Diferencias y Amenazas

Suponga que una empresa lo contrata para mejorar la Seguridad de los datos vía WEB. Cual seria sus estrategias, que necesito hacer para comenzar con un plan de trabajo, mejoras, alianzas y recomendaciones a seguir en esta empresa.

Propuesta para mejorar la seguridad de los datos vía Web

Las grandes pérdidas económicas sufridas por las empresas debido a los incidentes de seguridad de la información durante los últimos años a nivel mundial, ha traído consigo, una mayor concientización de la importancia de la Seguridad de Activos de Información, y en general, para la administración integral del riesgo.

Los avances en las tecnologías de información, y el uso de Internet para “hacer negocios”, ofrecen herramientas de gran capacidad que se han convertido en un factor fundamental, y que hoy en día constituye una nueva dimensión de soluciones empresariales, sin embargo, paralelo a estas bondades, existen una serie de riesgos que hay que conocer y que están asociados al paradigma e-business.

El crecimiento del uso del e-business en las organizaciones ha elevado la conciencia de la gerencia en cuanto a la necesidad de proteger las enormes cantidades de información. En tal sentido, las modernas y extensas bases de datos que contienen información vital de clientes y proveedores, en combinación con la posibilidad de acceder inmediatamente esta información, hace que aparezca la amenaza sobre la confidencialidad de la misma. En la Figura 1. se muestran algunos puntos de vulnerabilidad que pueden estar presentes en la Organizaciones por el uso de la tecnología de información y sistemas.

La información se ha transformado en un activo o mercancía, la cual tiene un valor y un alto precio en los negocios, no siempre legítimo. La información es un importante factor de orientación en el e-business: cuando los datos son utilizados o accedidos sin autorización o puestos a disposición para aquellos que “no tienen la necesidad o responsabilidad de conocer”, se compromete la integridad y seguridad de los procesos del negocio y por tanto la sustentación del e-business. Estos riesgos aplican tanto para usuarios internos como externos. De aquí, que cuando una Compañía decide interactuar con otra en un ambiente B2B, ambas deben asegurarse que la propiedad de la información se respete en todos los niveles. De esto se desprende que los requerimientos de confidencialidad son y deben ser negociados bajo esquemas contractuales claros, precisos y formales.

Los sistemas informáticos pueden necesitar protección en algunos de los siguientes aspectos de la información:

Confidencialidad. El sistema contiene información que requiere protección contra la divulgación no autorizada. Por ejemplo, datos que se van a difundir en un momento determinado (como, información parcial de informes), información personal e información comercial patentada.

Integridad. El sistema contiene información que debe protegerse de modificaciones no autorizadas, imprevistas o accidentales. Por ejemplo, información de censos, indicadores económicos o sistemas de transacciones financieras.

Disponibilidad. El sistema contiene información o proporciona servicios que deben estar disponibles puntualmente para satisfacer requisitos o evitar pérdidas importantes. Por ejemplo, sistemas esenciales de seguridad, protección de la vida y predicción de huracanes.

En lo que se refiere a las transacciones en ambientes B2C, la protección y privacidad de la información se ha transformado en una necesidad imperiosa. La gente ha dejado muy claro que no introducirán información personal en Internet a menos que ellos reciban garantías sobre su confidencialidad y privacidad. Las más recientes encuestas, de diversas instituciones en USA, indican que dos tercios (2/3) de los encuestados que no son usuarios de Internet, estarían dispuestos a comenzar a utilizar este medio si la privacidad de su información personal y las comunicaciones son garantizadas

Hoy en día, la protección de los activos de información y la seguridad informática ha pasado de ser un aspecto tecnológico basado en factores físicos, a constituir uno de los aspectos más importantes de las empresas, abarcando elementos de carácter lógico e incluso organizativo.

