Módulo 8: Seguridad Informática
Contenido Seguridad Informática – Consideraciones y objetivos de la seguridad – Seguridad física y lógica – Gestión y manejo de amenazas, vulnerabilidad y riesgo – Tipos de ataques cibernéticos Consideraciones en la ética en las redes de comunicación A. Seguridad en los sistemas de informáticos La seguridad informática, es una disciplina que se encarga de proteger todos los componentes de un sistema de información de las posibles amenazas o ataques cibernéticos. Estos ataques pueden surgir de personas (intencional o no intencional), del mismo sistema o desastres naturales. El aspecto de la seguridad en los sistemas incluye, varias dimensiones, como ser: seguridad de acceso a los recursos, seguridad en el manejo de los datos, seguridad en la protección de los datos, controles, monitoreo y auditoría constante, adiestramiento a los usuarios sobre las buenas practicas, entre otros. Por lo tanto, la seguridad en los sistemas de información consiste en un conjunto de medidas y uso de herramientas para prevenir, resguardar, proteger y reaccionar ante cualquier movimiento que atente contra la información y el resto de los recursos. 1. Consideraciones y objetivos de la seguridad De acuerdo al modelo CIA (Confidentiality, Integrity y Availability) las siguientes son características u objetivos de la seguridad cibernética. a. Confidencialidad - la información debe estar accesible sólo por aquellas personas que tienen acceso autorizado. Este componente está estrechamente relacionado con la privacidad. Los datos sólo están disponibles para las partes interesadas y que tengan autorización de acceso a los mismos.
b. Integridad - es la certeza que los datos no serán modificados o destruidos por personas no autorizadas. c. Disponibilidad - solamente los usuarios autorizados debe tener acceso a la información cuando sea necesario. La información debe estar disponible cuando se necesita. Lo sistemas de información deben tener controles de seguridad que garanticen la información de los clientes. La disponibilidad no implica que la información este accesible a cualquier usuario, lo que significa es que esté disponible para los usuarios autorizados. Existen otros objetivos más específicos relacionados con la seguridad cibernética, los cuales están alineado con los antes mencionados: a. Hacer que los datos y documentos estén disponibles y accesibles 24/7. b. Restringir el acceso al personal no autorizado. c. Aplicar y hacer cumplir los procedimientos y políticas de uso aceptable (AUPs) de datos, redes, hardware y software que la empresa ha implementado. d. Promover la seguridad jurídica y el intercambio de información entre las personas autorizadas y asociados. e. Asegurar el cumplimiento con las regulaciones del gobierno y las leyes. f. Detectar, diagnosticar y responder a los incidentes y ataques en tiempo real. g. Mantener controles internos para impedir la alteración no autorizada de datos y registros. h. Recuperarse de los desastres y las interrupciones de negocio rápidamente. Las empresas necesitan tener un personal comprometido y especializado en este departamento.
2. Seguridad física y lógica La seguridad en los sistemas de información se puede visualizar desde la perspectiva de los componentes físicos como las estrategias implementadas a nivel de software o lógicas. a. Seguridad Fisca La seguridad física está enfocado a la protección de las amenazas provocadas tanto por el hombre como por la naturaleza del medio físico. Las principales amenazas que se prevén son: – Desastres naturales, como ser huracanes, fuego, terremotos, derrumbes o cualquier variación producida por las condiciones ambientales. – Amenazas ocasionadas por el hombre como robos, sabotajes, destrucción intencional o no intencional. b. Seguridad a nivel de Software Otra de las área muy importante con respecto la seguridad es la lógica o a nivel de software. Esta área es la más crítica; ya que existen diferentes formas de ataques y en ocasiones las empresas no están preparadas, ya sea a nivel de políticas, herramientas tecnológicas o personal. Existen varias técnicas y herramientas para reforzar esta área de la seguridad. Cada empresa debe de adoptar las herramientas y técnicas dependiendo del tipo de negoción que manejan. Sin embargo, con respecto a la seguridad a nivel de software, existen algunas estrategias: – Autentificación de acceso, esta estrategia es la más común, para controlar el acceso a los recursos en una rede computadoras. Hoy día este método se ha actualizado o mejorado, en donde se aplican técnicas más sofisticadas, como ser: password complejos, huellas dactilares, la retina, reconocimiento facial, identificación de caracteres, implementación de herramienta como
