Diofanor Rodríguez CPP
La definición de objetivos globales de seguridad nos lleva comúnmente a una encrucijada entre la seguridad física, cuyas funciones conocemos, y la seguridad de la información, que en muchos casos no es visible en las empresas.
Esta dicotomía me ha llevado a buscar puntos de coincidencia, con la concepción de que la seguridad es un eje transversal de todas las actividades organizacionales y personales, que se afecta y se modifica de manera constante gracias a eso que en el mundo se conoce como tecnología.
Con el paso del tiempo los cambios tecnológicos han ayudado a muchas profesiones y ello incluye por supuesto a la seguridad. Los medios tecnológicos, como apoyo a las labores del factor humano, han ido creciendo y mejorando el rendimiento de los sistemas de seguridad. Por esta razón el nuevo capitulo para la seguridad es la informática, tema que para muchos de nosotros es complejo y además desconocido, pero no podríamos decir que apartado del diario transcurrir de nuestra actividad, pues por el contrario todos los días nos vemos enfrentados a temas que afectan la información sensible de nuestras organizaciones.
Antes, el concepto información hacia referencia a lo que los expertos conocen como copias duras (documentos). Hoy, con el vertiginoso avance del chip, los textos son digitales y los documentos físicos son cosa del pasado. Por esta razón, la protección de la información, que viaja en disquetes, CD y en esa gran autopista de información conocida como Internet, por mencionar algunas de las múltiples formas que existen para almacenar y llevar información, se convierte en el reto de todos los profesionales de la seguridad.
Una pregunta que puede resultar lógica es ¿Por qué el reto es para los profesionales de seguridad y no exclusivamente para el profesional de seguridad IT?. Pues bien, la repuesta la dan las situaciones donde además de garantizar la seguridad física de las instalaciones, debemos garantizar la continuidad de un negocio, pues nada es más cierto una empresa que tiene mucha información sensible sin una debida custodia, y sin ni siquiera conocer quien es el usuario final de la misma, tiene unos riesgos enormes para su supervivencia.
Con este preámbulo, quiero recoger algunos temas a los cuales muchos de nosotros preferimos no enfrentar, más por desconocimiento que por capacidad, y es el tema de la seguridad informática y su terminología.
Cuando hablamos del tema, debemos conocer dos aspectos importantes: La seguridad lógica y la seguridad física. Así entonces, empezamos nuestro largo recorrido por muchos de los términos que utilizamos diariamente y de los cuales no se conocen su real significado y riesgo.
Para avanzar, déjenme decir que para mi la seguridad informática es sinónimo de fiabilidad, pues que no es otra cosa que la suma de confidencialidad, integridad, disponibilidad y no repudio. Considero desde mi óptica que muchas de las cosas que ocurren en el ciberespacio tienen su origen en la seguridad tradicional, por llamarla de alguna manera, y es por eso que se hace necesario plantearse estos tres interrogantes para formular el sistema de seguridad y son: ¿Que queremos proteger?, ¿De que lo queremos proteger? y ¿Como lo podemos proteger?.
Tratare de dar respuesta a cada uno de estos interrogantes para poder buscar claridad en un tema que por su complejidad e importancia lo han hecho exclusivo de los responsables de la seguridad IT.
El primer interrogante ¿Qué queremos proteger? hace referencia a todos los recursos que hacen parte del sistema y ellos son: Los fungibles, hardware, software, datos, factor humano y otros.
Nuestro segundo interrogante ¿De qué lo queremos proteger? lleva a la consideración de que todo activo está siempre expuesto a vulnerabilidades que comprometen la seguridad y a amenazas, entendidas como aquellos escenarios donde una acción voluntaria o involuntaria compromete la seguridad; si existe la vulnerabilidad y la amenaza, lo que aparece es el riesgo asociado, y cuando este riesgo se materializa lo que se tiene es el impacto. Todas las medidas tendientes eliminar las vulnerabilidades, amenazas y a minimizar el riesgo, se les conocen como defensas, salvaguardas o controles.
