean cuales sean, estos motivos existen y deben prevenirse y evitarse. Suele decirse que todos tenemos un precio (dinero, chantaje, factores psicológicos, etc.) por lo que nos pueden arrastrar a robar y vender información o simplemente proporcionar acceso a terceros.

Como ya he mencionado los ataques pueden ser del tipo pasivo o activos, y el personal realiza ambos indistintamente dependiendo de la situación concreta. Dentro de esto podemos encontrar:

Personal interno: las amenazas a la seguridad de un sistema en nuestra empresa, provenientes del personal del propio sistema informático, rara vez es tomada en cuenta porque se supone un ámbito de confianza muchas veces inexistente. Generalmente estos ataques son accidentes por desconocimiento o inexistencia de las normas básicas de seguridad; pero también puede ser del tipo intencional.

Es de destacar que para la empresa que un simple electricista puede ser más dañino que el más peligroso de los piratas informáticos, ya que un corte de energía puede causar un desastre en los datos del sistema. Al evaluar la situación, la empresa vería que aquí el daño no es intencionado pero ello no está en discusión; el daño existió y esto es lo que compete a la seguridad informática.

Ex empleado: este grupo puede estar especialmente interesado en violar la seguridad de nuestra empresa, sobre todo aquellos que han sido despedidos y no han quedado conformes; o bien aquellos que han renunciado para pasar a trabajar en la competencia. Generalmente se trata de personas descontentas con la empresa que conocen a la perfección la estructura del sistema y tienen los conocimientos necesarios como para pasar cualquier tipo de daño.

Curiosos: pueden llegar a ser los atacantes más habituales del sistema. Son personas que tienen un alto interés en las nuevas tecnologías, pero aun no tienen los conocimientos ni experiencia básicos para considerarlos hackers o crackers.

Recomendaciones que la empresa puede tomar con sus empleados:

Para minimizar el daño que un atacante interno puede causar se pueden seguir estos principios fundamentales:

  • Necesidad de conocimiento: comúnmente llamado mínimo privilegio. Cada usuario debe tener el mínimo privilegio que necesite para desempeñar correctamente su función, es decir, que solo se le debe permitir que sepa lo necesario para realizar su trabajo y tener una conexión a internet solamente para el correo por ejemplo.

  • Conocimiento parcial: las actividades más delicadas dentro de la empresa deben ser realizadas por dos personas competentes, de forma que si uno comete un error en las políticas de seguridad el otro pueda subsanarlo. Esto también es aplicable al caso de que si uno abandona la empresa el otro pueda seguir operando el sistema mientras se realiza el reemplazo de la persona que se retiro.

  • Rotación de Funciones: la mayor amenaza del conocimiento parcial de tareas es la complicidad de dos responsables, de forma tal, que se pueda ocultar sendas violaciones a la seguridad. Para evitar el problema, una forma común es rotar (dentro de ciertos límites) a las personas a lo largo de diferentes responsabilidades, para mantener una vigilancia mutua.

  • Separación de funciones: es necesario que definan y separen correctamente las funciones de cada persona, de forma que alguien que cuya tarea es velar por la seguridad del sistema no posea la capacidad para violarla sin que nadie se percate de ello.

  • Cancelación inmediata de cuenta: cuando empleado abandona la empresa se debe cancelar inmediatamente el acceso a sus antiguos recursos y cambiar las claves que el usuario conocía.

Comunicación

Las redes en general, "consisten en compartir recursos", y uno de sus objetivos es hacer que todos los programas, datos y equipos estén disponibles para cualquier usuario de la red que lo solicite, sin importar la localización física del recurso y del usuario. En otras palabras, el hecho de que el usuario se encuentre a miles de kilómetros de distancia de los datos, no debe evitar que este los pueda utilizar como si fueran originados localmente.

Un segundo objetivo consiste en proporcionar una alta fiabilidad, al contar con fuentes alternativas de suministro. La presencia de múltiples CPUs significa que si una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su trabajo, aunque el rendimiento global sea menor.

Otro objetivo del establecimiento de una red, es que puede proporcionar un poderoso medio de comunicación entre personas que se encuentran muy alejadas entre sí. (Se comparte carpetas, archivos, impresoras, documentos, etc.) Entre todos los usuarios de la empresa que están en red.

Una forma que muestra claramente el amplio potencial del uso de redes como medio de comunicación es internet y el uso del correo electrónico (e-mail), que se envía a una persona situada en cualquier parte del mundo que disfrute de este servicio, el internet y el e-mail forman parte de una WAN.

2.6

Ataques

Ataques posibles a la empresa

Ingeniería Social

Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario (que desconoce las medidas mínimas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y password.

Para evitar situaciones de ingeniería social dentro de la empresa se recomienda:

  • Tener servicio técnico propio o de confianza

  • Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier característica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa información.

  • Asegurarse que las personas que llamen por teléfono son quien dicen ser. Por ejemplo si la persona que llama se identifica como proveedor de internet lo mejor es cortar y devolver la llamada a forma de confirmación.

Ingeniería Social Inversa

Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en la ingeniería social.

En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechara esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema).

