Presentación
Como Secretaria de la Función Pública he
asumido la responsabilidad de contribuir al perfeccionamiento de
la organización y definir la política
informática en el ámbito de la
Administración Pública Nacional.
Para dar cumplimiento a estos objetivos y desde el
inicio de mi gestión, vengo dedicando importantes
esfuerzos y recursos para favorecer el uso pleno de la
tecnología con el fin de alcanzar un Estado moderno y
eficiente al servicio de los ciudadanos, que permita a nuestro
país interactuar con las naciones más
avanzadas.
En este marco, permítanme citarles como ejemplo
la firma del Decreto Nº 427/98, por el cual se crea la
Infraestructura de Firma Digital para el Sector Público
Nacional, habilitando el uso de esa tecnología para los
actos internos de administración y otorgando a la
Secretaría de la Función Pública las
funciones de Autoridad de Aplicación y de Organismo
Licenciante, a cargo de la habilitación de Autoridades
Certificantes para su funcionamiento dentro de la
Administración Pública Nacional. Quiero destacar la
importancia de la promulgación del decreto mencionado, ya
que constituye el primer antecedente a nivel nacional que otorga
validez a la firma digital, en este caso por un plazo
experimental de 24 meses, y distingue a nuestro país entre
los primeros en el mundo en promulgar una normativa de avanzada
en este novedoso campo.
Asimismo, emitimos los Estándares
Tecnológicos para la Administración Pública
Nacional, que constituyen una eficaz herramienta que posibilita
que los organismos públicos avancen en los procesos de
racionalización, estandarización y
homogeneización de las contrataciones tecnológicas
y que han trascendido el ámbito propio de
aplicación habiendo sido adoptados por numerosas
jurisdicciones provinciales, otros poderes del Estado y
organismos rectores de Política Informática de
Países Iberoamericanos.
No puedo dejar de hacer referencia al Problema del
Año 2000, que motiva mi preocupación y la de las
autoridades de los organismos de la Administración
Nacional. Hemos iniciado una intensa labor con el objetivo de
garantizar las funciones críticas que debe cumplir el
Estado. A tal efecto, trabaja un grupo de profesionales nucleados
en la Unidad Ejecutora 2000 con el objeto de brindar asistencia
técnica y supervisar las acciones tendientes a la
búsqueda de soluciones para la problemática,
cubriendo no sólo a los organismos de la
Administración Pública Nacional, sino
también a los entes reguladores de actividades que
implican servicios públicos para el ciudadano. Puedo
afirmar, sin equivocarme, que nos encontramos a la cabeza en
Latinoamérica respecto de la metodología seguida en
el Sector Público, habiendo participado en
numerosos foros nacionales e internacionales y
siendo consultados en forma permanente por diversas entidades del
Sector privado nacional.
Sin embargo, sé que las tecnologías por
sí mismas de poco sirven: es lo que la gente hace con
ellas lo que marca la diferencia. Por ello estamos dedicando
importantes esfuerzos para la jerarquización del personal
que desarrolla funciones informáticas y para la
valorización de las áreas responsables de los
sistemas de información. En esta campo hemos fomentado la
capacitación en materia de Tecnologías
Informáticas, a fin de lograr un mayor entendimiento de
sus potencialidades, especialmente para el gerenciamiento
público.
Ya en el campo específico que motiva el trabajo
que sigue, nadie puede discutir hoy en día que la
seguridad de las Tecnologías Informáticas es
un componente necesario de los sistemas de información y
tanto los entes públicos como los privados, del
país y del mundo, empiezan a dedicar recursos materiales y
humanos cada vez más significativos a esta
área.
Por ello he dispuesto la adopción de una serie
de medidas, entre las cuales se inscribe el presente trabajo, con
el objetivo de robustecer el área de Seguridad
Informática en el ámbito de mi
competencia.
Este manual fue elaborado con la intención de
facilitar la tarea de quienes tienen a su cargo la
administración de las redes del Sector Público
Nacional. Colaboraron en su redacción el Ing. Leonardo
Hoet, los Sres. Rodolfo Cozzi, Rodolfo Baader y Rodrigo Seguel y
el personal de la Dirección Nacional de
Coordinación e Integración Tecnológica. A
ellos, mi reconocimiento por la labor realizada.
Claudia E. Bello
Secretaria de la Función
Pública
Introducción
En la actualidad, las organizaciones son cada vez
más dependientes de sus redes informáticas y un
problema que las afecte, por mínimo que sea, puede llegar
a comprometer la continuidad de las operaciones.
