7 Factores Integrales de la Seguridad de la Información

Introducción

La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información.

En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa.

El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier persona pueda tomar conocimiento respecto a los siguientes factores (Humano, Externos, Organización y Métodos, Hardware, Software, Inmobiliario, Evolutivo).


Factores Integrales de la Seguridad de la Información


El Factor Humano

Es considerado como factor primordial en la pirámide de seguridad, sin duda es uno de los elementos más expuestos en un sistema de tratamiento de información, las personas son objetivo y blanco habitual de los delincuentes informáticos, innumerables fraudes se han realizado explotando este factor, dado esto la ingeniería social debe ser conocida como una vulnerabilidad y por lo tanto una constante amenaza que debe ser mitigada conforme al riesgo que significa. La falta de capacitación y concientización por parte de las personas que operan, utilizan e incluso administran sistemas de información demuestran que tanto en entornos personales como corporativos no se utilizan buenas prácticas respecto al tratamiento de la información.

Desde otra óptica, lejos de tomar el factor humano como punto de explotación, cabe señalar que es el mismo factor humano el que busca y explota los sistemas de información aprovechando la ausencia de controles buenas prácticas, es decir, las personas de manera deliberada comenten acciones con el ánimo de defraudar, esto sucede manera externa o interna en una organización, e incluso en un entorno familiar existen casos en que es un integrante de la familia el que defrauda a otro. En entornos corporativos habitualmente se busca la segregación funcional y la contra oposición de intereses a fin de generar los controles que permitan reducir los riesgos de malversación e ilícitos tipificado por la legislación de cada país, en alusión a esto es conocida la frase que cuando el gerente se pone de acuerdo con el contador se llevan la empresa para la sus casas, siendo un claro ejemplo de por qué la importancia del factor humano.

Respecto al funcionamiento continuo de un sistema de tratamiento de información cabe señalar que el factor humano juega un rol bastante relevante, ya que son personas las que interactúan día a día con sistemas los computacionales, son ellos los que deben tomar decisiones las cuales podrían afectar a la continuidad del negocio, o bien los operadores de sistemas que en el ejercicio de sus responsabilidades pueden cometer un error que afecte a la línea productiva de toda la organización, a esto se le denomina riesgo inherente, el cual está presente en toda actividad, el cual en la mayoría de las ocasiones no es considerado.

Luego de este análisis del factor humano revisemos alguno de los errores habituales que suele encontrarse en el entorno de una mediana empresa:

1.- Computadores Personales desatendidos: Es común ver en una organización escritorios vacios a los cuales cualquier persona puede acceder e interferir un sistema de información por el solo hecho de que el acceso está abierto o por la ausencia de un protector de pantalla con protección de contraseña, veamos algunas imágenes de esto:

2.- Contraseñas Compartidas: Para los usuarios es común compartir contraseñas con las cuales acceden a los sistemas y no consideran que esto pueda generar un problema a la organización o que esta acción los pudiera perjudicar de alguna manera. Las contraseñas deben ser en todo momento personales e intransferibles, sin embargo, en los períodos de vacaciones las malas prácticas se acrecientan ya que los funcionarios comparten sus contraseñas con sus colegas durante están ausentes.

3.- Uso de Dispositivos Extraíbles: La proliferación de esta tecnología ha traído consigo riesgos importantes para las organizaciones, es habitual que un usuario posea uno o más dispositivos de almacenamiento de información con el cual transportan datos de un computador a otro. Las personas trasladan información corporativa para continuar sus actividades laborales en la comodidad del hogar, o bien transportan música y juegos desde sus computadores personales al entorno corporativo sin saber que muchas veces llevan en ellos virus informáticos producto de la exposición del dispositivo a computadores desprotegidos, normalmente estos son gobernados por usuarios temerarios que descargan todo y cuanto encuentra en interne, sin tener consciencia de los riesgos que esto conlleva.

Este tipo de tecnología proporciona funcionalidades fantásticas en lo que respecta a la capacidad de almacenamiento y portabilidad, sin embargo, son estas mismas características las que provocan que se considere esta tecnología propicia para la fuga de información, un usuario mal intencionado podría robarse bases de datos completas producto de la ausencia de controles que prohíban su uso.
Simplemente no basta con que una organización se preocupe de la información impresa, o de lo que sus usuarios envían por correo electrónico, sino que deben cubrir una gran cantidad de escenarios en el que las personas son el factor de explotación de una vulnerabilidad.