Regresar

Actividades propuestas en el plan de trabajo planteado para mejorar la seguridad de los datos vía Web

1. Planificación y organización

Definición de un plan estratégico

Definición de la arquitectura de información

Determinación de la dirección tecnológica

Definición de organización y relaciones

Administración de la inversión

Comunicación de las políticas

Administración de los recursos humanos

Asegurar el cumplimiento con los requerimientos Externos

Evaluación de riesgos

Administración de proyectos

Administración de la calidad

2. Adquisición e implementación

Identificación de soluciones automatizadas

Adquisición y mantenimiento del software aplicativo

Adquisición y mantenimiento de la infraestructura tecnológica

Desarrollo y mantenimiento de procedimientos

Instalación y aceptación de los sistemas

Administración de los cambios

3. Prestación y soporte

Definición de los niveles de servicios

Administrar los servicios de terceros

Administrar la capacidad y rendimientos

Asegurar el servicio continuo

Asegurar la seguridad de los sistemas

Entrenamiento a los usuarios

Identificar y asignar los costos

Asistencia y soporte a los clientes

Administración de la configuración

Administración de los problemas

Administración de los datos

Administración de las instalaciones

Administración de la operación

Control

Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.

Obtener realización de las evaluaciones independientes

Regresar

Tips para el desarrollo del Plan de Trabajo

Elaboración de Políticas de seguridad:

Un esquema de políticas de seguridad debe llevar ciertos pasos, para garantizar su funcionalidad y permanencia en la institución que. Nuestra propuesta es seguir los pasos detallamos a continuación:

Preparación – Es la recopilación de todo tipo de material relacionado con cuestiones de seguridad en la organización:

¿Qué quiero proteger? Mis recursos: Personal, información, hardware, software, documentación, consumibles, etc.

Hacer preguntas relacionadas con el uso externo: por ejemplo: ¿Necesitará la intranet protección de acceso externo?, ¿Se concederá a usuarios autorizados el acceso remoto?, ¿Cómo se determinará el acceso no autorizado cuanto ocurra?, ¿Existen restricciones de acceso a la información importante? Etc.

Hacer preguntas relacionadas con el uso interno: por ejemplo: ¿A qué grupos, departamentos o usuarios se les restringirá el acceso a información interna?, ¿Qué constituye una brecha de seguridad interna?, ¿El sistema de seguridad impide la productividad?, ¿Cómo determina cuando el acceso inautorizado ha ocurrido? Etc.

Hacer preguntas concernientes a la administración: ¿Se planea implementar diferentes niveles de acceso?, ¿Quién está autorizado para tomar decisiones acerca de la seguridad?, ¿Se tiene un sistema de rastreo confiable instalado?, ¿Se usará el cifrado?, ¿ Será el adecuado? Etc.

¿De quién necesito protegerlo? De cualquiera que constituya una amenaza, ya sea interna o externa en cualquiera de estos rubros:

Acceso no autorizado: Utilizar recursos de cómputo sin previa autorización,

Daño a la información: Modificación o eliminación de la información en el sistema,

Robo de información: Acceso a cierta información sin previa autorización,

Divulgación de la información: Publicar detalles del sistema, como podrían ser las contraseñas, secretos, investigaciones, etc.

Negación del servicio: Obligar al sistema a negar recursos a usuarios legítimos

¿Qué tantos recursos estoy dispuesto a invertir?, ¿Cómo puedo / debo protegerlo?

En general, se tiene que lograr que las políticas de seguridad cumplan con todos los servicios de seguridad:

Autenticación, Confidencialidad, Integridad, No repudio y Disponibilidad de los recursos a personas autorizadas, Control de Acceso.

Redacción - Escribir las políticas de una manera clara, concisa y estructurada. Requiere de la labor de un equipo en el que participen abogados, directivos, usuarios y administradores.

Edición - Reproducir las políticas de manera formal para ser sometidas a revisión y aprobación

Aprobación - Probablemente, la parte más difícil del proceso, puesto que es común que la gente afectada por las políticas se muestre renuente a aceptarlas. En esta etapa es fundamental contar con el apoyo de los directivos.

Difusión - Dar a conocer las políticas a todo el personal de la organización mediante proyecciones de video, páginas Web, correo electrónico, cartas compromiso, memos, banners, etc.

Aplicación - Es peor tener políticas y no aplicarlas que carecer de ellas. Una política que no puede implementarse o hacerse cumplir, no tiene ninguna utilidad. Debe predicarse con el ejemplo.

