Saltar al contenido principal
LibreTexts Español

6: Seguridad de los Sistemas de Información

  • Page ID
    154087
  • \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)

    \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)

    \( \newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\)

    ( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\)

    \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\)

    \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\)

    \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\)

    \( \newcommand{\Span}{\mathrm{span}}\)

    \( \newcommand{\id}{\mathrm{id}}\)

    \( \newcommand{\Span}{\mathrm{span}}\)

    \( \newcommand{\kernel}{\mathrm{null}\,}\)

    \( \newcommand{\range}{\mathrm{range}\,}\)

    \( \newcommand{\RealPart}{\mathrm{Re}}\)

    \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\)

    \( \newcommand{\Argument}{\mathrm{Arg}}\)

    \( \newcommand{\norm}[1]{\| #1 \|}\)

    \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\)

    \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\AA}{\unicode[.8,0]{x212B}}\)

    \( \newcommand{\vectorA}[1]{\vec{#1}}      % arrow\)

    \( \newcommand{\vectorAt}[1]{\vec{\text{#1}}}      % arrow\)

    \( \newcommand{\vectorB}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)

    \( \newcommand{\vectorC}[1]{\textbf{#1}} \)

    \( \newcommand{\vectorD}[1]{\overrightarrow{#1}} \)

    \( \newcommand{\vectorDt}[1]{\overrightarrow{\text{#1}}} \)

    \( \newcommand{\vectE}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash{\mathbf {#1}}}} \)

    \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \)

    \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)

    \(\newcommand{\avec}{\mathbf a}\) \(\newcommand{\bvec}{\mathbf b}\) \(\newcommand{\cvec}{\mathbf c}\) \(\newcommand{\dvec}{\mathbf d}\) \(\newcommand{\dtil}{\widetilde{\mathbf d}}\) \(\newcommand{\evec}{\mathbf e}\) \(\newcommand{\fvec}{\mathbf f}\) \(\newcommand{\nvec}{\mathbf n}\) \(\newcommand{\pvec}{\mathbf p}\) \(\newcommand{\qvec}{\mathbf q}\) \(\newcommand{\svec}{\mathbf s}\) \(\newcommand{\tvec}{\mathbf t}\) \(\newcommand{\uvec}{\mathbf u}\) \(\newcommand{\vvec}{\mathbf v}\) \(\newcommand{\wvec}{\mathbf w}\) \(\newcommand{\xvec}{\mathbf x}\) \(\newcommand{\yvec}{\mathbf y}\) \(\newcommand{\zvec}{\mathbf z}\) \(\newcommand{\rvec}{\mathbf r}\) \(\newcommand{\mvec}{\mathbf m}\) \(\newcommand{\zerovec}{\mathbf 0}\) \(\newcommand{\onevec}{\mathbf 1}\) \(\newcommand{\real}{\mathbb R}\) \(\newcommand{\twovec}[2]{\left[\begin{array}{r}#1 \\ #2 \end{array}\right]}\) \(\newcommand{\ctwovec}[2]{\left[\begin{array}{c}#1 \\ #2 \end{array}\right]}\) \(\newcommand{\threevec}[3]{\left[\begin{array}{r}#1 \\ #2 \\ #3 \end{array}\right]}\) \(\newcommand{\cthreevec}[3]{\left[\begin{array}{c}#1 \\ #2 \\ #3 \end{array}\right]}\) \(\newcommand{\fourvec}[4]{\left[\begin{array}{r}#1 \\ #2 \\ #3 \\ #4 \end{array}\right]}\) \(\newcommand{\cfourvec}[4]{\left[\begin{array}{c}#1 \\ #2 \\ #3 \\ #4 \end{array}\right]}\) \(\newcommand{\fivevec}[5]{\left[\begin{array}{r}#1 \\ #2 \\ #3 \\ #4 \\ #5 \\ \end{array}\right]}\) \(\newcommand{\cfivevec}[5]{\left[\begin{array}{c}#1 \\ #2 \\ #3 \\ #4 \\ #5 \\ \end{array}\right]}\) \(\newcommand{\mattwo}[4]{\left[\begin{array}{rr}#1 \amp #2 \\ #3 \amp #4 \\ \end{array}\right]}\) \(\newcommand{\laspan}[1]{\text{Span}\{#1\}}\) \(\newcommand{\bcal}{\cal B}\) \(\newcommand{\ccal}{\cal C}\) \(\newcommand{\scal}{\cal S}\) \(\newcommand{\wcal}{\cal W}\) \(\newcommand{\ecal}{\cal E}\) \(\newcommand{\coords}[2]{\left\{#1\right\}_{#2}}\) \(\newcommand{\gray}[1]{\color{gray}{#1}}\) \(\newcommand{\lgray}[1]{\color{lightgray}{#1}}\) \(\newcommand{\rank}{\operatorname{rank}}\) \(\newcommand{\row}{\text{Row}}\) \(\newcommand{\col}{\text{Col}}\) \(\renewcommand{\row}{\text{Row}}\) \(\newcommand{\nul}{\text{Nul}}\) \(\newcommand{\var}{\text{Var}}\) \(\newcommand{\corr}{\text{corr}}\) \(\newcommand{\len}[1]{\left|#1\right|}\) \(\newcommand{\bbar}{\overline{\bvec}}\) \(\newcommand{\bhat}{\widehat{\bvec}}\) \(\newcommand{\bperp}{\bvec^\perp}\) \(\newcommand{\xhat}{\widehat{\xvec}}\) \(\newcommand{\vhat}{\widehat{\vvec}}\) \(\newcommand{\uhat}{\widehat{\uvec}}\) \(\newcommand{\what}{\widehat{\wvec}}\) \(\newcommand{\Sighat}{\widehat{\Sigma}}\) \(\newcommand{\lt}{<}\) \(\newcommand{\gt}{>}\) \(\newcommand{\amp}{&}\) \(\definecolor{fillinmathshade}{gray}{0.9}\)

    Objetivos de aprendizaje

    Al finalizar con éxito este capítulo, usted será capaz de:

    • identificar la tríada de seguridad de la información;
    • identificar y comprender los conceptos de alto nivel que rodean las herramientas de seguridad de la información;
    • asegúrense digitalmente.

