La seguridad es una necesidad básica del ser humano y de nuestra sociedad. Y precisamente bajo la sombrilla de la globalización, con el constante crecimiento de la movilidad y la gran dependencia de la tecnología de información y de comunicaciones, se incrementa también la necesidad de la seguridad de la información.

Si pudiera observarse la seguridad de la información bajo el microscopio del inventor holandés Zacharías Janssen, podríamos tener una perspectiva de cerca, diversa, profunda y detallada. O si pudiéramos utilizar el telescopio del holandés Hans Lippershey y observar desde la distancia, obtendríamos conocimientos adicionales de cómo se pueden implementar controles efectivos bajo distintas circunstancias.

La seguridad de la información es un requisito para una digitalización exitosa. Se requiere una protección básica de TI que proporcione una base técnica sólida y una herramienta de trabajo integral para ello.

En Alemania, la Oficina Federal de Seguridad en Tecnología de la Información ha trabajado en dicha protección elemental, denominada “IT-Grundschutz” o “Protección Básica de TI”, la cual incluye un método, instrucciones y recomendaciones para empresas e instituciones de todos los tamaños, así como para instituciones de gobierno que quieran ocuparse de la protección de sus datos y sistemas e información. Esta protección básica de TI adopta un enfoque holístico de la seguridad de la información; además de los aspectos técnicos, también se consideran cuestiones de infraestructura, organización y personal, que permiten identificar e implementar las medidas de seguridad necesarias mediante un procedimiento sistemático.  

Para dar una probadita de dicho compendio de controles para la seguridad de la información, haremos uso del microscopio y del telescopio para identificar algunos de los aspectos relevantes de esta valiosa herramienta.

Muchas organizaciones tienen la creencia de que se requieren grandes inversiones en tecnología para cubrir las necesidades de complejos controles de seguridad de la información. En realidad, es el factor humano con un sentido común sano, reglas organizativas bien pensadas y empleados fiables y bien informados, los que rigen los factores de éxito para una efectiva seguridad de la información.

Un juicio erróneo común se refiere a las propias necesidades de protección. A menudo se escuchan las siguientes declaraciones:

  • En nuestra organización nunca ha pasado nada.
  • ¿Qué podría alguien obtener de nosotros? Nuestros datos no son tan secretos.
  • Nuestra red es segura.
  • Nuestros empleados son confiables.

Cada organización debe ser consciente de que la seguridad no es un estado estático, sino un proceso constante, por lo que se deben hacer las siguientes preguntas:

  • ¿Qué formas de abuso serían posibles si la información confidencial sobre su empresa o su organización de gobierno cayera en manos de terceros?
  • ¿Qué consecuencias habría si su información fuera modificada, por ejemplo, durante la transmisión de datos o en su servidor? No solo las malas intenciones de terceros desconocidos pueden ser la causa de ello, sino también las fallas técnicas.
  • ¿Qué pasaría si en su organización una computadora u otro componente de TI estuviese de repente fuera de servicio y por un largo periodo de tiempo no pudiese ser utilizado (días, semanas…)? ¿Cómo se mantendría la continuidad del trabajo y del negocio? ¿Qué tan altas serían las posibles pérdidas?

Si su organización ha implementado un concepto de seguridad de la información bien pensado, se dará cuenta después de un tiempo de que aparecerán más ventajas, además de una ganancia adicional de seguridad. Algunos responsables de TI observan con frecuencia los siguientes efectos secundarios:

  • Los empleados son más confiables y se incrementa la calidad del trabajo.
  • Se incrementan las ventajas competitivas.
  • El mantenimiento de los sistemas de TI requiere mucho menos tiempo.
  • Los administradores trabajan en forma más efectiva.

 

Normativas y requisitos legales

Imagine que los datos de su organización caen en manos de terceros y estos son publicados, o que son destruidos irremediablemente por un error o un accidente ¿Qué consecuencias habría para la organización y para los responsables de la información sensible?

Es importante tener presentes las normativas y requisitos legales del país en donde se trabaja. El respeto a ellos apoya los controles y la transparencia en el medio de las organizaciones.

La normativa de protección de datos existente en Europa, por ejemplo, debe ser respetada por todos los países de la Unión Europea, pero eso no significa que fuera de esos países no sea vigente. En el momento en que se trabaja con organizaciones fuera de la Unión Europea y se manejan datos que pertenecen a dichos países, habría que establecer mecanismos para seguir reglas similares y proteger los datos con controles equivalentes.