Pero hasta este momento hemos dicho generalidades y no hemos definido amenazas reales para los sistemas informáticos. Pues bien, los datos son el recurso más valioso a proteger y entre las amenazas latentes contra los mismos se encuentran la interceptación, la modificación, la interrupción y la modificación. Quienes materializan este tipo de amenazas y los motivitos que tienen para sus ataques están referidos a tres grandes grupos que son: personas (ex empleados, usuarios, piratas), fauna (gusanos, caballos de Troya y virus) y el medio (catástrofes naturales y los fallos de el fluido eléctrico). Las motivaciones de algunos de los mencionados lo hacen por demostrar poder, otros por inconformidad y algunos por pura diversión y aceptación de un grupo.
Por último el interrogante ¿Cómo lo podemos proteger? no es una respuesta sencilla, pero podemos decir que el primer circulo de protección está dado por las políticas de seguridad informática; el segundo circulo son las normativas para áreas específicas, entre las cuales es importante la implantación o socialización de las mismas para fortalecer la cadena de información; y el ultimo circulo es el de los mecanismos de seguridad (prevención, detección y la recuperación).
Con este recorrido por algunas partes de la seguridad informática, podemos realizar nuestra primera impresión sobre si este capitulo de seguridad es para los expertos de seguridad IT o por el contrario es un tema de todos.
Cuando iniciamos seguridad y el desarrollo de la actividad nos mostraba como un esquema de seguridad solo funciona con la alineación y sincronización entre los procesos y la estrategia de la organización, hicimos celebre la frase “la seguridad es tarea de todos”. No obstante, eso es solo cuando nosotros estamos trabajando por desarrollar un sistema clásico de seguridad, pues puede apreciarse que cuando tenemos que hacer parte de la cadena, preferimos utilizar expresiones como “eso no me corresponde a mi”, sin ni siquiera tomarnos el tiempo para pensar como afecta a la organización el no tener sentido de pertenencia por la información y la informática.
Solo con el simple hecho de estar dentro de entorno, los activos se ven amenazados por terremotos, errores de operación que borran archivos con información sensible, secuestro u extorsión de los administradores y el descuido del usuario que deja derramar su bebida sobre el equipo, solo por mencionar algunas de las múltiples amenazas existentes.
La seguridad del entorno posee dos grandes divisiones, la seguridad física y la seguridad operacional. La primera hace referencia a todas las aplicaciones de barreras físicas y procedimientos de control, como medidas preventivas y contramedidas contra las amenazas de la información sensible. La segunda no es otra cosa que la aplicación de los procedimientos para que se garantice la operación de los sistemas informáticos.
La lista de las amenazas físicas es bastante larga y por esa razón solo mencionare algunas como ilustración al tema. Entre ellas tenemos acceso físico, radiaciones electromagnéticas, desastres naturales y desastres del entorno. En cambio las amenazas operacionales poseen un interés particular en algunas que son de conocimiento público y que se encuentran embebidas en la seguridad clásica, como he llamado hoy en este texto a la seguridad física. Las amenazas operacionales están compuestas por la ingeniería social, la basurologia y los actos delictivos como las más significativas. Me detendré un momento en estas tres con el ánimo de buscar una definición con puntos de coincidencia en la seguridad clásica.
Ingeniería Social: Es la manipulación de las personas para que de forma voluntaria realicen actividades que de forma normal no harían. Lo que hace el atacante es aprovechar la buena fe o el desconocimiento de los implicados. Generalmente estos ataques son de un impacto alto, de un riesgo moderado y sobre todo seguro y fácil para la persona que realiza el ataque. Lo complicado de este ataque es que nunca es fruto de la casualidad.
Basurologia: Es la obtención de información en o alrededor de un sitio donde se efectuó un trabajo con información sensible, muchas veces incluye la búsqueda física en la basura, y el riesgo es bajo pero el impacto es grande.