    Introducción

    A medida que las computadoras y otros dispositivos digitales se han vuelto esenciales para los negocios y el comercio, también se han convertido cada vez más en blanco de ataques. Para que una empresa o un individuo utilice un dispositivo informático con confianza, primero deben estar seguros de que el dispositivo no está comprometido de ninguna manera y que todas las comunicaciones serán seguras. En este capítulo se revisan los conceptos fundamentales de la seguridad de los sistemas de información y se analizan algunas de las medidas que se pueden tomar para mitigar las amenazas de seguridad. El capítulo comienza con una visión general centrada en cómo las organizaciones pueden mantenerse seguras. Se discutirán varias medidas diferentes que una empresa puede tomar para mejorar la seguridad. Finalmente, revisará una lista de precauciones de seguridad que las personas pueden tomar para asegurar su entorno informático personal.

    La tríada de seguridad de la información: confidencialidad, integridad, disponibilidad (CIA)

    Confidencialidad

    Diagrama de la tríada de seguridad
    La tríada de seguridad

    Proteger la información significa que quieres poder restringir el acceso a quienes están autorizados a verla. Esto a veces se conoce como NTK, Need to Know. A todos los demás se les debe no permitir que aprendan nada sobre su contenido. Esta es la esencia de la confidencialidad. Por ejemplo, la ley federal exige que las universidades restrinjan el acceso a información privada de los estudiantes. El acceso a los registros de calificaciones debe limitarse a quienes tengan acceso autorizado.

    Integridad

    La integridad es la garantía de que la información a la que se accede no ha sido alterada y realmente representa lo que se pretende. Así como una persona con integridad significa lo que dice y se puede confiar en que represente consistentemente la verdad, la integridad de la información significa que la información realmente representa su significado pretendido. La información puede perder su integridad a través de intenciones maliciosas, como cuando alguien que no está autorizado hace un cambio para tergiversar intencionalmente algo. Un ejemplo de esto sería cuando se contrata a un hacker para entrar en el sistema de la universidad y cambiar la calificación de un estudiante.

    La integridad también se puede perder involuntariamente, como cuando una sobrecarga de energía de la computadora corrompe un archivo o alguien autorizado para realizar un cambio borra accidentalmente un archivo o ingresa información incorrecta.

    Disponibilidad

    La disponibilidad de información es la tercera parte de la tríada de la CIA. Disponibilidad significa que la información puede ser accedida y modificada por cualquier persona autorizada para hacerlo en un plazo apropiado. Dependiendo del tipo de información, el marco de tiempo apropiado puede significar cosas diferentes. Por ejemplo, un comerciante de acciones necesita que la información esté disponible de inmediato, mientras que un vendedor puede estar feliz de obtener los números de ventas del día en un informe a la mañana siguiente. Los minoristas en línea requieren que sus servidores estén disponibles las veinticuatro horas del día, los siete días de la semana. Es posible que otras empresas no sufran si sus servidores web están inactivos por unos minutos de vez en cuando.

    Herramientas para la Seguridad de la Información

    Para garantizar la confidencialidad, integridad y disponibilidad de la información, las organizaciones pueden elegir entre una variedad de herramientas. Cada una de estas herramientas se puede utilizar como parte de una política general de seguridad de la información.

    Autentificación

    La forma más común de identificar a alguien es a través de su apariencia física, pero ¿cómo identificamos a alguien sentado detrás de una pantalla de computadora o en el cajero automático? Se utilizan herramientas de autenticación para garantizar que la persona que accede a la información es, en efecto, quien se presenta para ser.

    La autenticación se puede lograr identificando a alguien a través de uno o más de tres factores:

    1. Algo que ellos saben,
    2. Algo que tienen, o
    3. Algo que son.

    Por ejemplo, la forma de autenticación más común hoy en día es el ID de usuario y la contraseña. En este caso, la autenticación se realiza confirmando algo que el usuario conoce (su ID y contraseña). Pero esta forma de autenticación es fácil de comprometer (ver barra lateral) y a veces se necesitan formas de autenticación más fuertes. Identificar a alguien solo por algo que tenga, como una llave o una tarjeta, también puede ser problemático. Cuando ese token de identificación se pierde o se roba, la identidad puede ser robada fácilmente. El factor final, algo que eres, es mucho más difícil de comprometer. Este factor identifica a un usuario mediante el uso de una característica física, como una exploración retiniana, huella dactilar o geometría facial. Identificar a alguien a través de sus características físicas se llama biometría.

    Imagen del token RSA SecureID
    Token SecureID de RSA

    Una forma más segura de autenticar a un usuario es a través de la autenticación multifactor. Al combinar dos o más de los factores enumerados anteriormente, se vuelve mucho más difícil para alguien tergiversarse a sí mismo. Un ejemplo de esto sería el uso de un token RSA SecurID. El dispositivo RSA es algo que tienes, y genera un nuevo código de acceso cada sesenta segundos. Para iniciar sesión en un recurso de información usando el dispositivo RSA, combinas algo que conoces, como un PIN de cuatro dígitos, con el código generado por el dispositivo. La única manera de autenticarse correctamente es conociendo el código y teniendo el dispositivo RSA.