token RSA SecurID, el cual genera un código cada cierta tiempo y sistemas multifactor, el cual consiste en realizar doble autentificación. – El cifrado, es otra técnica de control de seguridad. Esta técnica consiste en codificar o encriptar el mensaje o los datos que serán transmitido. Este proceso se realiza utilizando herramientas de cifrado, el cual convierte en códigos a información y genera dos llaves una publica y otra privada. La pública es la que se comparte con el destinatario o receptor del mensaje, pueda que pueda decodificar la información. – Implantación de FireWall, dispositivos que se instalan entre el router o switch y el Modem o TI, con la intención de filtrar lo que entra del internet al intranet y viceversa. Por lo que, el firewall se encarga de proteger los servidores y computadoras de la empresa, restringiendo el acceso de conexiones no autorizadas o amenazas. – Respaldo o Backup, esplablecer estrategias de respaldo de los datos de la organización. – Monitoreo, implantar estrategias y herramientas de monitoreo y auditoria en los sistemas de información con el fin de tomar acción correctivas y preventivas inmediatamente. Con los cambios tecnológicos, los adelantos en los sistemas computarizados y la proliferación de la información, también surgen nuevas amenazas e intereses por parte de terceros. Por lo que las empresas se deben mantener a la vanguardia con respecto a la seguridad en los sistemas de información. Algunas medidas preventivas que se deben tomar para la protección de los recursos físicos tecnológicos: – Continúo adiestramiento a los usuarios de los sistemas. – Evaluar y establecer continuamente políticas del buen uso del equipo tecnológico. – Desarrollar protocolos de manejo del equipo en momentos de desastre naturales.
– Implementar controles de accesos a los recursos. – Instalación y actualizaciones de extintores. – Poseer equipo de protección contra interrupciones de energía eléctrica. 3. Amenazas, vulnerabilidad y riesgo Las amenazas siempre existen en los sistemas de información, por lo que las empresas deben desarrollar técnicas de protección para fortalecer sus sistemas y evitar o disminuir su vulnerabilidad. Por lo que es muy importante comprender los que es: a. Amenaza - alguien o algo que pueda provocar la pérdida, daño o destrucción. Cuando se integran los sistemas de información para realizar algún tipo de amenazas a los sistemas ya estamos hablando de ciberamenaza. Existen diferentes ciberamenazas que van desde robo de identidad, acceso a las páginas web, ciberterrorismo, cibermanenazas a los teléfonos, entre otros. b. Vulnerabilidad - debilidad o defecto en un sistema que permite que un ataque tenga éxito. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. c. Riesgo - el riesgo es la probabilidad de que una amenaza se convierta en un desastre. El manejo del riesgo cibernético es un método que ayuda a determinar, analizar, valorar y clasificar el riesgo, para posteriormente diseñar e implementar mecanismos que permitan controlarlo. El proceso de manejo de riesgo es conlleva cuatro etapas que ayudan a prevenir los ataques cibernéticos: – Análisis – en esta fase de determinan los componentes del sistema que requiere protección, se identifican sus vulnerabilidades que lo podrían debilitan y las amenazas que lo ponen en peligro. Es básicamente hacer una radiografía o pruebas al sistema.
– Clasificación – en esta etapa se determina si los riesgos encontrados (si alguno) y los riesgos restantes son aceptables. Para luego, clasificarlo según la amenaza que queden implicar. – Reducción - se definen y se implementan las medidas de protección de acuerdo a los riesgos identificados. Adición, se establecen políticas de educación y capacitación a los usuarios conforme a las medidas. – Control - se evalúan el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y hacer ajustes de ser necesario. Las organizaciones o empresas deben desarrollar políticas, normas, protocolos y estrategias de seguridad basados en marco operativo con el propósito de minimizar la vulnerabilidad y anular las amenazas cibernéticas para reducir el riesgo. La mayoría de los antivirus incluyen herramientas que ayudan a identificar las vulnerabilidades del sistema y protegerlos de amenazas cibernéticas. 4. Tipos de ataques cibernéticos Los propósitos de los ataques cibernéticos son distintos, dependiendo de la intención de los atacantes. Las intenciones podrían ser políticas, economías, robos de identidad, activistas, competencia desleal, etc. Los ataques cibernéticos por lo general ocurren cuando se instala un software o programa mal intencionado en los sistemas víctimas. Ese software o programa malintencionado es conocido como malware y desarrollado por los ciberdelincuentes (hackers o crackers). El malware son códigos diseñados por que tienen por objetivo alterar el funcionamiento del sistema informático. Entre los principales malware utilizados para realizar ataques cibernéticos están: a. Phishing – es una modalidad de ataque a través de un correo electrónico. En donde los hackers te invitan a que accedas a un enlace falso.