Actos Delictivos: En este se encuentran las extorsiones y los secuestros a las redes para luego buscar un pago de rescate, que en muchas ocasiones puede ser del tipo pecuniario o búsqueda de información sensible; aquí lo realmente importante es efectuar las denuncias respectivas, pues el riesgo es bajo pero su impacto es alto.
Las contramedidas están referidas a los controles de acceso y presencia entre los que cuentan la biometría, CCTV, sensores activos y pasivos, llaves y cerraduras por hacer mención a las más populares.
Como nos hemos dado cuenta en el desarrollo del tema, todo apunta a que la seguridad es una sola y a que la piedra angular de cualquier seguridad por compleja que ella parezca, posee eslabones débiles que por lo general son en el factor humano.
Ahora, miremos un poco de seguridad en el sistema. En la actualidad, casi cualquier sistema posee la capacidad y las herramientas de prevención, detección y recuperación necesarias para garantizar los niveles básicos de seguridad, pero somos nosotros los que no sabemos, queremos o podemos utilizar estas medidas.
Aquí existen dos divisiones de amenazas de bastante importancia, una referida al usuario, que trata de violar la seguridad a través de escalada de privilegios, accesos no autorizados y usurpación de identidad, entre otras, y las referidas al programa con el mismo objetivo, entre las que se cuentan los virus, gusanos, software espía, caballos de Troya y demás.
Visto este panorama, las preguntas que muchos nos hacemos sobre que tan de la mano esta la seguridad clásica de la informática, queda resuelta en el sentido de que están integradas y en la práctica deben ser una sola. Es cierto que el desarrollo vertiginoso de la tecnología constantemente nos lleva a pensar la seguridad de forma global, pues cada vez más la información es y seguirá siendo uno de los activos más importantes de las organizaciones. Igualmente, está demostrado que toda la información que viaja a través de las computadoras es vulnerable y que además la gran autopista de la información llamada Internet, si bien es una ventaja, también incluye grandes riesgos de seguridad, en una sociedad donde los correos electrónicos abundan y el 60% de lo que recibimos en ellos es basura, Hoax, gusanos y troyanos. Podemos decir entonces que la modernidad esta sujeta al enfrentamiento de la inteligencia vs la inteligencia, pues cada vez que se genera un antivirus existe alguien que encuentra su vulnerabilidad.
Por otro lado, el aumento de los ataques a la banca y entidades financieras hace que el desarrollo de contramedidas este ligado al conocimiento de los sistemas, pero también al conocimiento de modus operandi y los gustos del ciberdelicuente.
La ventaja del ciberdelincuente radica en su capacidad para lograr mejoramientos en sus formas de ataque y la utilización del secuestro de máquinas conocidas como “zombies”, que integran un ejercito para sus fines maquiavélicos. La habilidad de los ciberdelincuentes ha llegado a tal extremo que logran evadir los rastreos a través de enmascarar sus direcciones IP ubicándolas en sitios donde ni siquiera conocen el tema.
La impunidad reinante y la falta de legislación que castigue de forma severa este tipo de delitos incrementan de forma espectacular la utilización de los medios informáticos para fines delictivos y lucrativos.
Como piedra angular de todos los procesos, el factor humano debe estar mas allá de la tecnología, la inversión y el desarrollo de nuevos productos, pues de nada sirve poseer el sistema más robusto en seguridad si los que lo manejan no están capacitados para hacerlo y además no se les educa para protegerlo.
Quiero decir que todo esta relacionado y en seguridad lo más importante es trabajar en equipo con todos los entes de la organización, pues la tarea es dura de cumplir pero si no realizamos un buen trabajo en equipo, con todos los comprometidos e involucrados, terminaremos diciendo siempre que “eso no me toca a mi”.