Mientras las políticas indican el "qué", los procedimientos indican el "cómo". Los procedimientos son los que nos permiten llevar a cabo las políticas. Ejemplos que requieren la creación de un procedimiento son:

Otorgar una cuenta

Dar de alta a un usuario

Conectar una computadora a la red

Localizar una computadora

Actualizar el sistema operativo

Instalar software localmente o vía red

Actualizar software crítico

Exportar sistemas de archivos

Respaldar y restaurar información

Manejar un incidente de seguridad

Un punto muy importante dentro de las políticas es el que tienen que ir acompañadas de Sanciones, las cuales deberán también ser redactadas, revisadas, autorizadas, aplicadas y actualizadas.

Políticas de contraseñas: Son una de las políticas más importantes, ya que por lo general, las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra ataques. Éstas establecen quién asignará la contraseña, qué longitud debe tener, a qué formato deberá apegarse, cómo será comunicada, etc.

Políticas de control de acceso: Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben autentificarse.

Políticas de uso adecuado: Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido dentro del sistema de cómputo.

Políticas de respaldos: Especifican qué información debe respaldarse, con qué periodicidad, qué medios de respaldo utilizar, cómo deberá ser restaurada la información, dónde deberán almacenarse los respaldos, etc. Ejemplos:

Todos los usuarios deberán acceder al sistema utilizando algún programa que permita una comunicación segura y cifrada.

Está terminantemente prohibido ejecutar programas que intenten adivinar las contraseñas alojadas en las tablas de usuarios de máquinas locales o remotas.

El administrador del sistema es el responsable de realizar respaldos de la información periódicamente Cada treinta días deberá efectuarse un respaldo completo del sistema y cada día deberán ser respaldados todos los archivos que fueron modificados o creados

La información respaldada deberá ser almacenada en un lugar seguro y distante del sitio de trabajo.

Control de Acceso Interno:

Autenticación Básica, basada en Usernames y Passwords

Control de Acceso Global.

¿Qué es? : El GACF se puede usar para establecer políticas de acceso de manera global para sus servidores web mediante el archivo de configuración que en los servidores NCSA httpd y los derivados de él como los servidores apache, éste archivo es llamado access.conf localizado en elsubdirectorio conf del servidor.

También se puede usar el GACF para segregar áreas públicas y privadas en el servidor web acordes con algún criterio, y solicitar un nombre de usuario yuna contraseña para el acceso a áreas privadas.

Control de Acceso Local.

¿Qué es? El LACF permite aplicar diferentes controles de acceso pordirectorio o subdirectorio del árbol, normalmente el archivo es llamado htaccess.

Se puede negar el uso de los potencialmente peligrosos SSIlos cuales causan que el servidor pueda ejecutar comandos desde fuera cada vez que una página que los contiene es accesada, en las paginas del usuario.

Se pueden prevenir problemas de seguridad potenciales causados por ligas simbólicas.

Direcciones IP

¿Qué es?: En el contexto de la programación en cgi-bin, cada solicitud de un documento por un browser u otro recurso de la intranet contiene la dirección IP de la computadora que hizo la requisición, lo cual éstapodría ser utilizada por alguna otra persona con fines nocivos para la institución.

Otros métodos de Autenticación.

Funciones Hash

¿Qué es?

Usando el password que el usuario teclea, el browser crea una cadena usando el password y otra información incluyendo la AuthRealm (autenticación de dominio) y la pasa a través de la función MD5. Esta cadena es entonces pasada a través de la red hacia el servidor, el cual toma lainformación almacenada en el archivo .htpasswd para crear la misma cadena y pasarla a través de la función MD5 y luego compara los resultados; de éstamanera no es posible obtener el password, porque el password no esta siendoenviado.

Bajo MD5 se necesita información almacenada en el archivo.htpasswd y no se puede usar la función crypt() sobre él. Aunque se use lafunción MD5 sobre el password antes de almacenarlo, si se tiene el código almacenado, y un pequeño conocimiento, se puede crear un programa para usarloen lugar del password y funcionará.

La solución es reforzar los permisos de archivos

Control de Acceso Externo.

Firewalls

¿Para qué sirven?

