Muchas de las actividades diarias en los países desarrollados dependen, en mayor o menor medida, de sistemas y redes informáticas, y en ellos la seguridad informática es muy importante. El impresionante crecimiento de Internet y de los servicios telemáticos (como el comercio electrónico, los servicios multimedia de banda ancha, la administración electrónica y las herramientas de comunicación como el correo electrónico o la videoconferencia) ha ayudado a popularizar aún más el uso de la informática y las redes de ordenadores. Actualmente, no solo se utilizan en el ámbito laboral y profesional, sino que también se han convertido en una parte común de muchos hogares, afectando cada vez más las actividades de comunicación y ocio de los ciudadanos.
Por otro lado, servicios esenciales para una sociedad moderna, como los servicios financieros, el control de la producción y el suministro eléctrico (centrales eléctricas, redes de distribución y transformación), los medios de transporte (control del tráfico aéreo y terrestre), la sanidad (historiales clínicos informatizados, telemedicina), las redes de abastecimiento (agua, gas y saneamiento) y la propia Administración Pública, dependen en gran medida de sistemas y redes informáticas. En muchos casos, se han eliminado o reducido drásticamente el uso de papel y los procesos manuales.
En las empresas, la complejidad creciente de sus relaciones con el entorno y el gran número de transacciones que realizan como parte de su actividad han llevado a que muchos de sus procesos se soporten de forma automatizada e informatizada. Esta tendencia se ha acelerado con la implantación de los ERP, paquetes de software de gestión integral.
Para un mejor entendimiento de los conceptos mencionados se añaden tareas a realizar que tienen que ver con el punto que se trata y que puede servir para profesores o alumnos.
QUÉ SE ENTIENDE POR SEGURIDAD INFORMÁTICA
En la actualidad, el funcionamiento adecuado de los sistemas y redes informáticas es esencial para las actividades diarias de las empresas, las Administraciones Públicas, diversas instituciones y organismos, y los ciudadanos en general. Este correcto funcionamiento es especialmente crucial para garantizar la seguridad.
Por ello, se debe dar una gran importancia a todos los aspectos relacionados con la seguridad informática dentro de una organización. La proliferación de virus y códigos maliciosos y su rápida propagación a través de redes como Internet, junto con los numerosos ataques e incidentes de seguridad que ocurren cada año, han generado un mayor interés en esta área.
La Seguridad Informática se puede definir como cualquier medida que evite la ejecución de operaciones no autorizadas en un sistema o red informática. Estas medidas deben prevenir daños a la información, comprometer su confidencialidad, autenticidad o integridad, reducir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
Además, es crucial considerar otros aspectos relacionados con la Seguridad Informática:
- Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de organización, según el marco legal de cada país.
- Control del acceso a los servicios ofrecidos y la información almacenada en un sistema informático.
- Control del acceso y uso de ficheros protegidos por la ley, como contenidos digitales con derechos de autor y ficheros con datos personales.
- Identificación de los autores de la información o de los mensajes.
- Registro del uso de los servicios de un sistema informático, entre otros.
Desde una perspectiva más amplia, la norma ISO/IEC 17799 define la Seguridad de la Información como la preservación de su confidencialidad, integridad y disponibilidad. Estas medidas se conocen por el acrónimo “CIA” en inglés: Confidentiality (confidencialidad), Integrity (integridad), Availability (disponibilidad).
Dependiendo del tipo de información que maneje una organización y de los procesos que realice, puede dar más importancia a garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de información.
Por otro lado, la norma ISO 7498 describe la Seguridad Informática como un conjunto de mecanismos diseñados para minimizar la vulnerabilidad de los bienes y recursos dentro de una organización.
Tarea a realizar
Imagina que eres el responsable de la seguridad de la información en una empresa de consultoría financiera. La empresa maneja información altamente confidencial de sus clientes, incluyendo datos financieros, estrategias de inversión y otra información sensible.
Responde las siguientes preguntas considerando los principios de confidencialidad, integridad y disponibilidad:
a. Confidencialidad:
– ¿Cuáles son los principales riesgos de seguridad que podrían comprometer la confidencialidad de la información en tu empresa? Proporciona al menos tres medidas que implementarías para garantizar la confidencialidad de la información.
b. Integridad:
– ¿Cómo asegurarías la integridad de los datos financieros críticos de tus clientes? Explica cómo detectarías y manejarías una posible alteración no autorizada de la información.
c. Disponibilidad:
– ¿Cuáles son los posibles eventos o situaciones que podrían afectar la disponibilidad de la información en tu empresa? Enumera al menos tres estrategias que implementarías para garantizar la disponibilidad de la información en todo momento.
