Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS “IMPORTANCIA DEL ÁREA DE SEGURIDAD EN INFORMÁTICA” T E S I N A Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A P R E S E N T A N : A L E J A N D R A B E R U M E N E S T R A D A A R E L I C E R V A N T E S B A R R E R A E R N E S T O H E R N Á N D E Z D ´ H O N O R N O R M A A N G E L I C A N A V A R R O C A L D E R O N Q U E P A R A O B T E N E R E L T Í T U L O D E : L I C EN C I AD O E N C I EN C I AS D E L A I N F O R M ÁT I C A P R E S E N T A : M A R I S O L S O S A M O R E N O MÉXICO. DF 2009 2009 ÍNDICE RESUMEN ...................................................................................................................................... INTRODUCCIÓN ............................................................................................................................ CAPÍTULO I. MARCO METODOLÓGICO ..................................................................................... 1.1. Planteamiento del Problema ...................................................................................................... 1.2. Objetivo ....................................................................................................................................... 1.2.1. General ................................................................................................................................ 1.2.2. Específicos .......................................................................................................................... 1.3. Técnicas e instrumentos de medición ........................................................................................ 1.4. Universo y/o muestra ................................................................................................................. 1.5. Justificación ................................................................................................................................ CAPÍTULO II. MARCO TEÓRICO .................................................................................................. 2.1. Seguridad Informática ................................................................................................................. 2.1.1. Activos ................................................................................................................................. 2.2. Amenazas ................................................................................................................................... 2.2.1. Tipos de Amenazas ............................................................................................................. 2.3. Riesgos ....................................................................................................................................... 2.3.1. Análisis de riesgos .............................................................................................................. 2.3.2. Vulnerabilidades .................................................................................................................. 2.4. Impacto ....................................................................................................................................... 2.5 Seguridad lógica .......................................................................................................................... 2.5.1. Controles de acceso lógico ................................................................................................. 2.5.2. Exposiciones de Acceso Lógico .......................................................................................... 2.6 Seguridad Física .......................................................................................................................... 2.6.1. Controles de acceso físico .................................................................................................. 2.6.2. Exposiciones de Acceso Físico ........................................................................................... 2.7 Seguridad Ambiental ................................................................................................................... 2.7.1. Controles ambientales ......................................................................................................... 2.7.2. Exposiciones Ambientales .................................................................................................. 2.8. Delito informático ........................................................................................................................ 2.9. Regulaciones .............................................................................................................................. 2.9.1. Políticas ............................................................................................................................... 2.9.2. Procedimientos .................................................................................................................... 2.10. Organizaciones Privadas .......................................................................................................... i iii 1 1 2 2 2 2 3 3 5 5 5 6 6 7 8 8 9 9 9 12 15 15 16 16 17 17 17 18 18 18 19 2.10.1. Objetivo de las Organizaciones Privadas ......................................................................... 2.10.2. Funciones de las Organizaciones Privadas ...................................................................... CAPÍTULO III. SITUACIÓN ACTUAL DE LA SEGURIDAD INFORMÁTICA EN LAS ORGANIZACIONES ....................................................................................................................... 3.1. Estrategias de Seguridad Informática ........................................................................................ 3.2. Difusión de la Conciencia de Seguridad en la Organización ..................................................... 3.3. Situación Actual de la Seguridad Informática ............................................................................. 3.4. Situación Actual de las Políticas de Seguridad .......................................................................... 3.4.1. Situación Actual de las Políticas de Seguridad a Nivel Internacional ................................. 3.4.2. Situación Actual de las Políticas de Seguridad a Nivel Nacional....................................... 3.4.3. Situación Actual de las Políticas de Seguridad a Nivel Organización ................................ 3.5. Situación Actual de las Mejores Prácticas .................................................................................. 3.6. Exposiciones de Acceso Físico .................................................................................................. 3.6.1. Accesos no autorizados ...................................................................................................... 3.6.2. Controles de Acceso Físico................................................................................................. 3.7. Exposiciones Ambientales .......................................................................................................... 3.7.1. Estadísticas ......................................................................................................................... 3.7.2. Controles Ambientales ........................................................................................................ 3.8. Exposicionesde acceso lógico ................................................................................................... 3.8.1. Estadísticas Internacionales................................................................................................ 3.8.2. Estadísticas Nacionales ...................................................................................................... 3.8.3. Controles de acceso lógico ................................................................................................. 3.9. Delitos Informáticos .................................................................................................................... 3.9.1. Estadísticas Internacionales................................................................................................ 3.9.2. Estadísticas Nacionales ...................................................................................................... 3.10. Impacto ..................................................................................................................................... CAPÍTULO IV. NORMATIVIDAD, MEJORES PRÁCTICAS Y MECÁNISMOS DE SEGURIDAD INFORMÁTICA ........................................................................................................ 4.1. Normatividad ............................................................................................................................... 4.1.1. Legislación Internacional ..................................................................................................... 4.1.2. Legislación Nacional ........................................................................................................... 