Seguridad de la Información
Una problemática complementaria
La motivación por la seguridad de la información ha sido importante desde siempre, y se ha visto notablemente incrementada en los últimos tiempos. El uso de Internet y correo electrónico, la internet de las cosas y los dispositivos móviles que hoy nos permiten realizar transacciones bancarias en tiempo real, son tecnologías cada vez más demandadas. Y no son ajenas a las problemáticas de seguridad.
Juan Fanjul, Director ejecutivo de VLX Electrónica
Abordaremos el tema describiendo las generalidades de lo que se conoce como Seguridad de la Información, aunque no sin profundizar en detalle algunos conceptos a la tecnología que podrían resultan extensos y relativamente complejos para el lector, (algoritmos de criptografía, conceptos de firma digital, servidores proxy, firewalls); dejando como tarea la inquietud para quienes deseen profundizar estos aspectos. De todos modos, asumiremos que son conceptos conocidos para aquellos que están vinculados al mundo de la seguridad en general y a las nuevas tecnologías en particular.
La información es un activo estratégico intangible, y un elemento fundamental de las organizaciones; y ciertamente es un error considerar no está expuesta a ningún riesgo.
Cuando hablamos de Seguridad de la información nos referimos principalmente a cuatro aspectos: Disponibilidad, Integridad, Confidencialidad y No Repudio.
En la gestión de estos componentes (y la interacción de ellos entre sí) radica la mayor parte de las tareas relacionadas a esta disciplina.
Describiremos brevemente cada uno de ellos:
Confidencialidad: Se debe evitar el acceso a la información por parte de entidades no autorizadas.
Integridad: Busca mantener los datos libres de modificaciones no autorizadas, garantizando que los mismos resulten confiables.
Disponibilidad: Permite que la información sea accesible en el momento deseado.
No repudio: Busca que la autenticidad de un mensaje no pueda ser rechazada.
En la práctica encontramos amenazas asociadas a factores físicos (incendios), humanos (errores de operación, robo de información), lógicos (software), y ambientales; y tanto la pérdida de datos como el robo de información suelen ser grandes preocupaciones en la mayoría de las instituciones.
En Argentina, las figuras delictivas vinculadas al mundo digital se encuadran principalmente en el marco legal que se describe a continuación:
• La Ley 25.326, de Protección de datos Personales, que protege entre otras cosas las bases de datos y la información sensible.
• La Ley 11.723, de Propiedad Intelectual (que aplica por ejemplo para proteger el desarrollo de software).
• La Ley 26.388 de Delitos Informáticos, que modifica e introduce figuras típicas en el Código Penal con el objeto de regular las nuevas tecnologías como medios de comisión de delitos.
En esta última figuran referencias al grooming, el acceso ilegítimo a los sistemas, la validez de la firma digital, la violación de correos electrónicos y la distribución de pornografía infantil.
Dentro de los estándares de la Seguridad de la Información encontramos también la norma ISO/IEC27002:2013, que proporciona buenas prácticas para la Seguridad de la Información:
Haciendo un poco de historia sabemos que los primeros virus atacaban sectores de arranque del sistema operativo, o simplemente tenían como objetivo eliminar información de los discos.
Estos tipos de “ataques” se han modificado en los últimos años. Son muy recordados los virus “Melissa” o “I Love You” que se transmitían por correo electrónico o a través de la red, afectando a millones de usuarios.
Sin embargo, entre las nuevas modalidades delictivas nos encontramos, por ejemplo, con ataques del tipo Ransomware (WannaCry, en al año 2012), un programa dañino que busca secuestrar virtualmente la información, o inutilizar el sistema, exigiendo el pago de rescate para poder volver a operar el dispositivo.
Hoy en día es fundamental preguntarse: ¿Cuánto vale una base de datos de mejores clientes? ¿Cuánto vale la información actualizada de los estados contables? ¿Qué pasaría si esa información cayera en manos de la competencia? ¿Cuál es el costo operativo que se debe asumir en caso de que falle un servidor?
Actualmente son pocas las compañías que invierten en seguridad informática; muchas de ellas lo consideran un gasto innecesario, o no toman conciencia del verdadero valor que tiene su información.
Y aunque parezca que los problemas de seguridad siguen siendo los mismos, palabras como ciberseguridad o pentesting comienzan a ser cada vez más relevantes y nos plantean nuevos desafíos profesionales.
Recomendaciones de Seguridad
• Concientizar a los usuarios. La seguridad como proceso es una responsabilidad de todos.
• Análisis de Riesgos. Muchas instituciones aún no cuentan con un análisis de riesgos realizado a conciencia por un profesional. Si bien las empresas suelen priorizar las inversiones operativas, es muy recomendable saber el escenario en el que se encuentran y los riesgos a los que están expuestos.
• Passwords. Utilizar (y modificar periódicamente) contraseñas es una decisión más que acertada. No obstante, ya no alcanza con crear contraseñas robustas. El uso de dispositivos (con biometría o tokens) con estándares abiertos está reemplazando el uso de contraseñas, facilitando la gestión en caso de usuarios olvidadizos.
• Mantenimiento. Mantener los sistemas actualizados; tanto desde el sistema operativo como a nivel hardware. La cadena suele cortarse por el eslabón más débil.
• Backup. Puede parecer una obviedad, pero nunca está de más repetirlo.
Para contactar al autor: info@vlxelectronica.com.ar