    Control de Acceso

    Una vez que un usuario ha sido autenticado, el siguiente paso es asegurarse de que solo pueda acceder a los recursos de información que sean apropiados. Esto se hace mediante el uso del control de acceso. El control de acceso determina qué usuarios están autorizados para leer, modificar, agregar y/o eliminar información. Existen varios modelos diferentes de control de acceso. Dos de los más comunes son: la Lista de Control de Acceso (ACL) y el Control de Acceso Basado en Roles (RBAC).

    Un empleado de seguridad de la información puede producir una ACL que identifique una lista de usuarios que tienen la capacidad de tomar acciones específicas con un recurso de información como archivos de datos. Se asignan permisos específicos a cada usuario, como leer, escribir, eliminar o agregar. Solo los usuarios con esos permisos están autorizados a realizar esas funciones.

    Las ACL son simples de entender y mantener, pero hay varios inconvenientes. El principal inconveniente es que cada recurso de información se administra por separado, por lo que si un administrador de seguridad quisiera agregar o eliminar un usuario a un gran conjunto de recursos de información, sería bastante difícil. Y a medida que aumenta el número de usuarios y recursos, las ACL se vuelven más difíciles de mantener. Esto ha llevado a un método mejorado de control de acceso, llamado control de acceso basado en roles, o RBAC. Con RBAC, en lugar de otorgar a usuarios específicos derechos de acceso a un recurso de información, los usuarios son asignados a roles y luego a esos roles se les asigna el acceso. Esto permite a los administradores administrar usuarios y roles por separado, simplificando la administración y, por extensión, mejorando la seguridad.

    La siguiente imagen muestra una ACL con permisos otorgados a usuarios individuales. RBAC permite asignar permisos a roles, como se muestra en la cuadrícula central, y luego en la tercera cuadrícula a cada usuario se le asigna un rol. Aunque no se modele en la imagen, cada usuario puede tener múltiples roles como Lector y Editor.

    Comparación de ACL y RBAC
    Comparación de ACL y RBAC

    Barra lateral: Seguridad de contraseña

    Entonces, ¿por qué usar solo un simple ID de usuario y contraseña no se considera un método seguro de autenticación? Resulta que esta autenticación de un solo factor es extremadamente fácil de comprometer. Deben implementarse buenas políticas de contraseñas para garantizar que las contraseñas no puedan ser comprometidas. A continuación se presentan algunas de las políticas más comunes que deben utilizar las organizaciones.

    • Requieren contraseñas complejas. Una de las razones por las que las contraseñas se ven comprometidas es que se pueden adivinar fácilmente. Un estudio reciente encontró que las tres principales contraseñas que usaban las personas eran la contraseña, 123456 y 12345678. [1] Una contraseña no debe ser simple, o una palabra que se pueda encontrar en un diccionario. Los hackers primero intentan descifrar una contraseña probando cada término en el diccionario. En cambio, una buena política de contraseñas debería requerir el uso de un mínimo de ocho caracteres, al menos una letra mayúscula, un carácter especial y un dígito.
    • Cambiar las contraseñas con regularidad. Es fundamental que los usuarios cambien sus contraseñas de forma regular. Además, las contraseñas no pueden ser reutilizadas. Los usuarios deben cambiar sus contraseñas cada sesenta a noventa días, asegurando que cualquier contraseña que pudiera haber sido robada o adivinada no podrá ser utilizada contra la compañía.
    • Capacitar a los empleados para que no entreguen contraseñas. Uno de los principales métodos utilizados para robar contraseñas es simplemente resolverlas pidiendo a los usuarios su contraseña. El pretexto ocurre cuando un atacante llama a un servicio de asistencia o administrador de seguridad y finge ser un usuario autorizado en particular que tiene problemas para iniciar sesión. Entonces, al proporcionar algunos datos personales sobre el usuario autorizado, el atacante convence a la persona de seguridad para que restablezca la contraseña y le diga qué es. Otra forma en que los empleados pueden ser engañados para que regalen contraseñas es a través del phishing por correo electrónico. El phishing ocurre cuando un usuario recibe un correo electrónico que parece ser de una fuente confiable, como su banco o empleador. En el correo electrónico se le pide al usuario que haga clic en un enlace e inicie sesión en un sitio web que imita el sitio web genuino, luego ingrese su ID y contraseña. El ID de usuario y la contraseña son luego capturados por el atacante.

    Cifrado

    Muchas veces una organización necesita transmitir información a través de Internet o transferirla en medios externos como una unidad flash. En estos casos, incluso con una autenticación y control de acceso adecuados, es posible que una persona no autorizada obtenga acceso a los datos. El cifrado es un proceso de codificación de datos al momento de su transmisión o almacenamiento para que solo las personas autorizadas puedan leerlo. Esta codificación se logra mediante un software que codifica el texto plano que necesita ser transmitido (cifrado). Entonces el destinatario recibe el texto cifrado y lo decodifica (descifrado). Para que esto funcione, el remitente y el receptor necesitan acordar el método de codificación para que ambas partes tengan el mismo mensaje. Conocido como cifrado de clave simétrica, ambas partes comparten la clave de cifrado, lo que les permite codificar y decodificar los mensajes de cada uno.

