6: Seguridad de los Sistemas de Información
- Page ID
- 153186
\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)
\( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)
\( \newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\)
( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\)
\( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\)
\( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\)
\( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\)
\( \newcommand{\Span}{\mathrm{span}}\)
\( \newcommand{\id}{\mathrm{id}}\)
\( \newcommand{\Span}{\mathrm{span}}\)
\( \newcommand{\kernel}{\mathrm{null}\,}\)
\( \newcommand{\range}{\mathrm{range}\,}\)
\( \newcommand{\RealPart}{\mathrm{Re}}\)
\( \newcommand{\ImaginaryPart}{\mathrm{Im}}\)
\( \newcommand{\Argument}{\mathrm{Arg}}\)
\( \newcommand{\norm}[1]{\| #1 \|}\)
\( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\)
\( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\AA}{\unicode[.8,0]{x212B}}\)
\( \newcommand{\vectorA}[1]{\vec{#1}} % arrow\)
\( \newcommand{\vectorAt}[1]{\vec{\text{#1}}} % arrow\)
\( \newcommand{\vectorB}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)
\( \newcommand{\vectorC}[1]{\textbf{#1}} \)
\( \newcommand{\vectorD}[1]{\overrightarrow{#1}} \)
\( \newcommand{\vectorDt}[1]{\overrightarrow{\text{#1}}} \)
\( \newcommand{\vectE}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash{\mathbf {#1}}}} \)
\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)
\( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)
\(\newcommand{\avec}{\mathbf a}\) \(\newcommand{\bvec}{\mathbf b}\) \(\newcommand{\cvec}{\mathbf c}\) \(\newcommand{\dvec}{\mathbf d}\) \(\newcommand{\dtil}{\widetilde{\mathbf d}}\) \(\newcommand{\evec}{\mathbf e}\) \(\newcommand{\fvec}{\mathbf f}\) \(\newcommand{\nvec}{\mathbf n}\) \(\newcommand{\pvec}{\mathbf p}\) \(\newcommand{\qvec}{\mathbf q}\) \(\newcommand{\svec}{\mathbf s}\) \(\newcommand{\tvec}{\mathbf t}\) \(\newcommand{\uvec}{\mathbf u}\) \(\newcommand{\vvec}{\mathbf v}\) \(\newcommand{\wvec}{\mathbf w}\) \(\newcommand{\xvec}{\mathbf x}\) \(\newcommand{\yvec}{\mathbf y}\) \(\newcommand{\zvec}{\mathbf z}\) \(\newcommand{\rvec}{\mathbf r}\) \(\newcommand{\mvec}{\mathbf m}\) \(\newcommand{\zerovec}{\mathbf 0}\) \(\newcommand{\onevec}{\mathbf 1}\) \(\newcommand{\real}{\mathbb R}\) \(\newcommand{\twovec}[2]{\left[\begin{array}{r}#1 \\ #2 \end{array}\right]}\) \(\newcommand{\ctwovec}[2]{\left[\begin{array}{c}#1 \\ #2 \end{array}\right]}\) \(\newcommand{\threevec}[3]{\left[\begin{array}{r}#1 \\ #2 \\ #3 \end{array}\right]}\) \(\newcommand{\cthreevec}[3]{\left[\begin{array}{c}#1 \\ #2 \\ #3 \end{array}\right]}\) \(\newcommand{\fourvec}[4]{\left[\begin{array}{r}#1 \\ #2 \\ #3 \\ #4 \end{array}\right]}\) \(\newcommand{\cfourvec}[4]{\left[\begin{array}{c}#1 \\ #2 \\ #3 \\ #4 \end{array}\right]}\) \(\newcommand{\fivevec}[5]{\left[\begin{array}{r}#1 \\ #2 \\ #3 \\ #4 \\ #5 \\ \end{array}\right]}\) \(\newcommand{\cfivevec}[5]{\left[\begin{array}{c}#1 \\ #2 \\ #3 \\ #4 \\ #5 \\ \end{array}\right]}\) \(\newcommand{\mattwo}[4]{\left[\begin{array}{rr}#1 \amp #2 \\ #3 \amp #4 \\ \end{array}\right]}\) \(\newcommand{\laspan}[1]{\text{Span}\{#1\}}\) \(\newcommand{\bcal}{\cal B}\) \(\newcommand{\ccal}{\cal C}\) \(\newcommand{\scal}{\cal S}\) \(\newcommand{\wcal}{\cal W}\) \(\newcommand{\ecal}{\cal E}\) \(\newcommand{\coords}[2]{\left\{#1\right\}_{#2}}\) \(\newcommand{\gray}[1]{\color{gray}{#1}}\) \(\newcommand{\lgray}[1]{\color{lightgray}{#1}}\) \(\newcommand{\rank}{\operatorname{rank}}\) \(\newcommand{\row}{\text{Row}}\) \(\newcommand{\col}{\text{Col}}\) \(\renewcommand{\row}{\text{Row}}\) \(\newcommand{\nul}{\text{Nul}}\) \(\newcommand{\var}{\text{Var}}\) \(\newcommand{\corr}{\text{corr}}\) \(\newcommand{\len}[1]{\left|#1\right|}\) \(\newcommand{\bbar}{\overline{\bvec}}\) \(\newcommand{\bhat}{\widehat{\bvec}}\) \(\newcommand{\bperp}{\bvec^\perp}\) \(\newcommand{\xhat}{\widehat{\xvec}}\) \(\newcommand{\vhat}{\widehat{\vvec}}\) \(\newcommand{\uhat}{\widehat{\uvec}}\) \(\newcommand{\what}{\widehat{\wvec}}\) \(\newcommand{\Sighat}{\widehat{\Sigma}}\) \(\newcommand{\lt}{<}\) \(\newcommand{\gt}{>}\) \(\newcommand{\amp}{&}\) \(\definecolor{fillinmathshade}{gray}{0.9}\)Objetivos de aprendizaje