La ingeniería social inversa es más difícil de llevarla a cabo y por lo general se aplica cuando los usuarios están alertados de acerca de las técnicas de ingeniería social. Puede usarse en algunas situaciones específicas y después de mucha preparación e investigación por parte del intruso:

  • Generación de una falla en el funcionamiento normal del sistema.

  • Comunicación a los usuarios de que la solución es brindada por el intruso (publicidad para el intruso)

  • Provisión de ayuda por parte del intruso encubierto como servicio técnico (esto se daría muy poco en la empresa ya que cuenta con el departamento de soporte técnico), para lo único que la empresa ocupa servicio técnico de afuera es para fallas en el servicio de internet y datos y es personal debidamente identificado como empleados de la empresa que brinda el servicio de internet.

Trashing

Generalmente, un usuario anota su Login y Password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por mas inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar al sistema o a su computadora…"nada se destruye, todo se transforma". Y el hecho que un intruso encuentre la contraseña de un sistema de la empresa puede tener graves consecuencias.

Pero la empresa Clasificadora y Exportadora de Tabaco puede recomendar a sus usuarios usar una sola contraseña para todos sus sistemas, correo, computadoras, etc. Pero que esta contraseña cumpla con todas las características. De 12 a 16 caracteres, incluyan minúsculas, mayúsculas, números y signos. Y que se memoricen esta y la usen para todos y así evitar que anden anotando en papelitos sus contraseñas con la excusa de que usan una contraseña diferente para cada sistema.

Ataques de Monitorización que se pudieran dar en la empresa

Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de obtener información, establecer sus vulnerabilidades y posibles formas de acceso posible.

Shoulder Surfing

Consiste en espiar físicamente a los usuarios para obtener el Login y su password correspondiente. El Surfing explota el error de los usuarios de dejar su Login y password anotados cerca de la computadora (generalmente pegados en el monitor o al teclado). Cualquier intruso puede pasar por ahí, verlos y memorizarlos para su posterior uso. Otra técnica relacionada al Surfing es aquella mediante la cual se ve, por encima del hombro, al usuario cuando teclea su nombre y password.

Ataques de Autenticación

Este tipo de ataque tiene como objetivo engañar al sistema de la victima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la victima u obteniendo su nombre usuario y password.

Spoofing – Looping

Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica justamente, es actuar en nombre de otros usuarios.

Una forma común de Spoofing es conseguir el nombre y password de un usuario legitimo para, una vez ingresado al sistema, tomar acciones en nombre de él. Y si se llegara a cometer algún delito la culpa recaerá sobre el usuario legítimo.

IP Splicing – Hijacking

Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera que la víctima se identifique en el sistema y tras ello le suplanta como usuario autorizado.

Obtención de Password

Este es un método que puede aplicar en la empresa sin necesidad de tener tanta experiencia. Como ya había dicho al comienzo del documento. Se trata de la obtención por "Fuerza Bruta" de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas y a la computadora.

Muchas Password de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. Como ya decía al comienzo de este trabajo en los centros de cómputo de la empresa la mayoría de las claves son 123, el nombre del usuario y su año de nacimiento, o en el caso de la computadora muchas no tienen contraseña, además de prestarse claves entre usuarios, y de decírselas a otras personas como las de soporte técnico, y nunca las cambian. En casos así el ataque se simplifica e involucra un tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de claves hasta encontrar la password correcta.

Jamming o Flooding

Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo: un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto trafico a la red que nadie más pueda utilizarla.

Net Flood

En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas para cursar trafico útil.

Un ejemplo habitual es del teléfono: si alguien quiere molestar, solo tiene que llamar, de forma continua. Si se descuelga el teléfono (para que deje de molestar), tampoco se puede recibir llamadas de otras personas.

En el caso de Net Flooding ocurre algo similar. El atacante envía tantos paquetes de solicitud de conexión que las conexiones autenticas simplemente no pueden competir.

E-Mail Bombing – Spamming

El E-Mail Bombing Consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando así el mail box del destinatario.

El Spamming en cambio se refiere en enviar un e-mail a miles de usuarios, haya estos solicitado el mensaje o no. Es muy utilizado por las empresas para publicitar sus productos. Por esta razón la empresa debe manifestar que el correo de la empresa solo se debe usar para fines del trabajo y no darlo a supermercados, bancos, y otros comercios, ya que estos empiezan a mandar mensajes spam y en muchas ocasiones venden las bases de datos de sus correos a otras empresas y esta saturaría el correo de la empresa, por eso no es recomendable que lo den si no es para asuntos de su trabajo dentro de la empresa.

Ataques de modificación – daño

Tampering o Data diddling

Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema.

Otras veces se reemplazan versiones de software por otros con el mismo nombre pero que incorporan código malicioso (Virus, troyanos, etc.) la utilización de programas troyanos y difusión de virus esta dentro de esta categoría.

¿Cómo defenderse de estos y otros ataques?

La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo de breve tiempo.

La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.

Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes:

  • 1. Mantener las maquinas actualizadas y seguras físicamente

  • 2. Mantener personal especializado en cuestiones de seguridad y la empresa pagarle capacitaciones en este tema (o sub contratarlo).

  • Partes: 1, 2, 3, 4
 Página anterior Volver al principio del trabajoPágina siguiente