Modelo de concientización en la prevención de la fuga de información.

INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y

ADMINISTRATIVAS

“

T E S I N A

Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A

P R E S E N T A N :

B E A T R I Z A D R I A N A D O R O T E O V A L D E Z D A N I E L M E D I N A R A M I R E Z J O R G E A L B E R T O H E R N A N D E Z Q U I R I N O S A N D R A S A R A I G U Z M A N G U T I E R R E Z

MÉXICO. D.F. 2010 2009

ÍNDICE

Resumen ... I Introducción ... II

Capítulo I: Marco Metodológico ... 1

1.1 Planteamiento del problema ... 1

1.2 Objetivos ... 3

1.3 Justificación ... 4

1.4 Marco teórico ... 8

1.5 Diseño de la investigación ... 11

1.6 Tipo y técnicas de investigación ... 11

Capítulo II: Conceptos Generales ... 13

2.1 Información ... 13

2.1.1 Definición ... 13

2.1.2 Función de la información ... 14

2.1.3 Características ... 14

2.1.4 Clasificación ... 16

2.2 Seguridad de la información ... 18

2.2.1 Definición ... 18

2.2.2 Objetivos y propósitos de seguridad de la información ... 19

2.2.3 Funciones de la seguridad de la información ... 20

2.2.3.1 Qué debemos proteger ... 22

2.2.3.2 De quién debemos protegernos ... 23

2.2.3.3 Cómo podemos protegernos ... 23

2.2.4 Importancia de la seguridad de la información ... 24

2.3 Vulnerabilidades, Amenazas y Riesgos de la Información ... 26

2.3.1 Definición de vulnerabilidad ... 26

2.3.2 Definición de amenaza ... 26

2.3.3 Definición de riesgo ... 27

2.3.4 Clasificación de riesgos, amenazas y vulnerabilidades ... 28

2.4 Fuga de información ... 32

2.4.1 Definición ... 33

2.4.2 Tipos ... 33

2.4.3 Obstáculos en la prevención de fuga de información ... 34

2.5 Concientización... 35

2.5.1 Definición ... 36

2.5.2 Objetivos ... 36

2.5.3 Importancia ... 37

2.5.4 Tipos ... 38

2.5.5 Beneficios y obstáculos ... 39

Capítulo III: Problemática actual de la concientización en la fuga de información ... 42

3.1 Comportamiento humano: un problema de seguridad de la información ... 42

3.2 Problemática actual por falta de concientización, educación y capacitación ... 48

3.3 Fuga de información ... 54

Capítulo IV: Normatividad, mejores prácticas y tecnología aplicada a la concientización y fuga de información ... 62

4.1 Legislación Internacional ... 62

4.1.1 Del acceso ilícito a los sistemas de información ... 62

4.1.2 Protección de los datos ... 63

4.2 Legislación Nacional ... 65

4.2.1 Ley de la Propiedad Industrial ... 66

4.2.2 Código Penal federal ... 66

4.2.3 Reforma al código penal federal para castigar a los crackers ... 68

4.2.4 Protección de datos personales ... 69

4.3 Legislación Sectorial ... 72

4.4 Mejores prácticas ... 81

4.4.1 Series ISO 27000... 82

4.4.2 CObIT ... 85

4.4.3 Awareness ... 86

4.4.4 Assessment ... 88

4.5 Tecnología existente ... 88

4.5.1 Data Leakage Prevention (DPL) ... 88

4.5.2 Sistema de detección de intrusos (IDS) ... 89

4.5.3 Sistema de Prevención de Intrusos ... 90

4.5.4 Assessment Center (AC) ... 91

Capítulo V: Modelo ... 96

5.1 Objetivos del Modelo ... 96

5.2 Descripción del Modelo ... 97

5.2.1 Conoce al enemigo y conócete a ti mismo ... 98

5.2.1.1 Conocer el estado actual de la organización en fuga de información ... 99

5.2.1.2 Conocer el nivel de conocimientos del personal en temas de fuga de información ... 100

5.2.2 Comerse el pastel por rebanadas / divide y vencerás ... 101

5.2.2.1 Visualizando el camino ... 101

5.2.2.2 Definición de grupos de audiencias ... 102

5.2.3 De la vista nace el amor / manos a la obra ... 103

5.2.3.1 Elaboración de materiales de apoyo ... 103

5.2.3.2 Impartición de concientización en fuga de información ... 104

5.2.4 Encontrando el eslabón más débil... 107

5.2.4.1 Evaluación de resultados de concientización en fuga de información ... 108

5.2.4.2 Autoevaluación de resultados de concientización en fuga de información . 108 5.2.5 Redefiniendo el curso ... 109

5.2.5.1 Análisis de resultados de evaluación ... 109

5.2.5.2 Reestructuración / mejora continua ... 110

5.3 Conclusiones del modelo ... 111

Capítulo VI: Caso Práctico ... 112

6.1 Conocimiento de la Empresa ... 112

6.1.1 Misión ... 112

6.1.2 Visión ... 112

6.1.3 Organigrama ... 113

6.2 Aplicación del Modelo ... 113

6.2.1 Análisis- Conoce al enemigo y conócete a ti mismo……….114

6.2.2 Diseño- Comerse el pastel por rebanadas/ divide y vencerás………117

6.2.3 Desarrollo/ Implementación- De la vista nace el amor……….117

6.3 Resultados del Modelo ... 125

6.3.1 Evaluación- Encontrando el eslabón más débil………125

6.3.2 Mantenimiento- Redefiniendo el curso……….……….125

Conclusiones ... 126

Bibliografía ... 127

Glosario ... 129

ÍNDICE DE FIGURAS

Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008. ... 6

Figura 2. Programas de concientización como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008. ... 6

Figura 3. Métricas de los programas de concientización. Fuente: CSI Survey 2008. ... 7

Figura 4. Clasificación de la Información. Fuente: SANS Institute InfoSec Reading Room. ... 16

Figura 5. Componentes de seguridad de la información. Fuente: http://wikipedia.org, John M. Kennedy T... 22

Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: “Seguridad Informática: Sus implicancias e implementación”... 23

Figura 7. Elementos e Interrelaciones Vulnerabilidad – Amenaza –Riesgo. Fuente: Revista de Ingeniería Informática del CIIRM. ... 28

Figura 8. Conclusión 1 - Insider Threat Study. Fuente: CERT ... 43

Figura 9. Conclusión 2 - Insider Threat Study.Fuente: CERT. ... 44

Figura 10. Conclusión 3 - Insider Threat Study. Fuente: CERT. ... 44

Figura 11. Conclusión 4 - Insider Threat Study. Fuente: CERT. ... 45

Figura 12. Conclusión 5 - Insider Threat Study. Fuente: CERT. ... 45

Figura 13. Conclusión 6 - Insider Threat Study. Fuente: CERT. ... 46

Figura 14. Conclusión 7 - Insider Threat Study. Fuente: CERT. ... 46

Figura 15. Importancia de la seguridad de la información. Fuente: ENISA. ... 49

Figura 16. ¿Cómo se justifican los costos continuos de los programas de concientización? Fuente: ENISA. ... 52