4.1.3. Legislación Sectorial ........................................................................................................... 4.1.4. Políticas ............................................................................................................................... 4.1.5. Procedimientos .................................................................................................................... 4.2. Mejores Prácticas para la Seguridad Informática ....................................................................... 19 19 20 20 21 22 27 29 29 30 31 34 34 36 38 39 41 41 42 44 49 50 52 54 54 58 58 59 62 65 70 72 74 4.2.1. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) ................................................................................................................................. 4.2.2. ITIL (Information Technology Infrastructure Library) ........................................................... 4.2.3. Norma ISO 27001 ............................................................................................................... 4.3. Mecanismos de seguridad .......................................................................................................... 4.3.1. Controles de Acceso físicos ................................................................................................ 4.3.2. Controles de Acceso Lógico ............................................................................................... 4.3.3. Controles a Exposiciones Ambientales ............................................................................... CAPÍTULO V. IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA EN LAS ORGANIZACIONES PRIVADAS A NIVEL NACIONAL ................................................................ 5.1. Área de Seguridad Informática ................................................................................................... 5.1.1. Funciones del área de Seguridad Informática .................................................................... 5.1.2. Estructura Orgánica del área de Seguridad Informática ..................................................... 5.2. Importancia de la seguridad informática desde el punto de vista Organizacional ..................... 5.3. Importancia de la seguridad informática desde el punto de vista Tecnológico .......................... 5.3.1. Necesidades tecnológicas de la organización .................................................................... 5.3.2. Importancia del aseguramiento de la información .............................................................. 5.3.3. Importancia de la disponibilidad de la información ............................................................. 5.3.4. Importancia de la integridad de la información ................................................................... 5.3.5. Capacidad para la recuperación de la información ............................................................. 5.3.6. Importancia de la confidencialidad de la información ......................................................... 5.3.7. Análisis de la seguridad en los centros de cómputo ........................................................... 5.4 Importancia de la Legislación Informática ................................................................................... CAPÍTULO VI. CASO PRÁCTICO - ORGANIZACIÓN DE SOLUCIONES INTEGRALES ULTRA G.C. .................................................................................................................................... 6.1. Situación actual de la organización ............................................................................................ 6.1.1. Estructura Orgánica ............................................................................................................ 6.1.2. Misión .................................................................................................................................. 6.1.3 Visión .................................................................................................................................... 6.1.4. Objetivo ............................................................................................................................... 6.1.5. Antecedentes ...................................................................................................................... 6.2. Principales amenazas en la organización .................................................................................. 6.2.1. Exposiciones Físicas ........................................................................................................... 6.2.2. Exposiciones Lógicas .......................................................................................................... 6.2.3. Exposiciones Ambientales .................................................................................................. 74 79 86 92 93 97 110 113 113 114 114 120 122 122 123 124 125 127 128 128 129 131 131 131 131 131 132 132 132 133 133 134 6.3. Recomendaciones Administrativas a la organización ................................................................ 6.3.1. Propuesta del Área de Seguridad Informática .................................................................... 6.3.2. Políticas de Seguridad Informática ..................................................................................... 6.3.3. Normas de Seguridad Informática ...................................................................................... 6.4. Recomendaciones Técnicas a la organización .......................................................................... 6.4.1. Físicas ................................................................................................................................. 6.4.2. Lógicas ................................................................................................................................ 6.4.3. Ambientales .........................................................................................................................6.5. Recomendaciones en Legislación Informática ........................................................................... CONCLUSIONES ........................................................................................................................... BIBLIOGRAFÍA .............................................................................................................................. 134 135 140 143 144 145 145 147 148 150 151 i RESUMEN Las organizaciones deben atender su negocio, siendo conscientes del nivel de riesgo tanto de la información como de sus activos. El objetivo primordial de la seguridad informática, es el de garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos y que no se encuentren alterados por factores externos. Ya que cuando se presentan esos inconvenientes, se puede provocar la pérdida o modificación de la información, lo que directamente, puede representar un daño organizacional y económico. Es por eso que en la presente investigación, se analiza la situación actual de la seguridad en informática en las organizaciones privadas a nivel nacional, evidenciando las amenazas a las que se encuentran expuestas y dando a conocer las posibles consecuencias, de esta manera demostrar la importancia de contar con un apropiado esquema de seguridad que reduzca los niveles de vulnerabilidad y riesgo existentes. En base al estudio y análisis de diversas estadísticas, se demuestra que las organizaciones se preocupan por salvaguardar sus activos, sin embargo no tienen los conocimientos ni la experiencia necesaria para protegerlos adecuadamente, debido a que generalmente no cuentan con un área de seguridad que se encargue de comprobar que se sigan políticas y procedimientos que aseguren y garanticen la seguridad de la información, prevea las posibles contingencias, regule la gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento de la organización mediante las auditorias correspondientes. De esta forma, se determina que la seguridad en informática es un tema de suma importancia para las organizaciones debido al aumento de los delitos informáticos y al impacto que tiene sobre las mismas, obligándolas a tomar medidas al respecto. Derivado de lo anterior, se plantea un esquema genérico de seguridad que cumple con los lineamientos y regulaciones de la normatividad, tomando en cuenta las recomendaciones de las mejores prácticas. Al mismo tiempo, se analizan las exposiciones lógicas, físicas y ambientales más comunes a las que se encuentran vulnerables las organizaciones y basado en las recomendaciones generales y estadísticas sobre los controles mas utilizados y eficientes, posteriormente, se propone un esquema organizacional y técnico para que sean aplicados dentro del área de seguridad de la información y de esta manera crear un entorno seguro en la organización. También, se promueve un cambio en cuanto a la administración y manejo de información, implementando una nueva estructura en la organización, determinando los roles y las funciones ii que debe cumplir el personal, proponiendo lineamientos para brindar