La falta de medidas de seguridad en las redes es un
problema que está en crecimiento. Cada vez es mayor el
número de atacantes y cada vez están más
organizados, por lo que van adquiriendo día a día
habilidades más especializadas que les permiten obtener
mayores beneficios. Tampoco deben subestimarse las fallas de
seguridad provenientes del interior mismo de la
organización.
La propia complejidad de la red es una dificultad para
la detección y corrección de los múltiples y
variados problemas de seguridad que van apareciendo. En medio de
esta variedad, han ido aumentando las acciones poco respetuosas
de la privacidad y de la propiedad de recursos y sistemas.
"Hackers", "crakers", entre otros, han hecho aparición en
el vocabulario ordinario de los usuarios y de los administradores
de las redes
Además de las técnicas y herramientas
criptográficas, es importante recalcar que un componente
muy importante para la protección de los sistemas consiste
en la atención y vigilancia continua y sistemática
por parte de los responsables de la red.
A la hora de plantearse en qué elementos del
sistema se deben de ubicar los servicios de seguridad
podrían distinguirse dos tendencias
principales:
Protección de los sistemas de transferencia o
transporte. En este caso, el administrador de un servicio
asume la responsabilidad de garantizar la transferencia segura al
usuario final de la información de forma lo más
transparente posible.
Ejemplos de este tipo de planteamientos serían
el establecimiento de un nivel de transporte seguro, de un
servicio de mensajería con MTAs (Mail Transport Agents)
seguras, o la instalación de un firewall, que defiende el
acceso a una parte protegida de una red.
Aplicaciones seguras extremo a extremo. Si
pensamos, por ejemplo, en el correo electrónico,
consistiría en construir un mensaje en el cual el
contenido ha sido asegurado mediante un procedimiento de
encapsulado previo al envío. De esta forma, el mensaje
puede atravesar sistemas heterogéneos y poco fiables sin
por ello perder la validez de los servicios de seguridad
provistos. Aunque el acto de asegurar el mensaje cae bajo la
responsabilidad del usuario final, es razonable pensar que dicho
usuario deberá usar una herramienta amigable proporcionada
por el responsable de seguridad de su organización. Esta
misma operatoria, puede usarse para abordar el problema
de la seguridad en otras aplicaciones tales como
videoconferencia, acceso a bases de datos, etc.
En ambos casos, un problema de capital importancia es
la gestión de passwords. Este problema es inherente al uso
de la criptografía y debe estar resuelto antes de que el
usuario esté en condiciones de enviar un solo bit
seguro.
En este contexto, hemos elaborado este material. Con
él nos proponemos facilitar las tareas de todos aquellos
que se encuentran actualmente involucrados en las decisiones
respecto de las redes de información y de sus modos de
administración, al tiempo de alertar sobre la importancia
crítica de la seguridad. Creemos que un adecuado
tratamiento de esta problemática resulta absolutamente
vital, debido a las amenazas cada vez mayores a las que la
información se encuentra expuesta.
En el transcurso de las diversas secciones se
desarrollarán básicamente, los siguientes
temas:
El valor de los datos
Las políticas de seguridad
informática
Los procedimientos para el resguardo de la
información
Los principales ataques a las redes de
información
Las passwords
Las herramientas de control y seguimiento
de accesos
El material cuenta, además, con un glosario
final en el que se definen los principales términos que se
utilizan durante este trabajo.
Esperamos que constituya un buen punto de partida para
la reflexión y el debate sobre estas problemáticas
en su organización.
1 – Conceptos de
seguridad
En la actualidad, la seguridad informática ha
adquirido gran auge, dadas las cambiantes condiciones y las
nuevas plataformas de computación disponibles. La
posibilidad de interconectarse a través de redes, ha
abierto nuevos horizontes que permiten explorar más
allá de las fronteras de la organización. Esta
situación ha llevado a la aparición de nuevas
amenazas en los sistemas computarizados.
Consecuentemente, muchas organizaciones gubernamentales
y no gubernamentales internacionales [1,2] han desarrollado
documentos y directrices que orientan en el uso adecuado de estas
destrezas tecnológicas y recomendaciones con el objeto de
obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de la mismas. Esto puede ocasionar serios problemas en
los bienes y servicios de las empresas en el mundo.
En este sentido, las políticas de seguridad
informática (PSI) surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de
una organización sobre la importancia y la sensibilidad de
la información y servicios críticos que favorecen
el desarrollo de la organización y su buen
funcionamiento.
1.1 –
¿Cuál puede ser el valor de los
datos?
Establecer el valor de los datos es algo totalmente
relativo, pues la información constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su
intangibilidad, cosa que no ocurre con los equipos, la
documentación o las aplicaciones. Además, las
medidas de seguridad no influyen en la productividad del sistema
por lo que las organizaciones son reticentes a dedicar recursos a
esta tarea.