Figura 17. Técnicas empleadas para que el personal tome conciencia en seguridad de la información Fuente: ENISA. ... 53

Figura 18. Motivos por los cuales los empleados violan la seguridad de la información. Fuente: InsightExpress. ... 59

Figura 19. Distribución de los dominios de la Norma ISO 27002 ... 83

Figura 20. Modelo de concientización para la prevención de fuga de información. Fuente: Personal. ... 98

Resumen

“Fuga de Información” se ha convertido en la frase de moda para describir los incidentes de seguridad de información ocurridos durante los últimos años. Aunque el término puede ser interpretado de diversas formas y usado en variedad de contextos, estamos de acuerdo que causa una reacción universal: miedo. Aun cuando es difícil dimensionar el daño de las fugas de información, no hay duda que la exposición de las bases de datos, o robos de información en sistemas de información, entre otros, afectan y/o disminuyen la confianza de los clientes, con las respectivas consecuencias negativas para la organización. El aumento de la recolección y almacenamiento de datos por organizaciones de todas las industrias y sectores, acompañado del incremento de sofisticadas tácticas de hackeo informático para robar información sensitiva, y de la poca, y a veces nula, conciencia dentro de la propia organización, las ha forzado a reconocer y enfrentar directamente esta amenaza que dejó de ser fantasma.

El panorama es claro, la fuga de información es un problema latente y creciente, y el mecanismo para contrarrestarlo no está dentro de los límites de la tecnología, puesto que esta puede protegernos en el perímetro de la organización, sin embargo, los problemas de fuga de información surgen desde dentro de la misma: el factor humano. Ya sea de forma o no intencional, las personas están contribuyendo a que este problema crezca descontroladamente, y al ser un problema de personas no se debe, ni se puede, atacar con tecnología, el mejor acercamiento a una solución que nos ayude a mitigar está problemática, es haciéndolos consientes, cambiando sus formas de pensar y actuar en asuntos de seguridad de la información, es decir, cambiando la cultura de seguridad.

Tomando en cuenta lo anterior, el objetivo del presente trabajo es la elaboración de un “Modelo de concientización en la prevención de la fuga de información”, en el cual se proponen las pautas necesarias para llevar a cabo un programa que se acople a cualquier organización y con el objetivo de minimizar la creciente fuga de información en las organizaciones. Para alcanzar esto, es necesario conocer las bases de la seguridad de la información, fuga de información y concientización, así mismo se requirió un estudio y análisis de las problemática existente en estos temas, y basándonos en herramientas existentes: mejores prácticas, estándares, legislación y tecnología, se elaboró la propuesta del modelo.

El modelo propuesto consta de 5 etapas, las cuales se basan en un proceso cíclico e iterativo de análisis, diseño, desarrollo, implementación, evaluación y mantenimiento. Un resumen de las particularidades de esta propuesta se describe a continuación:

• El análisis: Es uno de los pilares del modelo debido a que en esta etapa se reconocen las necesidades, debilidades y estatus de la organización. Los resultados de esta etapa nos servirán de guía para definir la línea de acción a seguir.

• El diseño: Una vez obtenidos los datos de la etapa anterior, es necesario plantear las posibles acciones a seguir, y así definir una estrategia mediante la cual se resuelvan las áreas de oportunidad encontradas.

• El desarrollo: En esta etapa se plasma la estrategia y objetivos que deben alcanzarse. Se definen los recursos que utilizarán para llevar a cabo el plan de acción.

• La implementación: Después de definir el plan de acción, es en esta etapa se pone en marcha, y se consumen los recursos definidos, enfocándose siempre en alcanzar los objetivos establecidos.

• La evaluación y mantenimiento: En esta etapa se hace una valoración de los resultados obtenidos de la implementación, para así poder mejorar y encontrar nuevas áreas de oportunidad. Esta etapa también es crucial ya que es el punto de retroalimentación para que el modelo pueda iniciar un nuevo ciclo, llegando a una cultura de mejora continua.

En conclusión, se considera relevante el uso de la concientización para minimizar la fuga de información, y cada organización debería contemplar en su estrategia de negocios, la integración de un modelo de concientización en temas de seguridad de la información, para la protección del activo más importante: la información. Llegando más lejos aún, este esquema debería escalarse, y ser legislado y exigido al margen de la legalidad para el establecimiento y operación de cualquier organización, ya sea pública o privada. Debido a que la era de la información en la que vivimos, cualquier violación al derecho primordial de la privacidad, debería ser penado.

Introducción

La información y el conocimiento han sido los elementos centrales de todas las sociedades históricamente conocidas. Lo que caracteriza esta nueva era es que disponemos de herramientas tecnológicas que revolucionan las formas de procesamiento de información y comunicación, transformando la forma en que las personas viven y se comunican entre sí. Hoy por hoy el manejo de la información puede contribuir de manera decisiva en cualquier ámbito de la actividad humana, por esta razón, es importante definir lineamientos generales que ayuden a resguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.

La seguridad de la información es una de las tareas más cruciales que debemos afrontar en la actualidad ya que nos encontramos en un medio donde la información se ve amenazada por diferentes fuentes que simplemente no existían o no conocíamos hace algunos años, y aún tomando todas las precauciones técnicas para evitar estas amenazas, y confiando con la protección que le damos, no es suficiente, ya que la práctica nos ha demostrado que la fuga de información sigue creciendo día a día por diversos factores, uno de ellos y que será el pilar de esta investigación: la falta o deficiente concientización.

El presente trabajo se enfoca en plantear un “Modelo de concientización en la prevención de la fuga de información”, el cual propondrá las pautas necesarias para llevar a cabo un programa que se acople a cualquier organización y con el objetivo de minimizar la creciente fuga de información en las organizaciones.

Para alcanzar este objetivo hemos estructurado nuestra tesis en 5 capítulos que se distribuyen de la siguiente forma.

En el primer capítulo, se aborda la problemática objeto de análisis y estudio de esta tesina, los objetivos de dicha tesina, la justificación de porqué es factible llevar a cabo la investigación y de cómo se llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la concientización en la prevención de la fuga de información.

A lo largo del segundo capítulo se trata uno de los temas principales de esta tesina: la Información.

Se hace un estudio de ¿qué es la información?, su importancia, su función y sus características.

Así mismo, se hace énfasis en la concientización, fuga de información, seguridad de la información, sus definiciones, objetivos, funciones, importancia, así como los riesgos de la información.

Debido a que el usuario final es quien hace uso de los sistemas de información, el tercer capítulo está dedicado al estudio del comportamiento humano y seguridad de la información.

Se enfatiza la influencia que tiene el factor humano en la fuga de información y la importancia de una capacitación y educación de los usuarios para minimizar la fuga de la información.

