POLITICAS DE SEGURIDAD EN LA INFORMACIÓN DIGITAL

11 Nov 2019

Se considera que la información es el patrimonio principal de toda Institución,

Por lo que se deben aplicar medidas de seguridad para protegerla y estar preparados para afrontar contingencias y desastres de diversos tipos.

El centro de gravedad en la Auditoria de Sistemas es la “Seguridad de la información”

 

Política

Una política dentro de seguridad en computo, es semejante a un código de conducta para la utilización adecuada de un sistema de computo.

Debe especificar las actividades que no son permitidas, los pasos a seguir para obtener la protección adecuada así como los pasos en caso de presentarse un incidente de seguridad, además establece responsabilidades y derechos.

Es necesario que la institución defina por escrito políticas de seguridad,

Las políticas de seguridad deben ser definidas por los funcionarios de alto nivel,

Como las normas de personal o de contratación, las normas o política de seguridad constituyen un documento fundamental para una empresa que se apoye en computadoras.

Se ha de fijar la responsabilidad de cada nivel dentro de la organización respecto a las medidas de seguridad.

Definición de responsabilidades para la Seguridad de Datos, Sistemas y Programas.

Las responsabilidades específicas para la protección de los datos, sistemas, programas, unidades de equipo, etc. deben ser firmemente mantenidos si se desea una seguridad adecuada.

Los Auditores internos y el personal de seguridad deben revisar que se les dé una adecuada protección a los datos. Debido a que ellos no tienen control físico sobre esto, no pueden tener la responsabilidad principal de su cuidado, pero sí del cumplimiento de las normas y procedimientos de seguridad.

 

SEGURIDAD FÍSICA

 

Según los informes estadísticos el 70% de los ataques son generados por empleados descontentos con la organización para la que trabajan.

El personal relacionado con los sistemas informáticos es, en la mayoría de los casos, quien mejor conoce cómo funcionan y qué debilidades tienen, además de tener en su mente multitud de contraseñas vitales.

Los ataques podrían realizarse, incluso, utilizando las propias estaciones de trabajo.

 

FINALIDAD DE LA SEGURIDAD FÍSICA

 

El objetivo principal de las medidas de seguridad física es proteger al personal que labora con material de cómputo,

Establecer procedimientos para la protección de los equipos e

Impedir el acceso de personal no autorizado a los ambientes en los que se ubiquen los dispositivos de cómputo, de comunicación de datos, líneas de transmisión y medios de almacenamiento.

 

APLICACIONES DE LA SEGURIDAD FÍSICA

 

Los puntos básicos que debe contemplar la seguridad física son:

o   Construcción de instalaciones y sistemas de aire acondicionado.

o   Control de accesos.

o   Detección de intrusos.

o   Sistemas contra incendios.

o   Sistemas para suministro ininterrumpido de energía eléctrica.

o   Riesgo de inundación

o   Vibraciones y terremotos

o   Tormentas eléctricas

 
SEGURIDAD DE LA INFORMACION

 

Una plataforma requiere seguridad que sea lo suficientemente rigurosa para proteger la información crucial de un sabotaje, pero a la vez lo suficientemente flexible para que los usuarios autorizados puedan asignar diferentes niveles de acceso a documentos individuales.

Ladrones, manipuladores, saboteadores, espías, etc. reconocen que el centro de cómputo de una institución es su nervio central, que normalmente tiene información confidencial y que, a menudo, es vulnerable a cualquier ataque.

La seguridad de la información tiene dos aspectos.

1) negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales.

2) garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.

 

CONCEPTOS BASICOS DE SEGURIDAD EN LA INFORMACION

La clave para la seguridad en un sistema distribuido es la encriptación.

El standard de industria para acceder a directorios esta basado en la tecnología de encriptación RSA de llaves públicas, reconocida como el único sistema de encriptación que no tiene características que puedan comprometerla.

Utilizando la criptografía y otras facilidades de seguridad, podemos determinar cuatro niveles de seguridad: autenticación, control de acceso, privacidad de nivel de campo  y firmas digitales.

Autenticación

La autenticación es la forma en que un usuario es identificado confiablemente.  La autenticación se utiliza cada vez que un usuario o un servidor, o dos servidores se están comunicando mutuamente.

Control de acceso

Una lista de control de acceso (ACL) regula quien tiene acceso a cuales recursos y que tipos de acceso están permitidos (ej. Componer, leer, escribir, eliminar

Firmas digitales

Frecuentemente, los usuarios deben verificar que la información que reciben les fue realmente enviada por el promotor listado en el documento. 

Las firmas digitales garantizan a los usuarios que un mensaje dado está enviado por el promotor que indica. 

Esta es una forma de autenticación de usuario a usuario.

Riesgo

El riesgo es la posibilidad de que un intruso pueda tener éxito al tratar de acceder de manera ilegal una red

En general, los efectos producidos por acceso ilegal de un intruso se encuentran en los siguientes tres grupos:

  • Efectos producidos por acceso a lectura.-  Leer o copiar información de las máquinas de una red de manera ilícita.
  • Efectos producidos por acceso a escritura.- Escribir o destruir datos pertenecientes a una red, incluyendo la inclusión de virus, puertas traseras, caballos de Troya, etc.
  • Efectos producidos por la negación de servicios.- Negación del uso normal de los recursos por el consumo total de la capacidad de CPU de memoria.

Vulnerabilidad

Esencialmente significa la forma de cuan protegida esta la red de cualquier ataque externo para ganar acceso  ilegal  a ella, y de la forma de cuan protegida se encuentra de alguien dentro de la misma red.