Cuando hablamos del valor de la información nos
referimos, por ejemplo, a qué tan peligroso es enviar la
información de mi tarjeta de crédito a
través de Internet para hacer una compra, en una red
gigantesca donde viajan no únicamente los 16
dígitos de mi tarjeta de crédito sino millones de
datos más , gráficas, voz y
vídeo.
De hecho, este tema es complejo. Algunos expertos
opinan que se corre más peligro cuando se entrega una
tarjeta de crédito al empleado de un restaurante o cuando
se la emplea telefónicamente para efectivizar alguna
compra.
El peligro más grande radica no en enviar la
información sino una vez que esta información,
unida a la de miles de clientes más, reposa en una base de
datos de la compañía con las que se concretó
el negocio. Con un único acceso no autorizado a esta base
de datos, es posible que alguien obtenga no únicamente mis
datos y los de mi tarjeta, sino que tendrá acceso a los
datos y tarjetas de todos los clientes de esta
compañía.
En efecto, el tema no está restringido
únicamente a Internet. Aunque no se esté conectado
a Internet, una red está expuesta a distintos tipos de
ataques electrónicos, incluídos los
virus.
Para tratar de asignar un valor al costo del delito
electrónico podríamos mencionar el reporte de la
agencia norteamericana Defense Information Systems Agency
titulado "Defending the Defense Information Infrastructure-
Defense Information Systems Agency", del 9 de julio de 1996. En
dicho informe las corporaciones más grandes de los Estados
Unidos reportan haber experimentado pérdidas estimadas en
U$S 800 millones dólares en 1996 debido a ataques a la
red. Asimismo el informe de marzo de 1997 de The Computer
Security Institute (CSI) indica que el crimen de cómputo
continúa en alza y se reportan pérdidas superiores
a los U$S 100 millones de dólares y esto es tan solo
durante el primer cuarto del año 1997. Si, además,
tenemos en cuenta que según las estadísticas de
estas agencias norteamericanas sólo 1 de cada 500 ataques
son detectados y reportados, ya es posible hacerse una idea de
los valores involucrados en este tipo de delito.
Por esto, y por cualquier otro tipo de
consideración que se tenga en mente, es realmente
válido pensar que cualquier organización que
trabaje con computadoras – y hoy en día más
específicamente con redes de computadoras – debe tener
normativas que hacen al buen uso de los recursos y de los
contenidos, es decir, al buen uso de la
información.
1.2 –
Definiciones
Dado que se está tratando con conceptos que
pueden tener múltiples interpretaciones, parece prudente
acordar ciertos significados específicos. Por tanto, hemos
recurrido a algunas definiciones, todas ellas extraídas
del diccionario Espasa Calpe.
Seguridad: es "calidad de seguro", y,
seguro está definido como "libre de riesgo".
Información: es "acción y
efecto de informar". Informar: es "dar noticia de una
cosa".
Redes: es "el conjunto sistemático
de caños o de hilos conductores o de vías de
comunicación o de agencias y servicios o recursos para
determinado fin".
Uniendo todas estas definiciones, podemos
establecer qué se entiende por Seguridad en
redes.
Seguridad en Redes: es mantener la
provisión de información libre de riesgo y brindar
servicios para un determinado fin.
Si trabajamos en definir Seguridad en
Redes con los elementos que conocemos, podemos llegar a una
definición más acertada :
Seguridad en redes es mantener bajo
protección los recursos y la información con que se
cuenta en la red, a través de procedimientos basados en
una política de seguridad tales que permitan el control de
lo actuado.
1.3 – Seguridad
Global
¿Qué es una red global?. El concepto de
red global incluye todos los recursos informáticos de una
organización, aún cuando estos no estén
interconectados:
Redes de área local
(LAN),
Redes de área metropolitana
(MAN),
Redes nacionales y supranacionales (WAN),
Computadoras personales, minis y grandes sistemas.
De manera que, seguridad global es mantener bajo
protección todos los componentes de una red
global.
Al fin de cuentas, los usuarios de un sistema son una
parte a la que no hay que olvidar ni menospreciar. Siempre hay
que tener en cuenta que la seguridad comienza y termina con
personas.
Obtener de los usuarios la concientización de
los conceptos, usos y costumbres referentes a la seguridad,
requiere tiempo y esfuerzo. Que los usuarios se concienticen de
la necesidad y, más que nada, de las ganancias que se
obtienen implementando planes de seguridad, exige trabajar
directamente con ellos, de tal manera que se apoderen de los
beneficios de tener un buen plan de seguridad. (Por ejemplo:
permite que se determine exactamente lo que debe hacer cada uno y
cómo debe hacerlo, y, también las desviaciones que
se pueden producir). De esta forma, ante cualquier problema, es
muy fácil determinar dónde se produjo o de
dónde proviene.