El cuarto capítulo, está dedicado al estudio y análisis de la normatividad existente referente a la seguridad de la información, localizando sus cualidades y deficiencias. Así mismo se estudian las mejores prácticas y la tecnología aplicada a la concientización para prevención de fuga de información.

A lo largo del quinto capítulo se realiza el desarrollo del modelo de concientización en la prevención de la fuga de información, explicando los objetivos que busca, una descripción detallada, así como sus alcances y limitaciones del mismo.

Y es indispensable hacer conciencia de que cada uno de nosotros desempeñamos un papel fundamental en la protección de la información que se nos confía, y por consiguiente, en la reputación de la organización en la que trabajamos. Lograríamos esto con una correcta administración de contraseñas, manteniendo los documentos en lugares seguros, sabiendo perfectamente quiénes son los que nos están solicitando información, siguiendo un programa de concientización, etc., con esto nos aseguramos que somos la clave para mantener protegida la información.

Capítulo I: Marco Metodológico

Hoy en día, se habla mucho de conceptos como seguridad, sin embargo, la practica nos demuestra que muchas veces no se pasa de eso: “un concepto”, diversos artículos y noticias resaltan la deficiencia existente en conseguir la anhelada: “seguridad”. Muchas empresas han visto reducida su reputación, y todo lo que de esto se deriva, debido a incidentes de seguridad, entre los más destacados se encuentra: la fuga de información.

En este primer capítulo se abordará la problemática objeto de análisis y estudio del presente trabajo, así como los objetivos y la justificación para llevar a cabo la investigación y de cómo se llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la concientización en la prevención de la fuga de información.

1.1 Planteamiento del problema

En el mundo actual, donde las tecnologías de información son cada vez más un medio común para almacenar y procesar la información, las brechas de seguridad en lo que respecta a pérdidas o fuga de información nunca han sido tan altas. No sólo se ha multiplicado el volumen de información en circulación, sino también las formas en que puede ser almacenada y transferida sin consentimiento del propietario de la misma, aumentando y amenazando seriamente la solidez de los negocios y la privacidad de sus clientes.

Otro punto importante a considerar, es que hoy en día las empresas están cada vez más globalizadas y esto las hace vulnerables; de acuerdo a estadísticas obtenidas por InsightExpress^*, se descubrió que a pesar de las políticas, procedimientos y herramientas de seguridad actualmente en uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen en peligro los datos personales y empresariales. Tales conductas incluyeron:

• Uso de aplicaciones no autorizadas: el 70% de los profesionales de Tecnología de Información (TI) cree que el uso de programas no autorizados fue responsable de hasta la mitad de los incidentes de pérdida de información en sus empresas.

• Uso indebido de computadoras de la empresa: el 44% de los empleados comparte dispositivos de trabajo con otras personas sin supervisión.

* En el año 2008, Cisco encargó a InsightExpress, una compañía independiente de investigación de mercado, que realizara un estudio que abarcara a empleados y profesionales de TI en diversos países, con el objeto de

• Acceso no autorizado tanto físico como a través de la red: el 39% de los profesionales de TI afirmó que ha debido abordar el acceso no autorizado por parte de un empleado a zonas de la red o de las instalaciones de la empresa.

• Seguridad de trabajadores remotos: el 46% de los empleados admitió haber transferido archivos entre computadoras del trabajo y personales al trabajar desde el hogar.

• Uso indebido de contraseñas: el 18% de los empleados comparte contraseñas con sus colegas. El porcentaje aumenta al 25% en China, India e Italia.

De acuerdo con las estadísticas elaboradas en Estados Unidos y parte de Europa sobre delitos informáticos, han revelado que el 76% de estos son de origen interno, es decir, por empleados de las mismas empresas víctimas. Mientras que el otro 24% son de origen externo. Y de acuerdo a las estadísticas nacionales realizadas por el INEGI¹, arrojan que un 67% de los ataques informáticos provienen del interior de la organización.

Las empresas de cada sector (tanto privado, como público) continúan informando de vulnerabilidades de seguridad y aun así, todavía permiten la exposición de su información más sensible y confidencial.

Los usuarios informáticos pueden considerarse como la menos predecible y controlada vulnerabilidad de seguridad. En la mayoría de casos, una falta de información y un desconocimiento de los principios y procedimientos básicos de seguridad son las principales causas de las deficiencias de seguridad en lugar de la actividad maliciosa (aunque esto último no se puede ignorar). Sin embargo, el resultado final es habitualmente el mismo: se pierde información inestimable, la empresa pierde credibilidad, etc.

Por tal motivo, se considera que debe plantearse un modelo de concientización enfocado al factor humano, para mitigar uno de los riesgos más importantes en el uso, manejo, acceso, control y resguardo de la información: la fuga de información. Visto desde este enfoque, debemos entender que ni la más alta tecnología en cuestiones de seguridad de la información podrán detener los ataques hacia la misma, si no se cuenta con un programa o modelo de seguridad dirigidos al factor humano, dentro de las organizaciones públicas.

1 INEGI, http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/seguridad/intro.htm

1.2 Objetivos

OBJETIVO GENERAL.

• Definir un modelo de concientización para minimizar la creciente fuga de información en las organizaciones.

OBJETIVOS ESPECÍFICOS.

• Identificar las principales vías de fuga de información y lo que motiva al factor humano a explotarlas.

• Identificar las acciones tomadas actualmente: tecnología, normatividad, estándares y mejores prácticas; que apoyan en la prevención de fuga de información.

• Identificar las consecuencias de la fuga de información a causa del factor humano.

• Definir un modelo de concientización enfocado a la minimización de fuga de información, basado en:

o El planteamiento de un programa general de comunicación entre los miembros de la organización, para que los usuarios comprendan que la seguridad de la información es responsabilidad de todos, no sólo del departamento de TI.

o Proponer mecanismos permanentes de difusión, concientización y educación que fortalezcan la prevención de fuga de información y evitar el uso de acciones correctivas en la organización ante la fuga de información.

o Proponer mecanismos de medición de la efectividad de los programas y llevar a cabo seguimiento y monitoreo de los resultados obtenidos.

1.3 Justificación

Hoy por hoy el manejo de la información puede contribuir de manera decisiva en cualquier ámbito de la actividad humana, por tal motivo, es importante tener un amplio conocimiento de los riesgos que puede correr dicha información y así poder definir lineamientos generales que ayuden a resguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.

Existe una latente inquietud y preocupación sobre el tema de la seguridad de la información, ya que de acuerdo con la American Internacional Group, la criminalidad informática ha aumentado a un ritmo de 500% a nivel mundial.

De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o dispositivos como discos compactos y memorias USB.

