

INICIO

 CONOCETEC

 OFERTA EDUCATIVA

 COMUNIDAD TEC

 REVISTA TEC

 DESCARGAS

Inseguridad Informática

“Vencer 100 veces en 100 batallas no es la habilidad más alta, neutralizar al enemigo sin
pelear, lo es”<<GichinFunakoshi (1868-1957)>>
Resumen
En teoría nos deberíamos referir al concepto de la seguridad informática, sin embargo, desde
el punto de vista profesional y real, considero que lo mejor será referirse a lo mismo bajo el
concepto de inseguridad informática, dado que el estado de seguridad absoluta es considerado
entre los profesionales del ramo como una idea hipotética, puesto que siempre existirá la
amenaza latente sobre el riesgo de la seguridad informática.

Palabras clave: seguridad informática, inseguridad informática.

Introducción
El presente artículo tiene la intensión de dar a conocer el esquema básico de la seguridad de la
información según la norma ISO/IEC 17799 así como sus objetivos y servicios básicos para
finalizar con un Modelo para la Gestión de la Seguridad de la Información.

Antecedentes
Las actividades cotidianas del hombre de la sociedad actual cada vez están más apoyadas sobre
los servicios que la informática ofrece dada la necesidad de las organizaciones para mantenerse
vigentes en un mercado cada vez más competitivo y globalizado, desde los más básicos e
indispensables como la navegación por internet, el correo electrónico, las conversaciones de
chat, hasta los más sofisticados como complejos sistemas ERP-Planeación de recursos
empresariales comúnmente conocidos como paquetes de software de gestión integral.

El grado de importancia e impacto de la informática es de valores incalculables, puesto que

sobre ella funcionan los servicios más críticos de la sociedad moderna, tales como los
financieros, de producción, agua, gas, comunicaciones, salud, educación, militares, gobierno,
etc.

Definición
La seguridad informática se podría definir como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema o red informática, cuyos efectos podrían conllevar
a daños a la información, comprometer la confidencialidad, autenticidad o integridad, disminuir
el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.[1]

Algunas buenas prácticas de seguridad informática

Fig. 1 Seguridad de la información según la norma ISO/IEC 17799, Fuente: Enciclopedia de la seguridad
informática. Pag. 5.

De acuerdo a la ISO/IEC 1799 la seguridad informática se resume a la preservación de su

confidencialidad, integridad y disponibilidad.

A continuación un listado de algunas buenas prácticas de seguridad informática.

 Fig.2, Estadística de los principales delitos informáticos. (Diciembre 2010)

Fuente: http://www.compuchannel.net/wp-content/archivos/2011/04/ESET.png

Sensibilización de los directivos y responsables tanto a nivel gerencial como directivo sobre la
importancia y efecto de la seguridad informática a fin de destinar los recursos necesarios y
suficientes para esta función.

Identificación de los posibles riesgos así como de las amenazas latentes que pudieran
comprometer la seguridad en cualquier nivel, tanto de manera física como por ejemplo al no
mantener apropiadas políticas para el control de acceso a ciertas áreas restringidas de la
organización así mismo como de manera lógica al no mantener un adecuado control del tráfico
de la información que fluye por los diferentes medios electrónicos dentro y fuera de las fronteras
de la propia organización.

Correcta instalación, configuración, mantenimiento y actualización tanto de los equipos como

de los sistemas informáticos.

Permisos y privilegios limitados a las funciones básicas, es decir, no es necesario accesar a los
sistemas como administrador por el solo hecho de “sentir el poder”, así que si no se requiere
de ese poder, mejor no exponerse.

Actualización periódica de los parches de seguridad de los sistemas, siempre y cuando el origen
de estos parches sea una fuente confiable, es decir, de su propietario.
No subestimar las amenazas ya sea externas o internas, está comprobado que un buen
porcentaje de los más grandes delitos informáticos en cuanto a seguridad se refiere han sido
desde dentro de la propia organización.

Adoptar la seguridad por obscuridad, evitando del conocimiento público los sistemas de
seguridad, marcas, versiones, etc., que se están utilizando al interior de la organización, lo
anterior aunque no lo parezca suele ofrecer demasiada información a los atacantes de sistemas.

Objetivos de la seguridad informática

Los principales objetivos de un buen administrador de sistemas y encargado de la seguridad
informática son:

Minimizar y gestionar los riesgos, así como identificar las posibles amenazas a la seguridad.

Garantizar el uso adecuado de los recursos informáticos como aplicaciones, cuentas,

comunicaciones, etc.

Establecer los mecanismos adecuados para una inmediata recuperación después de un desastre
en la menor cantidad de tiempo con el menor daño posible.

Cumplir con el marco legal vigente referente a la función informática.

Protección de los principales servicios

Los principales servicios que se desea proteger son la confidencialidad, disponibilidad e
integridad, de los cuales se derivan otros servicios.

