Fundamentos Esenciales de la Seguridad de la Información

Definición de Seguridad de la Información

Se entiende por Seguridad de la Información a todas las medidas preventivas y reactivas del ser humano, de las organizaciones y de los sistemas tecnológicos que permitan proteger la información frente al acceso no autorizado, uso o divulgación.

Seguridad Informática

Es el área de la informática que se enfoca en la protección de la infraestructura computacional y de todo lo relacionado con esta. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore y signifique un riesgo si esta llega a manos de otras personas.

El Triángulo C.I.A.

Se busca mantener la Confidencialidad, Disponibilidad e Integridad (C.I.A.):

• Confidencialidad: El contenido es intercambiado solamente por las partes implicadas.
• Disponibilidad: Comprende el acceso a la información y a los sistemas por personas autorizadas en el momento que lo requieran.
• Integridad: El contenido no ha sido modificado total o parcialmente en el trayecto.

Manejo del Riesgo

La gestión del riesgo es el proceso de identificar las vulnerabilidades y las amenazas a los recursos informáticos utilizados por la organización en el logro de los objetivos de negocio y decidir qué medidas, en su caso, tomar para reducir el riesgo a un nivel aceptable, basado en el valor de los recursos de información de la organización.

Términos Clave en la Gestión de Riesgos

• Riesgo: Es la probabilidad de que algo malo vaya a pasar que cause daño a un bien informacional.
• Vulnerabilidad: Es una debilidad que podría ser utilizada para poner en peligro o causar daño a los activos de información.
• Amenaza: Es cualquier cosa que tiene potencial de causar daño.

Estrategias de Tratamiento del Riesgo

• Retener: Es uno de los métodos más comunes del manejo de riesgos. Puede ser voluntaria o involuntaria. La voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las pérdidas involucradas; esta decisión se da por falta de alternativas. La retención involuntaria se da cuando el riesgo es retenido inconscientemente.
• Reducir: Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional. Se consigue optimizando los procedimientos, la implementación de controles y su monitoreo constante.
• Transferir: Es buscar un respaldo y compartir el riesgo con otros controles o entidades (ej. mediante seguros).

Estrategias de Protección

Defense in Depth (Defensa en Profundidad)

La fuerza de cualquier sistema no es mayor que su eslabón más débil. Usando una estrategia de defensa en profundidad, en caso de que una medida defensiva falle, hay otras medidas defensivas que continúan proporcionando protección.

Actores en el Ciberespacio

Es importante distinguir entre los diferentes perfiles que interactúan con la tecnología y la seguridad:

• Cracker: Un cracker es un hábil conocedor de la programación de software/hardware. Diseña programas y hardware para atacar software.
• Lamer: Una persona que alardea de ser pirata informático, y solo maneja programas de fácil uso creados por otros hackers de alto nivel.
• Copyhacker: Una persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas inteligentes.
• Bucanero: Es un comerciante que depende de la red para su actividad. Poseen un amplio conocimiento en el área de negocios.
• Phreaker: Poseen vastos conocimientos en el área de telefonía terrestre y móvil.
• Script Kiddie: Es un aficionado sin conocimientos sobre hackeo o crackeo, que recompila información de la red.
• Tonto: Usuario desinformado, borra o modifica información, ya sea en un mantenimiento de rutina o supervisión.

Sistema de Gestión de Seguridad de la Información (SGSI)

El concepto clave de un SGSI es para una organización el diseño, implantación y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información, minimizando a la vez los riesgos de seguridad de la información.

Ciclo PDCA para el SGSI

El modelo de mejora continua aplicado al SGSI es el ciclo PDCA:

• Plan (Planificar): Fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles.
• Do (Hacer): Implantación y operación de controles.
• Check (Verificar): Tiene como objetivo revisar y evaluar el desempeño del SGSI.
• Act (Actuar): Se realizan cambios para llevar de vuelta al SGSI a máximo rendimiento.

Funciones de un CERT/CSIRT

Un CERT o CSIRT recibe, analiza y responde informes de incidentes recibidos desde miembros de su comunidad (constituency), otros CSIRT, o terceras personas, coordinando la respuesta entre las partes.

Responsabilidades Principales:

• Ayudar al público objetivo.
• Ayudar a proteger informaciones valiosas.
• Coordinar de forma centralizada la seguridad de la información.
• Guardar evidencias.
• Apoyar y prestar asistencia a usuarios.
• Dirigir de forma centralizada la respuesta a los incidentes de seguridad.
• Son miembros del FIRST Forum of Incident Response and Security Teams.

Nota: Antel opera un CSIRT.