Una vez completado con éxito este capítulo, usted será capaz de:
- identificar la tríada de seguridad de la información;
- identificar y comprender los conceptos de alto nivel que rodean las herramientas de seguridad de la información;
- asegúrense digitalmente.
Introducción
A medida que las computadoras y otros dispositivos digitales se han vuelto esenciales para los negocios y el comercio, también se han convertido cada vez más en blanco de ataques. Para que una empresa o un individuo utilice un dispositivo informático con confianza, primero deben estar seguros de que el dispositivo no está comprometido de ninguna manera y que todas las comunicaciones serán seguras. En este capítulo, revisaremos los conceptos fundamentales de la seguridad de los sistemas de información y discutiremos algunas de las medidas que se pueden tomar para mitigar las amenazas a la seguridad. Comenzaremos con una visión general centrada en cómo las organizaciones pueden mantenerse seguras. Se discutirán varias medidas diferentes que una empresa puede tomar para mejorar la seguridad. Luego haremos un seguimiento revisando las precauciones de seguridad que las personas pueden tomar para asegurar su entorno informático personal.
La tríada de seguridad de la información: confidencialidad, integridad, disponibilidad (CIA)
Confidencialidad
Al proteger la información, queremos poder restringir el acceso a quienes se les permite verla; a todos los demás se les debe impedir que aprendan nada sobre su contenido. Esta es la esencia de la confidencialidad. Por ejemplo, la ley federal exige que las universidades restrinjan el acceso a información privada de los estudiantes. La universidad debe estar segura de que sólo aquellos que están autorizados tienen acceso para ver los registros de calificaciones.
Integridad
La integridad es la garantía de que la información a la que se accede no ha sido alterada y realmente representa lo que se pretende. Así como una persona con integridad significa lo que dice y se puede confiar en que represente consistentemente la verdad, la integridad de la información significa que la información realmente representa su significado pretendido. La información puede perder su integridad a través de intenciones maliciosas, como cuando alguien que no está autorizado hace un cambio para tergiversar intencionalmente algo. Un ejemplo de esto sería cuando se contrata a un hacker para entrar en el sistema de la universidad y cambiar una calificación.
La integridad también se puede perder involuntariamente, como cuando una sobrecarga de energía de la computadora corrompe un archivo o alguien autorizado para realizar un cambio borra accidentalmente un archivo o ingresa información incorrecta.
Disponibilidad
La disponibilidad de información es la tercera parte de la tríada de la CIA. Disponibilidad significa que la información puede ser accedida y modificada por cualquier persona autorizada para hacerlo en un plazo apropiado. Dependiendo del tipo de información, el marco de tiempo apropiado puede significar cosas diferentes. Por ejemplo, un comerciante de acciones necesita que la información esté disponible de inmediato, mientras que un vendedor puede estar feliz de obtener los números de ventas del día en un informe a la mañana siguiente. Empresas como Amazon.com requerirán que sus servidores estén disponibles las veinticuatro horas del día, los siete días de la semana. Es posible que otras empresas no sufran si sus servidores web están inactivos por unos minutos de vez en cuando.
