Conceptos básicos de Seguridad de la Información

¿Hola? ¿Alguien me lee? Si te gusta esta o cualquier entrada de este blog, quieres dar tu visión de la temática o quieres quitarme la incertidumbre de que alguien me lee puedes dejar un comentario.

Llevaba tiempo sin escribir y no quería terminar mis vacaciones sin hacerlo, tengo un borrador a medias de una instalación básica de Drupal en Docker, que tras experimentar no llevé a cabo directamente y tengo las anotaciones por ahí…

A lo que iba, tenía ganas de recopilar información para generar en cierto modo algún tipo de documentación en lo que a la introducción a la seguridad de la información se refiere, que después podamos usar en nuestras labores de concienciación, charlas, etc.

Esta entrada está basada en gran parte, en la información recibida en el Master en Seguridad en Tecnologías de la Información y las Comunicaciones que cursé durante el curso pasado a través del Centro de Formación Permanente de la Universidad de Sevilla, así como en información recabada y “masticada” por mí.

¿Qué es la Seguridad?

No, no es el de la garita… Es típico plantearse para explicar algo de manera sencilla preguntarse: ¿Cómo se lo explico a mi abuela?

Vayamos por partes. La información de las organizaciones es muy importante para el desarrollo de sus actividades productivas y por consiguiente para su buen funcionamiento. Tanto es así que es considerada un activo para las mismas, y como tal hay que protegerlo garantizando su confidencialidad, autenticidad, disponibilidad e integridad.

Hay que tener en cuenta varias consideraciones al respecto de la información:

1. La información se encuentra en múltiples formatos y soportes. No es sólo la información contenida en una BBDD. Puede tratarse de información en soporte digital o físico, incluso podríamos estar recibiendo información vía conversación. “La información es el objeto de mayor valor en una organización y por ello su salvaguarda debe ser una prioridad, independientemente del lugar en donde se encuentre registrada, y de la naturaleza del medio que lo soporte, electrónico o físico"[1].

          
Precauciones 

• “No dejar solos” los soportes/ dispositivos al alcance de terceros donde se encuentra la información.Por ejemplo, se dan casos en que personas que viajan en tren mientras trabajaban en sus cosas, dejan el portátil solo mientras van al servicio sin ni siquiera bloquear la sesión, o vamos a algún sitio y nos encontramos “papeles indefensos” al alcance/ vista de curiosos.

• Tener cuidado de lo que se habla de la información que manejamos. No es raro escuchar en trenes, bares, pasillos conversaciones de ejecutivos, personas con responsabilidad, etc tratando información sensible.

• No mostrar la pantalla de nuestros dispositivos con información sensible a nadie. ¿Nunca os ha pasado que habéis ido a algún organismo y la persona que está allí te ha dicho: mira como puedes ver en el programa me sale…?

2. La información tiene su ciclo de vida: creación, distribución, uso, mantenimiento y destrucción. No sólo tenemos que securizar el acceso, tendremos que asegurar todo el ciclo de vida. Al tratarse de un ciclo, la seguridad de dicho ciclo será tan segura como lo sea la fase donde sus medidas de seguridad sean más débiles.

Precauciones 

• Tomar especial cuidado cuando la información se mueva sea dentro o fuera de la organización ya sea en soporte digital o en soporte físico. Especialmente si sale y en el ciclo de vida intervienen terceros. La información digital debe viajar cifrada, y para la física deben implementarse medidas de seguridad adicionales. No es extraño ver a mensajeros transportando información sensible entre organizaciones, algunos en moto, ¿y si el mensajero sufre un accidente? ¿Y si le roban? La información se puede poner en riesgo.

• La destrucción es una fase clave. Cuidado con los dispositivos o “papeles” que albergan la información, en cómo la destruimos y dónde “la tiramos”. Las organizaciones deberían implementar protocolos de destrucción de información proporcionando por ejemplo, destructoras de documentos y cuidando que los dispositivos que van a dejar de ser útiles son formateados a bajo nivel y/ o destruidos convenientemente.