Para algunos grupos profesionales como médicos, abogados y trabajadores sociales, existen normativas especiales, hasta con implicaciones penales.

Las cuestiones de protección del consumidor se tratan en varias leyes.

El uso de la tecnología de la información, el uso de Internet o los servicios de telecomunicaciones están regulados en algunos casos con mucha precisión. Por ejemplo, los bancos ahora se ven obligados a considerar los riesgos de TI del prestatario al otorgar préstamos, lo que tiene un impacto directo en las condiciones ofrecidas (palabra clave: Basilea II).  

Como pueden darse cuenta, hay suficientes razones para ocuparse del tema de seguridad de la información. Procuren informarse a través de expertos legales sobre la situación individual de las leyes correspondientes al área en la que trabajan.

No juguemos así: casos de daños como ejemplo de advertencia

Solo como breves ejemplos, podríamos mencionar los siguientes cinco escenarios, con los correspondientes controles que deben ser considerados. Usted puede discutir con sus colegas los ejemplos aquí comentados y los incidentes reales ocurridos en su propia organización:

  1. No existe un respaldo de datos.

Controles:

  • Pruebe continuamente los medios utilizados para los respaldos.
  • Compruebe y practique la restauración de la información.
  • Almacene los medios de respaldo fuera de los edificios de su propia organización, por ejemplo, en una caja de seguridad en el banco.
  1. Infestación por virus informáticos.

Controles:

  • Cree un concepto de actualización para los respaldos de seguridad.
  • No olvide las pequeñas “Islas de TI” dentro de la organización.
  1. Falta de la persona que funge como administrador de TI.

Controles:

  • Documente detalladamente las configuraciones y parámetros de sus sistemas.
  • Almacene sus contraseñas en forma segura.
  • Elabore un plan de contingencia o de emergencia con instrucciones sobre cómo proceder en los casos de daños más importantes y relevantes.
  • Implante reglas de sustitución.
  1. Ataque de hackers informáticos desde Internet.

Controles:

  • Asegure sus accesos a Internet.
  • Cifre sus datos confidenciales.
  1. Delincuentes internos.

Controles:

  • Proteja las oficinas, habitaciones y los edificios contra el acceso no autorizado.

 Las fallas más comunes.

Se ha detectado que los errores y fallas típicos de los controles de seguridad de la información, guardan solo una pequeña relación con el tamaño de la organización. 

Cada organización puede verificar cuáles son las fallas específicas que juegan un papel en su entorno y cómo deben evaluarse estos hechos.

 

Los controles y medidas de seguridad más importantes.

A continuación, se mencionan las medidas de seguridad más relevantes que se deben tener en consideración para alcanzar una adecuada seguridad de la información en cualquier organización.