    Una alternativa al cifrado de clave simétrica es el cifrado de clave pública. En el cifrado de clave pública, se utilizan dos claves: una clave pública y una clave privada. Para enviar un mensaje cifrado, obtiene la clave pública, codifica el mensaje y lo envía. Luego, el destinatario usa su clave privada para decodificarla. La clave pública se le puede dar a cualquier persona que desee enviar un mensaje al destinatario. Cada usuario simplemente necesita una clave privada y una clave pública para proteger los mensajes. La clave privada es necesaria para descifrar un mensaje enviado con la clave pública.

    Observe en la imagen cómo el remitente de la izquierda crea un mensaje de texto plano que luego se cifra con una clave pública. El texto cifrado se transmite a través del canal de comunicación y el destinatario utiliza su clave privada para descifrar el mensaje y luego leer el texto plano.

    Ejemplo de cifrado de clave pública
    Cifrado de clave pública

    Barra lateral: Blockchain y Bitcoin

    Blockchain

    Introducida en 2008 como parte de una propuesta para Bitcoin, Blockchain es una red peer-to-peer que proporciona un registro abierto y distribuido de transacciones entre dos partes. Una red “peer-to-peer” es aquella en la que no hay ningún servidor entre los dos nodos tratando de comunicarse. Esencialmente, esto significa que cada nodo actúa como servidor y cliente.

    Los partidarios ven blockchain como una herramienta para simplificar todo tipo de transacciones: pagos, contratos, etc. La motivación viene del deseo de sacar al intermediario (abogado, banquero, corredor) de las transacciones, haciéndolos más eficientes y fácilmente disponibles a través de Internet. Blockchain ya se está utilizando para rastrear productos a través de las cadenas de suministro.

    Blockchain se considera una tecnología fundamental, potencialmente creando nuevas bases en la economía y los sistemas sociales. Existen numerosas preocupaciones sobre Blockchain y su adopción. Considera lo siguiente:

    • Velocidad de adopción. Inicialmente hay una gran cantidad de entusiasmo por parte de un grupo pequeño. Sin embargo, la adopción a mayor escala puede llevar una gran cantidad de años, incluso décadas, para una aceptación mundial de un nuevo método de hacer negocios.
    • Gobernanza. El sector bancario, tanto en países individuales (Sistema de Reserva Federal de Estados Unidos) como en el mundo en general (el Fondo Monetario Internacional), controla las transacciones financieras. Uno de los propósitos de estas organizaciones es el intento de evitar el colapso de los sistemas bancarios y financieros. Blockchain dará como resultado que la gobernanza de las transacciones financieras se alejará de estas instituciones controladas por el gobierno.
    • Contratos inteligentes. El contrato inteligente cambiará la forma en que interactúan los negocios. Es posible que blockchain envíe automáticamente el pago a un proveedor en el momento en que se entrega el producto al cliente. Dichos contratos “autoejecutables” ya se están llevando a cabo en el financiamiento bancario y de capital de riesgo. [9]

    Muchos están pronosticando alguna forma universal de pago o transferencia de valor para transacciones comerciales. Blockchain y Bitcoin se están utilizando para transformar la banca en varias ubicaciones alrededor del mundo. La siguiente sección de Bitcoin incluye una mirada a una nueva empresa bancaria en Tanzania, África Oriental.

    Bitcoin

    Logotipo de Bitcoin

    Bitcoin es un sistema de pago mundial que utiliza criptomonedas. Funciona sin un banco central, operando como una red peer-to-peer con transacciones que ocurren directamente entre proveedores y compradores. Los registros de transacciones se registran en la cadena de bloques. La tecnología Bitcoin se lanzó en 2009. La Universidad de Cambridge estimó que había 2.9 y 5.8 millones de usuarios únicos de bitcoin en 2017. [10] Este sitio web proporciona más información sobre bitcoin.

    Un importante proyecto de bitcoin está en marcha en Tanzania. Las transacciones comerciales en este país de África Oriental están plagadas de muchos desafíos, como la moneda falsificada y una tarifa de transacción del 28% para las personas que no tienen una cuenta bancaria. El setenta por ciento de la población del país entra en esta categoría. Benjamin Fernandes, tanzano y graduado en 2017 de Stanford Graduate School of Business, es cofundador de NALA, una firma tanzaniana que trabaja para llevar la criptomoneda a un país donde 96% de la población tiene acceso a dispositivos móviles. El objetivo de NALA es proporcionar transacciones de bajo costo a todos los ciudadanos del país a través de criptomonedas. [11] Puedes leer más de esta aventura de criptomonedas aquí.


    Respaldos

    Otra herramienta esencial para la seguridad de la información es un plan integral de respaldo para toda la organización. No solo se deben respaldar los datos de los servidores corporativos, sino que también se debe respaldar a las computadoras individuales utilizadas en toda la organización. Un buen plan de respaldo debe constar de varios componentes.

    • Comprensión completa de los recursos de información de la organización. ¿Qué información tiene realmente la organización? ¿Dónde se almacena? Algunos datos pueden almacenarse en los servidores de la organización, otros datos en los discos duros de los usuarios, algunos en la nube y algunos en sitios de terceros. Una organización debe hacer un inventario completo de toda la información que necesita ser respaldada y determinar la mejor manera de respaldarla.
    • Respaldos regulares de todos los datos. La frecuencia de las copias de seguridad debe basarse en la importancia de los datos para la empresa, combinada con la capacidad de la empresa para reemplazar cualquier dato que se pierda. Los datos críticos deben ser respaldados diariamente, mientras que los datos menos críticos podrían ser respaldados semanalmente. La mayoría de las organizaciones grandes hoy en día utilizan redundancia de datos para que sus registros siempre estén respaldados.
    • Almacenamiento fuera del sitio de conjuntos de datos de respaldo. Si todos los datos de respaldo se almacenan en la misma instalación que las copias originales de los datos, entonces un solo evento como un terremoto, incendio o tornado destruiría tanto los datos originales como la copia de seguridad. Es esencial que el plan de respaldo incluya almacenar los datos en una ubicación fuera del sitio.
    • Prueba de restauración de datos. Las copias de seguridad deben probarse de forma regular al eliminar los datos de prueba y luego restaurarse de la copia de seguridad. Esto asegurará que el proceso esté funcionando y le dará a la organización confianza en el plan de respaldo.