Un error común en el que suelen caer las empresas es pensar que ya se encuentran protegidas de cualquier riesgo informático por tener instalados diferentes mecanismos de seguridad entre algunos de ellos: antivirus y detectores de intrusos en su sistema. Las tendencias demuestran que el paradigma ha cambiado, y que ese tipo de soluciones quedaron obsoletas o han sido rebasadas frente a los nuevos problemas que emergen cotidianamente. Los ataques más comunes de seguridad de la información se enlistan a continuación²:

• Ataques deliberados de software o Virus (creados por humanos)

o Sistemas operativos (provocados por humanos)

• Fallas/Errores técnicos de software (provocados por humanos)

• Fallas/Errores humanos (provocados por humanos)

• Actos deliberados de espionaje e invasión (cometidos por humanos)

• Actos deliberados de sabotaje y vandalismo (cometidos por humanos)

2 Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor of Information Systems. Member – Human Firewall Council.

De los puntos anteriores se puede deducir que la información es producida y consumida por las personas, paradójicamente, es el mismo factor humano el principal elemento que la pone en riesgo.

Las personas en general manejan la información, a través de cualquier medio físico o lógico en lugares públicos sin considerar que las actividades que realizan en ellas pueden estar siendo observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos de destrucción controlada de información una vez que los dispositivos van a reasignarse, también es un elemento de protección.

El típico acercamiento que se ha visto en el pasado fue a través de la implementación de tecnología estándar enfocada en servidores, servicios y redes: antivirus, antivirus de red, firewall, endpoints, IDS’s que monitorean el tráfico, etc. Estas soluciones son efectivas y muy necesarias para proteger ambiente de red, pero no sirven frente a la fuga de información.

Generalmente hablamos que los problemas que se generan en la seguridad de la información pasan por el concepto de cultura de seguridad, no obstante, se hace muy poco para lograr una autentica cultura de seguridad de la información, y en muchas ocasiones se ha dicho que la creación de un programa de concientización sobre la importancia de la información y su protección en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que es el usuario final.

Sin embargo, las estadísticas develadas en el 2008 por CSI Survey, como se muestran en la Figura 1 “Porcentaje de presupuesto para seguridad en TI”, denotan que las empresas invierten muy poco en cuestiones de seguridad de la información. Como se muestra en la siguiente gráfica:

Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008.

Del mismo modo se resalta en la Figura 2 “Programas de concientización como porcentaje del presupuesto de seguridad”, que la inversión en programas de concientización, educación y capacitación, es muy baja. Como se ilustra a continuación:

Figura 2. Programas de concientización como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008.

Y aún así, los resultados de la efectividad mostrados en la Figura 3 “Métricas de los programas de concientización”, de estos programas de concientización, educación y capacitación no son satisfactorios, como se ilustra a continuación:

Figura 3. Métricas de los programas de concientización. Fuente: CSI Survey 2008.

La práctica nos ha demostrado que el uso de tecnologías como apoyo en la seguridad de la información, es un factor dominante en las soluciones actuales, sin embargo, aún existen debilidades que son explotadas por los atacantes, y van más allá de la infraestructura tecnológica, estos mecanismos siguen siendo deficientes debido a que no se ataca al eslabón más débil: el factor humano, y este lo seguirá siendo mientras no se le dote de las herramientas necesarias para formar parte activa en la preservación de la seguridad de la información. Un factor determinante en conseguir este objetivo, inicia en la alta dirección de las organizaciones, ya que esta debería responsabilizarse de las acciones de sus colaboradores.

Las estadísticas mostradas con anterioridad nos demuestran que existe una deficiente inversión económica en seguridad de la información, y que dentro de esta inversión, los programas de formación y concientización en la materia, ocupan un muy bajo porcentaje, teniendo como resultado que los mismos, sean insuficientes o nulos, y en consecuencia, un grave detonante en la fuga de información.

Por lo anterior se hace necesario el desarrollo de un programa adecuado de concientización en el tema de seguridad de la información, enfocado a todos los niveles de la organización, debidamente apoyado en las políticas de cada una sobre el tema y con un adecuado proceso de monitoreo y actualización.

1.4 Marco teórico

Seguridad de la información

Tiene como fin la protección de la información y de los sistemas de información del acceso, uso, divulgación, interrupción o destrucción no autorizada, la cual se sustenta en los principios de confidencialidad, integridad y disponibilidad (conocidos comúnmente como CIA-triad:

confidenciality, integrity, availability, por sus siglas en inglés)³:

• Confidencialidad. La confidencialidad, o privacidad, es el proceso de asegurar que los datos se mantienen confidenciales y no pueden ser consultados por entes no autorizados.

• Integridad. La integridad es la garantía de que los datos están protegidos de ser modificados de manera accidental o deliberada (maliciosa).

• Disponibilidad. Desde la perspectiva de seguridad, la disponibilidad significa que un sistema esté disponible para sus usuarios autorizados.

Estos principios pueden ser violados, tanto de manera intencional como accidental, por miembros internos o externos a la organización. Uno de los objetivos primordiales de la seguridad de la información es la prevención de la pérdida de información o fuga de información. De este modo se deben tomar en cuenta los siguientes conceptos, definidos en por el SANS Institute en su “Glosary of Information Security Terms”⁴:

• Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.

• Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

• Impacto: medir la consecuencia al materializarse una amenaza.

• Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización.

3 TechRepublic. Chad Perrin: “The CIA Triad”, 30 de Junio de 2008

4 Sans Institute, “Glossary of Information Security Terms”

• Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.

• Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema de seguridad.

• Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de la organización.

Muchas organizaciones enfocan su atención en la amenaza del robo de información ó en la vulnerabilidad de accesos inseguros. Sin embargo, el robo de información y el acceso no autorizado son dos ejemplos de las subcategorías de fuga de información. Para evaluar apropiadamente y reducir el riesgo de la fuga de información, de acuerdo a Sophos Plc, en su whitepaper “Stopping data leakage”, deben considerarse las siguientes cuatro categorías⁵:

• Acciones y autorizaciones a los usuarios: Eliminación accidental o deliberada de archivos o programas, pérdida de dispositivos de almacenamiento, y otros eventos originados por falta de conocimiento o experiencia. Modificación de información, mal uso de programas o de dispositivos de almacenamiento, compartir contraseñas o alguna otra forma de debilitar la seguridad.

• Fallas: Colapso de software, fallas de corriente eléctrica, perdida de conexiones a bases de datos, corrupción de datos o algún otro error que afecte a los dispositivos de almacenamiento.

• Crímenes/Pérdida de confidencialidad: Compartir información no autorizada, robo de información, sabotaje, virus, troyanos, etc.

• Desastres: Fuego, inundaciones, terremotos, o algún evento físico que propicie la destrucción o deterioro de los dispositivos de almacenamiento.

El tema de la seguridad informática ha sido de gran importancia en los últimos años. Como usuarios, estamos muy conscientes de amenazas como virus, adware, spyware, phishing, etc. Sin embargo, como administradores de la información, es posible que no estemos haciendo suficiente énfasis en la seguridad enfocada al factor humano.