Amenazas a un Sistema

·         Monitoreo, significa que el intruso simplemente lee la información.  Existen hoy día muchos productos tales como analizadores de LAN(red de área local), analizadores de red, analizadores de protocolo y analizadores de WAN (red de área extensa) que pueden obtenerse con un desembolso relativamente pequeño. 

·         Modificación, significa que la información es manipulada en alguna forma durante la fase de transmisión.

·         Mensaje demorado, significa que la información es grabada y enviada con retraso, pudiendo el retraso ser perjudicial para el receptor.

  • Repetición del mensaje, significa que la información es grabada por un intruso y enviada nuevamente más tarde.  La duplicación de ciertos mensajes puede crear confusión y dar inicio a falsas acciones o medidas por parte del destinario del mensaje

 

Control de acceso a la Información

Se deberá considerar la existencia de :

Programas de Control. Deben existir programas protegidos que mantengan y controlen a los usuarios y sus derechos de acceso, ya sea por grupos o individualmente.

El uso de tal programa puede conferir al usuario algunos de los privilegios que corresponden al controlador de dichos programas..

Palabra de Acceso (Password). Es una palabra especial o código que debe teclearse al sistema de computadora antes que se realice un proceso.

Constituye un procedimiento de seguridad que protege los programas y datos contra los usuarios no autorizados.

La identificación de un individuo debe ser muy difícil de imitar y copiar. Deben de existir políticas de seguridad al respecto.

El sistema de computación debe cerrarse después que un individuo no autorizado falle dos veces al intentar ingresar una clave de acceso.

Niveles de Acceso. Los programas de control de acceso deberán identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso están referidos a la lectura o modificación en sus diferentes formas.

De acuerdo a ello se tienen los siguientes niveles de acceso a la información:

·         Nivel de consulta de la información no restringida o reservada.

·         Nivel de mantenimiento de la información no restringida o reservada.

·         Nivel de consulta de la información incluyendo la restringida o reservada.

·         Nivel de mantenimiento de la información incluyendo la restringida.

Destrucción

Sin adecuadas medidas de seguridad las empresas pueden estar a merced no sólo de la destrucción de la información sino también de la destrucción de su equipo informático.

La destrucción del equipo puede darse por una serie de desastres como son: incendios, inundaciones, sismos, o posibles fallas eléctricas, etc.

Cuando se pierden los datos y no hay disponibles copias de seguridad, se han de volver a crear los datos o trabajar sin ellos.

Para evitar daños mayores al ser destruida la información, debe hacerse backups de la información vital para la empresa y almacenarse en lugares adecuadamente preparados para ese fin y de preferencia aparte del local donde se encuentran los equipos que usualmente lo manejan.

Por ejemplo: hay casos en los que, empleados que han sido recientemente despedidos o están enterados que ellos van a ser despedidos, han destruido o modificado archivos para su beneficio inmediato o futuro.

Nuestra mejor protección contra la pérdida de datos consiste en hacer copias de seguridad, almacenando copias actualizadas de todos los archivos valiosos en un lugar seguro.

Las empresas deben tener muy en cuenta los siguientes puntos para la protección de sus datos de una posible contingencia.

1. Hacer de la copia de seguridad una política, no una opción.

2 . Hacer que la copia de seguridad resulte deseable.

3 . Facilitar la ejecución de la copia de seguridad (equipos adecuados, disponibilidad, suministros).

4. Hacer la copia de seguridad obligatoria.

5 . Asegurarse de que los usuarios cumplen la política de copias de seguridad (Política de Auditoría a las Copias de Seguridad).

 

REVELACIÓN O INFIDENCIA

La revelación o infidencia es otra forma que utilizan los malos empleados para su propio beneficio.

La información, que es de carácter confidencial, es vendida a personas ajenas a la institución.

Para tratar de evitar este tipo de problemas se debe tener en cuenta lo siguiente:

Control del uso de información en paquetes abiertos o cintas y otros datos residuales

La información puede ser conocida por personas no autorizadas, cuando se deja en paquetes abiertos o cintas que otras personas pueden usar.

Se deben tomar medidas para deshacerse del almacenaje secundario de información importante o negar el uso de ésta a aquellas personas que pueden usar mal los datos residuales de éstas.

Mantener datos sensitivos fuera del trayecto de la basura

El material de papel en la plataforma de la descarga de la basura puede ser una fuente altamente sensitiva de recompensa para aquellos que esperan el recojo de la basura. Los datos sensitivos deben ser apartados de este procedimiento para tener una mayor seguridad de protección de la información, cuando éstos son descartados o eliminados, debiendo recurrirse a destructores o picadoras de papel.

Preparar procedimientos de control para la distribución de información

Una manera de controlar la distribución y posible diversificación de información, es mantener un rastro de copias múltiples indicando confidencialidad o usando numeración como "Pág. 1 de 9".

Determinar procedimientos para controlar los programas de aplicación

Adicionalmente a proteger sus programas de Aplicación como activos, es a menudo necesario establecer controles rígidos sobre las modificaciones a los programas, para estar seguros de que los cambios no causan daños accidentales o intencionados a los datos o a su uso no autorizado.

Magíster en Informática, Estrategia, Administración y Negocios, con varios cursos de perfeccionamiento y postgrados en el país y el extranjero. Ejerce la docencia en diferentes Escuelas de Postgrado con más de 20 años de experiencia profesional en Cooperación Internacional y entidades del Estado en las áreas de tecnologías de información, comercio electrónico, gestión de crisis, electrónica, administración, logística, planeamiento estratégico, proyectos y licitaciones.

Alfredo Carpio Ramírez

https://www.alfredocarpio.com

Alfredo Carpio Ramírez

© 2022 Instituto de Estudios Histórico - Marítimos del Perú