    Además de estas consideraciones, las organizaciones también deben examinar sus operaciones para determinar qué efecto tendría el tiempo de inactividad en su negocio. Si su tecnología de la información no estuviera disponible por algún período sostenido de tiempo, ¿cómo afectaría al negocio?

    Los conceptos adicionales relacionados con la copia de seguridad incluyen los siguientes:

    • Sistema de Alimentación Ininterrumpible (UPS). Un UPS proporciona respaldo de batería a los componentes críticos del sistema, lo que les permite permanecer en línea por más tiempo y/o permitir que el personal de TI los apague utilizando los procedimientos adecuados para evitar la pérdida de datos que pueda ocurrir por un corte de energía.
    • Sitios alternativos o “calientes”. Algunas organizaciones optan por tener un sitio alternativo donde siempre se mantenga actualizada una réplica exacta de sus datos críticos. Cuando el sitio principal cae, el sitio alternativo se pone en línea de inmediato para que se experimente poco o ningún tiempo de inactividad.

    A medida que la información se ha convertido en un activo estratégico, toda una industria ha surgido alrededor de las tecnologías necesarias para implementar una estrategia de respaldo adecuada. Una empresa puede contratar con un proveedor de servicios para hacer una copia de seguridad de todos sus datos o puede comprar grandes cantidades de espacio de almacenamiento en línea y hacerlo ellos mismos. Tecnologías como las redes de área de almacenamiento (SAN) y los sistemas de archivado ahora son utilizadas por la mayoría de las grandes empresas para el backup de datos.

    Cortafuegos

    Diagrama de una configuración de red con firewalls, un enrutador y una DMZ.
    Diagrama de una configuración de red con firewalls, un enrutador y una DMZ.

    Los firewalls son otro método que una organización puede utilizar para aumentar la seguridad en su red. Un firewall puede existir como hardware o software, o ambos. Un firewall de hardware es un dispositivo que está conectado a la red y filtra los paquetes en función de un conjunto de reglas. Un ejemplo de estas reglas sería evitar que los paquetes ingresen a la red local que provengan de usuarios no autorizados. Un firewall de software se ejecuta en el sistema operativo e intercepta los paquetes a medida que llegan a una computadora.

    Un firewall protege todos los servidores y computadoras de la empresa al detener los paquetes fuera de la red de la organización que no cumplen con un estricto conjunto de criterios. También se puede configurar un firewall para restringir el flujo de paquetes que salen de la organización. Esto se puede hacer para eliminar la posibilidad de que los empleados vean videos de YouTube o usen Facebook desde la computadora de una empresa.

    Una zona desmilitarizada (DMZ) implementa múltiples firewalls como parte de la configuración de seguridad de la red, creando una o más secciones de su red que están parcialmente aseguradas. La DMZ generalmente contiene recursos que necesitan un acceso más amplio pero que aún necesitan ser asegurados.

    Sistemas de detección de intrusiones

    Los Sistemas de Detección de Intrusión (IDS) se pueden colocar en la red por razones de seguridad. Un IDS no agrega ninguna seguridad adicional. En cambio, proporciona la capacidad de identificar si la red está siendo atacada. Un IDS se puede configurar para vigilar tipos específicos de actividades y luego alertar al personal de seguridad si esa actividad ocurre. Un IDS también puede registrar varios tipos de tráfico en la red para su análisis posterior. Es una parte esencial de cualquier buen sistema de seguridad.


    Barra lateral: Redes privadas virtuales

    Mediante el uso de firewalls y otras tecnologías de seguridad, las organizaciones pueden proteger eficazmente muchos de sus recursos de información haciéndolos invisibles para el mundo exterior. Pero, ¿y si un empleado que trabaja desde casa requiere acceder a algunos de estos recursos? ¿Y si se contrata a un consultor que necesita trabajar en la red corporativa interna desde una ubicación remota? En estos casos, se necesita una Red Privada Virtual (VPN).

    Diagrama VPN
    Diagrama de VPN (click para agrandar). Atribución a Ludovic.ferre.

    Una VPN permite a un usuario que se encuentra fuera de una red corporativa tomar un desvío alrededor del firewall y acceder a la red interna desde el exterior. A través de una combinación de software y medidas de seguridad, una VPN proporciona acceso externo a la red de la organización al tiempo que garantiza la seguridad general.

    La nube de Internet es esencialmente un canal inseguro a través del cual las personas se comunican a diversos sitios web/servidores. La implementación de una VPN resulta en un camino seguro, generalmente denominado túnel, a través de la nube insegura, garantizando virtualmente el acceso seguro a los recursos de la organización. El diagrama representa la seguridad a través de la funcionalidad de una VPN ya que “tunelea” a través de la insegura Nube de Internet. Observe que al usuario remoto se le da acceso a la intranet de la organización, como si el usuario estuviera físicamente ubicado dentro de la intranet.