b. Spyware - software espía que recopila información de la computadora. Luego de obtener los datos, los transmite a una entidad externa sin el conocimiento o el consentimiento del propietario. c. Adware - software que muestra anuncios, se instalan generalmente sin autorizarlos. Suelen rastrear el uso de que se le da a los dispositivos. d. Ransomware – consiste en la denegación de servicios o recursos tecnológicos, en donde el pirata bloquea los recursos de un sistema, dejando sin accesos por usuarios autorizados. Luego a través de un mensaje solicita un rescate para liberarlo. El usuario debe pagar el rescate en la moneda digital Bitcoin, para que no se pueda rastrear y se mantenga el anonimato del hacker. e. Puerta trasera – es una secuencia especial dentro del código de programación, mediante la cual se tiene acceso al sistema a través de puertos abiertos. f. Troyano - es un tipo de programa que, al ejecutarlo, le brinda acceso remoto al intruso. g. DDoS - Distributed Denial of Service, este tipo de ataque consiste en saturar o inundar un sitio web enviando varias solicitudes de accesos hasta que el mismo se va fuera de servicios. B. Consideraciones éticas de los sistemas de información Al igual que otros departamentos en una empresa, el departamento de sistemas de información, contiene un conjunto de normas que sirven de guías en el buen comportamiento de los profesionales de esta área. Las buenas prácticas por parte de los profesionales de informáticas, son esenciales para la seguridad y el bienestar de la organización. La ética está muy relacionada con los valores morales que las personas han adquirido en el transcurso de su vida. Por lo que, la ética se puede identificar como una guía de creencias estándares e ideales que posee un grupo o una sociedad.
En los sistemas de informática, la ética está relacionada con el buen uso que los empleados le den a los recursos de informática en la empresa. Por lo que debe existir un código de ética. Los códigos de ética son conjuntos de reglas que recogen la política de la empresa en cuanto al comportamiento esperado de sus empleados. Cada empresa tiene un código de ética adatado a sus funciones; no obstante este código debe sustentado en valores, como ser la privacidad, las leyes, lo moral, confidencialidad y responsabilidad, entre otros. a. La moral – se refiere a las tradiciones o creencias respecto a la conducta de qué está bien o mal. Tiene que ver con la reglas de la sociedad. b. Privacidad – la información está disponible solamente para el personal autorizado, los usuarios no deben tratar de evadir ese concepto con el fin de tener acceso ilícito a la información. c. Integridad – igualmente que la privacidad, a excepción que en la integridad incluye la modificación de los datos ilícitamente. d. Leyes – son reglas formales de conductas que son implantadas por la autoridad del gobierno para regir a los ciudadanos. Con la ética se busca el bienestar y seguridad de todos los recursos. Esto incluye: propiedad intelectual, acceso a la información libre o restringida, censura, uso de información, intimidad y confidencialidad, integridad de los datos, flujo de los datos o divulgación de los mismos. Por lo que el código de ética debe buscar el contribuir a la sociedad, buscando el bienestar de las personas, promoviendo el respeto, la honestidad y brindando trato justo. La falta de ética por parte de las personas ha contribuido a que varias organizaciones tanto privadas como públicas hayan cometido fraude en sus operaciones y dejar de seguir operando. Resumen La seguridad en los sistemas de información es un elemento crítico y de mucha atención para las empresas. Actualmente, existen muchas amenazas de ataques a los sistemas informáticas a través
de las telecomunicaciones. Por tal motivo, las empresas están invirtiendo gran cantidad del presupuesto al aspecto de la seguridad, tanto la seguridad física como la seguridad a nivel de software. Para contrarrestar la vulnerabilidad que podrían tener los sistemas, se debe educar y concientizar a los usuarios, implementar controles de acceso multifactor, adquirir herramientas de control y monitoreo. Por otro lado, es muy importante crear conciencia en el recurso humano sobre la importancia de cumplir con el código de ética establecido por la empresa con respecto al manejo de la información.
Search
Read the Text Version
- 1 - 10
Pages:
