12 oct. 2009

La seguridad informática I

La seguridad informática es un área de total trascendencia e importancia para cualquier empresa, dado que corremos el peligro no solo de perder datos sino de tener a parte de la plantilla de la empresa sin poder trabajar. Si tenemos en cuenta que hoy en día prácticamente en 100% de los procesos de negocio están informatizados, el coste de una contingencia podría ser elevadísimo.

Para evitar esto basta con implantar unos criterios de seguridad informática, de tal manera que en caso de una contingencia el daño sea el menor posible. Para ello existen desde hace algún tiempo una serie de guias y de normativas que nos ayudan a implantar en nuestra empresa un verdadero plan de seguridad informática.

El estándar de seguridad más utilizado para establecer un plan de seguridad es la ISO/IEC 27001 de Sistemas de Gestión de Seguridad de la Información, por otro lado como el plan de seguridad debe estar alineado con el plan de continuidad de negocio también deberemos seguir el estándar BS 25999 de gestión de la continuidad del negocio.

El estudio de la seguridad informática se puede plantear desde dos enfoques distintos pero complementarios.

- La Seguridad Física: Consiste en la protección del sistema frente a amenazas física, incendios, inundaciones, control de accesos de personas, errores físicos del hardware, etc.

- La Seguridad Lógica: protección de la información, mediante el enmascaramiento de la misma, integridad de los datos (consulta, modificación, …), encriptación, etc.

La gestión de la seguridad está en medio de las dos, implantando planes de contingencia, políticas de seguridad, normativas, etc.

Las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente y sean fáciles de usar y apropiadas al medio. Es decir:

- Efectivo: que funcionen adecuadamente en el momento adecuado.
- Eficiente: que optimicen los recursos del sistema
- Apropiadas: que pasen desapercibidas para el usuario.

Las debilidades de un sistema informático se pueden desglosar en cuatro áreas:

- Hardware: pueden producirse errores en la alimentación, errores de conexión, fallos de hardware, etc.
- Software. Ejecución errónea de programas, defectos de llamadas al sistema.
- Datos: Alteración en el contenido, introducción de datos falsos, manipulación de los datos, etc.
- Memoria: Infección por un virus, bloqueo del sistema, etc.
- Usuarios: Suplantación de identidad, acceso no autorizado, visualización de datos confidenciales.

Entrando en detalle en la seguridad de los datos, existen tres elementos básicos de la seguridad de los mismos:

- Confidencialidad: Los datos serán accesibles solo por los usuarios autorizados.
- Integridad: Los datos solo pueden ser creados y modificados por los usuarios autorizados.
- Disponibilidad: Los usuarios autorizados deben tener disponibles todos los datos que necesiten cunado así lo deseen.

Ahora viene la pregunta, ¿y entonces como protejo la información?. La respuesta depende de los dos tipos de seguridad que había que implantar:

Seguridad Lógica
- - Uso de herramientas de protección de la información en el mismo medio que se genera o transmite.
- Protocolos de autenticación entre cliente y servidor.
- Aplicación de herramientas de seguridad y monitorización en redes.
- Instauración de políticas de seguridad, planes de contingencia, de recuperación de desastres, aplicación de normativas, etc.

Seguridad Física
- Control de accesos
- Bloqueo de unidades externas
- Sistemas de suministro continuo de corriente UPS.
- Etc

Para determinar las póliticas de seguridad también hay que tener encuenta la LOPD, referente a los datos de caracter personal. Según la LOPD los datos de caracter personal se agrupan en tres niveles:

Nivel básico de seguridad que han de cumplir todos los ficheros que almacenen datos de carácter personal.

Nivel medio, que habrán de cumplir aquellos ficheros en los que se contengan datos relativos a
- La comisión de infracciones administrativas o penales
- Hacienda Pública
- Servicios financieros
- Relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito.

Nivel alto
- Ideología
- Religión
- Creencias
- Origen racial
- Salud
- Vida sexual
- Los que contengan datos recabados con fines policiales.

Las medidas de seguridad que hay que adoptar según esta clasificación de los datos de caracter personal son:

Nivel básico
- Realización de Copias de Seguridad, al menos una vez por semana (si hay cambios)
- Identificación y Autenticación del personal autorizado.
- Cambio de las contraseñas con "cierta periodicidad", y almacenamiento de forma ininteligible.
- Control de Acceso (sólo usuarios autorizados).

Nivel medio
- Todas las medidas del Nivel Básico más...
- Limitación del número de intentos reiterados de acceso fallidos.
- Control de acceso físico a los locales donde se encuentran los sistemas de información.
- Realización de una auditoría interna o externa, al menos cada dos años.

Nivel alto
- Todas las medidas del Nivel Básico y Medio más...
- Encriptación de datos.
- ACL's. De cada acceso deberán guardarse al menos, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si éste ha sido denegado oautorizado..
- Encriptación de datos si se transmiten a través de redes de comunicación, u otros soportes.

Pero antes de implantar un plan estratégico de seguridad hay que realizar un análisis de riesgo, esté análisis nos permite identificar y evaluar los riesgos de sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significa la prevención de la contingencia.

Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.

Existen herramientas de libre distribución para el análisis de riesgo, una de ellas es Magerit V2, elaborado por el Consejo Superior de Administración Electrónica.

Por otro lado, una vez implantado el plan de seguridad, es primordial hacer un seguimiento diario de los logs, información registrada en los elementos de seguridad y servidores, así como de las incidencias que se produzcan. Esto nos permitirá solventar los problemas de seguridad en cuanto se detecten y adelantarnos a los futuros problemas que se puedan producir (control preventivo).

Además, es muy importante que el departamento de seguridad mantenga el plan de seguridad actualizado, llevando un control exhaustivo de los cambios que se produzcan en el área IT , tanto a nivel de desarrollo como a nivel de infraestructuras/sistemas.

0 comentarios:

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Blogger Templates
popstrap.com