Finalizo con una frase de Covey: “Mejore sus destrezas, aumente sus capacidades y preserve el mayor bien que usted posee: Usted mismo”
La definición de objetivos globales de seguridad nos lleva comúnmente a una encrucijada entre la seguridad física, cuyas funciones conocemos, y la seguridad de la información, que en muchos casos no es visible en las empresas.
Esta dicotomía me ha llevado a buscar puntos de coincidencia, con la concepción de que la seguridad es un eje transversal de todas las actividades organizacionales y personales, que se afecta y se modifica de manera constante gracias a eso que en el mundo se conoce como tecnología.
Con el paso del tiempo los cambios tecnológicos han ayudado a muchas profesiones y ello incluye por supuesto a la seguridad. Los medios tecnológicos, como apoyo a las labores del factor humano, han ido creciendo y mejorando el rendimiento de los sistemas de seguridad. Por esta razón el nuevo capitulo para la seguridad es la informática, tema que para muchos de nosotros es complejo y además desconocido, pero no podríamos decir que apartado del diario transcurrir de nuestra actividad, pues por el contrario todos los días nos vemos enfrentados a temas que afectan la información sensible de nuestras organizaciones.
Antes, el concepto información hacia referencia a lo que los expertos conocen como copias duras (documentos). Hoy, con el vertiginoso avance del chip, los textos son digitales y los documentos físicos son cosa del pasado. Por esta razón, la protección de la información, que viaja en disquetes, CD y en esa gran autopista de información conocida como Internet, por mencionar algunas de las múltiples formas que existen para almacenar y llevar información, se convierte en el reto de todos los profesionales de la seguridad.
Una pregunta que puede resultar lógica es ¿Por qué el reto es para los profesionales de seguridad y no exclusivamente para el profesional de seguridad IT?. Pues bien, la repuesta la dan las situaciones donde además de garantizar la seguridad física de las instalaciones, debemos garantizar la continuidad de un negocio, pues nada es más cierto una empresa que tiene mucha información sensible sin una debida custodia, y sin ni siquiera conocer quien es el usuario final de la misma, tiene unos riesgos enormes para su supervivencia.
Con este preámbulo, quiero recoger algunos temas a los cuales muchos de nosotros preferimos no enfrentar, más por desconocimiento que por capacidad, y es el tema de la seguridad informática y su terminología.
Cuando hablamos del tema, debemos conocer dos aspectos importantes: La seguridad lógica y la seguridad física. Así entonces, empezamos nuestro largo recorrido por muchos de los términos que utilizamos diariamente y de los cuales no se conocen su real significado y riesgo.
Para avanzar, déjenme decir que para mi la seguridad informática es sinónimo de fiabilidad, pues que no es otra cosa que la suma de confidencialidad, integridad, disponibilidad y no repudio. Considero desde mi óptica que muchas de las cosas que ocurren en el ciberespacio tienen su origen en la seguridad tradicional, por llamarla de alguna manera, y es por eso que se hace necesario plantearse estos tres interrogantes para formular el sistema de seguridad y son: ¿Que queremos proteger?, ¿De que lo queremos proteger? y ¿Como lo podemos proteger?.
Tratare de dar respuesta a cada uno de estos interrogantes para poder buscar claridad en un tema que por su complejidad e importancia lo han hecho exclusivo de los responsables de la seguridad IT.
El primer interrogante ¿Qué queremos proteger? hace referencia a todos los recursos que hacen parte del sistema y ellos son: Los fungibles, hardware, software, datos, factor humano y otros.
Nuestro segundo interrogante ¿De qué lo queremos proteger? lleva a la consideración de que todo activo está siempre expuesto a vulnerabilidades que comprometen la seguridad y a amenazas, entendidas como aquellos escenarios donde una acción voluntaria o involuntaria compromete la seguridad; si existe la vulnerabilidad y la amenaza, lo que aparece es el riesgo asociado, y cuando este riesgo se materializa lo que se tiene es el impacto. Todas las medidas tendientes eliminar las vulnerabilidades, amenazas y a minimizar el riesgo, se les conocen como defensas, salvaguardas o controles.