Son un tipo de seguridad muy efectiva en redes. Intentan prevenir los ataques de usuarios externos a la red interna. Tienen múltiples propósitos:

Restringir la entrada a usuarios. Prevenir los ataques, Restringir los permisos de los usuarios a puntos bien controlados

Un Firewall es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de ésta por los que están fuera, es decir, quien puede entrar para utilizar los recursos de red pertenecientes a la organización. Para que un firewall sea efectivo, todo tráfico de información a través del Internet deberá pasar a través de él mismo donde podrá ser inspeccionada la información. EL firewall podrá únicamente autorizar el paso del tráfico, y el mismo podrá ser inmune a la penetración, desafortunadamente, este sistema no pude ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este.

Un firewall es vulnerable, él no protege de la gente que esta dentro de la red interna, éste trabaja mejor si se complementa con una defensa interna.

Transacciones Seguras

Cuando se usa el cifrado, cualquier información enviada por clientes (usernames, passwords, información confidencial.) a través de una forma puede ser transmitida seguramente hacia y desde el servidor Web.

Existen dos principales formas de efectuar transacciones seguras:

S-http soporta:

Cifrado para asegurar la privacidad.

Autenticación para los clientes y para los servidores

Firmas Digitales para la verificación y el no repudio.

Su puede controlar el acceso y la privacidad al asignar una mejora apropiada de seguridad para cada transacción entre el servidor y los clientes. Las posibles mejoras pueden ser: Firma, Cifrado, Firma y Cifrado

La mejora que se quiera aplicar depende de la cantidad de seguridad requerida. Se pueden aplicar mejoras a la seguridad de las siguientes formas:

Al especificar atributos S-http en las Hiperligas

Los browsers del cliente seguros necesitan saber cuando cifrar o firmar un documento, por lo que la presencia del protocolo shttp://alerta a un cliente para que todos los requerimientos usando ésta liga deben conformar las mejoras de seguridad incluidas en la liga. Se usa el siguiente mecanismo para especificar atributos de seguridad en hiperligas.

Opciones Criptográficas: CRIPTOPTS especifican las mejoras de seguridad que un cliente puede o debe aplicar a un requerimiento, y le dice al cliente que algoritmos de cifrado el servidor soporta.

Nombres Distinguidos: Un DN identifica una llave pública del servidor. El cliente usa un nombre distinguido del servidor para seleccionar lallave apropiada para el cifrar los mensajes que éste le envía al servidor.

Al especificar comandos de región en la configuración del archivo.

Se usan para controlar las respuestas del servidor a los requerimientos de los clientes. Comandos:

Require SHTTP: Este comando puede especificar una o más delas siguientes mejoras: Cifrar, Firmar y Autenticación.

Require Encryption: Se usa para que todos los requerimientos sean cifrados bajo cualquiera S-http, SSL o PCT. Se usa éste comando cuando se desea recibir requerimientos bajo cualquier protocolo.

Enhance SHTTP: Con este comando se pueden implementar cualquiera de las siguientes mejoras: Firmar, Cifrar, Autenticar. Ref [1] pp.181-209.

SSL

Para establecer una comunicación segura utilizando SSL se tienen que seguir una serie de pasos. Primero se debe hacer una solicitud de seguridad. Después de haberla hecho, se deben establecer los parámetros que se utilizarán para SSL. Esta parte se conoce como

SSL Handshake:

Durante el hanshake se cumplen varios propósitos. Se hace autenticación del servidor y opcionalmente del cliente, se determina que algoritmos de criptografía serán utilizados y se genera una llave secreta paraser utilizada durante el intercambio de mensajes subsiguientes durante la comunicación SSL.

Intercambio de datos:

Ahora que se ha establecido un canal de transmisión seguro SSL, es posible el intercambio de datos. Cuando el servidor o el cliente desea enviar un mensaje al otro, se genera un digest (utilizando un algoritmo de hashde una vía acordado durante el handshake), cifran el mensaje y el digest y seenvía, cada mensaje es verificado utilizando el digest.

Terminación de una sesión SSL:

Cuando el cliente deja una sesión SSL, generalmente la aplicación presenta un mensaje advirtiendo que la comunicación no es segura y confirma que el cliente efectivamente desea abandonar la sesión SSL. Ref [1]181-209.

Virus

Fuentes de Riesgo de los virus.