una mejor protección y manejo de los recursos, además de la implementación de los controles de seguridad más apropiados para este tipo de organizaciones. Por otra parte, dentro de las funciones del área se contempla la verificación de los controles de seguridad física y lógica establecidos, análisis de los riesgos a que está expuesta la información, definición y validación de políticas y procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garantizar la seguridad de la información y proveer las posibles contingencias. En cuanto a las necesidades tecnológicas de las organizaciones, éstas son muy variadas, cada organización requiere un diseño de seguridad propio, de acuerdo a sus expectativas y a los factores que influyen en ella. Se tiene que, la correcta planeación del esquema de seguridad informático puede facilitar futuras necesidades, ya que, lo que en un principio puede empezar con la compra de controles básicos de seguridad o de un software de gestión, luego puede evolucionar en una compleja infraestructura de red o en la implantación de un sistema de gestión empresarial global y conforme vayan surgiendo necesidades tecnológicas, éstas puedan ser agregadas en el esquema sin necesidad de replantearlo. En materia de legislación se promueve una cultura jurídica de TI además de fortalecer la normatividad interna, siempre con apego a derecho, debido a que, normalmente, en gran parte del personal de las organizaciones existe desconocimiento sobre las consecuencias o sanciones a que pueden ser objeto en caso de incumplir con las normas que aplican dentro de la empresa y las que están establecidas por la ley. Posteriormente, se analiza la organización de soluciones integrales Ultra G. C. donde se estudia la estructura de la organización, las exposiciones lógicas, físicas y ambientales a las que se encuentra vulnerable, basado en las recomendaciones generales, se propone un esquema organizacional y técnico para que sean aplicados dentro del área de seguridad de la información y de esta manera crear un ambiente seguro en la organización. Se recomienda a la organización Ultra G. C. modificar su estructura orgánica para incluir un área de seguridad en informática, en un esquema parcialmente distribuido, donde el área de Seguridad Informática dependa directamente de la Dirección General, mientras que el área de Desarrollo Seguro dependa del área de Sistemas. Además de promover un cambio en cuanto a la administración y manejo de información, implementando una nueva estructura en la organización, determinando los roles y las funciones que debe cumplir el personal, proponiendo lineamientos para brindar una mejor protección y manejo de los recursos, asimismo implementar los controles físicos, lógicos y ambientales más apropiados para este tipo de organizaciones. iii INTRODUCCIÓN Con el incremento acelerado del uso de computadoras en las organizaciones para almacenar, transferir y procesar información, se han convertido en un elemento indispensable para el adecuado funcionamiento de las mismas. Como consecuencia, la información ha tomado un valor importantísimo que requiere de protección para garantizar el cumplimiento de los objetivos del negocio. Por tal motivo, los requerimientos en seguridad informática son cada vez mayores, debido a que se busca que los recursos informáticos de una organización estén disponibles y que no se encuentren afectados por personas o situaciones maliciosas. Estas personas pueden ser o no parte de la organización y buscan tener acceso no autorizado a información confidencial para modificar, sustraer o borrar datos; cuya pérdida puede afectar sustancialmente las actividades de la organización y generar pérdidas económicas. Por lo anterior, resulta importante establecer políticas de seguridad que permitan implementar una serie de soluciones tecnológicas, así como el desarrollo de un plan de acción que nos ayude a actuar de forma rápida y eficaz en el manejo de incidentes, recuperación de información y la disminución del impacto. De igual manera es importante la aplicación de mejores prácticas para crear una cultura de seguridad adecuada sobre la necesidad e importancia del aseguramiento de la información, al igual que de las diversas normas y estándares que se requieren para lograrlo. La presente tesina muestra una investigación que tiene por objetivo dar a conocer la importancia de la seguridad informática en las organizaciones privadas a nivel nacional. Este trabajo consta de los siguientes capítulos:En el capítulo I se presentan las bases metodológicas que servirán de apoyo para llevar a cabo esta investigación. En el capítulo II se abordan los aspectos teóricos que dan a conocer de manera general y sencilla la terminología empleada a lo largo de la investigación. En el capítulo III se muestra la situación actual del la seguridad en informática en las organizaciones, al igual que las estrategias de seguridad que se utilizan para minimizar los riesgos y los delitos informáticos, así como el impacto que estos generan. iv En el capítulo IV se describen las diversas regulaciones y normativas en materia de informática a las que se encuentran sujetas las organizaciones, se presentan diferentes sugerencias que manejan las mejores prácticas para lograr el cumplimiento del objetivo del negocio y en cuanto a tecnología se mencionan los mecanismos de seguridad más utilizados. En el capítulo V se propone una estructura de seguridad informática sustentada en la situación que están viviendo las organizaciones y al uso de las herramientas tecnológicas, enfatizando la importancia de implementar un área de seguridad informática que considere los aspectos organizacionales y tecnológicos que minimicen los niveles de vulnerabilidad y permita una eficiente administración de riesgos. Finalmente en el capítulo VI se aplican los conocimientos recabados en el desarrollo de esta investigación con la intención de proporcionar una opinión para mejorar la seguridad informática con la que cuenta la empresa Ultra G.C. En primer lugar se estudia la estructura organizacional y las exposiciones lógicas, físicas y ambientales ante las que se encuentra vulnerable. Con base a lo anterior y con las recomendaciones generales del capítulo V, se propone un esquema organizacional y técnico que contenga las recomendaciones específicas para que sean aplicadas en la organización con finalidad de mitigar las posibles amenazas. 1 CAPÍTULO I. MARCO METODOLÓGICO Éste capítulo tiene como finalidad dar a conocer la problemática que surge en las empresas al no darle la importancia que requiere la seguridad informática, ya que más del 70% de las compañías informáticas están expuestas a situaciones tales como la pérdida de datos e información según un estudio de investigación realizado por PandaLabs en 2007. Se definen los objetivos del proyecto con el propósito de realizar una investigación completa, para dar una opinión sobre cómo se pueden minimizar los riesgos y amenazas en las organizaciones al contar con una adecuada seguridad informática. Se presenta una justificación del proyecto con información obtenida a través de estadísticas y estudios realizados, que demuestran los efectos que conlleva el no contar con la debida seguridad informática en las organizaciones. 1.1. Planteamiento del Problema Actualmente, en las organizaciones informáticas privadas a nivel nacional, se dan toda clase de ataques a la información que manejan, esto debido a la escasa preparación en materia de seguridad informática, lo cual deja desprotegido a este sector. La baja asignación de presupuesto que se destina a este tema, es otra de las causas por la cual las organizaciones se ven en un estado tal de vulnerabilidad que propicia grandes pérdidas económicas. Otra de las causas es la desinformación sobre el tema, ya que algunas de las organizaciones consideran que el hecho de contar con medidas mínimas de seguridad les brinda la protección necesaria. La gran velocidad con que la tecnología de las comunicaciones ha evolucionado, es una más de las causas por la cual existe mayor vulnerabilidad en las organizaciones, pues con ello todo este sector se ve inmerso en la necesidad de comunicarse con ayuda de estos medios. El hecho de que exista poca gente especializada que tenga amplio conocimiento en los mecanismos de seguridad que se deben aplicar para establecer un ambiente seguro de trabajo, es un factor crítico que influye de forma negativa en las organizaciones. 2 La poca capacitación que se le brinda al personal que labora en las organizaciones y el hecho de que existan personas maliciosas, son otros de los puntos que demuestran la necesidad de la seguridad informática. 1.2. Objetivo 1.2.1. General Analizar la situación actual respecto a la seguridad en informática en las organizaciones privadas a nivel nacional para así determinar la importancia de contar con una estructura segura y eficiente. 