Pero hasta este momento hemos dicho generalidades y no hemos definido amenazas reales para los sistemas informáticos. Pues bien, los datos son el recurso más valioso a proteger y entre las amenazas latentes contra los mismos se encuentran la interceptación, la modificación, la interrupción y la modificación. Quienes materializan este tipo de amenazas y los motivitos que tienen para sus ataques están referidos a tres grandes grupos que son: personas (ex empleados, usuarios, piratas), fauna (gusanos, caballos de Troya y virus) y el medio (catástrofes naturales y los fallos de el fluido eléctrico). Las motivaciones de algunos de los mencionados lo hacen por demostrar poder, otros por inconformidad y algunos por pura diversión y aceptación de un grupo.
Por último el interrogante ¿Cómo lo podemos proteger? no es una respuesta sencilla, pero podemos decir que el primer circulo de protección está dado por las políticas de seguridad informática; el segundo circulo son las normativas para áreas específicas, entre las cuales es importante la implantación o socialización de las mismas para fortalecer la cadena de información; y el ultimo circulo es el de los mecanismos de seguridad (prevención, detección y la recuperación).
Con este recorrido por algunas partes de la seguridad informática, podemos realizar nuestra primera impresión sobre si este capitulo de seguridad es para los expertos de seguridad IT o por el contrario es un tema de todos.
Cuando iniciamos seguridad y el desarrollo de la actividad nos mostraba como un esquema de seguridad solo funciona con la alineación y sincronización entre los procesos y la estrategia de la organización, hicimos celebre la frase “la seguridad es tarea de todos”. No obstante, eso es solo cuando nosotros estamos trabajando por desarrollar un sistema clásico de seguridad, pues puede apreciarse que cuando tenemos que hacer parte de la cadena, preferimos utilizar expresiones como “eso no me corresponde a mi”, sin ni siquiera tomarnos el tiempo para pensar como afecta a la organización el no tener sentido de pertenencia por la información y la informática.
Solo con el simple hecho de estar dentro de entorno, los activos se ven amenazados por terremotos, errores de operación que borran archivos con información sensible, secuestro u extorsión de los administradores y el descuido del usuario que deja derramar su bebida sobre el equipo, solo por mencionar algunas de las múltiples amenazas existentes.
La seguridad del entorno posee dos grandes divisiones, la seguridad física y la seguridad operacional. La primera hace referencia a todas las aplicaciones de barreras físicas y procedimientos de control, como medidas preventivas y contramedidas contra las amenazas de la información sensible. La segunda no es otra cosa que la aplicación de los procedimientos para que se garantice la operación de los sistemas informáticos.
La lista de las amenazas físicas es bastante larga y por esa razón solo mencionare algunas como ilustración al tema. Entre ellas tenemos acceso físico, radiaciones electromagnéticas, desastres naturales y desastres del entorno. En cambio las amenazas operacionales poseen un interés particular en algunas que son de conocimiento público y que se encuentran embebidas en la seguridad clásica, como he llamado hoy en este texto a la seguridad física. Las amenazas operacionales están compuestas por la ingeniería social, la basurologia y los actos delictivos como las más significativas. Me detendré un momento en estas tres con el ánimo de buscar una definición con puntos de coincidencia en la seguridad clásica.
Ingeniería Social: Es la manipulación de las personas para que de forma voluntaria realicen actividades que de forma normal no harían. Lo que hace el atacante es aprovechar la buena fe o el desconocimiento de los implicados. Generalmente estos ataques son de un impacto alto, de un riesgo moderado y sobre todo seguro y fácil para la persona que realiza el ataque. Lo complicado de este ataque es que nunca es fruto de la casualidad.
Basurologia: Es la obtención de información en o alrededor de un sitio donde se efectuó un trabajo con información sensible, muchas veces incluye la búsqueda física en la basura, y el riesgo es bajo pero el impacto es grande.