Herramientas para la Seguridad de la Información
Para garantizar la confidencialidad, integridad y disponibilidad de la información, las organizaciones pueden elegir entre una variedad de herramientas. Cada una de estas herramientas puede ser utilizada como parte de una política general de seguridad de la información, que se discutirá en la siguiente sección.
Autentificación
La forma más común de identificar a alguien es a través de su apariencia física, pero ¿cómo identificamos a alguien sentado detrás de la pantalla de una computadora o en el cajero automático? Se utilizan herramientas de autenticación para garantizar que la persona que accede a la información es, en efecto, quien se presenta para ser.
La autenticación se puede lograr identificando a alguien a través de uno o más de tres factores: algo que sabe, algo que tiene, o algo que es. Por ejemplo, la forma de autenticación más común hoy en día es el ID de usuario y la contraseña. En este caso, la autenticación se realiza confirmando algo que el usuario conoce (su ID y contraseña). Pero esta forma de autenticación es fácil de comprometer (ver barra lateral) y a veces se necesitan formas de autenticación más fuertes. Identificar a alguien solo por algo que tenga, como una llave o una tarjeta, también puede ser problemático. Cuando ese token de identificación se pierde o se roba, la identidad puede ser robada fácilmente. El factor final, algo que eres, es mucho más difícil de comprometer. Este factor identifica a un usuario mediante el uso de una característica física, como un ojo-scan o una huella dactilar. Identificar a alguien a través de sus características físicas se llama biometría.
Una forma más segura de autenticar a un usuario es hacer la autenticación multifactor. Al combinar dos o más de los factores enumerados anteriormente, se vuelve mucho más difícil para alguien tergiversarse a sí mismo. Un ejemplo de esto sería el uso de un token RSA SecuRID. El dispositivo RSA es algo que tienes, y generará un nuevo código de acceso cada sesenta segundos. Para iniciar sesión en un recurso de información usando el dispositivo RSA, combinas algo que conoces, un PIN de cuatro dígitos, con el código generado por el dispositivo. La única manera de autenticarse correctamente es conociendo el código y teniendo el dispositivo RSA.
Control de Acceso
Una vez que un usuario ha sido autenticado, el siguiente paso es asegurarse de que solo pueda acceder a los recursos de información que sean apropiados. Esto se hace mediante el uso del control de acceso. El control de acceso determina qué usuarios están autorizados para leer, modificar, agregar y/o eliminar información. Existen varios modelos diferentes de control de acceso. Aquí discutiremos dos: la lista de control de acceso (ACL) y el control de acceso basado en roles (RBAC).
Para cada recurso de información que una organización desee administrar, se puede crear una lista de usuarios que tienen la capacidad de realizar acciones específicas. Esta es una lista de control de acceso, o ACL. Para cada usuario, se asignan capacidades específicas, como leer, escribir, eliminar o agregar. Solo los usuarios con esas capacidades pueden realizar esas funciones. Si un usuario no está en la lista, no tiene capacidad de saber siquiera que existe el recurso de información.
Las ACL son fáciles de entender y mantener. Sin embargo, tienen varios inconvenientes. El principal inconveniente es que cada recurso de información se administra por separado, por lo que si un administrador de seguridad quisiera agregar o eliminar un usuario a un gran conjunto de recursos de información, sería bastante difícil. Y a medida que aumenta el número de usuarios y recursos, las ACL se vuelven más difíciles de mantener. Esto ha llevado a un método mejorado de control de acceso, llamado control de acceso basado en roles, o RBAC. Con RBAC, en lugar de otorgar a usuarios específicos derechos de acceso a un recurso de información, los usuarios son asignados a roles y luego a esos roles se les asigna el acceso. Esto permite a los administradores administrar usuarios y roles por separado, simplificando la administración y, por extensión, mejorando la seguridad.
Cifrado
Muchas veces, una organización necesita transmitir información a través de Internet o transferirla en medios externos como un CD o una unidad flash. En estos casos, incluso con una autenticación y control de acceso adecuados, es posible que una persona no autorizada obtenga acceso a los datos. El cifrado es un proceso de codificación de datos al momento de su transmisión o almacenamiento para que solo las personas autorizadas puedan leerlo. Esta codificación se logra mediante un programa de computadora, que codifica el texto plano que necesita ser transmitido; luego el destinatario recibe el texto cifrado y lo decodifica (descifrado). Para que esto funcione, el remitente y el receptor necesitan acordar el método de codificación para que ambas partes puedan comunicarse adecuadamente. Ambas partes comparten la clave de cifrado, lo que les permite codificar y decodificar los mensajes de cada uno. Esto se llama cifrado de clave simétrica. Este tipo de cifrado es problemático porque la clave está disponible en dos lugares diferentes.