Para realizar esto, lo más usado, y que da muy
buenos resultados es hacer "grupos de trabajo" en los cuales se
informen los fines, objetivos y ganancias de establecer medidas
de seguridad, de tal manera que los destinatarios finales se
sientan informados y tomen para sí los conceptos. Este
tipo de acciones favorece, la adhesión a estas
medidas.
1.4 – Impacto en
la organización
La implementación de políticas de
seguridad, trae aparejados varios tipos de problemas que afectan
el funcionamiento de la organización. ¿Cómo
pueden impactar si se implementan para hacer más seguro el
sistema?. En realidad, la implementación de un sistema de
seguridad conlleva a incrementar la complejidad en la operatoria
de la organización, tanto técnica como
administrativa.
Por ejemplo, la disminución de la funcionalidad
o el decremento de la operatividad tal vez sea uno de los mayores
problemas. Esto se puede aclarar de la siguiente manera: en un
primer momento, el usuario, para acceder a tal recurso,
debía realizar un solo login. Ahora, con la
implementación del nuevo esquema de seguridad,
debe realizar dos logines: uno para ingresar al
sistema y otro para acceder al recurso. El usuario visualiza esto
como un nuevo impedimento en su tarea, en lugar de verlo como una
razón de seguridad para él, pues de esta manera, se
puede controlar más el uso del recurso y, ante
algún problema, será mucho más fácil
establecer responsabilidades.
Por otro lado, al poner en funcionamiento una nueva
norma de seguridad, ésta traerá una nueva tarea
para la parte técnica (por ejemplo, cambiar los derechos a
algo de algunos usuarios) y administrativamente, se les
deberá avisar por medio de una nota de los cambios
realizados y en qué les afectará.
1.5 – Visibilidad
del proceso
En un reciente estudio de Datapro Research Corp. se
resumía que los problemas de seguridad en sistemas basados
en redes responde a la siguiente distribución:
Errores de los empleados 50% Empleados
deshonestos 15% Empleados descuidados 15% Otros
20% (Intrusos ajenos a la Empresa 10%; Integridad física
de instalaciones 10% )
Se puede notar que el 80% de los problemas, son
generados por los empleados de la organización, y,
éstos se podrían tipificar en tres grandes
grupos:
Problemas por ignorancia Problemas por
haraganería Problemas por malicia
Entre estas razones, la ignorancia es la más
fácil de direccionar. Desarrollando tácticas de
entrenamiento y procedimientos formales e informales son
fácilmente neutralizadas. Los usuarios, además,
necesitan de tiempo en tiempo, que se les recuerden cosas que
ellos deberían conocer.
La haraganería será siempre una
tentación –tanto para los administradores de
sistemas como para los usuarios – pero, se encuentra que
éste es un problema menor cuando los usuarios ven las
metas de los sistemas de seguridad. Esto requiere soporte de las
Gerencias y de la Administración, y de la
organización como un todo formado por usuarios
individuales. En adición, una atmósfera que se
focalice en las soluciones, en lugar de censurar, es generalmente
más eficiente que aquella que tiende a la coerción
o la intimidación.
La malicia, se debe combatir creando una cultura en la
organización que aliente la lealtad de los
empleados.
La visibilidad es permitir el aporte de las
personas de la organización y, dar a conocer las acciones
tomadas. Es decir que, cuando se deben producir cambios en las
políticas no es necesario que se decidan unilateralmente.
Es altamente deseable que se formen grupos de trabajo para
discutir y/o conocer el alcance y el tipo de medidas a
llevar a cabo (esta metodología de trabajo se puede
implementar por lo menos en un 80 % de las veces
en que se presenta esta cuestión). Esto, además de
llevar algunas veces a obtener soluciones que son más
efectivas que las que se pensaban tomar, hace que aquellos que
sean tocados por las modificaciones no se sientan recelosos de
los cambios realizados y se comprometan con el cambio. Luego, una
vez tomada la decisión, se debe comunicar fehacientente a
los involucrados de los cambios realizados por medio de minutas,
notas o boletines informativos.
De esta manera, aseguramos que los hechos son visibles
al resto de la organización. Como consecuencia, las
personas no sienten resquemores o recelos de las nuevas medidas
implementadas y adhieren rápidamente a ellas.
