Continuando con el post anterior sobre el tema de seguridad de la información. he aquí la segunda parte.

Primera parte: Ver


Las amenazas que pueden presentarse a un sistema de información son las siguientes:
§  Desastres naturales:
o   Incendios accidentales: Un incendio es una ocurrencia de fuego no controlada que puede abrasar algo que no está destinado a quemarse. Puede afectar a estructuras y a seres vivos.
  
o   Humedad: una mala ventilación, un clima húmedo y una suma de malas costumbres pueden transformar nuestro hogar en un sitio insano para vivir.
o   Inundaciones: es la ocupación por parte del agua de zonas que habitualmente están libres de ésta, bien por desbordamiento de ríos y ramblas por lluvias torrenciales o deshielo, o mares por subida de las mareas por encima del nivel habitual o por avalanchas causadas por maremotos.
§  Acciones hostiles deliberadas como:
o   Robo: es un delito contra el patrimonio, consistente en el apoderamiento de bienes ajenos, con intención de lucrarse.
o   Fraude: es una manera muy antigua de conseguir beneficios mediante la utilización de la inteligencia, viveza y creatividad del ser humano, es considerado como un delito.
o   Sabotaje: es una acción deliberada dirigida a debilitar a un enemigo mediante la subversión, la obstrucción, la interrupción o la destrucción de material.
§  Amenazas ocasionadas involuntariamente por personas.

·         Áreas Seguras
El objetivo de un área segura es evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización. En este caso, los servicios de procesamiento de información (sensible o crítica) deben ubicarse en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados.
 Nota: La protección suministrada debería estar acorde con los riesgos identificados.
o   Perímetro de seguridad: Un perímetro de seguridad es algo delimitado por una barrera. Por ejemplo puede ser una muralla,        una puerta con acceso mediante tarjeta, una oficina de recepción, una persona, etc.
o   Lineamientos: se le conoce al conjunto de normas, mecanismos y acciones que tienen como fin proteger a una organización y a su patrimonio ante cualquier riesgo, ya sea de tipo natural o causado por el hombre. Suele ser de obligatorio para los integrantes de dicha organización.
o   Controles: Las áreas seguras deberían estar protegidas con controles de acceso apropiados para asegurar que sólo se permite el acceso a personal autorizado.
·         Seguridad de los equipos y medio ambiente
El objetivo de este reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Los equipos usualmente deben estar protegidos contra amenazas físicas y ambientales.
La protección de los equipos (incluyendo los utilizados por fuera) es necesario para reducir el riesgo de acceso no autorizado a la información y para proteger contra pérdida o daño. Además se considera la ubicación y la eliminación de los equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e Infraestructura de cableado.
Ante la amenaza de un desastre o después de que ya ha ocurrido lo único que nos puede salvar es la forma en que nos prevenimos antes de que ocurriera. Es por eso que es vital tener un Plan de Recuperación ante Desastres (DRP – Disaster Recovery Plan).
 Con esto se puede entender que un plan de recuperación ante desastres es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área Informática, considerando como tal todas las áreas de los usuarios que procesan información por medio de la computadora.
 Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.
 La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento. En estos procedimientos estará involucrado todo el personal de la Institución.
 Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento.
 Un Plan de Recuperación ante Desastres deberá contemplar siempre la peor de las situaciones, ya que de este modo, la contingencia podrá ser solventada en el menor tiempo posible. Con esto asegurara la continuidad del negocio, en siglas BCP (Business Continuity Planning).
 Las actividades a realizar en un Plan de Recuperación de Desastres se pueden realizar una serie de actividades, las cuales son:
 ·         Actividades previas al desastre: para poder realizar un mejor análisis del riesgo y tratar de proteger el funcionamiento continuo de los equipos se debe pensar tanto el hardware como el software, para ello algunas actividades pueden ser:
o   Hardware
§  Contar con una unidad de energía de respaldo para que en caso de sufrir un corte de energía no se dañen los componentes del equipo y la información que contiene este.
§  Mantener el equipo en un lugar adecuado considerando las especificaciones técnicas del ambiente óptimo de operación en cuanto a temperatura, humedad, etc.
§  Tener redundancia en los componentes, es decir, tener en almacén dispositivos para usar en caso de emergencia. Estos deben cumplir ciertas características del equipo en uso por la organización.
o   Software
§  Discos duros en espejo, el cual tendrá una copia idéntica del software actual en operación para que en caso que se dañe un disco duro se pueda utilizar el otro de forma inmediata.
§  Respaldos de archivos lo cuales tiene la opción de realizarse sobre el sistema completo de archivos o únicamente de los datos sensibles.
§  Respaldos de archivos en dispositivos externos, siguen los parámetros anteriores y podrán ser en cintas magnéticas, DVD’s, CD’s, discos duros externos, etc.
·         Actividades durante el desastre: la recuperación es más controlada si se llevó a cabo un buen plan de respaldos. Para lograr esto es recomendable tener un programa de respaldos automático.  Los respaldos se pueden hacer:
o   Al sistema operativo
o   A los programa y/o aplicaciones
o   A los datos
·         Actividades después del desastre: lo primero que se debe hacer es un análisis del resultado del daño lo cual nos llevará a considerar los pasos de recuperación. Es posible que se dañe únicamente el software, el hardware o en el peor de los casos, ambos. Luego se pueden realizar las siguientes actividades:
o   Recuperación del hardware: se aplican las acciones previstas antes de que ocurriera el desastre, que puede ir desde el reemplazo de una pieza (unidades de almacenamiento, memoria, procesador, etc.)
o   Recuperación del software: se tiene que acceder a los respaldos que se hayan almacenado con anterioridad y recuperar el sistema, programas, datos, etc., de acuerdo al grado de daño ocurrido.