El Factor Externo: 


Este factor se define como toda relación existente entre una organización con empresas de outsourcing que generan prestaciones de servicio, proveedores, clientes, entidades reguladoras y otros, el concepto implica un alto flujo de información en ambos sentidos, pudiendo en muchas ocasiones filtrarse información relevante de una organización.
Es importante que las empresas suscriban acuerdos de confidencialidad al momento de iniciar operaciones con terceros. En el caso de los servicios de outsourcing existe un riesgo más amplio ya que el cliente entrega concesiones respecto a servicios directamente involucrados con el tratamiento de la información, control de acceso físico o servicios que implican visita constante de personal externo a las dependencias de una institución, a continuación analizamos algunos de estos servicios y los riesgos que estos conllevan. 

Servicios de Soporte Técnico: Este es uno de los servicios que habitualmente se tercerizan, normalmente el personal técnico de terceros no es capacitado en directrices de confidencialidad de la información, a estas empresas se les otorga acceso a la Red de Datos corporativa a fin de que puedan ofrecer sus servicios de soporte remoto, esto implica que terceros accedan a nuestros sistemas de información, todos los modelos eficientes de operación implican que la empresa externa trabaje directamente con el usuario final, quién reporta problemas a una mesa de servicio,  pudiendo ser una incidencia en su estación de trabajo o algún sistema corporativo en particular. En el caso de que las estaciones de trabajo deban ser revisadas en terreno se otorga acceso físico irrestricto, pudiendo el tercero ver, trasladar y respaldar información con el fin de cumplir el servicio contratado.

Banco de Datos: Una de las prácticas recomendadas en la Seguridad de la Información, es que deben existir respaldos de información  almacenados fuera de las dependencias corporativas, a fin de contar con la información necesaria para restablecer la operación del negocio en caso de que ocurra un siniestro que deje inhabilitado los sistemas de información, esto implica, que nuestras bases de datos, sistemas o más bien, información sensible sea enviada a un tercero con el objeto de ser almacenada. En este punto muchas empresas envían su información sin que esta posea algún mecanismo que impida la lectura por parte de un tercero, es recomendable cifrar la información antes de enviarla a un Banco de Datos.

Enlaces de Datos: Las organizaciones con operaciones en distintas regiones o localidades deben contratar los servicios de terceros para contar con una red de área local extendida, este tipo de red permite utilizar los sistemas de información internos,  aunque en el mercado existen soluciones para evitar este escenario es sin duda el de mayor proliferación, el riesgo mayoritariamente se encuentra  en que nuevamente son terceros los que juegan un rol en el tratamiento de la información, en este caso en particular estos administran la comunicación de las distintas sucursales u oficinas dentro de una organización. Perfectamente el proveedor puede interceptar datos que se transmiten de un computador a otro.
Las organizaciones que contratan servicios de comunicaciones están afectas a la rotación del personal del proveedor del servicio, a una deficiente administración de contraseñas de equipos de comunicación que en algunos casos utilizan contraseñas genéricas y que con el tiempo han oasadi a ser parte del dominio público.



Servicios de Aseo: El contratar servicios de aseo externos cada día es más habitual, ya sea por que el servicio se ha especializado o este tiene un menor costo monetario y administrativo para las empresas. Independiente de la ventaja que ha llevado a las organizaciones a tomar este camino debe considerar que existen riesgos en el uso de los mismos, a continuación nombramos algunos de estos y su respectiva contramedida.