Una alternativa al cifrado de clave simétrica es el cifrado de clave pública. En el cifrado de clave pública, se utilizan dos claves: una clave pública y una clave privada. Para enviar un mensaje cifrado, obtienes la clave pública, codificas el mensaje y lo envías. El destinatario utiliza entonces la clave privada para decodificarla. La clave pública se le puede dar a cualquier persona que desee enviar un mensaje al destinatario. Cada usuario simplemente necesita una clave privada y una clave pública para proteger los mensajes. La clave privada es necesaria para descifrar algo enviado con la clave pública.
Barra lateral: Seguridad de contraseña
Entonces, ¿por qué usar solo un simple ID de usuario/contraseña no se considera un método seguro de autenticación? Resulta que esta autenticación de un solo factor es extremadamente fácil de comprometer. Deben implementarse buenas políticas de contraseñas para garantizar que las contraseñas no puedan ser comprometidas. A continuación se presentan algunas de las políticas más comunes que las organizaciones deberían poner en marcha.
- Requieren contraseñas complejas. Una de las razones por las que las contraseñas se ven comprometidas es que se pueden adivinar fácilmente. Un estudio reciente encontró que las tres principales contraseñas que las personas usaron en 2012 fueron la contraseña, 123456 y 12345678. [1] Una contraseña no debe ser simple, o una palabra que se pueda encontrar en un diccionario. ¡Una de las primeras cosas que hará un hacker es intentar descifrar una contraseña probando cada término del diccionario! En cambio, una buena política de contraseñas es aquella que requiere el uso de un mínimo de ocho caracteres, y al menos una letra mayúscula, un carácter especial y un número.
- Cambiar las contraseñas con regularidad. Es fundamental que los usuarios cambien sus contraseñas de forma regular. Los usuarios deben cambiar sus contraseñas cada sesenta a noventa días, asegurando que cualquier contraseña que pudiera haber sido robada o adivinada no podrá ser utilizada contra la compañía.
- Capacitar a los empleados para que no entreguen contraseñas. Uno de los principales métodos que se utilizan para robar contraseñas es simplemente resolverlas preguntando a los usuarios o administradores. El pretexto ocurre cuando un atacante llama a un servicio de asistencia o administrador de seguridad y finge ser un usuario autorizado en particular que tiene problemas para iniciar sesión. Entonces, al proporcionar algunos datos personales sobre el usuario autorizado, el atacante convence a la persona de seguridad para que restablezca la contraseña y le diga qué es. Otra forma en que los empleados pueden ser engañados para que regalen contraseñas es a través del phishing por correo electrónico. El phishing ocurre cuando un usuario recibe un correo electrónico que parece ser de una fuente confiable, como su banco o su empleador. En el correo electrónico, se le pide al usuario que haga clic en un enlace e inicie sesión en un sitio web que imita el sitio web genuino e ingrese su ID y contraseña, que luego son capturados por el atacante.
Respaldos
Otra herramienta esencial para la seguridad de la información es un plan integral de respaldo para toda la organización. No solo se deben respaldar los datos de los servidores corporativos, sino que también se debe respaldar a las computadoras individuales utilizadas en toda la organización. Un buen plan de respaldo debe constar de varios componentes.
- Una comprensión completa de los recursos de información organizacional. ¿Qué información tiene realmente la organización? ¿Dónde se almacena? Algunos datos pueden almacenarse en los servidores de la organización, otros datos en los discos duros de los usuarios, algunos en la nube y algunos en sitios de terceros. Una organización debe hacer un inventario completo de toda la información que necesita ser respaldada y determinar la mejor manera de respaldarla.
- Respaldos regulares de todos los datos. La frecuencia de las copias de seguridad debe basarse en la importancia de los datos para la empresa, combinada con la capacidad de la empresa para reemplazar cualquier dato que se pierda. Los datos críticos deben ser respaldados diariamente, mientras que los datos menos críticos podrían ser respaldados semanalmente.