    Seguridad Física

    Una organización puede implementar el mejor esquema de autenticación del mundo, desarrollar un control de acceso superior e instalar firewalls y detección de intrusiones, pero su seguridad no puede estar completa sin la implementación de seguridad física. La seguridad física es la protección de los componentes reales de hardware y redes que almacenan y transmiten recursos de información. Para implementar la seguridad física, una organización debe identificar todos los recursos vulnerables y tomar medidas para garantizar que estos recursos no puedan ser manipulados físicamente o robados. Entre estas medidas se encuentran las siguientes.

    • Puertas cerradas. Puede parecer obvio, pero toda la seguridad del mundo es inútil si un intruso puede simplemente entrar y sacar físicamente un dispositivo informático. Los activos de información de alto valor deben ser asegurados en una ubicación con acceso limitado.
    • Detección de intrusiones físicas. Los activos de información de alto valor deben ser monitoreados mediante el uso de cámaras de seguridad y otros medios para detectar el acceso no autorizado a las ubicaciones físicas donde existan.
    • Equipo asegurado. Los dispositivos deben estar bloqueados para evitar que sean robados. El disco duro de un empleado podría contener toda la información de sus clientes, por lo que es esencial que esté asegurado.
    • Monitoreo ambiental. Los servidores de una organización y otros equipos de alto valor siempre deben mantenerse en una habitación que esté monitoreada para determinar la temperatura, la humedad y el flujo de aire. El riesgo de una falla del servidor aumenta cuando estos factores exceden los rangos aceptables.
    • Capacitación de empleados. Una de las formas más comunes en que los ladrones roban información corporativa es el robo de computadoras portátiles de los empleados mientras viajan los empleados. Los empleados deben estar capacitados para asegurar su equipo siempre que estén fuera de la oficina.

    Políticas de Seguridad

    Además de los controles técnicos mencionados anteriormente, las organizaciones también necesitan implementar políticas de seguridad como forma de control administrativo. De hecho, estas políticas deberían ser realmente un punto de partida para desarrollar un plan general de seguridad. Una buena política de seguridad de la información establece las pautas para el uso por parte de los empleados de los recursos de información de la empresa y proporciona a la empresa un recurso en caso de que un empleado infrinja una política.

    Según el Instituto SANS, una buena política es “una declaración o plan formal, breve y de alto nivel que abarca las creencias generales, metas, objetivos y procedimientos aceptables de una organización para un área temática determinada”. Las políticas requieren cumplimiento. El incumplimiento de una política dará lugar a una acción disciplinaria. Una política no enumera los detalles técnicos específicos, sino que se centra en los resultados deseados. Una política de seguridad debe basarse en los principios rectores de confidencialidad, integridad y disponibilidad. [2]

    El uso web es un ejemplo familiar de una política de seguridad. Una política de uso web establece las responsabilidades de los empleados de la empresa, ya que utilizan los recursos de la empresa para acceder a Internet. Un buen ejemplo de una política de uso de la web se incluye en la política de “Reglas y responsabilidades de la computadora” de la Universidad de Harvard, que se puede encontrar aquí.

    Una política de seguridad también debe abordar cualquier normativa gubernamental o industrial que se aplique a la organización. Por ejemplo, si la organización es una universidad, debe conocer la Ley de Derechos Educativos y Privacidad Familiar (FERPA), que restringe el acceso a la información de los estudiantes. Las organizaciones de atención médica están obligadas a seguir varias regulaciones, como la Ley de Portabilidad y Rendición de Cuentas del Seguro de Salud (HIPAA).

    Un buen recurso para aprender más sobre las políticas de seguridad es la Página de Políticas de Seguridad de la Información del Instituto SANS.


    Barra lateral: Seguridad Móvil

    A medida que prolifera el uso de dispositivos móviles como computadoras portátiles y teléfonos inteligentes, las organizaciones deben estar listas para abordar las preocupaciones de seguridad únicas que el uso de estos dispositivos trae consigo. Una de las primeras preguntas que una organización debe considerar es si permitir dispositivos móviles en el lugar de trabajo en absoluto. Muchos empleados ya tienen estos dispositivos, por lo que la pregunta es: ¿Deberíamos permitir que los empleados traigan sus propios dispositivos y los utilicen como parte de sus actividades laborales? ¿O deberíamos proporcionar los dispositivos a nuestros empleados? Crear una política BYOD (“Bring Your Own Device”) permite a los empleados integrarse más plenamente en su trabajo y puede brindar una mayor satisfacción y productividad de los empleados. En muchos casos, puede ser prácticamente imposible evitar que los empleados tengan sus propios teléfonos inteligentes o portátiles en el lugar de trabajo. Si la organización proporciona los dispositivos a sus empleados, gana más control sobre el uso de los dispositivos, pero también aumenta la carga de tener que administrar la distribución y el uso.

    Los dispositivos móviles pueden plantear muchos desafíos de seguridad únicos para una organización. Probablemente una de las mayores preocupaciones es el robo de propiedad intelectual. Para un empleado con intención maliciosa, sería un proceso muy sencillo conectar un dispositivo móvil ya sea a una computadora a través del puerto USB, o de forma inalámbrica a la red corporativa, y descargar datos confidenciales. También sería fácil tomar secretamente una foto de alta calidad usando una cámara incorporada.

    Cuando un empleado tiene permiso para acceder y guardar datos de la empresa en su dispositivo, surge una amenaza de seguridad diferente. A saber, ese dispositivo ahora se convierte en un objetivo para los ladrones. El robo de dispositivos móviles (en este caso, incluidos los portátiles) es uno de los principales métodos que utilizan los ladrones de datos.