Cabría, asimismo, tener en cuenta cuando deban realizarse
modificaciones, hacerlas contando con la asesoría de la
parte legal. Así, se pueden llegar a establecer los
alcances de las penalidades en caso de infringir las normas
dictadas. Respecto de este punto, es también aconsejable
que las modificaciones o nuevas normativas, así como las
penalizaciones, estén bien publicitadas, ya sea por medio
de boletines, en tableros de novedades, en transparencias o por
cualquier medio que permita llevar a cabo estas acciones con
razonable éxito.
1.6 –
Implementación
La implementación de medidas de seguridad, es un
proceso técnico- administrativo. Como este proceso debe
abarcar toda la organización, sin exclusión alguna,
ha de estar fuertemente apoyado por el sector gerencial, ya que
sin ese apoyo, las medidas que se tomen no tendrán la
fuerza necesaria.
Hay que tener muy en cuenta la complejidad que suma a
la operatoria de la organización la implementación
de estas medidas (ver párrafo "Impacto en la
Organización"). Será necesario sopesar
cuidadosamente la ganancia en seguridad respecto de los costos
administrativos y técnicos que se generen.
También, como hemos mencionado anteriormente, es
fundamental no dejar de lado la notificación a todos los
involucrados en las nuevas disposiciones y, darlas a conocer al
resto de la organización con el fin de otorgar visibilidad
a los actos de la administración.
De todo lo expuesto anteriormente, resulta claro
que proponer o identificar una política de seguridad
requiere de un alto compromiso con la organización,
agudeza técnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha política en
función del dinámico ambiente que rodea las
organizaciones modernas.
1.7 –
Apostilla
Un reciente estudio indica que para el 25% de los
responsables de la información en empresas de más
de 100 empleados, a la seguridad no se le da una prioridad alta
dentro de la organización y, en los casos en que se da
esta prioridad, creen que el resto de la
organización no presta a este tema la atención que
requiere. Este estudio nos presenta un material interesante para
pensar y debatir.
2 –
Políticas generales de seguridad
2.1 – ¿Qué son las
políticas de seguridad informática
(PSI)?
Una política de seguridad informática es
una forma de comunicarse con los usuarios y los gerentes [3,
pág.382]. Las PSI establecen el canal formal de
actuación del personal, en relación con los
recursos y servicios informáticos, importantes de la
organización.
No se trata de una descripción técnica de
mecanismos de seguridad, ni de una expresión legal que
involucre sanciones a conductas de los empleados. Es más
bien una descripción de los que deseamos proteger y el por
qué de ello.
Cada PSI es consciente y vigilante del personal por el
uso y limitaciones de los recursos y servicios
informáticos críticos de la
compañía.
2.2 – Elementos
de una política de seguridad
informática
Como mencionábamos en el apartado anterior, una
PSI debe orientar las decisiones que se toman en relación
con la seguridad. Por tanto, requiere de una disposición
por parte de cada uno de los miembros de la empresa para lograr
una visión conjunta de lo que se considera
importante.
Las PSI deben considerar entre otros, los
siguientes elementos: [4]
Alcance de las políticas, incluyendo
facilidades, sistemas y personal sobre la cual aplica. Es una
invitación de la organización a cada uno de sus
miembros a reconocer la información como uno de sus
principales activos así como, un motor de intercambio y
desarrollo en el ámbito de sus negocios. Invitación
que debe concluir en una posición.
Objetivos de la política y descripción
clara de los elementos involucrados en su
definición.
Responsabilidades por cada uno de los servicios y
recursos informáticos a todos los niveles
de la organización.
Requerimientos mínimos para configuración
de la seguridad de los sistemas que cobija el alcance de la
política.
Definición de violaciones y de las consecuencias
del no cumplimiento de la política.
Responsabilidades de los usuarios con respecto a la
información a la que ella tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles
acerca de por qué deben tomarse ciertas decisiones,
transmitir por qué son importantes estos u otros recursos
o servicios.
De igual forma, las PSI establecen las expectativas de
la organización en relación con la seguridad y lo
que ella puede esperar de las acciones que la materializan en la
compañía. Deben mantener un lenguaje común
libre de tecnicismos y términos legales que impidan una
comprensión clara de las mismas, sin sacrificar su
precisión y formalidad dentro de la empresa.
Por otra parte, la política debe especificar la
autoridad que debe hacer que las cosas ocurran, el rango de los
correctivos y sus actuaciones que permitan dar indicaciones sobre
la clase de sanciones que se puedan imponer. No debe especificar
con exactitud qué pasara o cuándo algo
sucederá; no es una sentencia obligatoria de la ley. [4,
pág.383]
Finalmente, las PSI como documentos dinámicos de
la organización, deben seguir un proceso de
actualización periódica sujeto a los cambios
organizacionales relevantes: crecimiento de la planta de
personal, cambio en la infraestructura computacional, alta
rotación de personal, desarrollo de nuevos servicios,
cambio o diversificación de negocios entre
otros.