- Almacenamiento fuera del sitio de conjuntos de datos de respaldo. Si todos los datos de respaldo se almacenan en la misma instalación que las copias originales de los datos, entonces un solo evento, como un terremoto, incendio o tornado, ¡eliminaría tanto los datos originales como la copia de seguridad! Es esencial que parte del plan de respaldo sea almacenar los datos en una ubicación fuera del sitio.
- Prueba de restauración de datos. De manera regular, las copias de seguridad deben ponerse a prueba al tener algunos de los datos restaurados. Esto asegurará que el proceso esté funcionando y le dará a la organización confianza en el plan de respaldo.
Además de estas consideraciones, las organizaciones también deben examinar sus operaciones para determinar qué efecto tendría el tiempo de inactividad en su negocio. Si su tecnología de la información no estuviera disponible por algún período sostenido de tiempo, ¿cómo afectaría al negocio?
Los conceptos adicionales relacionados con la copia de seguridad incluyen los siguientes:
- Fuente de Alimentación Universal (UPS). Un UPS es un dispositivo que proporciona respaldo de batería a componentes críticos del sistema, lo que les permite permanecer en línea por más tiempo y/o permitir que el personal de TI los apague utilizando los procedimientos adecuados para evitar la pérdida de datos que pueda ocurrir por un corte de energía.
- Sitios alternativos o “calientes”. Algunas organizaciones optan por tener un sitio alternativo donde siempre se mantenga actualizada una réplica exacta de sus datos críticos. Cuando el sitio principal se apaga, el sitio alternativo se pone en línea de inmediato para que se experimente poco o ningún tiempo de inactividad.
A medida que la información se ha convertido en un activo estratégico, toda una industria ha surgido alrededor de las tecnologías necesarias para implementar una estrategia de respaldo adecuada. Una empresa puede contratar con un proveedor de servicios para hacer una copia de seguridad de todos sus datos o puede comprar grandes cantidades de espacio de almacenamiento en línea y hacerlo ellos mismos. Tecnologías como las redes de área de almacenamiento y los sistemas de archivo ahora son utilizadas por la mayoría de las grandes empresas.
Cortafuegos
Otro método que una organización debe utilizar para aumentar la seguridad en su red es un firewall. Un firewall puede existir como hardware o software (o ambos). Un firewall de hardware es un dispositivo que está conectado a la red y filtra los paquetes en función de un conjunto de reglas. Un firewall de software se ejecuta en el sistema operativo e intercepta los paquetes a medida que llegan a una computadora. Un firewall protege todos los servidores y computadoras de la empresa al detener los paquetes fuera de la red de la organización que no cumplen con un estricto conjunto de criterios. También se puede configurar un firewall para restringir el flujo de paquetes que salen de la organización. Esto se puede hacer para eliminar la posibilidad de que los empleados vean videos de YouTube o usen Facebook desde la computadora de una empresa.
Algunas organizaciones pueden optar por implementar múltiples firewalls como parte de su configuración de seguridad de red, creando una o más secciones de su red que estén parcialmente protegidas. A este segmento de la red se le conoce como DMZ, tomando prestado el término zona desmilitarizada a los militares, y es donde una organización puede colocar recursos que necesitan un acceso más amplio pero que aún necesitan ser asegurados.
Sistemas de detección de intrusiones
Otro dispositivo que se puede colocar en la red por motivos de seguridad es un sistema de detección de intrusiones, o IDS. Un IDS no agrega ninguna seguridad adicional; en cambio, proporciona la funcionalidad para identificar si la red está siendo atacada. Un IDS se puede configurar para vigilar tipos específicos de actividades y luego alertar al personal de seguridad si esa actividad ocurre. Un IDS también puede registrar varios tipos de tráfico en la red para su análisis posterior. Un IDS es una parte esencial de cualquier buena configuración de seguridad.
Barra lateral: Redes privadas virtuales
Mediante el uso de firewalls y otras tecnologías de seguridad, las organizaciones pueden proteger eficazmente muchos de sus recursos de información haciéndolos invisibles para el mundo exterior. Pero, ¿y si un empleado que trabaja desde casa requiere acceder a algunos de estos recursos? ¿Y si se contrata a un consultor que necesita trabajar en la red corporativa interna desde una ubicación remota? En estos casos, se requiere una red privada virtual (VPN).
Una VPN permite a un usuario que se encuentra fuera de una red corporativa tomar un desvío alrededor del firewall y acceder a la red interna desde el exterior. A través de una combinación de software y medidas de seguridad, esto permite a una organización permitir un acceso limitado a sus redes y al mismo tiempo garantizar la seguridad general.