OBJETIVOS DE LA SEGURIDAD INFORMÁTICA
Entre los objetivos principales de la Seguridad Informática se encuentran:
- Reducir y gestionar los riesgos, así como identificar posibles problemas y amenazas a la seguridad.
- Asegurar el uso adecuado de los recursos y aplicaciones del sistema.
- Limitar las pérdidas y asegurar una recuperación adecuada del sistema en caso de un incidente de seguridad.
- Cumplir con el marco legal y los requisitos establecidos por los clientes en sus contratos.
Para alcanzar estos objetivos, una organización debe considerar cuatro ámbitos de actuación:
- Técnico: abarcando tanto el nivel físico como el lógico.
- Legal: en algunos países, la ley exige la implementación de medidas de seguridad en ciertos sectores, como el financiero y sanitario en Estados Unidos, y la protección de datos personales en todos los Estados miembros de la Unión Europea, entre otros.
- Humano: incluye la concienciación y formación de empleados y directivos, así como la definición de funciones y responsabilidades del personal.
- Organizativo: se refiere a la definición e implementación de políticas de seguridad, planes, normas, procedimientos y buenas prácticas de actuación.
SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN
Para alcanzar los objetivos mencionados anteriormente, el proceso de gestión de la seguridad informática debe incluir varios servicios o funciones de seguridad de la información:
- Confidencialidad: Este servicio garantiza que cada mensaje transmitido o almacenado en un sistema informático solo pueda ser leído por su destinatario legítimo. Si el mensaje cae en manos de terceros, estos no podrán acceder a su contenido original. Por lo tanto, este servicio asegura la confidencialidad de los datos almacenados en un equipo, en dispositivos de respaldo y/o en datos transmitidos a través de redes de comunicaciones.
- Autenticación: La autenticación asegura que la identidad del creador de un mensaje o documento es legítima, permitiendo al destinatario estar seguro de que el remitente es quien dice ser. Asimismo, se puede hablar de la autenticidad de un equipo que se conecta a una red o intenta acceder a un servicio. La autenticación puede ser unilateral, garantizando solo la identidad del equipo (usuario o terminal que se conecta a la red), o mutua, en la cual tanto la red o servidor como el equipo, usuario o terminal que establece la conexión se autentican mutuamente.
- Integridad: Esta función garantiza que un mensaje o archivo no ha sido alterado desde su creación o durante su transmisión a través de una red informática. De esta manera, es posible detectar si se ha añadido o eliminado algún dato en un mensaje o archivo almacenado, procesado o transmitido por un sistema o red informática.
- No Repudio: Este servicio de seguridad tiene como objetivo implementar un mecanismo de prueba que permita demostrar la autoría y el envío de un mensaje específico, de manera que el usuario que lo ha creado y enviado no pueda negar posteriormente haberlo hecho. Esta función también se aplica al destinatario del mensaje. Es especialmente importante en transacciones comerciales, proporcionando seguridad jurídica a compradores y vendedores. En un sistema informático, se distingue entre no repudio de origen y no repudio de destino.
- Disponibilidad: La disponibilidad de un sistema informático es crucial para cumplir con sus objetivos, ya que debe ser lo suficientemente robusto frente a ataques e interferencias para garantizar su correcto funcionamiento. Esto asegura que el sistema esté siempre disponible para los usuarios que necesiten acceder a sus servicios. Además, la disponibilidad incluye la capacidad de recuperación del sistema frente a incidentes de seguridad, así como desastres naturales o intencionales (incendios, inundaciones, sabotajes, etc.). Es importante destacar que los demás servicios de seguridad son inútiles si el sistema no está disponible para sus legítimos usuarios y propietarios.
- Autorización (control de acceso a equipos y servicios): El servicio de autorización controla el acceso de los usuarios a los diferentes equipos y servicios del sistema informático, una vez que cada usuario ha superado el proceso de autenticación. Para ello, se definen Listas de Control de Acceso (ACL) que relacionan a los usuarios y grupos de usuarios con sus respectivos permisos de acceso a los recursos del sistema.
- Protección contra la réplica: Este servicio de seguridad se enfoca en prevenir los “ataques de repetición” (replay attacks) realizados por usuarios malintencionados, que consisten en interceptar y reenviar mensajes para engañar al sistema y provocar operaciones no deseadas, como ejecutar múltiples veces una misma transacción bancaria. Para ello, se utilizan números de secuencia o sellos temporales en todos los mensajes y documentos que necesitan protección, de manera que se puedan detectar y eliminar repeticiones de mensajes ya recibidos por el destinatario.
- Confirmación de prestación de servicio o realización de una transacción: Este servicio de seguridad permite confirmar que una operación o transacción ha sido realizada, indicando los usuarios o entidades que han participado en ella.