Por lo anterior se hace necesaria la aplicación de programas adecuados de concientización, capacitación y educación en el tema de seguridad. De acuerdo al Lic. Cristian F. Borghello en el sitio SeguInfo, define los términos de la siguiente manera⁶:

• Concientización: Se entiende por concientización a la sensibilización del personal de la organización, para que se den cuenta de su responsabilidad en la protección de la confidencialidad, integridad y disponibilidad de los activos de información de la organización, y que comprendan que esto no es solo competencia de los especialistas en seguridad. No solo debe perseguir la protección de los activos, sino también el porqué es importante su protección y como pueden contribuir a esta tarea.

• Capacitación: Se encarga de proveer a las personas las habilidades que le permitan efectuar sus tareas de forma más segura. Esto incluye el enseñarles “qué” y “cómo” lo deben hacer. También puede enfocarse desde las prácticas de seguridad más elementales, hasta las habilidades más avanzadas o especializadas.

• Educación: La educación en seguridad se adentra más que la capacitación, debido a que está más enfocada a los especialistas en seguridad y a aquellos puestos que requieren cierta experiencia en tópicos de seguridad.

Modelo

Para lograr una cultura consciente de la importancia de la seguridad de la información es necesaria una educación en seguridad. Es preciso aplicar un conjunto de métodos y técnicas (Modelo de enseñanza) para comunicar estos conocimientos de seguridad. De acuerdo a Joyce y Weil en su libro “Models Of Teaching”, existen varios modelos de enseñanza pero todos tienen las siguientes características⁷:

• ¿Qué enseñar?

• ¿Cómo enseñar?

• ¿Qué y cómo evaluar?

Las preguntas anteriores las podemos resumir en:

• Enfoque

• Metodología

• Evaluación

6 Lic. Cristian F. Borghello, http://www.segu-info.com.ar

7 Joyce y Weil. “Models Of Teaching”, 2004, Pearson / Alyn and Bacon.

Conociendo cada uno de estos elementos, se facilitará identificar el modelo de enseñanza que se está empleando, aunque hay casos en los que se mezclan ciertos elementos de cada modelo dando uno aparentemente diferente.

1.5 Diseño de la investigación

• Recopilación teórica de conceptos de seguridad de información, riesgos, fuga de información, concientización, educación, capacitación y modelos.

• Determinar las fuentes de información para recabar las bases de la investigación.

• Recopilación de estadísticas respecto a ataques a la seguridad informática.

• Investigación e identificación de las mejores prácticas y lineamientos referentes al tema de seguridad de la información (COBIT, ISO 27002:2005, etc.) que contribuyan a la elaboración del modelo.

• Identificación y evaluación de las TI que apoyan la educación, capacitación y concientización.

• Análisis de información recopilada para elaboración de conclusiones propias.

• Elaboración de conclusiones y propuestas del modelo.

1.6 Tipo y técnicas de investigación

TIPO DE INVESTIGACIÓN: Descriptiva

Parten de la descripción de datos y características de la población o fenómeno de estudio, que resulta insuficientemente conocida y, al mismo tiempo, relevante e interesante para ciertos desarrollos. El objetivo central de estas investigaciones está en proveer un buen registro de los tipos de hechos que tienen lugar dentro de esa realidad y que la definen o caracterizan sistemáticamente. Se estructuran sobre la base de preguntas cuya forma lógica se orienta a describir: ¿Cómo es x? ¿Qué es x? ¿Qué ocurre en calidad de x o bajo la forma x?

Sus forma de trabajo estandarizadas son las observaciones (recolecciones de datos), las clasificaciones (formulación de sistemas de criterios que permitan agrupar los datos o unificar las

diferencias singulares), las definiciones, las comparaciones (determinación de semejanzas y diferencias en comparación a estándares).

TÉCNICAS DE INVESTIGACIÓN: Documentales

Permite la recopilación de información para enunciar las teorías que sustentan el estudio de los fenómenos y procesos.

Su objetivo es elaborar un marco teórico conceptual para formar un cuerpo de ideas sobre el tema de investigación. Es indispensable ya que integra la estructura de la investigación, permite ordenar las etapas de la investigación y orientar la obtención de conocimientos.

Capítulo II: Conceptos Generales

Conceptos como seguridad son “borrosos” o su definición se maneja con cierto grado de incertidumbre teniendo distinto significando para distintas personas. Esto tiene la peligrosa consecuencia de que la función de seguridad puede ser frecuentemente etiquetada como inadecuada o negligente, haciendo imposible a los responsables justificar sus técnicas ante reclamos basados en ambigüedades de conceptos y definiciones. Este problema puede ser solucionado satisfaciendo las necesidades de comprensión de conceptos como: seguridad, información, amenaza, riesgo, vulnerabilidad, concientización, fuga de información, entre otros. En definitiva los expertos en seguridad y los expertos en informática deben interactuar interdisciplinariamente para que exista seguridad de la información. Por este motivo, el presente capítulo se enfoca en la definición de los conceptos ya mencionados.

2.1 Información

En la actualidad es un hecho que la información es el activo más valioso e importante de toda unidad organizacional en las actividades humanas, es por esta razón que debemos tener conciencia de la importancia de la misma, así como las amenazas a las que la información está expuesta y el impacto de que dichas amenazas se vuelvan reales.

2.1.1 Definición

Para comenzar el análisis de la seguridad de la información se deberá conocer las características de lo que se pretende proteger: la información.

Según Rafael Fernández Calvo, en su glosario básico para usuarios de Internet, define dato como:

“La unidad mínima con la que compone cierta información. Datum es una palabra latina, que significa ‘lo que se da’”.⁸

Luego, de acuerdo a el Dr. Giovanni Manunta, en su libro “Seguridad: Una Introducción”, la Información “es una agregación de datos que tiene un significado específico más allá de cada uno de éstos, y tendrá un sentido particular según cómo y quién la procese”⁹.

8 CALVO, Rafael Fernández. Glosario Básico Inglés – Español para usuarios de Internet. 1994–2000.

http://www.ati.es/novatica/2000/145

9 Presentación del libro “Seguridad: una Introducción”. Dr MANUNTA, Giovanni. Consultor y profesor de Seguridad de Cranfield

2.1.2 Función de la información

Según encuestas de seguridad informática publicadas en 2008 por Ernst & Young México¹⁰, las funciones de la información que se acercan más a la realidad y con base en puntos de vista de los encuestados, son:

• Aumentar el conocimiento del usuario.

• Proporcionar a quien toma decisión probabilidades para la elección, reduciendo la gama de decisiones.

• Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de control.

En relación con el primer punto, la información como vía para llegar al conocimiento, debe de ser elaborada para hacerla utilizable o disponible, también debe conservarse integra y confiable, puntos que debe encargarse de proteger la seguridad de la información, como se verá en los tópicos siguientes.