Seguridad Física
Una organización puede implementar el mejor esquema de autenticación del mundo, desarrollar el mejor control de acceso e instalar firewalls y prevención de intrusiones, pero su seguridad no puede estar completa sin la implementación de seguridad física. La seguridad física es la protección de los componentes reales de hardware y redes que almacenan y transmiten recursos de información. Para implementar la seguridad física, una organización debe identificar todos los recursos vulnerables y tomar medidas para garantizar que estos recursos no puedan ser manipulados físicamente o robados. Entre estas medidas se encuentran las siguientes.
- Puertas cerradas: Puede parecer obvio, pero toda la seguridad del mundo es inútil si un intruso puede simplemente entrar y sacar físicamente un dispositivo informático. Los activos de información de alto valor deben asegurarse en una ubicación con acceso limitado.
- Detección de intrusiones físicas: Los activos de información de alto valor deben ser monitoreados mediante el uso de cámaras de seguridad y otros medios para detectar el acceso no autorizado a las ubicaciones físicas donde existan.
- Equipo asegurado: Los dispositivos deben estar bloqueados para evitar que sean robados. El disco duro de un empleado podría contener toda la información de sus clientes, por lo que es esencial que esté asegurado.
- Monitoreo ambiental: Los servidores de una organización y otros equipos de alto valor siempre deben mantenerse en una habitación que esté monitoreada para determinar la temperatura, la humedad y el flujo de aire. El riesgo de una falla del servidor aumenta cuando estos factores salen de un rango específico.
- Capacitación de empleados: Una de las formas más comunes en que los ladrones roban información corporativa es robar computadoras portátiles de los empleados mientras viajan los empleados. Los empleados deben estar capacitados para asegurar su equipo siempre que estén fuera de la oficina.
Políticas de Seguridad
Además de los controles técnicos mencionados anteriormente, las organizaciones también necesitan implementar políticas de seguridad como forma de control administrativo. De hecho, estas políticas deberían ser realmente un punto de partida para desarrollar un plan general de seguridad. Una buena política de seguridad de la información establece las pautas para el uso por parte de los empleados de los recursos de información de la empresa y proporciona a la empresa un recurso en caso de que un empleado infrinja una política.
Según el Instituto SANS, una buena política es “una declaración o plan formal, breve y de alto nivel que abarca las creencias generales, metas, objetivos y procedimientos aceptables de una organización para un área temática determinada”. Las políticas requieren cumplimiento; el incumplimiento de una política dará lugar a acciones disciplinarias. Una política no establece los detalles técnicos específicos, sino que se centra en los resultados deseados. Una política de seguridad debe basarse en los principios rectores de confidencialidad, integridad y disponibilidad. [2]
Un buen ejemplo de una política de seguridad con la que muchos estarán familiarizados es una política de uso web. Una política de uso web establece las responsabilidades de los empleados de la empresa, ya que utilizan los recursos de la empresa para acceder a Internet. Un buen ejemplo de una política de uso de la web se incluye en la política de “Reglas y responsabilidades de la computadora” de la Universidad de Harvard, que se puede encontrar aquí.
Una política de seguridad también debe abordar cualquier normativa gubernamental o industrial que se aplique a la organización. Por ejemplo, si la organización es una universidad, debe tener conocimiento de la Ley de Derechos Educativos y Privacidad Familiar (FERPA), que restringe quién tiene acceso a la información de los estudiantes. Las organizaciones de atención médica están obligadas a seguir varias regulaciones, como la Ley de Portabilidad y Rendición de Cuentas del Seguro de Salud (HIPAA).
Un buen recurso para aprender más sobre las políticas de seguridad es la Página de Políticas de Seguridad de la Información del Instituto SANS.
Barra lateral: Seguridad Móvil
A medida que prolifera el uso de dispositivos móviles como teléfonos inteligentes y tabletas, las organizaciones deben estar listas para abordar las preocupaciones de seguridad únicas que el uso de estos dispositivos trae consigo. Una de las primeras preguntas que una organización debe considerar es si permitir dispositivos móviles en el lugar de trabajo en absoluto. Muchos empleados ya tienen estos dispositivos, por lo que la pregunta es: ¿Deberíamos permitir que los empleados traigan sus propios dispositivos y los utilicen como parte de sus actividades laborales? ¿O deberíamos proporcionar los dispositivos a nuestros empleados? Crear una política BYOD (“Bring Your Own Device”) permite a los empleados integrarse más plenamente en su trabajo y puede brindar una mayor satisfacción y productividad de los empleados. En muchos casos, puede ser prácticamente imposible evitar que los empleados tengan sus propios teléfonos inteligentes o iPads en el lugar de trabajo. Si la organización proporciona los dispositivos a sus empleados, gana más control sobre el uso de los dispositivos, pero también se expone a la posibilidad de un desorden administrativo (y costoso).