- Referencia temporal (certificación de fechas): Este servicio de seguridad demuestra el momento exacto en que se envió un mensaje o se realizó una operación específica, utilizando generalmente una referencia UTC (Universal Time Clock). Para ello, se aplica un sello temporal al mensaje o documento en cuestión.
- Certificación mediante terceros de confianza: La realización de transacciones a través de medios electrónicos requiere nuevos requisitos de seguridad para garantizar la autenticación de las partes involucradas, la integridad y el contenido de los mensajes, y la confirmación de la operación o comunicación en un momento específico. Para ofrecer estos servicios de seguridad, se recurre a los “Terceros de Confianza”, organismos que certifican la realización y el contenido de las operaciones y avalan la identidad de los participantes, proporcionando así mayor seguridad jurídica a las transacciones electrónicas.
CONSECUENCIAS DE LA FALTA DE SEGURIDAD
Cuando se examinan las posibles consecuencias de la falta o insuficiencia en las medidas de seguridad informática, evaluar el impacto total en una organización puede resultar complejo. Además de los daños que puedan sufrir la información almacenada y los equipos de red, es crucial considerar otros perjuicios significativos para la entidad:
- Tiempo invertido en reparaciones y reconfiguración: Se requiere un considerable número de horas para corregir fallos y restablecer el funcionamiento de los sistemas y redes.
- Pérdidas económicas debido a la indisponibilidad de aplicaciones y servicios: La falta de acceso a estos recursos conlleva un coste de oportunidad significativo.
- Robo y divulgación de información confidencial: Datos sensibles como fórmulas, diseños, estrategias comerciales y programas informáticos pueden ser expuestos a terceros no autorizados.
- Filtración de datos personales: La divulgación de información de empleados, clientes, proveedores y candidatos puede resultar en sanciones por incumplimiento de la legislación sobre protección de datos, vigente en la Unión Europea y otros países.
- Impacto negativo en la imagen corporativa: La pérdida de credibilidad y la reputación dañada pueden afectar la confianza de clientes y proveedores.
- Retrasos en la producción y pérdida de oportunidades: La interrupción en los procesos puede llevar a retrasos, pérdida de pedidos y afectar la calidad del servicio.
- Riesgos para la salud y seguridad de las personas: En casos extremos, los incidentes de seguridad pueden poner en riesgo la vida humana.
- Costos de indemnizaciones y responsabilidades legales: La organización podría enfrentar sanciones económicas y legales, así como el riesgo de enfrentar penas civiles y criminales por incumplimientos relacionados con la protección de la privacidad y los derechos de autor.
Las organizaciones que no implementan medidas adecuadas de seguridad informática podrían enfrentar graves consecuencias bajo diversas leyes y decisiones judiciales.
Tarea a realizar
Visita Mailinator.com:
1.Explora el sitio web de Mailinator (https://www.mailinator.com/) y comprende cómo funciona este servicio de correo electrónico desechable.
2.Añade un nombre común en lengua inglesa como John, Peter, Charles y accede a ese buzón
3.Envía un correo electrónico a la dirección creada en Mailinator.
4.Observa cómo Mailinator gestiona los correos electrónicos entrantes y cómo se pueden acceder a ellos sin necesidad de registrarse.
Utiliza VirusTotal.com:
- Accede a la página web de VirusTotal (https://www.virustotal.com/) y explora sus funciones.
- Carga un archivo sospechoso o desconocido en VirusTotal para analizarlo en busca de posibles amenazas de virus, malware u otros tipos de software malicioso.
- Examina los resultados de los análisis proporcionados por VirusTotal y comprende cómo interpretarlos.
- Investiga cómo VirusTotal utiliza múltiples motores antivirus para escanear archivos y determinar su seguridad.
PRINCIPIO DE “DEFENSA EN PROFUNDIDAD” GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
El principio de “Defensa en Profundidad” se basa en establecer múltiples capas de seguridad en el sistema informático de una organización. Esto significa que, si un atacante logra superar una de estas “barreras”, hay medidas adicionales para complicar y retrasar su acceso a información confidencial o al control de recursos críticos del sistema. Estas capas de seguridad incluyen:
- Seguridad Perimetral: Como cortafuegos, proxies y otros dispositivos que forman la primera línea de defensa.
- Seguridad en los Servidores: Medidas específicas para proteger los servidores.
- Auditorías y Monitorización: Seguimiento y análisis continuo de eventos de seguridad.
Al implementar esta estrategia, también se reduce significativamente el número de posibles atacantes, ya que los atacantes menos experimentados y los script kiddies tienden a atacar sistemas más vulnerables y accesibles, evitando aquellos con múltiples capas de protección.