1.2.2. Específicos Analizar las organizaciones privadas a nivel nacional que cuentan con seguridad en informática. Determinar las causas que originan la falta de seguridad en informática en las organizaciones. Identificar las necesidades de seguridad en informática en las organizaciones privadas a nivel nacional. Identificar los recursos que se desean proteger. Identificar las amenazas y vulnerabilidades de la organización, así como las posibles consecuencias. Determinar los mecanismos de seguridad física, lógica y ambiental existentes. Estudiar las recomendaciones de mejores prácticas que se establecen en una organización privada a nivel nacional. Demostrar la importancia que tiene la seguridad en informática en las organizaciones. Determinar los mecanismos de seguridad física, lógica y ambiental mínimos que se requieren en una organización para crear un ambiente seguro. 1.3. Técnicas e instrumentos de medición Para la recolección de información se emplea la técnica documental porque se estudia información secundaria, es decir, que ya ha sido obtenida y analizada por otros y se encuentra disponible en las distintas fuentes bibliográficas. También se emplea la técnica de campo para obtener información primaria a través de la aplicación de cuestionarios a los empleados de las organizaciones. 3 1.4. Universo y/o muestra Para identificar el universo y la muestra durante esta investigación en necesario averiguar las propiedades o características de nuestra población, por lo que nos interesa que sea un reflejo representativo de la misma. En lo que respecta a la población o universo que se abarca, son todas las organizaciones privadas a nivel nacional, sin embargo lo que nos interesa es distinguir la población muestreada. La población muestreada es aquella a partir de la cual se extrae la muestra, que está constituida por la Consultoría Ultra GC de México, S.C. 1.5. Justificación La seguridad informática juega un papel muy importante ya que permite manejar las herramientas, políticas, lineamientos y mecanismos necesarios para establecer una completa y eficiente protección de la información, minimizando así costos innecesarios que repercuten en el cumplimiento de los objetivos del negocio. Como se muestra en el estudio realizado recientemente por el Ingeniero Superior de Telecomunicaciones Eneko Huarte Mendicoa 1 , el cual trata sobre la seguridad informática en las organizaciones y los efectos en la economía de éstas, se ve reflejado que: El 75% de las empresas cuenta con personal especializado y un 10% contrata apoyo externo. Finanzas, Seguros y Bienes Raíces, es el sector más preparado, pues el 28,4% disponen de un departamento especial. El 76,3% tiene entre uno y tres empleados dedicados. El 70% dispone de una política que recoge los principales preceptos de seguridad (100% copias de seguridad, 96,8% control de accesos, 96% usos de contraseñas...) 85,3% creen que la seguridad ha mejorado en el último año. 69,3% declara no haber tenido incidencias de seguridad destacables. 1 http://www.elpais.com/articulo/empresas/recursos/dirigidos/seguridad/informatica/elpepueconeg/20070506elpnegemp_4/Tes http://www.elpais.com/articulo/empresas/recursos/dirigidos/seguridad/informatica/elpepueconeg/20070506elpnegemp_4/Tes4 Sectores más castigados por incidencias: son la Construcción y Contratas (37,5%) y Finanzas, Seguros y Bienes Raíces (38,1%). Incidencias de Mayor Impacto son Internet (spam, virus, troyanos...) y Gestión de configuraciones y mantenimiento técnico de las plataformas (caídas de sistemas 75% y fallos técnicos 60%). Incidencias con menor presencia; ataques internos, robos de información, desastres o contingencias graves, intrusiones externas, fraudes y robos de identidad. 51,6% cita como la principal causa la existencia de una débil cultura de seguridad. 81,6% declara haber realizado las auditorias que requiere el reglamento. 97,1% de los panelistas dice que realiza copias de seguridad y que éstas se custodian, en la mayoría de los casos, fuera de la sede de la empresa. En este sentido, organizaciones como ISSA (Información Systems Security Asociation) promueve la difusión entre las empresas, organismos, particulares y la sociedad en general, el uso y la necesidad de las mejores prácticas en seguridad informática. Al no asegurar correctamente la información puede traer consecuencias negativas tanto a nivel económico, legal y social. Es de suma importancia tener en claro las metodologías, técnicas, procedimientos y políticas necesarias para protegerse y minimizar los riesgos que se dan inevitablemente con el uso de las tecnologías de información. 5 CAPÍTULO II. MARCO TEÓRICO Dentro de este capítulo se muestra una visión amplia de los conceptos básicos relacionados con la seguridad informática. Se estudian los diferentes tipos de activos con los que cuenta una empresa, las vulnerabilidades a las que se encuentran expuestas y las diversas amenazas que puedan presentarse en busca de alterar la disponibilidad, confidencialidad e integridad de la información, para así minimizar el impacto que pudieran provocar. Asimismo, se menciona en qué consiste la seguridad física, lógica y ambiental, además de los controles existentes para salvaguardar los activos de la organización y lograr reducir los riesgos. 2.1. Seguridad Informática De acuerdo con diferentes definiciones estudiadas y encontradas en portales de internet se define que seguridad informática “es aquella disciplina que busca garantizar y proteger todo los recursos de un sistema de información de una empresa u organización y verificar que estos sean utilizados al máximo, sin intromisiones” 2 2.1.1. Activos Con base en información encontrada en un portal de Internet 3 se definen que los activos son los elementos que la seguridad informática tiene como finalidad proteger, los tres elementos que los conforman son: Información: es el objeto de mayor valor en una organización, y por ello su salvaguarda debe ser una prioridad, independientemente del lugar en donde se encuentre registrada y de la naturaleza del medio que lo soporte, electrónico o físico. Equipamiento: se identifica con ello al Software, hardware, elementos de comunicación y demás componentes estructurales, que dan soporte a la información. Usuarios: son los profesionales que utilizan el equipamiento en el manejo de la información, con el objetivo de intercambiar y generar conocimiento útil a la organización. 2 http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica 3 http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica 6 2.2. Amenazas Derivado del análisis a diferentes definiciones de amenazas encontradas en internet, se concluye que “son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa” 4 , también se define como cualquier potencial violación de la seguridad, es decir, cualquier acción o acontecimiento que pueda provocar una pérdida o daño en la confidencialidad, integridad o disponibilidad de la información. 2.2.1. Tipos de Amenazas Las amenazas son constantes y estos pueden ocurrir en cualquier momento, a continuación se muestran los diferentes tipos de amenazas que se obtienen de un portal de Internet 5 las cuales se dividen en diferentes grupos y se mencionan algunos ejemplos de los mismos: Físicas Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está manejando o almacenando físicamente Instalaciones inadecuadas del espacio de trabajo Ausencia de recursos para el combate a incendios Naturales Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información. Ambientes sin protección contra incendios Locales próximos a ríos propensos a inundaciones Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc. 4 http://ingwebsu.wordpress.com/tag/humano/ 5 http://ingwebsu.wordpress.com/2008/11/18/53-amenazas-y-vulnerabilidades/ http://ingwebsu.wordpress.com/tag/humano/ http://ingwebsu.wordpress.com/2008/11/18/53-amenazas-y-vulnerabilidades/ 7 De Hardware Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan Conservación inadecuada de los equipos. De software Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red Programas lectores de e-mail que permiten la ejecución de códigos maliciosos Editores de texto que permiten la ejecución de virus de macro etc. Programas para la automatización de procesos De Almacenamiento Plazo de validez y caducidad Defecto de fabricación Humanas Contraseñas débiles Compartimiento de identificadores tales como nombre de usuario o credencial de acceso, etc. 2.3. Riesgos La Organización Internacional de Estandarización (ISO) define al riesgo dentro del mundo de los negocios para la seguridad informática y de TI como: "El potencial de que una amenaza determinada se aproveche de las vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al valor de la pérdida/daño y a la frecuencia estimada de la amenaza para el negocio" 6 6 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 299. 8 De acuerdo a lo anterior se define entonces al riesgo como la posibilidad de que cualquier evento afecte el logro de los objetivos del negocio. Estos producen un Impacto sobre los activos y los procesos de la organización. 