  1. Enfoque sistemático de la seguridad de la información.
  • Los aspectos de seguridad de la información deben estar considerados oportuna y suficientemente en todos los proyectos.
  • Los objetivos de seguridad de la información deben ser definidos, para lograr determinar los controles apropiados.
  • Para cada objetivo de seguridad existente y para su correspondiente control, deben establecerse reglas apropiadas.
  • Se debe elaborar un plan de acción con claras prioridades de los objetivos y controles de seguridad.
  • Deben evitarse requisitos de seguridad particularmente engorrosos.
  • Se deben definir y establecer las responsabilidades.
  • Las políticas y responsabilidades existentes deben hacerse públicas.
  • La seguridad de la información debe ser revisada constante y regularmente.
  • Los procesos de trabajo y las directrices de seguridad existentes deben ser revisados periódicamente.
  • La gestión integral de la seguridad debe establecerse a largo plazo.
  • Todas las directrices o normas de seguridad existentes deben ser documentadas por escrito en un concepto de seguridad.
  1. Seguridad de los sistemas de TI.
  • Deben utilizarse mecanismos de protección existentes.
  • Los programas de protección de virus deben utilizarse cubriendo toda la organización.
  • El acceso a los datos debe limitarse al mínimo requerido.
  • Los roles y perfiles deben asignarse a todos los usuarios del sistema.
  • Los permisos o derechos de administrador deben limitarse en la medida requerida.
  • Los privilegios de programas deben ser limitados.
  • No deben usarse configuraciones predeterminadas en ningún caso, deben ajustarse adecuadamente a los requerimientos del negocio y de seguridad de la información
  • La documentación detallada de la instalación y del sistema debe crearse y actualizarse regularmente.
  1. Conectividad a redes e Internet.
  • Se debe usar un firewall para proteger las redes.
  • Un firewall seguro debe cumplir ciertos requisitos mínimos.
  • Los datos puestos a disposición de externos deben limitarse al mínimo requerido.
  • Los servicios externos y la funcionalidad del programa deben limitarse al mínimo requerido.
  • Al utilizar los navegadores o browser se debe tener especial cuidado. Deben prevenirse acciones riesgosas.
  • Se requiere tener un cuidado especial con los archivos adjuntos en correos electrónicos.
  • La navegación en Internet, utilizando una PC separada de la red normal de trabajo, es una solución rentable para la mayoría de los problemas de seguridad de Internet.
  1. Factor humano: conocimiento y cumplimiento de los requisitos de seguridad.
  • Deben observarse las políticas y requisitos de seguridad.
  • Debe prevalecer el orden en el lugar de trabajo y la información confidencial no debe estar accesible a terceros.
  • Al realizarse trabajo de mantenimiento y reparaciones, deben observarse precauciones especiales.
  • Los empleados deben contar con cursos de TI y también de seguridad de la información.
  • Una autoevaluación honesta no siempre es suficiente, a veces es necesario buscar asesoramiento de expertos.
  • Para todos los requisitos de seguridad existentes, se deben construir los correspondientes mecanismos de control.
  • En caso de incidentes, infracciones o brechas de seguridad, deben definirse y publicarse las consecuencias correspondientes.
  • Las infracciones de seguridad detectadas deben ser en realidad sancionadas.
  1. Mantenimiento de sistemas de TI: manejo de actualizaciones relevantes para la seguridad.
  • Las actualizaciones de seguridad deben ser instaladas y registradas regularmente.
  • Debe realizarse investigación detallada en intervalos regulares para las propiedades y configuraciones de seguridad del software utilizado.
  • Se debe establecer un plan de acción para actualizaciones de seguridad necesarias.
  • Los cambios de software deben ser probados.
  1. Uso de mecanismos de seguridad: manejo de contraseñas y cifrado.
  • Los mecanismos de seguridad deben ser seleccionados cuidadosamente.
  • Las contraseñas deben ser bien elegidas, cumpliendo con los requisitos mínimos de seguridad.
  • Las contraseñas predeterminadas o vacías deben ser cambiadas.
  • Las computadoras en el lugar de trabajo deben estar aseguradas con contraseña y debe utilizarse el protector de pantalla.
  • Los datos confidenciales y los sistemas sensibles deben ser protegidos.
  1. Protección contra desastres y daños naturales.
  • Deben elaborarse planes de contingencia y ser conocidos por todos los empleados.
  • Todos los datos importantes deben ser respaldados periódicamente (backup).
  • Los sistemas de TI deben estar adecuadamente protegidos contra incendios, sobrecalentamiento, daños por agua y fallas de energía.
  • Deben implementarse medidas para proteger el acceso a ladrones o visitantes malhechores.
  • Todo el inventario de hardware y software debe ser registrado y documentado.

 

Conclusiones

Habiendo cubierto los diferentes aspectos de la seguridad de información que brinda esta “Protección Básica de TI”, se puede observar que no basta implementar procesos y mecanismos técnicos. Las funciones técnicas de seguridad deben ir acompañadas de medidas y controles organizacionales, de personal, físicos y estructurales. Quienes deseen mejorar la seguridad de información enfrentan el reto de lograr la mejor funcionalidad de seguridad posible, a costos razonables. Además, la solución debe ser lo suficientemente práctica y cómoda como para ser aceptada en el trabajo cotidiano.

La ventaja de llevar a cabo esta protección básica estriba en contar con controles de seguridad prácticos y de fácil implementación. De manera que, si no se puede o no se quiere trabajar en un concepto de seguridad completo, se tendrá una protección básica de TI a través de un diseño modular.

[email protected] 

 

Referencias:

www.bsi.bund.de/grundschutz

www.it-grundschutz.de