Cómo garantizar datos seguros
Por Juan Carlos Tirante (*)
[email protected]
Cuando hablamos de seguridad informática, lo primero que viene a la mente son complejas fórmulas y software de avanzada. Pero, en realidad, organizar una eficiente y eficaz seguridad informática requiere de conceptos más amplios.
Su implementación debería hacerse a través de un equipo multidisciplinario. En principio, hay que fijar una política de seguridad. Es decir, si la seguridad va a ser alta, media o baja. Pero se debe de tener en cuenta que cuanto más alta sea la seguridad menos dúctiles serán los recursos informáticos y, como consecuencia, más difícil la adaptación del sistema para nuevas tareas. En toda política de seguridad debe existir un verdadero compromiso de las estructuras más altas de las empresas o instituciones, dado que la política de seguridad debe sustentarse en normas a cumplir.
Una apropiada identificación de los riesgos es algo que no se puede dejar de lado. Pero, ¿cómo logramos una apropiada identificación? Lo primero que debemos hacer es consultar al usuario del sistema sobre los riesgos que ve y luego adecuarlos con la visión del analista de riesgos, que aportará experiencia y conocimientos.
También se podría realizar un análisis de riesgos con métodos cuantitativos, basados en tablas estadísticas y valores, donde no hace falta una gran experiencia por parte de quien realiza la tarea. Pero este método puede inducir a errores dado que en la mayoría de las oportunidades los estudios en los que se basan las metodologías numéricas y estadísticas son extranjeros, y todas las sociedades no son iguales.
La valorización de las posibles pérdidas en caso de que una amenaza se concrete es otra de las cosas que hay que hacer. Aquí podemos hallar un doble valor del recurso dado que una computadora tiene un valor de reposición y el sistema que tiene cargado incrementa su cuantía. La valorización ayudará a considerar la inversión que realizaremos para prevenir los riesgos, dado que no debería pasar del valor que generaría la amenaza hecha realidad. Además, debemos tener conciencia de que cualquier medida que tomemos no hará desaparecer la amenaza, sólo disminuirá la posibilidad de que ocurra.
Creo que lo más difícil de evaluar en la planificación de un sistema de seguridad informática, no es lo tecnológico sino el factor humano. Muchas veces, los sistemas tienen toda la estructura y los elementos necesarios para seguridad y control, pero el comportamiento humano es imprevisible: el operador es el último eslabón entre la computadora, el sistema y la documentación.
Algunos de los circunstancias que debilitan el comportamiento humano y, en consecuencia, la seguridad, son (a) las crisis económicas y (b) la rutina. Con respecto al primer punto se puede observar que ante una crisis económica, en las áreas de sistemas disminuye el personal y existe una sobrecarga de tareas: las primeras que se deja de lado son las de seguridad. Por otra parte, la rutina y el pensamiento que nos dice "aquí nunca pasó nada, ni va a pasar", ambas son las mayores debilidades en una seguridad ya implementada.
«últimamente se han realizado estudios referente al comportamiento humano y la seguridad. En ellos se detectó que la mayoría de los operadores están alerta sobre no proporcionar claves y sobre las técnicas de ingeniería social para extraer información. Pero todavía existen cosas que hacen débil al hombre y, en consecuencia, a los operadores de los sistemas: son la codicia y la curiosidad.
Uno de los puntos de la norma IRAM/ISO/IEC 17799 ("Código de Práctica para la Gestión de la Seguridad de la Información") aconseja que la capacitación es muy importante para concientizar sobre estos peligros y los incidentes de seguridad deben usarse como ejemplo en la capacitación. Pero es difícil que una empresa haya tenido diferentes tipos de incidentes en la seguridad informática. Por ese motivo, recientemente el Centro de Estudiantes de la UTN de la Facultad Regional Buenos Aires ha editado una recopilación de estos incidentes de graves consecuencias, bajo el nombre Delitos Informáticos, su análisis, donde hay un estudio de los ilícitos informáticos reiterados a través del tiempo con distintas tecnologías.
La pregunta de rigor es: si no manejo información importante ¿debo tener un plan de seguridad?. A mi entender, todos deben de tener un plan de seguridad informática: el usuario solitario, las empresas chicas o medianas y las grandes empresas (aunque estas últimas por lo general lo tienen). Pero se puede ser afectado con distinta gravedad si sus datos pierden la integridad, la disponibilidad y la confidencialidad, los tres objetivos generales de la seguridad informática.
Como se podrá apreciar, debemos tomar conciencia de que si bien no deja de ser importante contar con un buen antivirus y otros software de seguridad, con ello solamente no vamos a estar totalmente protegidos: también hay que considerar el comportamiento humano.
(*) Juan Carlos Tirante es especialista en seguridad informática.