Los dispositivos móviles pueden plantear muchos desafíos de seguridad únicos para una organización. Probablemente una de las mayores preocupaciones es el robo de propiedad intelectual. Para un empleado con intención maliciosa, sería un proceso muy sencillo conectar un dispositivo móvil ya sea a una computadora a través del puerto USB, o de forma inalámbrica a la red corporativa, y descargar datos confidenciales. También sería fácil tomar secretamente una foto de alta calidad usando una cámara incorporada.
Cuando un empleado tiene permiso para acceder y guardar datos de la empresa en su dispositivo, surge una amenaza de seguridad diferente: ese dispositivo ahora se convierte en un objetivo para los ladrones. El robo de dispositivos móviles (en este caso, incluidos los portátiles) es uno de los principales métodos que utilizan los ladrones de datos.
Entonces, ¿qué se puede hacer para proteger los dispositivos móviles? Empezará con una buena política respecto a su uso. Según un estudio SANS 2013, las organizaciones deberían considerar desarrollar una política de dispositivos móviles que aborde los siguientes temas: uso de la cámara, uso de grabación de voz, compras de aplicaciones, cifrado en reposo, configuración de conexión automática Wi-Fi, configuración de bluetooth, uso de VPN, configuración de contraseña, pérdida o robo informes de dispositivos y copia de seguridad. [3]
Además de las políticas, hay varias herramientas diferentes que una organización puede utilizar para mitigar algunos de estos riesgos. Por ejemplo, si un dispositivo es robado o perdido, el software de geolocalización puede ayudar a la organización a encontrarlo. En algunos casos, incluso puede tener sentido instalar software de eliminación remota de datos, que eliminará datos de un dispositivo si se convierte en un riesgo de seguridad.
Usabilidad
Cuando buscan proteger los recursos de información, las organizaciones deben equilibrar la necesidad de seguridad con la necesidad de los usuarios de acceder y usar estos recursos de manera efectiva. Si las medidas de seguridad de un sistema dificultan su uso, entonces los usuarios encontrarán formas de evitar la seguridad, ¡lo que puede hacer que el sistema sea más vulnerable de lo que hubiera sido sin las medidas de seguridad! Tomemos, por ejemplo, las políticas de contraseña. Si la organización requiere una contraseña extremadamente larga con varios caracteres especiales, un empleado puede recurrir a escribirla y guardarla en un cajón ya que será imposible de memorizar.
Seguridad de la información personal
Terminaremos este capítulo con una discusión de qué medidas podemos tomar cada uno de nosotros, como usuarios individuales, para asegurar nuestras tecnologías informáticas. No hay manera de tener 100% de seguridad, pero hay varios pasos simples que, como individuos, podemos tomar para hacernos más seguros.
- Mantenga su software actualizado. Siempre que un proveedor de software determine que se ha encontrado una falla de seguridad en su software, lanzará una actualización del software que puede descargar para solucionar el problema. Activa la actualización automática en tu computadora para automatizar este proceso.
- Instala el software antivirus y manténgalo actualizado. Hay muchos buenos paquetes de software antivirus en el mercado hoy en día, incluidos los gratuitos.
- Sé inteligente con tus conexiones. Debes estar al tanto de tu entorno. Al conectarse a una red Wi-Fi en un lugar público, tenga en cuenta que podría correr el riesgo de ser espiado por otros que comparten esa red. Es recomendable no acceder a tus datos financieros o personales mientras estás conectado a un hotspot Wi-Fi. También debes tener en cuenta que conectar unidades flash USB a tu dispositivo también podría ponerte en riesgo. No conecte una unidad flash desconocido a su dispositivo a menos que pueda escanearla primero con su software de seguridad.
- Haga una copia de seguridad de sus datos. Así como las organizaciones necesitan hacer una copia de seguridad de sus datos, los individuos también lo necesitan. Y se aplican las mismas reglas: hacerlo regularmente y conservar una copia de la misma en otra ubicación. Una solución simple para esto es configurar una cuenta con un servicio de respaldo en línea, como Mozy o Carbonite, para automatizar sus copias de seguridad.