2.3 – Algunos
parámetros para establecer políticas de
seguridad
Si bien las características de la PSI que hemos
mencionado hasta el momento, nos muestran una perspectiva de las
implicaciones en la formulación de estas directrices,
revisaremos a continuación, algunos aspectos generales
recomendados para la formulación de las
mismas.
Considere efectuar un ejercicio de
análisis de riesgos informático, a través
del cual valore sus activos, el cual le permitirá afinar
las PSI de su organización. Involucre a las áreas
propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y
las definiciones de violaciones a la PSI.
Comunique a todo el personal involucrado en el
desarrollo de las PSI, los beneficios y riesgos relacionados con
los recursos y bienes, y sus elementos de seguridad.
Recuerde que es necesario identificar
quién tiene la autoridad para tomar
decisiones, pues son ellos los responsables de
salvaguardar los activos críticos de la funcionalidad de
su área u organización.
Desarrolle un proceso de monitoreo
periódico de las directrices en el hacer de la
organización, que permita una actualización
oportuna de las mismas.
Un último consejo: no dé por hecho algo
que es obvio. Haga explícito y concreto los alcances y
propuestas de seguridad, con el propósito de evitar
sorpresas y malos entendidos en el momento de establecer los
mecanismos de seguridad que respondan a las PSI
trazadas.
2.4 –
Proposición de una forma de realizar el análisis
para llevar a cabo un sistema de seguridad
informática
Tal como puede visualizarse, en el gráfico
están plasmados todos los elementos que intervienen para
el estudio de una política de seguridad.
Se comienza realizando una evaluación del
factor humano interviniente – teniendo en cuenta que
éste es el punto más vulnerable en toda la cadena
de seguridad -, de los mecanismos con que se cuentan para
llevar a cabo los procesos necesarios ( mecanismos
técnicos, físicos ó lógicos), luego,
el medio ambiente en que se desempeña el sistema,
las consecuencias que puede traer aparejado defectos en la
seguridad (pérdidas físicas, pérdidas
económicas, en la imagen de la organización, etc.),
y cuáles son las amenazas posibles.
Una vez evaluado todo lo anterior, se origina un
programa de seguridad, que involucra los pasos a tomar
para poder asegurar el umbral de seguridad que se desea. Luego,
se pasa al plan de acción, que es cómo se va
a llevar a cabo el programa de seguridad. Finalmente, se redactan
los procedimientos y normas que permiten llegar a buen
destino.
Con el propósito de asegurar el cumplimiento de
todo lo anterior, se realizan los controles y la
vigilancia que aseguran el fiel cumplimiento de los tres
puntos antepuestos. Para asegurar un marco efectivo, se realizan
auditorías a los controles y a los archivos
logísticos que se generen en los procesos
implementados (de nada vale tener archivos logísticos si
nunca se los analizan o se los analizan cuando ya ha ocurrido un
problema).
Con el objeto de confirmar el buen funcionamiento de lo
creado, se procede a simular eventos que atenten contra la
seguridad del sistema. Como el proceso de seguridad es un proceso
dinámico, es necesario realizar revisiones al
programa de seguridad, al plan de acción y a los
procedimientos y normas. Estas revisiones, tendrán efecto
sobre los puntos tratados en el primer párrafo y, de esta
manera, el proceso se vuelve a repetir.
Es claro que el establecimiento de políticas
de seguridad es un proceso dinámico sobre el que hay que
estar actuando permanentemente, de manera tal que no quede
desactualizado; que, cuando se le descubran debilidades,
éstas sean subsanadas y, finalmente, que su
práctica por los integrantes de la organización no
caiga en desuso.
2.5 – ¿Por
qué las políticas de seguridad informática
generalmente no consiguen implantarse?
Muchas veces, las organizaciones realizan grandes
esfuerzos para definir sus directrices de seguridad y
concretarlas en documentos que orienten las acciones de las
mismas, con relativo éxito. Según algunos estudios
[5] resulta una labor ardua convencer a los altos ejecutivos de
la necesidad de buenas políticas y prácticas de
seguridad informática.
Muchos de los inconvenientes se inician por los
tecnicismos informáticos y por la falta de una estrategia
de mercadeo de los especialistas en seguridad que, llevan a los
altos directivos a pensamientos como: "más dinero para los
juguetes de los ingenieros". Esta situación ha llevado a
que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad que, en muchos de los
casos, lleva a comprometer su información sensible y por
ende su imagen corporativa.