    Entonces, ¿qué se puede hacer para proteger los dispositivos móviles? Empezar con una buena política respecto a su uso. Según un estudio SANS 2013, las organizaciones deberían considerar desarrollar una política de dispositivos móviles que aborde los siguientes temas: uso de la cámara, uso de grabación de voz, compras de aplicaciones, cifrado en reposo, configuración de conexión automática Wi-Fi, configuración de Bluetooth, uso de VPN, configuración de contraseña, pérdida o robo informes de dispositivos y copia de seguridad. [3]

    Además de las políticas, hay varias herramientas diferentes que una organización puede utilizar para mitigar algunos de estos riesgos. Por ejemplo, si un dispositivo es robado o perdido, el software de geolocalización puede ayudar a la organización a encontrarlo. En algunos casos, incluso puede tener sentido instalar software de eliminación remota de datos, que eliminará datos de un dispositivo si se convierte en un riesgo de seguridad.


    Usabilidad

    Cuando buscan proteger los recursos de información, las organizaciones deben equilibrar la necesidad de seguridad con las necesidades de los usuarios para acceder y utilizar estos recursos de manera efectiva. Si las medidas de seguridad de un sistema dificultan su uso, entonces los usuarios encontrarán formas de evitar la seguridad, lo que puede hacer que el sistema sea más vulnerable de lo que hubiera sido sin las medidas de seguridad. Considera las políticas de contraseña. Si la organización requiere una contraseña extremadamente larga con varios caracteres especiales, un empleado puede recurrir a escribirla y guardarla en un cajón ya que será imposible de memorizar.

    Seguridad de la información personal

    Cartel de la iniciativa de seguridad Stop.Think.Connect.
    Póster Store.Think.Connect. (click para agrandar)

    Como tema final de este capítulo, considere qué medidas podemos tomar cada uno de nosotros, como usuarios individuales, para asegurar nuestras tecnologías informáticas. No hay manera de tener 100% de seguridad, pero hay varios pasos simples que cada individuo puede tomar para estar más seguro.

    • Mantenga su software actualizado. Siempre que un proveedor de software determine que se ha encontrado una falla de seguridad en su software, se lanzará una actualización para que pueda descargar el parche para solucionar el problema. Debes activar la actualización automática en tu computadora para automatizar este proceso.
    • Instala el software antivirus y manténgalo actualizado. Hay muchos buenos paquetes de software antivirus en el mercado hoy en día, incluyendo algunos que son gratuitos.
    • Sé inteligente acerca de tus conexiones. Debes estar al tanto de tu entorno. Al conectarse a una red Wi-Fi en un lugar público, tenga en cuenta que podría correr el riesgo de ser espiado por otros que comparten esa red. Es recomendable no acceder a tus datos financieros o personales mientras estás conectado a un hotspot Wi-Fi. También debes tener en cuenta que conectar unidades flash USB a tu dispositivo también podría ponerte en riesgo. No conecte una unidad flash desconocido a su dispositivo a menos que pueda escanearla primero con su software de seguridad.
    • Copia de seguridad de tus datos. Así como las organizaciones necesitan hacer una copia de seguridad de sus datos, las personas también lo necesitan. Se aplican las mismas reglas. Es decir, hágalo regularmente y guarde una copia de la misma en otra ubicación. Una solución simple para esto es configurar una cuenta con un servicio de respaldo en línea para automatizar sus copias de seguridad.
    • Asegure sus cuentas con autenticación de dos factores. La mayoría de proveedores de correo electrónico y redes sociales ahora tienen una opción de autenticación de dos factores. Cuando inicias sesión en tu cuenta desde una computadora desconocida por primera vez, te envía un mensaje de texto con un código que debes ingresar para confirmar que realmente eres tú. Esto significa que nadie más puede iniciar sesión en tus cuentas sin conocer tu contraseña y tener tu teléfono móvil con ellas.
    • Haga que sus contraseñas sean largas, seguras y únicas. Tus contraseñas personales deben seguir las mismas reglas que se recomiendan para las organizaciones. Tus contraseñas deben ser largas (al menos 12 caracteres aleatorios) y contener al menos dos de los siguientes: letras mayúsculas y minúsculas, dígitos y caracteres especiales. Las contraseñas no deben incluir palabras que puedan estar vinculadas a su información personal, como el nombre de su mascota. También debes usar diferentes contraseñas para diferentes cuentas, de modo que si alguien te roba tu contraseña para una cuenta, todavía están bloqueadas fuera de tus otras cuentas.
    • Desconfíe de enlaces y archivos adjuntos extraños. Cuando reciba un correo electrónico, un tweet o una publicación en Facebook, sospeche de los enlaces o archivos adjuntos incluidos allí. No haga clic en el enlace directamente si sospecha del todo. En cambio, si quieres acceder al sitio web, búscalo tú mismo con tu navegador y navega hasta él directamente. El virus I Love You se distribuyó por correo electrónico en mayo del 2000 y contenía un archivo adjunto que al abrirse se copiaba en numerosas carpetas en la computadora del usuario y modificaba la configuración del sistema operativo. Se estima que se vieron afectadas 50 mil computadoras, todo lo cual podría haberse evitado si los usuarios hubieran seguido la advertencia para no abrir el archivo adjunto.

    Puedes encontrar más sobre estos pasos y muchas otras formas de estar seguro con tu computación yendo a Stop. Piensa. Conectar. Este sitio web es parte de una campaña del STOP. PENSAR. CONECTAR. Convención de mensajería en asociación con el gobierno de Estados Unidos, incluida la Casa Blanca.