Los virus pueden ser ingresados al sistema por un dispositivo externo (diskettes) o a través de la red (e-mails) sin intervención directa delatacante.

Tienen diferentes finalidades, sólo infectan, alteran datos, eliminan datos, algunos sólo muestran mensajes, pero el fin único es el de PROPAGARSE.

Se pueden distinguir módulos principales de un virus informático:

Módulo de reproducción

Módulo de Ataque

Módulo de Defensa

¿Cómo protegerse de ellos?

Los usuarios deberán conocer los síntomas que pueden observarse en una computadora de la que se sospeche esté infectada:

Operaciones de procesamiento más lentas

Los programas tardan más tiempo en cargarse

Los programas comienzan a acceder por momentos al drive o al disco duro

Disminución del espacio disponible en el disco duro y de la memoria Ram en forma constante o repentina.

Aparición de programas residentes en memoria desconocidos.

La primera medida de prevención es contar con un sistema antivirus y utilizarlo correctamente. La única forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos, las cuales deberían verificar los siguientes aspectos:

Un disco de sistema, protegido contra escritura y libre de virus.
Por lo menos un programa de Antivirus actualizado.
Una fuente de información sobre virus específicos.
Un programa de respaldo de áreas críticas
Lista de lugares donde acudir.
Un sistema de protección residente.
Tener respaldos.
Revisar todos los discos nuevos antes de utilizarlos.
Revisar todos los discos que se hayan prestado.
Revisar todos los programas que se obtengan vía red.
Revisar periódicamente la computadora.
Procedimiento para revisar o desinfectar la computadora
Procedimiento para desinfectar el sector de arranque
Procedimiento para restaurar los respaldos.
Procedimientos para formatear discos duros en caso de que estén infectados.
Reportar a alguna autoridad la infección.

Regresar

Estrategias de seguridad

Los administradores de seguridad tienen que decidir el tiempo, dinero y esfuerzo que hay que invertir para desarrollar las directivas y controles de seguridad apropiados. Cada organización debe analizar sus necesidades específicas y determinar sus requisitos y limitaciones en cuanto a recursos y programación. Cada sistema informático, entorno y directiva organizativa es distinta, lo que hace que cada servicio y cada estrategia de seguridad sean únicos. Sin embargo, los fundamentos de una buena seguridad siguen siendo los mismos .

Aunque una estrategia de seguridad puede ahorrar mucho tiempo a la organización y proporcionar importantes recomendaciones de lo que se debe hacer, la seguridad no es una actividad puntual. Es una parte integrante del ciclo vital de los sistemas. Las actividades que se describen en este documento suelen requerir actualizaciones periódicas o las revisiones correspondientes. Estos cambios se realizan cuando las configuraciones y otras condiciones y circunstancias cambian considerablemente o cuando hay que modificar las leyes y normas organizativas. Éste es un proceso iterativo. Nunca termina y debe revisarse y probarse con periodicidad.

El establecimiento de un conjunto eficaz de directivas y controles de seguridad requiere el uso de un método para determinar los puntos vulnerables que existen en nuestros sistemas y en las directivas y controles de seguridad que los protegen. El estado actual de las directivas de seguridad informática se puede determinar mediante la revisión de la siguiente lista de documentación.

La revisión debe tomar nota de las áreas en las que las directivas son deficitarias y examinar los documentos que haya:

Directiva de seguridad informática física, como los controles de acceso físico.

Directivas de seguridad de la red (por ejemplo, las referentes al correo electrónico y a Internet)

Directivas de seguridad de los datos (control de acceso y controles de integridad).

Planes y pruebas de contingencias y de recuperación de desastres.

Conocimiento y formación en seguridad informática..

Directivas de administración y coordinación de la seguridad informática.

Identificar métodos, herramientas y técnicas de ataque probables

Las listas de amenazas, de las que disponen la mayor de las organizaciones, ayudan a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar en los ataques. Los métodos pueden abarcar desde virus y gusanos a la adivinación de contraseñas y la interceptación del correo electrónico. Es importante que los administradores actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua.

Establecer estrategias proactivas y reactivas

En cada método, el plan de seguridad debe incluir una estrategia proactiva y otra reactiva.

La estrategia proactiva o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinación del daño que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudará a desarrollar la estrategia proactiva.