Ante esta encrucijada, los encargados de la seguridad
deben asegurarse de que las personas relevantes entienden los
asuntos importantes de la seguridad, conocen sus alcances y
están de acuerdo con las decisiones tomadas en
relación con esos asuntos. En particular, la gente debe
conocer las consecuencias de sus decisiones, incluyendo lo mejor
y lo peor que podría ocurrir. [3, pág.394] Una
intrusión o una travesura puede convertir a las personas
que no entendieron, en blanco de las políticas o en
señuelos de los verdaderos vándalos. Luego, para
que las PSI logren abrirse espacio en el interior de una
organización deben integrarse a las estrategias del
negocio, a su misión y visión, con el
propósito de que los que toman las decisiones reconozcan
su importancia e incidencias en las proyecciones y utilidades de
la compañía.
De igual forma, las PSI deben ir acompañadas de
una visión de negocio que promueva actividades que
involucren a las personas en su hacer diario, donde se
identifiquen las necesidades y acciones que materializan las
políticas. En este contexto, entender la
organización, sus elementos culturales y comportamientos
nos debe llevar a reconocer las pautas de seguridad necesarias y
suficientes que aseguren confiabilidad en las operaciones y
funcionalidad de la compañía.
A continuación, mencionamos algunas
recomendaciones para concientizar sobre la seguridad
informática:
Desarrolle ejemplos organizacionales relacionados con
fallas de seguridad que capten la atención de sus
interlocutores.
Asocie el punto anterior a las estrategias de la
organización y a la imagen que se tiene de
la organización en el desarrollo de sus
actividades.
Articule las estrategias de seguridad
informática con el proceso de toma de decisiones y los
principios de integridad, confidencialidad y disponibilidad de la
información. Muestre una valoración
costo-beneficio, ante una falla de seguridad.
Justifique la importancia de la seguridad
informática en función de hechos y preguntas
concretas, que muestren el impacto, limitaciones y beneficios
sobre los activos claves de la organización.
2.6 – Las
políticas de seguridad informática como base de la
administración de la seguridad integral.
Las políticas de seguridad informática
conforman el conjunto de lineamientos que una organización
debe seguir para asegurar la confiabilidad de sus sistemas. En
razón de lo anterior, son parte del engranaje del sistema
de seguridad que la organización posee para salvaguardar
sus activos. Las PSI constituyen las alarmas y compromisos
compartidos en la organización, que le permiten actuar
proactivamente ante situaciones que comprometan su integridad.
Por tanto, deben constituir un proceso continuo y retroalimentado
que observe la concientización, los métodos de
acceso a la información, el monitoreo de cumplimiento y la
renovación, aceptación de las directrices y
estrategia de implantación, que lleven a una
formulación de directivas institucionales que logren
aceptación general.
Las políticas por sí mismas no
constituyen una garantía para la seguridad de la
organización. Ellas deben responder a intereses y
necesidades organizacionales basados en la visión de
negocio, que lleven a un esfuerzo conjunto de sus actores por
administrar sus recursos y a reconocer en los mecanismos de
seguridad informática factores que facilitan la
normalización y materialización de los compromisos
adquiridos con la organización.
La seguridad tiene varios estratos: El
marco jurídico adecuado.
Medidas técnico-administrativas, como la
existencia de políticas y procedimientos o la
creación de funciones, como administración de la
seguridad o auditoría de sistemas de información
interna.
Ambas funciones han de ser independientes y nunca una
misma persona podrá realizar las dos ni existir
dependencia jerárquica de una función respecto de
otra.
En cuanto a la administración de seguridad
pueden existir, además, coordinadores en las diferentes
áreas funcionales y geográficas de cada entidad,
especialmente si la dispersión, la complejidad
organizativa o el volumen de la entidad así lo
demandan.
En todo caso, debe existir una definición de
funciones y una separación suficiente de tareas. No tiene
sentido que una misma persona autorice una transacción, la
introduzca, y revise después los resultados (un diario de
operaciones, por ejemplo), porque podría planificar un
fraude o encubrir cualquier anomalía; por ello deben
intervenir funciones / personas diferentes y existir controles
suficientes. La seguridad física, como la ubicación
de los centros de procesos, las protecciones físicas, el
control físico de accesos, los vigilantes, las medidas
contra el fuego y el agua, y otras similares.
La llamada seguridad lógica, como el control de
accesos a la información exige la identificación y
autenticación del usuario, o el cifrado de soportes
magnéticos intercambiados entre entidades o de respaldo
interno, o de información transmitida por línea.