    Resumen

    A medida que los recursos de computación y redes se han convertido en una parte más integral del negocio, también se han convertido en blanco de delincuentes. Las organizaciones deben estar atentas con la forma en que protegen sus recursos. Lo mismo es cierto para los individuos. A medida que los dispositivos digitales se entrelazan más en la vida de todos, se vuelve crucial que cada persona entienda cómo protegerse.


    Preguntas de Estudio

    1. Definir brevemente cada uno de los tres miembros de la tríada de seguridad de la información.
    2. ¿Qué significa el término autenticación?
    3. ¿Qué es la autenticación multifactor?
    4. ¿Qué es el control de acceso basado en roles?
    5. ¿Cuál es el propósito del cifrado?
    6. ¿Cuáles son dos buenos ejemplos de una contraseña compleja?
    7. ¿Qué es el pretexto?
    8. ¿Cuáles son los componentes de un buen plan de respaldo?
    9. ¿Qué es un firewall?
    10. ¿Qué significa el término seguridad física?

    Ejercicios

    1. Describa un método de autenticación multifactor que haya experimentado y discuta los pros y los contras de usar la autenticación multifactor.
    2. ¿Cuáles son algunos de los últimos avances en tecnologías de encriptación? Realice algunas investigaciones independientes sobre el cifrado utilizando recursos académicos o profesionales, luego escriba un documento de dos a tres páginas que describa al menos dos nuevos avances en la tecnología de cifrado.
    3. Encuentra artículos favorables y desfavorables tanto sobre blockchain como sobre bitcoin. Informe sus hallazgos, luego extienda su propia opinión sobre estas tecnologías
    4. ¿Cuál es la política de contraseñas en tu lugar de empleo o estudio? ¿Tienes que cambiar las contraseñas de vez en cuando? ¿Cuáles son los requisitos mínimos para una contraseña?
    5. ¿Cuándo fue la última vez que hizo una copia de seguridad de sus datos? ¿Qué método usaste? En una o dos páginas, describe un método para hacer copias de seguridad de tus datos. Pregúntale a tu instructor si puedes obtener crédito extra por hacer una copia de seguridad de tus datos.
    6. Encuentra la política de seguridad de la información en tu lugar de empleo o estudio. ¿Es una buena política? ¿Cumple con los estándares señalados en el capítulo?
    7. ¿Qué tan diligente es usted en mantener segura su propia información? Revise los pasos enumerados en el capítulo y comente su estado de seguridad.

    Laboratorios

    1. El Cifrado César. Uno de los métodos de encriptación más antiguos fue utilizado por Julio César e implicaba simplemente cambiar el texto de un número específico de posiciones en el alfabeto. El número de posiciones cambiadas se conoce como la clave. Entonces una clave = 3 cifraría ZOO a CRR. Descifrar el siguiente mensaje que tiene una clave = 3: FRPSXWHU
    2. El Cifrado Vigenere. Este cifrado fue utilizado tan recientemente como la Guerra Civil por las fuerzas confederadas. La clave es un poco más compleja que el Cipher César. Vigenere utilizó el número de letras después de 'A' para su llave. Por ejemplo, si la clave = COD, la primera letra del cifrado se desplaza 2 caracteres (porque “C” es 2 letras después de la letra 'A'), la segunda letra se desplaza 14 letras (O siendo 14 letras después de 'A'), y la tercera letra se desplaza 3 letras (siendo D 3 letras después de 'A'). Después se repite el patrón para las letras subsiguientes. Descifrar el siguiente mensaje que tiene una clave = COD: YSPGSWCHGCKQ
    3. Análisis de Frecuencia y Patrones. Si alguna vez has visto Wheel of Fortune sabes que los concursantes buscan patrones y frecuencias al tratar de resolver un rompecabezas. Tu trabajo en este laboratorio es analizar frecuencia de letras y patrones de letras para determinar el mensaje de texto plano que en este caso es una sola palabra. La clave es una simple sustitución donde la misma letra en texto plano siempre da como resultado la misma letra en el texto cifrado. Las letras más utilizadas en el idioma inglés son: E, A, O, I, T, S, N. El análisis de patrones incluye conocer palabras que tienen letras dobles como “escuela”. Otros patrones incluyen “ing” al final de una palabra, “qu” y “th” como pares de letras.CypherText = caggj ¿Cuál es la clave y el texto plano?

    1. Gallagher, S. (2012, 3 de noviembre). Nacido para ser violado. Arstechnica. Recuperado a partir de http://arstechnica.com/information-t...e-most-common/
    2. Instituto SANS. (n.d.). Plantillas de Política de Seguridad de la Información. Recuperado de www.sans.org/security-resourc... icy_Primer.pdf en 31 de mayo de 2013.
    3. SANS. (n.d.). PUNTUACIÓN: Listas de verificación y guías paso a paso. Recuperado de www.sans.org/score/checklists... -checklist.xls
    4. Iansiti, M. y Lakhani, K. R. (2017, enero). La verdad sobre blockchain. Harvard Business Review. Recuperado a partir de https://hbr.org/2017/01/the-truth-about-blockchain
    5. Wikipedia. (n.d.). Bitcoin. Harvard Business Review. Recuperado a partir de https://en.Wikipedia.org/wiki/Bitcoin
    6. Fernandes, B. (2017, 20 de octubre). Entrevista telefónica personal

    This page titled 6: Seguridad de los Sistemas de Información is shared under a CC BY-NC 4.0 license and was authored, remixed, and/or curated by David T. Bourgeois, James L. Smith, Shouhong Wang & Joseph Mortati (Saylor Foundation) via source content that was edited to the style and standards of the LibreTexts platform.