- Asegure sus cuentas con autenticación de dos factores. La mayoría de proveedores de correo electrónico y redes sociales ahora tienen una opción de autenticación de dos factores. La forma en que esto funciona es simple: cuando inicias sesión en tu cuenta desde un equipo desconocido por primera vez, te envía un mensaje de texto con un código que debes ingresar para confirmar que realmente eres tú. Esto significa que nadie más puede iniciar sesión en tus cuentas sin conocer tu contraseña y tener tu teléfono móvil con ellas.
- Haga que sus contraseñas sean largas, seguras y únicas. Para tus contraseñas personales, debes seguir las mismas reglas que se recomiendan para las organizaciones. Tus contraseñas deben ser largas (ocho o más caracteres) y contener al menos dos de los siguientes: letras mayúsculas, números y caracteres especiales. También debes usar diferentes contraseñas para diferentes cuentas, de modo que si alguien te roba tu contraseña para una cuenta, todavía están bloqueadas fuera de tus otras cuentas.
- Desconfíe de enlaces y archivos adjuntos extraños. Cuando reciba un correo electrónico, un tweet o una publicación en Facebook, sospeche de los enlaces o archivos adjuntos incluidos allí. No haga clic en el enlace directamente si sospecha del todo. En cambio, si quieres acceder al sitio web, encuéntralo tú mismo y navega hasta él directamente.
Puedes encontrar más sobre estos pasos y muchas otras formas de estar seguro con tu computación yendo a Stop. Piensa. Conectar. Este sitio web es parte de una campaña que fue lanzada en octubre de 2010 por el STOP. PENSAR. CONECTAR. Convención de mensajería en asociación con el gobierno de Estados Unidos, incluida la Casa Blanca.
Resumen
A medida que los recursos de computación y redes se han convertido cada vez más en una parte integral del negocio, también se han convertido en blanco de delincuentes. Las organizaciones deben estar atentas con la forma en que protegen sus recursos. Lo mismo es cierto para nosotros personalmente: a medida que los dispositivos digitales se entrelazan cada vez más con nuestras vidas, se vuelve crucial para nosotros entender cómo protegernos.
Preguntas de Estudio
- Definir brevemente cada uno de los tres miembros de la tríada de seguridad de la información.
- ¿Qué significa el término autenticación?
- ¿Qué es la autenticación multifactor?
- ¿Qué es el control de acceso basado en roles?
- ¿Cuál es el propósito del cifrado?
- ¿Cuáles son dos buenos ejemplos de una contraseña compleja?
- ¿Qué es el pretexto?
- ¿Cuáles son los componentes de un buen plan de respaldo?
- ¿Qué es un firewall?
- ¿Qué significa el término seguridad física?
Ejercicios
- Describa un método de autenticación multifactor que haya experimentado y discuta los pros y los contras de usar la autenticación multifactor.
- ¿Cuáles son algunos de los últimos avances en tecnologías de encriptación? Realice algunas investigaciones independientes sobre el cifrado utilizando recursos académicos o profesionales, luego escriba un documento de dos a tres páginas que describa al menos dos nuevos avances en la tecnología de cifrado.
- ¿Cuál es la política de contraseñas en tu lugar de empleo o estudio? ¿Tienes que cambiar las contraseñas de vez en cuando? ¿Cuáles son los requisitos mínimos para una contraseña?
- ¿Cuándo fue la última vez que hizo una copia de seguridad de sus datos? ¿Qué método usaste? En una o dos páginas, describe un método para hacer copias de seguridad de tus datos. Pregúntale a tu instructor si puedes obtener crédito extra por hacer una copia de seguridad de tus datos.
- Encuentra la política de seguridad de la información en tu lugar de empleo o estudio. ¿Es una buena política? ¿Cumple con los estándares señalados en el capítulo?
- ¿Cómo le va a mantener segura su propia información? Revisa los pasos enumerados en el capítulo y comenta lo bien que te va.
- “Nacido para ser violado” de Sean Gallagher el 3 de noviembre de 2012. Arstechnica. Recuperado de http://arstechnica.com/information-t...e-most-common/ el 15 de mayo de 2013.
- Instituto SANS. “Una breve cartilla para desarrollar políticas de seguridad”. Consultado desde http://www.sans.org/security-resourc...icy_Primer.pdf el 31 de mayo de 2013.
- Tomado de la lista de verificación de dispositivos móviles del Instituto SANS Puedes revisar la lista de verificación completa en www.sans.org/score/checklists/mobile-device-checklist.xls.