La estrategia reactiva o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.

Pruebas

El último elemento de las estrategias de seguridad, las pruebas y el estudio de sus resultados, se lleva a cabo después de que se han puesto en marcha las estrategias reactiva y proactiva. La realización de ataques simulados en sistemas de pruebas o en laboratorios permiten evaluar los lugares en los que hay puntos vulnerables y ajustar las directivas y los controles de seguridad en consecuencia.

Estas pruebas no se deben llevar a cabo en los sistemas de producción real, ya que el resultado puede ser desastroso. La carencia de laboratorios y equipos de pruebas a causa de restricciones presupuestarias puede imposibilitar la realización de ataques simulados. Para asegurar los fondos necesarios para las pruebas, es importante que los directivos sean conscientes de los riesgos y consecuencias de los ataques, así como de las medidas de seguridad que se pueden adoptar para proteger al sistema, incluidos los procedimientos de las pruebas. Si es posible, se deben probar físicamente y documentar todos los casos de ataque para determinar las mejores directivas y controles de seguridad posibles que se van a implementar.

Determinados ataques, por ejemplo desastres naturales como inundaciones y rayos, no se pueden probar, aunque una simulación servirá de gran ayuda. Por ejemplo, se puede simular un incendio en la sala de servidores en el que todos los servidores hayan resultado dañados y hayan quedado inutilizables. Este caso puede ser útil para probar la respuesta de los administradores y del personal de seguridad, y para determinar el tiempo que se tardará en volver a poner la organización en funcionamiento.

La realización de pruebas y de ajustes en las directivas y controles de seguridad en función de los resultados de las pruebas es un proceso iterativo. Nunca termina, ya que debe evaluarse y revisarse de forma periódica para poder implementar mejoras.

Equipos de respuesta a incidentes

Es aconsejable formar un equipo de respuesta a incidentes. Este equipo debe estar implicado en los trabajos proactivos del profesional de la seguridad. Entre éstos se incluyen:

El desarrollo de instrucciones para controlar incidentes.

La identificación de las herramientas de software para responder a incidentes y eventos.

La investigación y desarrollo de otras herramientas de seguridad informática.

La realización de actividades formativas y de motivación.

La realización de investigaciones acerca de virus.

La ejecución de estudios relativos a ataques al sistema.

Estos trabajos proporcionarán los conocimientos que la organización puede utilizar y la información que hay que distribuir antes y durante los incidentes.

Una vez que el administrador de seguridad y el equipo de respuesta a incidentes han realizado estas funciones proactivas, el administrador debe delegar la responsabilidad del control de incidentes al equipo de respuesta a incidentes. Esto no significa que el administrador no deba seguir implicado o formar parte del equipo, sino que no tenga que estar siempre disponible, necesariamente, y que el equipo debe ser capaz de controlar los incidentes por sí mismo. El equipo será el responsable de responder a incidentes como virus, gusanos o cualquier otro código dañino; invasión; engaños; desastres naturales y ataques del personal interno. El equipo también debe participar en el análisis de cualquier evento inusual que pueda estar implicado en la seguridad de los equipos o de la red.

Mejoras, alianzas

A continuación se listan algunas ventajas específicas que estarían disponibles inmediatamente con el inicio de un proyecto de seguridad informática:

Mejoras en la disponibilidad de la información.

Integridad de la información.

Prestación de servicios tecnológicos de calidad.

Disminución de problemas operacionales provocados por fallas o anomalías incitadas por incidentes de seguridad (ataques, robos, sabotajes, etc.).

Transferencia de conocimiento entre el personal técnico informático y expertos especialistas de la seguridad informática.

Soporte continuo por consultores especialistas durante todo el proceso de evaluación, corrección y adiestramiento.

Drástica reducción de costos asociados a pérdidas de información por incidentes de seguridad.

Evitar la manipulación de información confidencial por personas no autorizadas (internas o externas).

Incremento del nivel de concienciación del personal con respecto a los tópicos de seguridad informática.

Aumento de las destrezas en técnicas asociadas con la detección, prevención y corrección de incidentes que amenacen los activos de la organización.

Reducción de los tiempos de evaluación e implantación de soluciones indispensables de seguridad informática.