Fuente: http://www.clarin.com/suplementos/informatica/2006/08/09/f-00801.htm
___
[email protected]
Cuando hablamos de seguridad informática, lo primero que viene a la mente son complejas fórmulas y software de avanzada. Pero, en realidad, organizar una eficiente y eficaz seguridad informática requiere de conceptos más amplios.
Su implementación debería hacerse a través de un equipo multidisciplinario. En principio, hay que fijar una política de seguridad. Es decir, si la seguridad va a ser alta, media o baja. Pero se debe de tener en cuenta que cuanto más alta sea la seguridad menos dúctiles serán los recursos informáticos y, como consecuencia, más difícil la adaptación del sistema para nuevas tareas. En toda política de seguridad debe existir un verdadero compromiso de las estructuras más altas de las empresas o instituciones, dado que la política de seguridad debe sustentarse en normas a cumplir.
Una apropiada identificación de los riesgos es algo que no se puede dejar de lado. Pero, ¿cómo logramos una apropiada identificación? Lo primero que debemos hacer es consultar al usuario del sistema sobre los riesgos que ve y luego adecuarlos con la visión del analista de riesgos, que aportará experiencia y conocimientos.
También se podría realizar un análisis de riesgos con métodos cuantitativos, basados en tablas estadísticas y valores, donde no hace falta una gran experiencia por parte de quien realiza la tarea. Pero este método puede inducir a errores dado que en la mayoría de las oportunidades los estudios en los que se basan las metodologías numéricas y estadísticas son extranjeros, y todas las sociedades no son iguales.
La valorización de las posibles pérdidas en caso de que una amenaza se concrete es otra de las cosas que hay que hacer. Aquí podemos hallar un doble valor del recurso dado que una computadora tiene un valor de reposición y el sistema que tiene cargado incrementa su cuantía. La valorización ayudará a considerar la inversión que realizaremos para prevenir los riesgos, dado que no debería pasar del valor que generaría la amenaza hecha realidad. Además, debemos tener conciencia de que cualquier medida que tomemos no hará desaparecer la amenaza, sólo disminuirá la posibilidad de que ocurra.
Creo que lo más difícil de evaluar en la planificación de un sistema de seguridad informática, no es lo tecnológico sino el factor humano. Muchas veces, los sistemas tienen toda la estructura y los elementos necesarios para seguridad y control, pero el comportamiento humano es imprevisible: el operador es el último eslabón entre la computadora, el sistema y la documentación.
Algunos de los circunstancias que debilitan el comportamiento humano y, en consecuencia, la seguridad, son (a) las crisis económicas y (b) la rutina. Con respecto al primer punto se puede observar que ante una crisis económica, en las áreas de sistemas disminuye el personal y existe una sobrecarga de tareas: las primeras que se deja de lado son las de seguridad. Por otra parte, la rutina y el pensamiento que nos dice "aquí nunca pasó nada, ni va a pasar", ambas son las mayores debilidades en una seguridad ya implementada.
«últimamente se han realizado estudios referente al comportamiento humano y la seguridad. En ellos se detectó que la mayoría de los operadores están alerta sobre no proporcionar claves y sobre las técnicas de ingeniería social para extraer información. Pero todavía existen cosas que hacen débil al hombre y, en consecuencia, a los operadores de los sistemas: son la codicia y la curiosidad.
Uno de los puntos de la norma IRAM/ISO/IEC 17799 ("Código de Práctica para la Gestión de la Seguridad de la Información") aconseja que la capacitación es muy importante para concientizar sobre estos peligros y los incidentes de seguridad deben usarse como ejemplo en la capacitación. Pero es difícil que una empresa haya tenido diferentes tipos de incidentes en la seguridad informática. Por ese motivo, recientemente el Centro de Estudiantes de la UTN de la Facultad Regional Buenos Aires ha editado una recopilación de estos incidentes de graves consecuencias, bajo el nombre Delitos Informáticos, su análisis, donde hay un estudio de los ilícitos informáticos reiterados a través del tiempo con distintas tecnologías.
La pregunta de rigor es: si no manejo información importante ¿debo tener un plan de seguridad?. A mi entender, todos deben de tener un plan de seguridad informática: el usuario solitario, las empresas chicas o medianas y las grandes empresas (aunque estas últimas por lo general lo tienen). Pero se puede ser afectado con distinta gravedad si sus datos pierden la integridad, la disponibilidad y la confidencialidad, los tres objetivos generales de la seguridad informática.
Como se podrá apreciar, debemos tomar conciencia de que si bien no deja de ser importante contar con un buen antivirus y otros software de seguridad, con ello solamente no vamos a estar totalmente protegidos: también hay que considerar el comportamiento humano.
(*) Juan Carlos Tirante es especialista en seguridad informática.
Fuente: http://www.clarin.com/suplementos/informatica/2006/08/09/f-00801.htm
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!