2.1.3 Características

Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentación, y esto depende de las características de cada organización. De este modo, como se define en el libro “Library & Information Science Research”, puede existir información que debe o puede ser pública: puede ser visualizada por cualquier persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de personas que trabaja con ella. En esta última debemos maximizar nuestros esfuerzos para preservarla de ese modo reconociendo las siguientes características en la Información¹¹:

1. Es crítica: es indispensable para garantizar la continuidad operativa.

2. Es valiosa: es un activo con valor en sí misma.

3. Es sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas.

10 11a. encuesta global de seguridad realizada por Ernst & Young. http://www.ey.com

11 AHARONY, Noa; RABAN, Daphne R. Library & Information Science Research, 2008

Adicionalmente el “Information Technology Security Evaluation Criteria” define algunos aspectos adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares, dentro de los cuales se encuentran¹²:

• El control sobre la información permite asegurar que sólo los usuarios autorizados pueden decidir cuándo y cómo permitir el acceso a la misma.

• La autenticidad permite definir que la información requerida es válida y utilizable en tiempo, forma y distribución. Esta propiedad también permite asegurar el origen de la información, validando el emisor de la misma, para evitar suplantación de identidades.

• Protección a la réplica: mediante la cual se asegura que una transacción sólo puede realizarse una vez, a menos que se especifique lo contrario. No se deberá poder grabar una transacción para luego reproducirla, con el propósito de copiar la transacción para que parezca que se recibieron múltiples peticiones del mismo remitente original.

• No repudio: mediante la cual se evita que cualquier entidad que envió o recibió información alegue, ante terceros, que no la envió o recibió.

• Consistencia: se debe poder asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

• Aislamiento: este aspecto, íntimamente relacionado con la confidencialidad, permite regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso del mismo.

• Auditoría: es la capacidad de determinar qué acciones o procesos se están llevando a cabo en el sistema, así como quién y cuándo las realiza.

El valor de la información es una de las ideas más difíciles de conceptualizar. Los investigadores han analizado este concepto en una gran variedad de formas, cada uno complementando al otro, así como aumentando la complejidad del concepto. La información puede ser una mercancía, un producto, un servicio o una experiencia. Además, su valor aumenta a lo largo de este continuo. El valor a veces es asignado en la forma que la información es empaquetada y distribuida; pero, en

ocasiones el valor es inherente a su contenido a pesar de la forma que es transmitida. También el valor de la información puede estar derivado del intercambio o su uso y pueden ser evaluados de forma normativa, realista o subjetiva, en consecuencia los esfuerzos por protegerla deben enfocarse en proteger sus principios fundamentales: confidencialidad, integridad y disponibilidad (ver: “1.4 Marco teórico”).

2.1.4 Clasificación

Para lograr la confidencialidad, integridad y disponibilidad de la información, es importante que se maneje el concepto de “clasificación de la información”, el cual, según el “SANS Institute Information Seccurity Reading Room”, es “el conjunto de actividades que involucran el desarrollo de políticas y procedimientos en seguridad de activos de información en donde debe establecerse un esquema acorde con el impacto que representa la alteración, pérdida y divulgación de la información sensitiva para la organización”. El mismo, propone la siguiente clasificación:

restringida, altamente confidencial, confidencial, interna y pública, como lo muestra la Figura 4

“Clasificación de la Información”.

Figura 4. Clasificación de la Información. Fuente: SANS Institute InfoSec Reading Room.

Los niveles mostrados en la figura anterior se pueden definir de la siguiente manera¹³:

• Restringida: Esta clasificación aplica para información de uso exclusivo por parte de un reducido grupo de personas dentro de la organización. La divulgación no autorizada de esta información conlleva severos impactos a la operación y reputación de la empresa. Información que, de divulgarse a personas no

13 SANS Institute InfoSec Reading Room

autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la organización, o bien su estado financiero, sus clientes o franquicias.

• Altamente confidencial: Esta clasificación abarca información menos sensitiva, pero de uso exclusivo en áreas específicas de la organización. La divulgación de esta información puede afectar las ventajas competitivas o causar daños patrimoniales a la organización. Información que, de divulgarse a personas no autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la organización, o bien su estado financiero, sus clientes o franquicias.

• Confidencial: Información sobre clientes, empleados y negocios de la organización que la organización está obligada a proteger. Información que, según la unidad empresarial, tiene posibilidades de proporcionar una ventaja competitiva, o que puede afectar considerablemente a la empresa, si se divulga a personas no autorizadas.

• Interna: Esta clasificación aplica para información únicamente para uso interno de la organización. Su divulgación pudiese acarrear daños o ser utilizada por persona ajenas a la organización, para fines particulares. Información que, por lo general, se divulga dentro de la organización, que no está destinada a distribuirse fuera de la organización, y que no está clasificada como restringida, altamente confidencial o confidencial.

• Pública: Esta clasificación incluye cualquier otra información que no se encuentre dentro de cualquiera de las tres anteriores, que no requiera protección contra accesos no autorizados. Sin embargo, su divulgación debe ser regulada por las áreas competentes. Información que está libremente disponible fuera de la organización, o que está destinada al uso público por parte del propietario de la información. La información pública no tiene restricciones en cuanto a seguridad.

Cada negocio debe designar a los propietarios de la información correspondientes a cada uno de los dueños de esta. Es responsabilidad del propietario de la información determinar el nivel de la clasificación así como definir y aprobar a quien más se puede divulgar la información de la que es propietario.

2.2 Seguridad de la información

“Ser lo que soy, no es nada sin la seguridad”¹⁴. Sin duda William Shakespeare tenía un concepto más evolucionado de la seguridad que sus contemporáneos del siglo XV y quizás también que algunos de los nuestros.

La meta es ambiciosa. La seguridad como materia académica no existe, y es considerada por los

“estudiosos” como una herramienta dentro del ámbito en que se la estudia: relaciones internacionales – nacionales, estudios de riesgo, prevención de crímenes y pérdidas, etc.

El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar, ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.

2.2.1 Definición

En las organizaciones, la Seguridad de la Información (SI) ha comenzado a tomar un lugar determinante, y se ha convertido en un elemento fundamental a ser considerado en toda estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo.

En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la información, y al mismo tiempo no obstáculos para adaptarse a los continuos cambios de la organización como consecuencia de las exigencias del mercado, sin embargo, para lograr este objetivo es necesario conocer la definición de seguridad de la información, según Timothy P.

Layton en su libro “Information Security: Design, Implementation, Measurement, and Compliance”, define la seguridad de la información como: “la protección de la información y los sistemas de información del acceso, uso, divulgación, alteración, modificación o destrucción no autorizados.”¹⁵ Los términos de “seguridad de la información”, “seguridad informática” y “aseguramiento de la información” son frecuentemente e indistintamente usados de forma incorrecta. Estos términos están relacionados entre sí a menudo y comparten los objetivos comunes de protección de la confidencialidad, integridad y disponibilidad de la información, sin embargo, hay algunas diferencias sutiles entre ellos. Estas diferencias radican fundamentalmente en el enfoque del tema, las metodologías utilizadas, y las zonas de concentración.