2.3.1. Análisis de riesgos Respecto a la información publicada por la Universidad de Zaragoza, España en su página de Internet donde se menciona que “el análisis de riegos ayuda a identificar las vulnerabilidades de las organizaciones para ayudar a determinar los controles que se necesitan para mitigar esos riesgos. Los análisis de riesgos, por tanto, tratan de estudiar, evaluar, medir y prevenir los fallos y las averías de los sistemas técnicos y de los procedimientos operativos que pueden iniciar y desencadenar sucesos no deseados (accidentes) que afecten a las personas, los bienes y el medio ambiente” 7 , se concluye que el análisis de riesgos está enfocado en la evaluación y medición de cualquiera de los procedimientos de la organización, ya sean tecnológicos y operativos los cuales pueden ocasionar un impacto negativode manera física, lógica o ambiental, que afecte el curso y los objetivos de la misma El objetivo que persigue el análisis de riesgos es definido de igual manera por la Universidad de Zaragoza, España, en el mismo sitio, y nos dice que: “Los métodos para la identificación, análisis y evaluación de riesgos son una herramienta muy valiosa para abordar con decisión su detección, causa y consecuencias, con la finalidad de mitigarlos o atenuarlos” 8 . En consecuencia se resume que el objetivo se refiere a identificar y medir los riesgos para determinar las consecuencias, aplicando determinados criterios de vulnerabilidad, con la finalidad de analizar las causas de dichos accidentes. 2.3.2. Vulnerabilidades Respecto a las diferentes definiciones que presentan algunos autores que vulnerabilidad se refiere a los puntos débiles, que al ser explotados por amenazas, afectan a un individuo u organización, permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia de sus datos y aplicaciones. Para realizar una implementación de la seguridad es necesario rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información. Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección. 7 http://www.unizar.es/guiar/1/Accident/An_riesgo/An_riesgo.htm 8 http://www.unizar.es/guiar/1/Accident/An_riesgo/An_riesgo.htm http://www.unizar.es/guiar/1/Accident/An_riesgo/An_riesgo.htm#Met_ident_riesgo http://www.unizar.es/guiar/1/Accident/An_conse/An_conse.htm http://www.unizar.es/guiar/1/Accident/An_riesgo/An_riesgo.htm 9 2.4. Impacto El término impacto, de acuerdo con el diccionario de uso del español proviene de la voz “impactus”, del latín tardío y significa, en su tercera acepción, “impresión o efecto muy intensos dejados en alguien o en algo por cualquier acción o suceso” 9 En base la definición anterior y a un artículo de Rojas Benítez JL, el impacto en relación con el tema de la información y con el uso de un sistema de información, está determinado por aquellos resultados que se obtienen del uso y manejo de la información en la práctica y los cambios que pueden producirse como efecto de ese uso. 2.5 Seguridad lógica Según una fuente en internet que habla sobre seguridad informática, define a la seguridad lógica como “La que se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información. Identifica individualmente a cada usuario y sus actividades en el sistema y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales.” 10 Otro portal la define como “la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta que „todo lo que no está permitido debe estar prohibido‟ y esto es lo que debe asegurar la Seguridad Lógica” 11 Por lo tanto, se concluye que la seguridad lógica es la correcta aplicación de controles para resguardar el acceso a la información de la empresa, con el objeto de minimizar el riesgo de hacer un mal uso de ésta, asegurando su integridad y, conjuntamente, procurar que solo sea manejada por el personal apropiado. 2.5.1. Controles de acceso lógico El Manual de Preparación al Examen CISA, menciona que el concepto de control de acceso se refiere a “administrar y controlar el acceso a los recursos de información de una organización que reside en sistemas de computadora basados en anfitriones y en la red. Los controles inadecuados de acceso lógico aumentan el potencial de una organización de pérdidas resultantes de las 9 María Moliner, Diccionario de uso del español, pagina 123. 10 http://www.mitecnologico.com/Main/SeguridadLogicaYConfidencial 11 http://www.segu-info.com.ar/logica/seguridadlogica.htm 10 exposiciones. Estas exposiciones pueden tener como consecuencia pequeños inconvenientes hasta un cierre total de las funciones de computación” 12 Entonces, los controles de acceso lógico son el medio para administrar y proteger la información, para reducir riesgos a un nivel aceptable para una organización. Algunos ejemplos de controles de acceso lógico son: a) Identificación y Autenticación.- También en el Manual de Preparación al Examen CISA se menciona que, “para la mayoría de los sistemas, la identificación y la autenticación es la primera línea de defensa. Es una medida técnica que impide que personas no autorizadas (o procesos no autorizados) entren a un sistema de computadora. Si los usuarios no son identificados y autenticados debidamente, en particular en los actuales ambientes de red de sistemas abiertos, las organizaciones están en mayor riesgo de acceso no autorizado” 13 Entonces, la Identificación y la autenticación en el control de acceso lógico es el proceso de probar la identidad de alguien, donde la identificación es el medio por el cual un usuario provee sus credenciales para ingresar al sistema y donde las credenciales son autenticadas por el sistema para proveer el acceso al sistema del usuario. Asigna la responsabilidad de un usuario. b) Identificadores de Inicio de Sesión (Logon ID) y Contraseñas.- De acuerdo a la investigación, se define que este proceso de autenticación de usuario es usado para restringir el acceso a la computadora. El equipo al que se intenta acceder debe contar con una lista interna de ID válidos para el inicio de sesión y un conjunto correspondiente de permisos para cada ID. c) Dispositivos de Token (Token Devices).- La descripción de este control, según el Manual de Preparación al Examen CISA. “Es una técnica de autenticación de dos factores, como por ejemplo tarjetas inteligentes controladas por microprocesador, genera contraseñas de una sola vez que son válidas sólo para un inicio de sesión. Los usuarios ingresan esta clave junto con una contraseña que ellos hayan memorizado para obtener acceso al sistema. Esta técnica involucra algo que uno tiene (un dispositivo sujeto a robo) y algo que uno sabe (un número de identificación personal)” 14 Según ésta definición, ésta técnica se caracteriza porque cuenta con dos parámetros, la contraseña que uno sabe y la clave (válida solo para un inicio de sesión) que es proporcionada por el dispositivo. 12 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 276. 13 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 278. 14 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 280. 11 d) Encriptación/ Cifrado.- De acuerdo a los diferentes conceptos que existen, la encriptación es el proceso de convertir un mensaje que se encuentra en texto claro a una forma de texto codificado seguro al que se le denomina texto cifrado y que no puede ser entendido sin descifrarlo (el proceso inverso) convirtiéndolo nuevamente a texto plano, por medio de una función matemática y de una contraseña llamada „llave‟. El manual de preparación para el examen CISA 15 , menciona que la encriptación se usa en general para: Proteger los datos que viajan a través de las redes, de la interceptación y manipulación no autorizada Proteger la información almacenada en las computadoras de la visualización y manipulación no autorizadas. Disuadir y detectar las alteraciones accidentales o intencionales de datos Verificar la autenticidad de una transaccióno documento. e) Firmas Digitales.- El Manual de Preparación al Examen CISA menciona que “una firma digital es una identificación electrónica de una persona o entidad creada usando un algoritmo de llave pública y que está destinado a verificar a un destinatario, la integridad de los datos y la identidad del remitente. Para verificar la integridad de los datos, un algoritmo Hashing criptográfico es calculado contra todo el mensaje, lo cual genera un mensaje corto compuesto por una cadena de caracteres fija, por lo general de aproximadamente 128 bits de longitud. Este proceso, al que también se hace referencia como un algoritmo de firma digital, crea un resumen de mensaje (es decir, una versión extrapolada más pequeña del mensaje original)” 16 Los tipos comunes de algoritmos de hash son MD5 y SHA-1. Por lo tanto, según la definición anterior, la firma digital es un método criptográfico que asegura: La integridad de los datos, ya que cualquier cambio al mensaje de texto plano tendría como resultado que el Hash sea diferente. El proceso de crear el Hash de un archivo no puede ser revertido. 15 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 315. 16 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 319. 