Actos Delictivos: En este se encuentran las extorsiones y los secuestros a las redes para luego buscar un pago de rescate, que en muchas ocasiones puede ser del tipo pecuniario o búsqueda de información sensible; aquí lo realmente importante es efectuar las denuncias respectivas, pues el riesgo es bajo pero su impacto es alto.
Las contramedidas están referidas a los controles de acceso y presencia entre los que cuentan la biometría, CCTV, sensores activos y pasivos, llaves y cerraduras por hacer mención a las más populares.
Como nos hemos dado cuenta en el desarrollo del tema, todo apunta a que la seguridad es una sola y a que la piedra angular de cualquier seguridad por compleja que ella parezca, posee eslabones débiles que por lo general son en el factor humano.
Ahora, miremos un poco de seguridad en el sistema. En la actualidad, casi cualquier sistema posee la capacidad y las herramientas de prevención, detección y recuperación necesarias para garantizar los niveles básicos de seguridad, pero somos nosotros los que no sabemos, queremos o podemos utilizar estas medidas.
Aquí existen dos divisiones de amenazas de bastante importancia, una referida al usuario, que trata de violar la seguridad a través de escalada de privilegios, accesos no autorizados y usurpación de identidad, entre otras, y las referidas al programa con el mismo objetivo, entre las que se cuentan los virus, gusanos, software espía, caballos de Troya y demás.
Visto este panorama, las preguntas que muchos nos hacemos sobre que tan de la mano esta la seguridad clásica de la informática, queda resuelta en el sentido de que están integradas y en la práctica deben ser una sola. Es cierto que el desarrollo vertiginoso de la tecnología constantemente nos lleva a pensar la seguridad de forma global, pues cada vez más la información es y seguirá siendo uno de los activos más importantes de las organizaciones. Igualmente, está demostrado que toda la información que viaja a través de las computadoras es vulnerable y que además la gran autopista de la información llamada Internet, si bien es una ventaja, también incluye grandes riesgos de seguridad, en una sociedad donde los correos electrónicos abundan y el 60% de lo que recibimos en ellos es basura, Hoax, gusanos y troyanos. Podemos decir entonces que la modernidad esta sujeta al enfrentamiento de la inteligencia vs la inteligencia, pues cada vez que se genera un antivirus existe alguien que encuentra su vulnerabilidad.
Por otro lado, el aumento de los ataques a la banca y entidades financieras hace que el desarrollo de contramedidas este ligado al conocimiento de los sistemas, pero también al conocimiento de modus operandi y los gustos del ciberdelicuente.
La ventaja del ciberdelincuente radica en su capacidad para lograr mejoramientos en sus formas de ataque y la utilización del secuestro de máquinas conocidas como “zombies”, que integran un ejercito para sus fines maquiavélicos. La habilidad de los ciberdelincuentes ha llegado a tal extremo que logran evadir los rastreos a través de enmascarar sus direcciones IP ubicándolas en sitios donde ni siquiera conocen el tema.
La impunidad reinante y la falta de legislación que castigue de forma severa este tipo de delitos incrementan de forma espectacular la utilización de los medios informáticos para fines delictivos y lucrativos.
Como piedra angular de todos los procesos, el factor humano debe estar mas allá de la tecnología, la inversión y el desarrollo de nuevos productos, pues de nada sirve poseer el sistema más robusto en seguridad si los que lo manejan no están capacitados para hacerlo y además no se les educa para protegerlo.
Quiero decir que todo esta relacionado y en seguridad lo más importante es trabajar en equipo con todos los entes de la organización, pues la tarea es dura de cumplir pero si no realizamos un buen trabajo en equipo, con todos los comprometidos e involucrados, terminaremos diciendo siempre que “eso no me toca a mi”.
Finalizo con una frase de Covey: “Mejore sus destrezas, aumente sus capacidades y preserve el mayor bien que usted posee: Usted mismo”