“La ‘seguridad de la información’ se refiere a la confidencialidad, integridad y disponibilidad de los datos independientemente de la forma de los datos: electrónicos, impresos, o de otras formas. Sin

14 William Shakespeare, 1564–1616.

15 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:

Auerbach publications. ISBN 978-0-8493-7087-8.

embargo, la ‘seguridad informática’ puede centrarse en garantizar la disponibilidad y el correcto funcionamiento de un sistema informático sin preocuparse por la información almacenada o procesada por el mismo. Así mismo, el ‘aseguramiento de la información” se refiere a la gestión de los riegos asociados a la información.”¹⁶

A medida que el rol de seguridad de la información evoluciona, los directivos y ejecutivos de negocio reconocen que éste es sin duda el primer paso en la relación entre la organización, sus clientes, socios de negocio, proveedores y empleados. En este sentido, la seguridad de la Información acarrea grandes implicaciones para las organizaciones debido a que la confianza es la base para el intercambio, y su ausencia es una buena razón para hacer negocios con la competencia.

2.2.2 Objetivos y propósitos de seguridad de la información

Chritian Byrnes y Paul E. Proctor en su libro “The Secured Enterprise: Protecting Your Information Assets“ definen que “el objetivo de la seguridad de la información es el proteger el patrimonio informático de la organización, entendiendo por tal, instalaciones, equipo e información.”¹⁷

Los principales objetivos, propuestos por Julio César Ardita (fundador y director de investigación y desarrollo de CYBSEC Security Systems), que persigue la seguridad de la información son los siguientes: ¹⁸

• Asegurar la integridad y exactitud de la información.

• Proteger la confidencialidad de la información.

• Proteger y conservar los activos de la información fuera del alcance de riesgos, de desastres naturales o de actos mal intencionados.

• Asegurar la capacidad de supervivencia de la organización ante eventos que pongan en peligro su existencia.

• Proveer el ambiente que asegure el manejo adecuado de la información sustantiva.

• Proteger los sistemas informáticos de la empresa ante posibles amenazas.

16 Idem

17 F. Christian Byrnes & Paul E. Proctor, “The Secured Enterprise: Protecting Your Information Assets”, 2005, Prentice Hall Professional.

• Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la información.

• Dar mantenimiento los usuarios, passwords y accesos a los sistemas por parte de los usuarios de la empresa.

• Desarrollar e implementar el plan de seguridad.

• Asegurarse de que los aspectos relacionados con la seguridad sean considerados cuando se seleccionen los contratistas.

• Monitorear día a día la implementación y el uso de los mecanismos de seguridad de la información.

• Coordinar investigaciones de incidentes de seguridad informática.

• Revisar los logs de auditoría y sistemas de detección de intrusiones.

• Participar en los proyectos informáticos de la organización agregando todas las consideraciones de seguridad.

En resumen, el propósito de seguridad de la información es el reducir el impacto de un fenómeno que pueda causar pérdidas y que deberá encontrarse en posibilidades de recuperación a un mínimo nivel aceptable, a un costo razonable y asegurando la adecuado re estabilización de la operatividad.

2.2.3 Funciones de la seguridad de la información

Mucho se habla de seguridad de la información en estos tiempos, sin embargo, cabe destacar que las funciones de la misma no han sido definidas claramente, lo cual recae en mal interpretaciones de las mismas. Además es una realidad que las funciones de la seguridad de la información están delimitadas en un ámbito tecnológico, sin embargo, se le debe dar un enfoque estratégico optimizando así las funciones de la misma para lograr un amplio aprovechamiento de las mejores prácticas, políticas y estrategias vinculadas a los objetivos y propósitos de la organización.

Omar Alejandro Herrera Reyna, en su el sitio SeguInfo enlista las principales funciones a realizar por la seguridad de la información¹⁹:

19 Herrera Reyna, Omar Alejandro.http://www.segu-info.com.ar

• Minimizar los riegos de quebrantos y fraudes, a través del establecimiento de normas, medidas y procedimientos preventivos y de seguridad en los productos, servicios y procesos que los soportan.

• Proteger la información de acuerdo a su importancia y valor, así como resguardar los demás activos de información en donde se procesan.

• Asegurar que desde su inicio incorporen en cada uno de sus proyectos y procedimientos las normas, medidas y procedimientos de prevención y de seguridad.

• Investigar administrativamente hechos dolosos que por su trascendencia o impacto afecten los intereses de la empresa.

• Dar seguimiento conforme a la normatividad interna y al marco jurídico, las acciones dolosas y negligentes de su personal, que afecten el patrimonio organizacional.

• Realizar diagnóstico de riesgos en las diferentes áreas de la empresa y proponer acciones de solución.

• Identificar necesidades y problemática con base en el análisis de riesgos previamente realizado e identificar problemas que afecten de manera general la seguridad de la información.

• Definir políticas y procedimientos generales de seguridad de la información, para todo el ámbito informático.

• Definir, orientar y dar seguimiento a estrategias y planes organizacionales de seguridad dentro de la empresa.

• Dar seguimiento al cumplimiento de estrategias, normas, requerimientos y liberaciones.

• Concienciar y difundir los conceptos de seguridad en toda la empresa.

• Participar en la creación de los planes organizacionales mediante la revisión, adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada área.

Es de suma importancia tener firmemente cimentadas las funciones de seguridad de la información con el fin de que el área responsable delimite, implante y efectúe las medidas necesarias para el cumplimiento de los objetivos y propósitos de la seguridad de la información y por tanto de la organización en general.

2.2.3.1 Qué debemos proteger

De acuerdo al libro “Information Security: Design, Implementation, Measurement, and Compliance”, en cualquier sistema de información existen los siguientes elementos básicos a proteger: el hardware, el software, las comunicaciones y la información (ver Figura 5

“Componentes de seguridad de la información). De estos, la información que maneja el sistema debe ser lo más importante, ya que es el resultado del trabajo realizado. Si existiera daño del hardware, software o comunicaciones estos pueden adquirirse nuevamente desde su medio original; pero la información obtenida en el transcurso del tiempo es imposible de recuperar: tal vez se pueda recurrir a un sistema de copias de seguridad (si es que se tiene), y aún así es difícil de devolver la información a su forma anterior al daño.²⁰

Figura 5. Componentes de seguridad de la información. Fuente: http://wikipedia.org, John M. Kennedy T.

20 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:

Auerbach publications. ISBN 978-0-8493-7087-8

2.2.3.2 De quién debemos protegernos

Gustavo Aldegani en su libro “Seguridad Informática” define que “un intruso o atacante a la persona que accede (o intenta acceder) sin autorización a un sistema ajeno, ya sea en forma intencional o no”²¹. La Figura 6 “Amenazas para la seguridad”, es una clara clasificación de quien debemos protegernos.

Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: “Seguridad Informática: Sus implicancias e implementación”.

2.2.3.3 Cómo podemos protegernos

Julio C. Ardita indica que debemos protegernos en tres momentos²²:

• La prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un sistema durante su funcionamiento normal.

• La detección (durante): mecanismos orientados a revelar violaciones a la seguridad.

• La recuperación (después): mecanismos que se aplican, cuando la violación del sistema ya se ha detectado, para retornar éste a su funcionamiento normal.

Estos mecanismos conformarán políticas que garantizarán la seguridad de nuestro sistema de información. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado de las siguientes maneras:

21 ALDEGANI, Gustavo. Miguel. Seguridad Informática, MP Ediciones Argentina.

1. Minimizando la posibilidad de su ocurrencia.

2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera.

3. Diseño de métodos para la más rápida recuperación de los daños experimentados.

4. Corrección de las medidas de seguridad en función de la experiencia recogida.

Para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas de integridad, confidencialidad, operatividad, control y autenticidad. Se deberá conocer “qué es lo que queremos proteger”, “de quién lo queremos proteger”, “cómo se puede lograr esto legislativa y técnicamente”; para luego concluir con la formulación de estrategias adecuadas de seguridad tendientes a la disminución (¿anulación?) de los riesgos.

Comprender y conocer de seguridad ayudará a llevar a cabo análisis sobre los riesgos, las vulnerabilidades, amenazas y contramedidas; evaluar las ventajas o desventajas en base de las necesidades de seguridad.

2.2.4 Importancia de la seguridad de la información

La era digital permitió una apertura de fronteras, una eliminación de las barreras comerciales y un gran intercambio de información. Así las economías han venido creciendo, y también lo han hecho las organizaciones delictivas.

No es un secreto que cuando se habla de seguridad de la información, lo que preocupa a las organizaciones es el nivel de inseguridad. La inseguridad es la relación entre la seguridad real y la seguridad total, utopía inexistente. Las áreas encargadas de la seguridad de la información, en realidad, deben lograr que el nivel de inseguridad esté dentro de los parámetros organizacionalmente aceptados como válidos y de acuerdo a las necesidades y recursos a los que la organización esté limitada. Paradójicamente la seguridad entonces, se mide por el nivel de inseguridad existente en un sistema de seguridad de la información.

Gracias a relevantes encuestas elaboradas por Cybsec, argumentamos que la inseguridad de la información debe ser combatida a partir de un sistema de seguridad integral en donde se cumplan las siguientes premisas²³:

• Factor humano y factor tecnológico deben estar involucrados.

23 "Tendencias en Seguridad Informática 2006”. Cybsec S.A. http://www.cybsec.com

• Los sistemas de seguridad de la información deben funcionar eficientemente y generar confianza.

• Cada una de las áreas de la organización debe concientizarse sobre la responsabilidad que tienen sobre el manejo, uso y resguardo de la información que cada ente dentro de la misma maneja.

La importancia de seguridad de la información reside en el hecho de lograr disminuir el índice de inseguridad vigente en cualquier sistema de información, tomando en cuenta las premisas anteriores y poniendo en marcha medidas, técnicas y controles, así como políticas y procedimientos que sirvan de base para un correcto, creciente y permanente manejo y resguardo de la información.

Procedimientos y tecnologías han avanzado para que la seguridad de la información sea cada vez más eficiente.

¿Cómo darle una solución al tema? Por un lado deben revisarse los procesos del factor humano, consultorías, capacitación, educación y concientización al personal, etc., por el otro debe darse un permanente seguimiento al modelo de seguridad implantado. Actualmente las empresas manejan un modelo vertical de seguridad: seguridad de almacén, seguridad de transporte, seguridad periférica, seguridad personal, seguridad para la tecnología de información, seguridad de la carga, seguridad ambiental, etc.; de esta forma existen un promedio de 20 proveedores de seguridad para una sola organización. Este modelo de seguridad, utilizado mayoritariamente, es muy vulnerable y facilita la inseguridad pues:

1. Existen zonas grises entre las distintas áreas,

2. Tiene gran dificultad de coordinar los distintos recursos,

3. Existe un riesgo elevado de fuga de información por parte de personal común y

4. No está basado en la inteligencia como “modus operandi”.

La gestión eficiente de la seguridad de la información en las organizaciones, es un claro ejemplo de cómo la seguridad debe ser planteada en forma estratégica. Fallas de seguridad impactan negativamente en el cuadro de resultado de las mismas.

La seguridad como factor estratégico permitirá coordinar, interactuar y lograr la interoperabilidad necesaria entre los distintos proveedores verticales, actuando como punto de origen y control desde el cual se imparten las directrices y el control de la seguridad total de la organización.

2.3 Vulnerabilidades, Amenazas y Riesgos de la Información

Muchos de los términos de seguridad son frecuentemente confundidos en publicaciones populares. Diferentes términos de seguridad tienen distintos significados para ser usados en formas específicas por una razón. Por ejemplo, “evaluación de riesgos” y “evaluación de amenazas” son dos términos completamente diferentes, y cada uno es valioso por sus propias razones y aplicables para resolver diferentes problemas.

Los tres términos de seguridad: vulnerabilidad, amenaza y riesgo, serán definidos a continuación²⁴:

2.3.1 Definición de vulnerabilidad

El término vulnerabilidad se refiere a los defectos de seguridad en un sistema que permite que un ataque sea exitoso. La evaluación de vulnerabilidades debe ejecutarse por las partes responsables para resolver dichas vulnerabilidades, y ayuda a proveer datos usados para identificas daños inesperados a la seguridad que necesitan ser resueltos. Dichas vulnerabilidades no son particularmente en tecnología, estas puede aplicarse en factores sociales, tal como autenticaciones personales y políticas de autorización.

Analizar las vulnerabilidades es útil para mantener la seguridad continua, permitiendo a las personas responsabilizarse por la seguridad de los recursos, y responder efectivamente a los nuevos daños cuando sucedan. También es valiosa para el desarrollo de políticas y tecnología, y como parte de del proceso de selección de tecnología, ya que elegir la tecnología correcta a tiempo puede asegurar ahorros significativos en tiempo, dinero y otros costos al negocio.

2.3.2 Definición de amenaza

El término amenaza se refiere al origen de un ataque en particular. El análisis de amenazas puede ser ejecutado para determinar el mejor acercamiento al aseguramiento de un sistema contra una amenaza en particular o una clase de amenaza mientras le análisis de riesgos se enfoca en analizar el potencial y la tendencia de un recurso a fallar, debido a los ataques, el análisis de amenazas se enfoca más en analizar los recursos del atacante.

24 TechRepublic. Chad Perrin: “Understanding risk, threat, and vulnerability”, 07 de Julio de 2009