• Las impresoras. Existen lugares en los que las impresoras compartidas en red se encuentran en ubicaciones desafortunadas ya que la documentación generada queda expuesta a todo “el que pasa por allí”.

(Abuela)-Vale José Mari muy bien, todo muy bonito pero aun no sé qué es la Seguridad de la Información

Podemos definir la seguridad de la información como:

“La protección de la información frente a las distintas amenazas con el fin de garantizar el buen funcionamiento de la organización” 

Dicha protección se alcanza atacando las dimensiones de la seguridad, para nosotros: 

Autenticidad + Confidencialidad + Integridad + Disponibilidad

• Autenticidad: Capacidad de asegurar que el emisor de un mensaje es quien dice ser y no un tercero que esté intentando suplantarlo.

• Confidencialidad: Propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados.

• Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada.

• Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos. 
   

Me gusta representar la seguridad como una mesa y cada una de las dimensiones de la seguridad como cada una de las patas, el dibujo no es gran cosa pero sí ilustrativo.

La tecnología es muy cambiante y evoluciona a un gran ritmo, y este hecho influye directamente sobre la Seguridad de la Información, ya que tanto la forma de trabajar como la ciberdelincuencia evolucionan en la medida en la que lo hace la tecnología.

Como se ha descrito anteriormente hay que tener en cuenta que la forma de trabajar en las organizaciones cambia en la medida que la tecnología evoluciona, aunque si es verdad que se produce el efecto denominado consumerización. La consumerización se define como el efecto en el que las nuevas tecnologías llegan antes a las personas de a pie (consumidores) que a las empresas.

Hoy en día existe una tendencia relacionada con el cómo y dónde se trabajará, exigiendo flexibilidad a las organizaciones con las consiguientes repercusiones sobre la seguridad de la información.

Podríamos hacer una primera división relacionados con estos cambios en la forma de trabajar entre trabajos en movilidad y servicios ofrecidos en la nube.

El trabajo en movilidad motivado por la conciliación de la vida laboral y familiar, ubicaciones cambiantes de los empleados, etc tiene necesidades como:

• Necesidad de acceso remoto a sistemas corporativos desde redes públicas

• Uso masivo de portátiles, smartphones y tablets

• Itinerancia entre sedes de la misma organizacion

• Redes WiFi de invitados para visitantes

 

El trabajo en movilidad tiene asociados una serie de riesgos:

• Pérdida o robos de terminales móviles

• Acceso a través de redes WiFi públicas

• Uso personal y profesional de los equipos: BYOD (Bring Your Own Device)

• Menor control por parte de los Departamentos de TI

• Aumento del malware para SO móviles  

   

Algunos enlaces relacionados:

http://www.20minutos.es/noticia/1541193/0/ministro-interior/perdio-ipad/datos-eta/

http://www.elconfidencial.com/espana/2012-11-06/los-diputados-han-perdido-o-roto-tantos-ipads-en-menos-de-un-ano-que-ya-no-hay-recambios_215060/

 
 Por otro lado, los Servicios en la nube están relacionados con:

• Servicios corporativos de cloud computing (SaaS ejemplo gmail, PaaS ejemplo hosting, IaaS ejemplo CPD externo)

• Uso profesional de redes sociales, consignas, intercambio de archivos, herramientas colaborativas, etc. Ejemplo: Uso de Dropbox, Box, We transfer…
  

Algunos de los riesgos asociados a los Servicios en la nube son:

• Creciente interés de los ciberdelincuentes por los proveedores de servicios en la nube.

• Incumplimientos normativos y falta de aislamiento de los datos respecto a los de otros clientes.

• Enlaces maliciosos e ingeniería social en redes sociales (Facebook,Twitter,etc)

• Falta de control en el acceso a los datos por terceros.¿Podemos estar seguros por ejemplo que la información que subimos a Dropbox no es accesible por nadie más?