  • Acceso físico a estaciones de trabajo: En muchas organizaciones el personal de aseo actúa antes, durante y luego de la jornada ordinaria de trabajo, esto permite al personal externo acceder de manera física a nuestras estaciones de trabajo sin la presencia de ojos que evalúen sus acciones, la acciones recomendadas para evitar posibles pérdidas de información son:
      • Estaciones de Trabajo con clave de acceso al encenderlas.
      • Estaciones de Trabajo con candado físico para ser abiertas.
  • Acceso físico a información Impresa: Es común encontrar en los escritorios documentos sensibles que el responsable de su custodia no ha tenido la precaución de poner bajo llave, o bien la destrucción de contratos, liquidaciones de sueldo, propuestas económicas u otra información sensible no es destruida adecuadamente antes de ser depositada en los basureros, destruir correctamente documentos e información personal antes de botarlos a la basura ayuda a prevenir el robo de identidad y posibles estafas por mal uso que terceros pueden hacer de nuestra información.
Servicios de Seguridad: Al igual que los servicios de aseo, externalizar el rol de los guardias de seguridad, conlleva igual cantidad riesgos, ya que por definición no se desconfía de este tipo personal, sino al contrario se confía tácitamente en ellos, sin generalizar ni menoscabar la valía de las personas, cabe señalar que las condiciones de mercado, educación y situación particular, permite corromper a estas personas para que cometan un ilícito o bien las mismas son las que producto de la falta de control y/o descontento social se aprovechan de las ausencias de control para sacar partido ante una situación.

Factor Organización y Métodos:

Implica definir adecuadamente la estructura organizacional, las empresas deben considerar adecuadas estructuras jerárquicas y funcionales en las cuales las responsabilidades estén correctamente definidas y entendidas por todos sus funcionarios. Es relevante aplicar conceptos como la segregación de funciones y la contra oposición de intereses a fin de mantener un control que permita reducir riesgos en los procesos y en el actuar de las personas.
Al revisar cualquier proceso de una organización, podremos encontrar en que muchas veces las personas que autorizan son las mismas que ejecutan determinadas tareas, ejemplo de esto son la firma de cheques, la creación de cuentas de usuario, la aprobación de presupuestos y la contratación de servicios entre otros.
Las descripciones de cargo son una herramienta que apoyan a las organizaciones en el control y  en la definición de elementos como la Gerencia y Unidad de la que depende un funcionario, a quién este le reporta, los cargos que tiene de su dependencia, así como un detalle de las actividades y responsabilidades asociadas a cada funcionario.
En organizaciones con mayor nivel de madurez existen perfiles de usuarios y es en base a estos se establecen los niveles de acceso que se otorgan a cada persona, los sistemas que podrá utilizar o qué y cual información puede ver o modificar. Un modelo correcto a seguir es que los permisos sobre el acceso a la información sean revisados y otorgados analizando caso a caso.

Factor Hardware

El Hardware es uno de los elementos básicos en el tratamiento de la información, por si solo es un activo con capacidad de procesamiento de datos, pero que combinados con el software y las personas pasa a ser un activo destinado a apoyar las funciones del negocio.
Las estaciones de trabajo dada su actual capacidad de almacenamiento de archivos y capacidad de procesamiento deben ser controladas a fin de evitar riesgos de  usos no autorizados.
El hardware está expuesto a distintas amenazas como son la ausencia de fuentes de energía,  malas condiciones ambientales las cuales pueden provocar un mal funcionamiento, catástrofes naturales, hurtos y actos de vandalismo deliberados, entre otros.
Es necesario que las organizaciones implementen y mantengan controles mínimos a fin de asegurar que sus equipos de procesamiento de datos se comporten de manera adecuada y estén debidamente resguardados, a continuación se muestran algunos de estos controles:

Control de Acceso Físico
             
Monitoreo

Fuente de Alimentación Ininterrumpida
Control de Variables del Entorno
          
Adecuadas Instalaciones Eléctricas

El Factor Software:

El Software es el elemento que nos permite procesar la información, a través de este constantemente estamos generando, modificando o eliminando información (datos).  El mismo es un activo intangible para toda organización el cual debe ser bien utilizado y controlado, lamentablemente cuando se diseñan los sistemas de información escasa vez se consideran los aspectos de seguridad, sino que son creados con el objetivo de prestar funcionalidad, en esta categoría entran los sistemas contables, los ERP, los CRM y todo aplicativo de propósito específico, en el mismo ámbito encontramos los sistemas operativos que desde sus inicios fueron desarrollados con el objeto de prestar funcionalidad, sin embargo, con el paso del tiempo las distintas empresas dedicadas a este negocio han incorporado paulatinamente los conceptos de seguridad de la información.
El software es constantemente atacado en busca de vulnerabilidades y la técnica de ataque al igual que los sistemas ha evolucionado en el tiempo, los principales riesgos a los que están expuestas las organizaciones frente a este factor son:
·         Software ilegal, este es obtenido a través de medios informales y suele venir acompañado de programas maliciosos el cual se alberga en nuestros sistemas sin que las personas se den cuenta.
·         Software Legal, está afecto a vulnerabilidades que son explotadas por delincuentes informáticos, es común que cualquier sistema que es lanzado al mercado al poco tiempo los delincuentes informáticos encuentran maneras de vulnerarlos, es por ello que constantemente los fabricantes proporcionan actualizaciones que permiten corregir fallas de la programación original.
·         Sistemas corporativos desarrollados a medida, estos sistemas se realizan con un propósito específico, pero la metodología utilizada por las empresas normalmente presenta falencias en el diseño e incluso en la implementación del mismo.

El Factor Inmobiliario:

Este elemento no solo afecta a la seguridad de la información sino que también está relacionado directamente con la seguridad de los recursos humanos, en muchas organizaciones existe un deficiente tratamiento de este factor, es cotidiano encontrar fuentes de energías que son un peligro dada la posibilidad de que generen incidentes como incendios u otro tipo de  accidente laboral, a continuación se presenta una serie de imágenes que permiten evidenciar prácticas que no se deben utilizar:
 
La existencia de extintores es de uso obligatoria en los ambientes laborales, sin embargo, las empresas deben contar con equipos autorizados y adecuadamente ubicados, los siguientes son imágenes de equipos prohibidos en Chile y donde algunos de ellos permanecen sin un soporte que los separe del suelo.

El Factor Evolutivo:

Este factor se plantea con el objeto de que todos los elementos anteriores deben ser considerados de manera que puedan ser corregidos conforme el paso del tiempo, es decir, se propone que los elementos antes revisados se vean envueltos en un proceso de mejora continua, a fin de que con cada interacción mejore el clima y el control sobre estos.

Conclusiones

Luego de haber revisado los 7 factores propuestos, se puede concluir que todas las organizaciones están expuestas a una enorme cantidad de riesgos, estos deben ser tratados de manera conjunta a fin de garantizar que las mejoras se complementen y que con el paso del tiempo se puedan alcanzar niveles aceptables de riesgo.
La Seguridad de la Información puede verse afectada de muchas formas, no basta con solucionar un problema ahora, sino que el tratamiento del riesgo y la mejora de los factores debe ser una actividad constante en toda organización.

 

Comentarios

Angie ha dicho que…
Hola he estado buscando información sobre los 7 factores integrales de seguridad de la información y me tope con tu blog que está muy bueno, ahora quiero saber cual es la bibliografía de donde sacaste la información, existe alguna?
25 de junio de 2012, 11:06
Unknown ha dicho que…
Hola quisiera saber de que autor y nombre del libro se han basado para la descripción de este tema, es muy importante para mi. Gracias
23 de agosto de 2016, 17:49
Publicar un comentario

Entradas populares de este blog

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p
Leer más

QAT: Quality Assurance Test / UAT: User Acceptance Testing

QAT se enfoca en las especificaciones de documentación y en la tecnología empleada, verifica que la aplicación función como se documentó por medio de pruebas de diseño lógico y la tecnología misma. Asegura que la aplicación reúna las especificaciones técnicas documentadas y los productos. QAT se ejecuta en primera instancia por el dpto. SI. La participación del usuario final es mínima y a solicitud. No se enfoca a las pruebas de funcionalidad. UAT soporta el proceso de asegurar que el sistema esté listo para producción y que el mismo satisfaga todos los requisitos documentados. Los métodos incluyen: Definición de las estrategias y procedimientos de prueba   Diseño de casos y escenarios de prueba Ejecución de pruebas   Utilización de los resultados para verificar la preparación del sistema Los criterios de aceptación son criterios definidos que deben ser satisfechos por un producto para satisfacer las necesidades predefinidas del usuario. Un plan UAT debe ser documentado para
Leer más