Uno de los videos que más me gustan de la página Dorkly:


Fuente: Dorkly

Luego de tener un descanso vuelvo con uno de los temas que siempre me han llamado la atención, el cual es la Seguridad Informática. En esta relación de post tocaré los puntos básicos de la seguridad informática, obviamente tocando desde que es seguridad hasta unos pequeños casos para el mejor entendimiento de los conceptos.

En este post tocaremos puntos como:
  • Seguridad
  • Sistema de Seguridad
  • Riesgo
  • Objetivos de la seguridad de información
“El software es como la entropía: difícil de atrapar, no pesa, y cumple la Segunda Ley de la Termodinámica, es decir, tiende a incrementarse” - Norman Augustine

Seguridad

El término seguridad proviene de la palabra securitas del latín, se refiere a la seguridad como ausencia de riesgo o también a la confianza en algo o en alguien.  Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.
También se le entiende como las medidas preventivas y reactivas del dueño (persona u organización) de cierta información, este no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

Según la pirámide de Maslow, la seguridad en el hombre ocupa el segundo nivel dentro de las necesidades de déficit / supervivencia.
Sistema de seguridad
Como mencinamos en las primeras líneas, el término seguridad puede tomar diversos sentidos según el área o campo a la que haga referencia. En informática existe un área que tiene como objetivo la protección de la infraestructura computación y todo lo relacionado a esta, esta es la seguridad informática.

La seguridad informática comprende software, base de datos, metadatos (datos que describen otros datos), archivos y todo lo que la organización (dueña de la información) crea que tenga valor y signifique un riesgo si está (información) llegue a mano de otras personas.

Generalmente un sistema de seguridad es una combinación de elementos físicos electrónicos o una combinación de ambos, y fundamentalmente un compromiso, por parte del usuario, de utilizar apropiadamente los sistemas.

Riesgo

El riesgo es la probabilidad de que una amenaza se convierta en un desastre o es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
El riesgo, en términos de seguridad, se caracteriza por lo general mediante la siguiente ecuación:
 
La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias o brechas) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo.

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

Objetivos de la Seguridad de la Información

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:
  • Integridad: garantizar que los datos sean los que se supone que son, es decir, que los datos no sufran modificaciones no autorizadas. Es uno de los pilares fundamentales de la seguridad de la información.
  • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian, con esto se previene la divulgación de información  a personas o sistemas no autorizadas.
  • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información y así estos puedan estar a disposición cuando se les necesite por alguna persona o sistema que quiera acceder a estos.
Otros objetivos son:
  • Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
  • Autenticación:  asegurar que sólo los individuos autorizados tengan acceso a los recursos
En el siguiente esquema se muestra todos los conceptos que involucra la seguridad de información:


Primeros tenemos las vulnerabilidades que vienen siendo como los puntos débiles de la seguridad de la información. Por otro lado tenemos las amenazas en cualquiera de sus tipos incluidos (gráfica, externa o interna a la organización). La conjunción simultanea de la vulnerabilidad y la amenaza construye e implica un riesgo de seguridad. La ocurrencia del riesgo lo convierte entonces en un evento.

Bueno el siguiente post tocaré los siguientes temas:
  • Seguridad Física / Ambiental
  • Seguridad Lógica