 
Otra cosa que evoluciona en la medida en la que lo hace la tecnología es la ciberdelincuencia. Ya no es sólo que hay mucha “gente aburrida que sabe mucho con ganas de dar por culo”, es que la ciberdelincuencia es una industria profesionalizada y rentable que mueve muchos millones de euros al año, con motivaciones ya no sólo económicas sino también estratégicas y político-sociales. Para muestra un botón, http://www.abc.es/tecnologia/redes/20150220/abci-ciberdelincuencia-cibercrimen-espana-barometro-201502201650.html

    

Por otra parte se está experimentando una mayor especialización de los ataques, a destacar:

• Aprovechamiento de vulnerabilidades 0 day y amenazas avanzadas persistenctes (APTs, que son código malicioso diseñado para un determinado objetivo)
  
• Ataques esponsorizados por Estados dirigidos al sabotaje y el ciberespionaje 

Algunos ejemplos:

http://www.elmundo.es/elmundo/2012/06/20/navegante/1340173299.html

http://www.20minutos.es/noticia/1960151/0/espionaje-eeuu/espana-interceptadas/llamadas-telefono/

http://www.eldiario.es/turing/vigilancia_y_privacidad/NSA-programas-vigilancia-desvelados-Snowden_0_240426730.html

¿Cómo se consigue la seguridad?

“Si crees que la tecnología resolverá todos tus problemas, no entiendes nada de problemas y no entiendes nada de tecnología.”Bruce Schneier.

Las personas son el elemento clave de la seguridad, no la tecnología.

Una tecnología por muy buena que sea si no es bien usada por las personas no proporcionará buenos niveles de seguridad. Por ejemplo, para no echar la culpa a los usuarios no técnicos, si una web está mal diseñada y/ o mal implementada por la persona encargada para ello por muy buena que sea la tecnología, dicha web puede sufrir graves problemas de seguridad.

Otro ejemplo puede referirse a los diferentes métodos de autenticación que por muy robustos que estos sean si los usuarios dejan sus credenciales escritas en post-it sobre la mesa, en lugares accesibles, etc para nada sirven.

Por ello, de la misma forma en que una cadena es tan fuerte como lo sea su eslabón más débil, en seguridad de la información el eslabón más débil son las personas.

La información se protege mediante buenas prácticas en las actividades diarias de la organización.

• La seguridad es un medio para que la empresa funcione por lo que debe alinearse con lo que marque la dirección, no un fin en si misma.

• La seguridad no debe ser una carga para la organización

• Las actuaciones en seguridad han de ser proporcionales y eficientes en costes

• La seguridad debe ser parte integrante de las tareas de la organización.

Hay que alcanzar una solución de compromiso por parte de toda la organización, no sólo por la dirección y los correspondientes departamentos de TI.

¿Es rentable invertir en Seguridad de la Información? 

Para responder esta pregunta podríamos apoyarnos en multitud de datos e información que podemos encontrar en la red. Desde aquí no entraremos en detalles sino que mencionaremos de manera general que desde el punto de vista económico, los incidentes de seguridad cuestan dinero (multas por incumplimiento de normativas, desprestigio de la organización, etc) por lo que en la medida en la que desciendan las incidencias descenderán ciertos gastos, se verá beneficiada la imagen de la empresa, y como resultado la empresa al completo con sus correspondientes beneficios.

Resumiendo, un alto nivel en seguridad de la información no sólo depende de las inversiones en tecnología, sino principalmente de las inversiones en formación, concienciación y creación de una cultura de empresa comprometida con la Seguridad de la Información.

Espero no haber sido demasiado aburrido ;p
¡Nos leemos en la próxima entrada!

Referencia

[1]Sociedad española de informática de la salud, Fundamentos de Seguridad de la Información. Seguridad
de la información en entornos sanitarios., 2008.