Reducción en los costos asociados a adiestramiento y formación del personal técnico especializado en seguridad informática.

Reducción de tiempos de dedicación del recurso humano en la ejecución de actividades especializadas.

Atención de consultores dedicada al desarrollo de actividades del proyecto con planificación anticipada.

Costo/Beneficios

Los costos asociados a problemas de seguridad son múltiples y variados. En esta sección definiremos algunos y haremos referencia a los beneficios que obtendremos con la ejecución de un proyecto de seguridad informática.

Uno de los principales problemas que afrontamos diariamente en nuestras organizaciones es la inexistencia de una política de seguridad informática corporativa bien definida y documentada, este documento representa la base que soporta cualquier esfuerzo dirigido a mejorar el nivel de la plataforma con respecto a su seguridad informática. Entonces, este es el punto de partida para cualquier iniciativa al respecto, pero ¿Cómo aplicar políticas sin una evaluación profunda de la situación de la plataforma, las herramientas que soportan la información, la determinación del nivel de conciencia de nuestros usuarios, sin conocer realmente que activo de información es más importante proteger o resguardar para la organización. De allí que solo podemos mencionar que constantemente estamos dedicando inversiones dirigidas a la mejora de nuestra plataforma, de equipos prestadores de servicio, componentes responsables del procesamiento de la información, estaciones de trabajo y sus aplicaciones, la pregunta es ¿Cuál es el valor de esta plataforma?, ¿Estamos interesados en poner la información e inclusive nuestros servicios, fácilmente accesibles por terceros no autorizados o solo a quienes nosotros decidimos, a quienes nuestras políticas imponen?, así, parece imperante conocer ¿A que riesgo nos enfrentamos?, ¿Con que herramientas contamos?, ¿Qué tan eficientes son? y ¿Qué especialistas están disponibles para afrontar cualquier situación?.

En términos generales, ¿Qué inversión será necesaria para disponer de un equipo de especialistas en seguridad informática?, ¿Estamos dispuestos a soportar el tiempo y los riesgo que a ciencia cierta desconocemos y nos asechan?, ¿Cuántas herramientas de análisis y evaluación de plataformas de seguridad serian necesarias adquirir para tener una somera visión de nuestra seguridad?, ¿Cuántos recursos perdemos diariamente?, y finalmente, ¿Cuánto nos costaría formar un equipo de especialistas altamente adiestrados en cada una de las áreas relacionadas con el proyecto?.

Definitivamente la labor es compleja y la responsabilidad inmensa, asegurar nuestra información es una actividad continua y necesaria.

Regresar

Recomendaciones

Establezca alianzas con las fuerzas de ley.

Eduque a sus empleados sobre el correcto uso de los equipos y del software.

Mantenga respaldos de todo el software relacionado con el sistema operativo.

Mantenga respaldos de toda su información crítica.

Mantenga y refuerce sus políticas Corporativas de seguridad informática.

Instale softwares adecuados para prevenir eventuales ataques.

Utilice filtrado de paquetes y listas de control de acceso en sus Routers.

Defina y controle permanentemente sus mecanismos de defensa.

Asegúrese que los sistemas de auditoria estén corriendo.

Mantenga un aviso o banner en su sistema para notificar a usuarios no autorizados que podrían ser objeto de monitoreo.

Pruebe periódicamente su red en busca de vulnerabilidades.

Obligue a sus usuarios al cambio periódico de claves de acceso.

Requiera el uso de claves que contengan combinaciones de caracteres alfanuméricos especiales, si es posible use además tokens one-time.

Cancele todas las claves de acceso de empleados que dejen la empresa por cualquier motivo.

Instale las actualizaciones y parches necesarios para controlar la mayor cantidad de vulnerabilidades conocidas.

Mantenga permanentemente actualizado su software antivirus.

Restrinja y monitoree el acceso de sus estaciones de trabajo a sus servidores internos.

Utilice herramientas que controlen el acceso remoto a su red. En lo posible no use dicho tipo de acceso.

Considere establecer un equipo que responda ante emergencias o mantenga contacto con organismos o empresas que presten dicho tipo de servicio.

Desarrolle un plan corporativo de respuesta ante incidentes de seguridad.

Regresar