12 Autenticación, porque el destinatario puede asegurar que el mensaje ha sido enviado por quien dice haberlo hecho ya que únicamente quien lo envió tiene la „llave‟. Evidencia, puesto que, quien alega que envió un mensaje, después no tiene como descalificar que lo hizo. 2.5.2. Exposiciones de Acceso Lógico a) Malware o software de actividades ilegales, según varios conceptos vistos en Internet, se define que el malware siempre busca explotar las vulnerabilidades existentes en los sistemas, además, lo tienen como una categoría de código malicioso, que se diferencia de las demás porque utiliza herramientas de comunicación conocidas por el usuario, por ejemplo, para distribuir gusanos que se envían por correo electrónico y mensajes instantáneos, caballos de Troya que provienen de ciertos sitios Web y archivos infectados de virus que se descargan de conexiones P2P (como ejemplo de conexiones P2P se encuentran el „ARES‟, „KAZAA‟ y demás programas para descarga de archivos). b) Caballos de Troya/backdoors.- Estos implican ocultar código malicioso, fraudulento en un programa autorizado o pseudo-autorizado de computadora. Este código será ejecutado en una forma oculta cada vez que se ejecute el programa autorizado. c) Virus.- Consiste en la inserción de un código malicioso de programa en otro código ejecutable que puede auto replicarse y diseminarse de una computadora a otra, al compartirse los medios extraíbles de la computadora, transferir programas por líneas de telecomunicación o por contacto directo con una máquina y/o código infectado. Un virus puede mostrar de una manera inofensiva mensajes agradables en las terminales de computadora, borrar peligrosamente o alterar los archivos de computadora o simplemente llenar la memoria de la computadora con basura hasta el punto que la computadora ya no puede funcionar. d) Gusanos (Worms).- Según el Manual de Preparación al Examen CISA “Son programas destructivos que puede dañar los datos o utilizar recursos tremendos de computadora y de comunicaciones pero no se replican como los virus. Dichos programas no cambian otros programas, sino que pueden ejecutarse independientemente y viajar de una máquina a otra a través de conexiones de red explotando las vulnerabilidades y debilidades de las aplicaciones/sistemas. Los gusanos pueden también tener porciones de ellos mismos ejecutándose en muchas máquinas diferentes” 17 17 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 273. 13 Según los conceptos antes descritos, se tiene que los tres son programas con código malicioso dentro de su contenido, pero los caballos de Troya se diferencian de los virus y gusanos por la manera en como se comporta, ya que el código malicioso lo oculta en un programa autorizado por el usuario y es así como entra al sistema y ejecuta su código. Por otra parte los virus se caracterizan porque su código tiene la capacidad de replicarse, las acciones que ejecuta varían y van desde borrar archivos hasta correr infinidad de procesos y así acabarse la memoria del sistema. Por último los gusanos, estos también saturan los recursos del sistema con procesos que ejecutan, pero a diferencia del los virus, los gusanos no tienen la capacidad de replicarse. e) Spam.- Después de leer varias definiciones en internet se concluye que el spam es el correo electrónico no solicitado que es enviado en cantidades masivas a un número muy amplio de usuarios con el fin de comercializar productos o servicios. Según información del portal del antivirus Panda 18 , se tienen los siguientes tipos de spam en función del contenido: El spam con fines comerciales. Es el pionero de todos los tipos. Trata de difundir la posibilidad de adquirir algún producto o servicio a un precio inferior al de mercado. En la tabla 2.1 se muestran los diversos tipos de contenido de spam. Tipo de Contenido de Spam Potenciador Sexual 70% Stocks 3% Réplica 10% Financieros 2% Software 6% Pornografía 1% Apuestas 4% Otros 4% Tabla 2.1. Tipo de contenidos de spam El bulo (en inglés hoax). Son mensajes de correo con contenido falso o engañoso. Este tipo de mensajes es enviado de forma encadenada y se solicita al receptor que prosiga la cadena de envíos. Su contenido son historias inverosímiles relativas a injusticias sociales o formulas para conseguir éxito. 18 http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/spam http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/spam/ 14 El spam con fines fraudulentos. En muchos casos el spam puede ser la cabeza de puente para cometer phishing, spam u otras modalidades fraudulentas a través de mensajes electrónicos que son enviados de forma masiva a un gran número de usuarios. f) Phishing.- Después de investigar en varios documentos relacionados al tema se puede decir que el phishing consiste en un proceso que como primer punto envía correos electrónicos que, aparentando provenir de fuentes fiables, intentan obtener datos confidenciales del usuario y en caso de ser exitoso, son utilizados para la realización de algún tipo de fraude. Por lo regular incluyen un link que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. En la figura 2.1 se muestra un típico ejemplo de phishing: Figura 2.1. Ejemplo de phishing Según el portal de Panda Antivirus 19 , los principales daños provocados por el phishing son: Robo de identidad y datos confidenciales de los usuarios. Pérdida de productividad. Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.). 19 http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/ http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/ http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/others/ http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/ 15 2.6 Seguridad Física En un portal de Internet lo definen como “todos aquellos mecanismos, generalmente de prevención y detección, destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple tecladohasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta” 20 Entonces, la seguridad física son los mecanismos, dispositivos o elementos que tienen como finalidad evitar accesos físicos no autorizados y así proteger los recursos de la organización. 2.6.1. Controles de acceso físico Para evitar todo este tipo de problemas se pueden implementar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe se debe al menos detectar los accesos no autorizados cuanto antes). Los controles de acceso físico están diseñados para proteger la organización contra los accesos no autorizados. A continuación se mencionan algunos de los problemas de seguridad física en los cuales en un momento se puede enfrentar el usuario y las medidas a tomar en cuenta para evitarlos o al menos minimizar su impacto. Los siguientes son ejemplos, mencionados en el Manual de Preparación al examen CISA 21 , de algunos de los controles de acceso más comunes: Cerraduras con Cerrojo - Estas cerraduras requieren la llave tradicional de metal para lograr entrar. Cerraduras Electrónicas - Este sistema usa una llave o tarjeta magnética basada en chips integrados que se pasa por un lector sensor para entrar. Cerraduras Biométricas - Las características físicas únicas de una persona, como por ejemplo la voz, la retina, las huellas digitales o la firma, activan estas cerraduras. Cámaras de video - Las cámaras deben estar ubicadas en puntos estratégicos y deben ser monitoreadas por guardias de seguridad. Las cámaras sofisticadas de video pueden ser activadas por movimiento. 20 http://www.uv.es/~sto/cursos/icssu/html/ar01s04.html 21 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 357. 16 Sistema de Alarma - Un sistema de alarma debe estar conectado a los puntos de entrada inactivos, a los detectores de movimientos y al flujo inverso de ingreso para las puertas que son exclusivamente de salida. Sistemas Biométricos - Los controles de acceso biométricos son el mejor medio de autenticar la identidad de un usuario con base en un atributo o rasgo único mesurable para verificar la identidad de un ser humano. 2.6.2. Exposiciones de Acceso Físico De acuerdo al Manual de Preparación al Examen CISA las exposiciones de acceso físico: “se originan principalmente en peligros naturales y artificiales, pueden exponer el negocio a accesos no autorizados y falta de disponibilidad de la información del mismo” 22 De manera general las exposiciones se presentan por la violación accidental o intencional de estas rutas o vías de acceso. 2.7 Seguridad Ambiental Según lo cita una fuente en internet, “Nos referimos a la seguridad ambiental como los procedimientos existentes para evitar que efectos ambientales perjudiquen el procesamiento, los equipamientos y el personal. Ante los mayores riesgos e incertidumbres naturales se originó la seguridad ambiental que es capaz de promover políticas que mitigan a la vez conflictos ambientales, sociales y humanos” 23 En un documento de Internet lo definen de la siguiente manera, “La seguridad ambiental se entiende como el equilibrio entre las acciones que el hombre realiza sobre la naturaleza y el uso de lo que ésta le provee y también el manejo del impacto que la propia naturaleza ejerce sobre el hombre, vinculando el diagnóstico del presente con los objetivos en el futuro” 24 De acuerdo a los diferentes conceptos que se mencionan, la seguridad ambiental es un conjunto de procedimientos, medidas o acciones que se toman para minimizar los efectos ambientales sobre la organización. 22 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 357. 23 http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/SEGURIDAD2.pdf 24 http://www.seguridadhumana.com.ve/Charla%20Seguridad%20Humana%20PDF.pdf 17 2.7.1. Controles ambientales Una buena opción para minimizar el impacto de los fenómenos naturales en la organización es implementar o contar con mecanismos de prevención y de detección. Los controles ambientales están diseñados para proteger a la organización contra las anomalías del medio ambiente. Los siguientes son ejemplos que se obtuvieron del Manual de Preparación al examen CISA 25 sobre los controles ambientales más comunes que se tienen en las organizaciones. Panel de Control de Alarmas Detectores de Agua Extintores Manuales de Incendios Alarmas Manuales de Incendios Detectores de Humo Sistemas de Supresión de Incendios Ubicación Estratégica de la Sala de Computadoras Suministro /Generador de Energía Eléctrica Ininterrumpida (UPS). 2.7.2. Exposiciones Ambientales Las exposiciones ambientales son definidas por Mireya Delgado, autora del de Preparación al Examen CISA como: “se deben principalmente a acontecimientos que ocurren naturalmente, como por ejemplo, tormentas eléctricas, terremotos, erupciones volcánicas, huracanes, tornados y otros tipos de condiciones climatológicas extremas” 26 . De cierta manera son eventos que no es posible controlar, sin embargo se puede estar preparado para disminuir las consecuencias y el impacto de los mismos. 2.8. Delito informático En la iniciativa sobre delitos informáticos del 22 de marzo de 2000 se definen como: “todas aquellas conductas ilícitas susceptibles de ser sancionadas por el Derecho Penal, que hacen referencia al uso indebido de cualquier medio informático" 27 En esta misma iniciativa se menciona que un delincuente informático “se refiere a cualquier persona que utilice como medio o como fin el uso de una computadora para cometer un acto 25 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 348. 26 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 347. 27 http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf 18 doloso, que provoque cualquier tipo de daño a la información, base de datos, redes de comunicación, entre otros” 28 2.9. Regulaciones Las regulaciones se refieren a los diversos medios con los que cuenta una organización para regir o normalizar al personal que labora en ella y los procesos que lleva acabo. 2.9.1. Políticas Según el Manual de Preparación al Examen CISA las políticas son “Documentos de alto nivel que representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños del proceso de negocio. Las políticas deben ser claras y concisas para que sean efectivas. La administración debe crear un ambiente positivo de control asumiendo la responsabilidad de formular, desarrollar, documentar, promulgar y controlar las políticas que abarcan las metas y las directrices generales” 29 Con base a diversos conceptos, se concluye que la política de seguridad refleja el propósito y compromiso de la seguridad de la información en una organización. Se compone por las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los diversos riesgos a los que se exponen. 2.9.2. Procedimientos Después de analizar diferentes conceptos acerca del juego que tienen los procedimientos en las organizaciones, se define que son documentos detallados que se derivan de la política madre y deben implementar la intención del lineamiento de la política. Los procedimientosdeben ser escritos en una forma clara y concisa de modo que sean comprendidos fácil y correctamente por todos los que se deben regir por ellos. Los procedimientos son formulados por la gerencia media como una traducción efectiva de las políticas y documentan procesos del negocio (administrativos y operacionales) y los controles integrados en los mismos. 28 http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf 29 Mireya Delgado Debali, Manual de Preparación al Examen CISA, pagina 85. http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf 19 2.10. Organizaciones Privadas De acuerdo a algunas definiciones encontradas en el diccionario Economía- Administración – Finanzas 30 , las empresas privadas son sociedades comerciales o industriales en que todas o la mayoría de las acciones u otras formas de participación en el capital para su constitución y funcionamiento, pertenecen a particulares de los residentes únicamente del país y son controladas por éstos, unidades productoras de bienes y/o servicios para la venta en el mercado, independientes del estado, cuya finalidad es totalmente lucrativa. 2.10.1. Objetivo de las Organizaciones Privadas En base a una fuente del Internet, su principal objetivo es “la obtención de utilidades considerando los riesgos, al competir en el mercado al cual se dirige la producción” 31 2.10.2. Funciones de las Organizaciones Privadas De acuerdo a algunas definiciones de HENRY FAYOL Y FREDERICK W. TAYLOR 32 , las principales funciones de las empresas privadas son: Poner en marcha las actividades procesos, dependiendo del giro de la empresa, mismas que les permitan obtener ganancias por la aportación de sus capitales. Evaluar la competencia y realizar lo prioritario de acuerdo para obtener la mayor utilidad para la empresa, en las unidades productoras de bienes y/o servicios para la venta en el mercado. 30 http://www.eco-finanzas.com/E/EMPRESAS_PRIVADAS.htm 31 http://www.monografias.com/trabajos16/empresa/empresa.shtml 32 http://www.monografias.com/trabajos16/empresa/empresa.shtml http://www.monografias.com/trabajos5/sisteco/sisteco.shtml#fayol http://www.monografias.com/trabajos16/empresa/empresa.shtml http://www.monografias.com/trabajos16/empresa/empresa.shtml 20 CAPÍTULO III. SITUACIÓN ACTUAL DE LA SEGURIDAD INFORMÁTICA EN LAS ORGANIZACIONES Dentro de este capítulo se describe la situación actual a la que se enfrentan las organizaciones para proteger su información, las principales amenazas que enfrentan y las causas de su vulnerabilidad. Se presenta la manera en que las organizaciones han implementado estrategias de seguridad, a través del establecimiento de políticas y siempre tratando de imitar las mejores prácticas recomendadas. Se estudia los distintos factores a que las organizaciones se encuentran expuestas, ya sea lógicamente por medio de virus o gusanos ó físicamente con accesos no autorizados, alteración de la información, etc. También es necesario considerar protegerse de acontecimientos que ocurren naturalmente, es decir, ambientales que puede ocasionar daños físicos que atenten contra la integridad de la información, como: sismos, incendios e inundaciones, por mencionar algunos. Del mismo modo, se describen las diversas formas de conducta lesivas de las que pueden ser objeto las organizaciones cuando se concretan las amenazas y se convierte en un hecho, es decir, se genera el delito informático. Una vez conocida la situación y el entorno que rodea a las organizaciones, se muestra el impacto que generan dichos delitos, provocando consecuencias sociales, legales y sobre todo económicas. 3.1. Estrategias de Seguridad Informática Las estrategias de seguridad son un tema que casi no es atendido por la mayoría de las organizaciones, la mayor parte de estas carece de una estrategia definida de protección ante una amenaza que puede estar presente en cualquier momento y con ello puede ocasionar pérdidas económicas; con base a un reporte se obtuvo el siguiente dato: “En México debe fortalecerse la cultura de la seguridad informática, luego que más de 80 por ciento de las empresas carecen de una estrategia definida de protección y reacción ante una amenaza que podría generar pérdidas millonarias” 33 , además en una entrevista que se realizó al Director General de GCP Global recomendó lo siguiente: “Desarrollar un plan de seguridad que sustente procesos de negocio en el uso correcto de las Tecnologías de la Información (TI), ya que si la empresa carece de cultura para aprovechar la tecnología, ésta no puede hacer milagros por ella” 34 33 http://blog.segu-info.com.ar/2008_11_01_archive.html 34 http://www.e-mexico.gob.mx/wb2/eMex/eMex_2e650_not233_sin_estrategi http://blog.segu-info.com.ar/2008_11_01_archive.html http://www.e-mexico.gob.mx/wb2/eMex/eMex_2e650_not233_sin_estrategi 21 3.2. Difusión de la Conciencia de Seguridad en la Organización Con respecto a la difusión y conciencia de la seguridad en las empresas se puede observar el estudio denominado “Percepción sobre Seguridad en Informática México 2007” 35 en el cual uno de sus alcances es conocer los niveles de conciencia que se tienen en las empresas mexicanas, acerca de la Seguridad en Informática, mismo que arrojó los siguientes datos que se consideran relevantes: 1. El 22.8% de todos los usuarios pide a los proveedores de tecnología mayor difusión de conocimiento y en muchos casos, se hace el comentario de que los proveedores deben poner a disposición de los usuarios información que sea fácil de entender. El 10.1% pidió a los proveedores de tecnología que tengan mejores productos, el 7.5% mencionó que se requieren precios más accesibles y el 6.7% expresó que se requiere mayor honestidad y compromiso con los usuarios. 2. El 6.3% mencionó que le gustaría saber más acerca de políticas y procedimientos. Comparando con años anteriores, es un avance importante, e indica que la cultura en seguridad en informática está aumentando en nuestro país, los usuarios quieren más información, de cualquier fuente. El 31.1% de los entrevistados mencionó que les gustaría conocer más acerca de todos los aspectos de seguridad y el 15.3% especificó que le gustaría estar al tanto de novedades y actualizaciones en el tema. En la gráfica 3.1 se muestran los principales retos en cuanto a la seguridad informática a los que se enfrenta una compañía, de acuerdo a una encuesta realizada por bSecure en Septiembre del 2007. Gráfica 3.1 Principales retos que enfrenta una organización 35 http://www.esemanal.com.mx/articulos.php?id_sec=2&id_art=4839 http://www.esemanal.com.mx/articulos.php?id_sec=2&id_art=4839 http://www.esemanal.com.mx/articulos.php?id_sec=2&id_art=4839 22 3.3. Situación Actual de la Seguridad Informática De acuerdo a la Encuesta de Seguridad Informática en Argentina organizada por el CISIAR (Centro de Investigación en Seguridad Informática Argentina), 36 se obtuvieron los siguientes datos con respecto al área de seguridad informática. El 65% de las empresas cuenta con un área formal de Seguridad Informática, que en la mayoría de los casos se encuentra ubicada a nivel de gerencia o departamento. Se determinó que en el 39% de las empresas, al área de Seguridad Informática la conforman menos de cinco personas. De igual forma, de acuerdo con los resultados de la Encuesta 2009 sobre Seguridad y Almacenamiento en las PYMES de Symantec 37 reveló que las principales preocupaciones están relacionadas con los virus (77%), las fugas de datos (73%) y el control y protección de dispositivos portátilesque se conectan a la red de forma remota (72%). La encuesta halló que 33% de las pymes latinoamericanas ha enfrentado una brecha de seguridad, lo cual implica que información confidencial de las organizaciones ha sido extraviada o robado, e incluso consultada y utilizada sin autorización. Casi 30% de los representantes encuestados de 1,425 PYMES dijeron no tener la protección más básica, el 37% dijo que sus presupuestos limitados son un impedimento para proteger su información y 28% dijo que por falta de tiempo y de concientización sobre las actuales amenazas de seguridad de TI no han hecho algo al respecto. Aunque las pymes entienden los riesgos de seguridad que enfrentan, una cantidad sorprendente de estas empresas en América Latina no implementa prácticas elementales de seguridad, concluyó el estudio. La encuesta mundial 2004 realizada a 7,000 profesionales de tecnología y seguridad del departamento de investigación de InformationWeek, muestra en la gráfica 3.2 las diversas opiniones acerca de la seguridad en informática. 36 http://www.cisiar.org/proyectos/encuesta/CISIar_Encuesta_Seguridad_Informatica_2002.pdf 37 http://www.netmedia.info/video/netmedia-news-23-de-abril http://www.cisiar.org/proyectos/encuesta/CISIar_Encuesta_Seguridad_Informatica_2002.pdf http://www.netmedia.info/video/netmedia-news-23-de-abril 23 Gráfica 3.2 Opiniones sobre la seguridad informática En la gráfica 3.3, se puede observar una comparación de cuál es el rol que toman las empresas de la información en las siguientes iniciativas dentro de su empresa, esto de acuerdo a una encuesta realizada por bSecure en mayo del 2007. Gráfica 3.3 Rol de la seguridad de la información en iniciativas dentro de la organización En la gráfica 3.4, se puede ver una comparación porcentual de cuál será el presupuesto (en dólares) destinado para seguridad informática en 2006 de acuerdo a la encuesta realizada por Netmedia Research de bSecure. 24 Gráfica 3.4 Presupuesto para Seguridad Informática La gráfica 3.5, muestra qué porcentaje de la partida de TI representa el presupuesto de seguridad informática en las organizaciones, esto según la encuesta realizada por Netmedia Research. Gráfica 3.5 Presupuesto de seguridad informática en su empresa En la gráfica 3.6, se puede ver la comparación porcentual respecto al presupuesto de seguridad informática de 2006 y el asignado para 2007, según la encuesta realizada por Netmedia Research de bSecure. 25 Gráfica 3.6 Comparación respecto el presupuesto de seguridad informática Se muestra en la gráfica 3.7, cuales son las razones por la que aumentará el presupuesto en seguridad, según la encuesta realizada por Netmedia Research de bSecure, se permitieron respuestas múltiples. Gráfica 3.7 Razones por las que se aumentará el presupuesto en seguridad Según la encuesta realizada por Netmedia Research de bSecure, se puede ver en la siguiente gráfica 3.8, razones por qué disminuiría su presupuesto de seguridad. 26 Gráfica 3.8 Razones por las que disminuiría el presupuesto en seguridad En la gráfica 3.9 se muestra el porcentaje del presupuesto de seguridad que se canalizará a las herramientas de seguridad, esto de acuerdo a la encuesta realizada por Netmedia Research de bSecure en noviembre del 2006. Gráfica 3.9 Herramientas que canaliza el presupuesto de seguridad La Revista Network Computing México en su numero 19, muestra cuáles son las herramientas a las que se canalizará principalmente el presupuesto de seguridad, según la segunda encuesta anual de seguridad de información de Ernst & Young. Los resultados se observan en la gráfica 3.10. 27 Gráfica 3.10 Mayores obstáculos para solucionar los problemas de seguridad 3.4. Situación Actual de las Políticas de Seguridad Respecto a las definiciones analizadas en el capitulo anterior se dice que el objetivo de las políticas de seguridad es proporcionar los lineamientos de seguridad informática acorde con las necesidades y recursos de la organización para mantener estándares de calidad. A continuación se presenta una serie de estadísticas derivadas de la III Encuesta Nacional de Seguridad Informática ACIS 38 . La tabla 3.1 y la gráfica 3.11, muestran la situación de las políticas de seguridad en el periodo 2002-2003. Año 2002 % 25 48.1 26.9 Año 2003 % 27.5 49 23.5 Diferencia Porcentual 2.5 0.9 3.4 Tabla 3.1 Situación actual de las políticas de seguridad 38 http://www.acis.org.co/memorias/JornadasSeguridad/IIIJNSI/IIIENSI.ppt http://www.acis.org.co/memorias/JornadasSeguridad/IIIJNSI/IIIENSI.ppt 28 Gráfica 3.11 Situación actual de las políticas de seguridad Si se suma el porcentaje que se encuentra en desarrollo y los que afirmaron no tener políticas definidas, el porcentaje alcanza el 76.5%, esto nos sugiere que la seguridad si bien está penetrando con fuerza las organizaciones (mediana industria), el proceso de formalización y administración aún está por desarrollarse. Así mismo, la tabla 3.2 presenta un estudio realizado por la Asociación Colombiana de Ingenieros de Sistemas - ACIS 39 la cual muestra un ligero aumento en la formalización de las políticas de seguridad informática en las organizaciones colombianas, pero no lo suficiente para que este sea significativo. La tendencia de la falta de formalización de las políticas de seguridad se confirma una vez más. Año 2002 % Año 2003 % Año 2004 % No se tienen políticas de seguridad 25 27,5 28,8 Actualmente se encuentran en desarrollo 48,1 49 46,8 Política formal, escrita documentada e informada a todo personal 26,9 23,5 24,4 Tabla 3.2 Situación actual de las políticas de seguridad 39 http://www.acis.org.co/index.php?id=859 http://www.acis.org.co/index.php?id=859 29 3.4.1. Situación Actual de las Políticas de Seguridad a Nivel Internacional El Índice patrocinado por Cisco, fue elaborado por la consultora independiente Kaagan Research Associates y está basado en 600 encuestas a gerentes de Tecnologías de Información de Argentina, Brasil, Chile, Colombia, México y Venezuela. Muestra que el promedio regional es de 64 puntos, mientras que el de México es de 66, lo que demuestra que aún cuando las empresas están haciendo un buen trabajo implementando políticas de seguridad de la información, aún queda mucho por recorrer para alcanzar mejores estándares. De acuerdo con lo informado por los gerentes de TI consultados, las empresas mexicanas son las que más frecuentemente entrenan a sus empleados en políticas y procedimientos de seguridad de la información: 43 de cada 100 organizaciones de este país entrenan a sus trabajadores al menos dos veces por año. Hay dos aspectos en los cuales México parece tener más problemas son: La mayor parte de las organizaciones en cada nación (en teoría) tienen instalados procedimientos para que los equipos de TI informen posibles vulnerabilidades a la seguridad. Casi la mayoría de los gerentes de TI aseguran tener aplicaciones para gestionar la seguridad, aunque en general no reportan los problemas de un modo consistente y periódico. 3.4.2. Situación Actual de las Políticas de Seguridad a Nivel Nacional En la gráfica 3.12, se muestra una comparación de los aspectos que cubren las políticas y/o procedimientos internos, esto con información obtenida de la encuesta electrónica realizada por la Revista Network Computing México en Febrero del 2001. 30 Gráfica 3.12 Aspectos que cubren las políticas y procedimientos internos IDC México identifica que la seguridad informática en la mayoría de las empresas grandes
Compartir