Puede haber cifrado de la información por dispositivos
físicos o a través de programas, y en casos
más críticos existen los dos niveles.
2.7 –
Riesgos
La autenticación suele realizarse mediante una
contraseña, aún cuando sería más
lógico – si bien los costes resultan todavía altos
para la mayoría de sistemas – que se pudiera combinar con
características biométricas del usuario para
impedir la suplantación. Entre éstas pueden estar:
la realización de la firma con reconocimiento
automático por ordenador, el análisis del fondo de
ojo, la huella digital u otras.
Al margen de la seguridad, nos parece que el mayor
riesgo, aún teniendo un entorno muy seguro, es que la
Informática y la Tecnología de la
Información en general no cubran las necesidades de la
entidad; o que no estén alineadas con las finalidades de
la organización.
Limitándonos a la seguridad propiamente dicha,
los riesgos pueden ser múltiples. El primer paso es
conocerlos y el segundo es tomar decisiones al respecto;
conocerlos y no tomar decisiones no tiene sentido y debiera
crearnos una situación de desasosiego.
Dado que las medidas tienen un costo, a veces, los
funcionarios se preguntan cuál es el riesgo máximo
que podría soportar su organización. La respuesta
no es fácil porque depende de la criticidad del sector y
de la entidad misma, de su dependencia respecto de la
información, y del impacto que su no disponibilidad
pudiera tener en la entidad. Si nos basamos en el impacto nunca
debería aceptarse un riesgo que pudiera
llegar a poner en peligro la propia
continuidad de la entidad, pero este listón es demasiado
alto.
Por debajo de ello hay daños de menores
consecuencias, siendo los errores y omisiones la causa más
frecuente – normalmente de poco impacto pero frecuencia muy alta
– y otros, como por ejemplo: el acceso indebido a
los datos (a veces a través de redes), la
cesión no autorizada de soportes magnéticos con
información crítica (algunos dicen
"sensible"), los daños por fuego, por agua
(del exterior como puede ser una inundación, o por una
tubería interior), la variación no
autorizada de programas, su copia indebida, y tantos otros,
persiguiendo el propio beneficio o causar un daño, a veces
por venganza.
Otra figura es la del "hacker", que intenta acceder a
los sistemas sobre todo para demostrar (a veces, para demostrarse
a sí mismo/a) qué es capaz de hacer, al superar las
barreras de protección que se hayan
establecido.
Alguien podría preguntarse por qué no se
citan los virus, cuando han tenido tanta incidencia.
Afortunadamente, este riesgo es menor en la actualidad comparando
con años atrás. Existe, de todas maneras, un riesgo
constante porque de forma continua aparecen nuevas modalidades,
que no son detectadas por los programas antivirus hasta que las
nuevas versiones los contemplan. Un riesgo adicional es que los
virus pueden llegar a afectar a los grandes sistemas, sobre todo
a través de las redes, pero esto es realmente
difícil – no nos atrevemos a decir que imposible- por las
características y la complejidad de los grandes equipos y
debido a las características de diseño de sus
sistemas operativos.
En definitiva, las amenazas hechas realidad pueden
llegar a afectar los datos, en las personas, en los programas, en
los equipos, en la red y algunas veces, simultáneamente en
varios de ellos, como puede ser un incendio.
Podríamos hacernos una pregunta realmente
difícil: ¿qué es lo más
crítico que debería protegerse? La respuesta de la
mayoría, probablemente, sería que las personas
resultan el punto más crítico y el valor de una
vida humana no se puede comparar con las computadoras, las
aplicaciones o los datos de cualquier entidad. Ahora bien, por
otra parte, podemos determinar que los datos son aún
más críticos si nos centramos en la continuidad de
la entidad.
Como consecuencia de cualquier incidencia, se pueden
producir unas pérdidas que pueden ser no sólo
directas (comumente que son cubiertas por los seguros)más
facilmente, sino también indirectas, como la no
recuperación de deudas al perder los datos, o no poder
tomar las decisiones adecuadas en el momento oportuno por carecer
de información.
Sabemos que se producen casos similares en gran parte
de entidades, pero en general no conocemos a cuáles han
afectado (o lo sabemos pero no podemos
difundirlo), porque por imagen estos no se hacen
públicos y el hecho de que se conozcan muchos más
referidos a Estados Unidos y a otros puntos lejanos que respecto
de nuestros países no significa que estemos a salvo, sino
que nuestro pudor es mayor y los ocultamos siempre que
podemos.
2.8 – Niveles de
trabajo
Confidencialidad Integridad
Autenticidad
No Repudio
Página siguiente  |