Fig. 3, Protegiendo los pilares de la seguridad informática.

Fuente:http://upload.wikimedia.org/wikipedia/en/5/50/Mccumber.jpg

La confidencialidad consiste en garantizar que la información permanezca reservada y

disponible únicamente para los usuarios autorizados.

La disponibilidad consiste en asegurar que la información pueda ser accesada por los usuarios
autorizados en el justo momento que sea necesario.
La integridad consiste en garantizar que la información se conserve intacta, es decir, sin
alteración alguna.

Impacto de la falta de seguridad

Fig.4, Porcentaje de ataques, fuente: http://www.disa.mil

Cualquier riesgo o amenaza deberá ser tomado en cuenta con la mayor seriedad posible, puesto
que la fortaleza de la cadena de medidas de seguridad organizacional no se mide por el eslabón
más fuerte, ni tampoco por el valor promedio de sus eslabones, sino por el eslabón más débil,
pues es generalmente el que rompe con el esquema de la seguridad organizacional, con efectos
que pudieran considerarse desde moderados a severos.

Dado que la correcta funcionalidad de las organizaciones en la actualidad se encuentra bien

soportada en los servicios informáticos, es necesario proteger dichos servicios con la mayor
seriedad posible tanto de manera física como de manera lógica, de modo que los principales
elementos a proteger son hardware, software, redes, datos al igual que a los usuarios.

De modo que al momento de analizar las posibles consecuencias de la ausencia o deficiencia de

los mecanismos de seguridad, el impacto global para la organización resulta demasiado difícil
de evaluar ya que adicionalmente a los posibles daños ocasionados a la información así como a
los equipos es conveniente tomar en cuenta otros perjuicios como los siguientes por mencionar
solo algunos:

Costo de horas de trabajo invertidas para intentar recuperar las horas de trabajo perdidas ante
una eventualidad.

Costo de oportunidad ocasionado por la indisponibilidad de aplicaciones y/o servicios

informáticos perdidos, entre otros recursos.

Costo por la exposición de información a terceros de la información robada, con valores

estimativos según su valor de acuerdo al grado y nivel de importancia de la información como
lo pueden ser fórmulas, diseños de productos, planes estratégicos, carteras de clientes y de
proveedores, plantilla de personal, etc.
El impacto negativo en la imagen organizacional, dado por la desconfianza en la oferta de de
sus productos y/o servicios después de conocerse algún evento de este tipo tanto por parte de
sus clientes como de sus proveedores.

En casos más delicados, el posible daño a nivel personal de los usuarios, desde la exposición
de los datos personales, e incluso aquellos que tienen que ver con su integridad física y moral.

Modelo para la gestión de la seguridad de la información

La gestión de la seguridad de la información (SGNI) es aquella parte del sistema general de

gestión que considera la política, estructura organizativa, procedimientos y recursos necesarios
para implementar la gestión de la seguridad de la información en una organización.

De modo que para gestionar la seguridad es necesario considerar la serie de tareas y

procedimientos necesarios que permitan garantizar los niveles de seguridad de exigencia,
tomando en cuenta que los riesgos no pueden eliminarse ni ignorarse, de modo que en este
sentido es correcto mencionar que la seguridad jamás podrá ser alcanzada al 100% y por ello
algunos expertos prefieren hablar de la fiabilidad del sistema, entendiéndose esta como la
probabilidad que el sistema se comporte tal y como se espera.

Al momento de implantar un Sistema de Gestión de Seguridad de la Información se deben

considerar los siguientes aspectos:

Formalizar la gestión de la seguridad de la información.

Analizar y gestionar los riesgos.

Establecer procesos de gestión de la seguridad siguiendo la metodología PDCA[2]:

Fig. 5 Modelo Plan-Do-Check-Act, Fuente: http://www.calidad-

gestion.com.ar/servicios/consultoria_iso_9000.html
 “Plan”: Selección y definición de medidas y procedimientos.
 “Do”: Implantación de medidas y procedimientos de mejora.
 “Check”: Comprobación y verificación de las medidas implantadas.
 “Act”: Actuación para corregir las deficiencias detectadas en el sistema.

Conclusión

Fig.6 Identificando al atacante, Fuente:

http://www.tecnotitulares.com/wp-content/uploads/2011/02/Spammers-001.jpg

La seguridad absoluta es un estado meramente hipotético, difícil de lograr, puesto que siempre
existirán nuevos riesgos y amenazas latentes al acecho de nuestros sistemas, por lo que es
importante la implementación de un modelo de gestión de la seguridad de la información que
ayude a minimizar dichos riesgos y/o amenazas en todos los niveles, ofreciendo un estado de
fiabilidad aceptable ante las actuales exigencias de seguridad, dado que la información es uno
de los más importantes activos con los que cuenta una organización.

Referencias

Enciclopedia de la seguridad informática, Álvaro Gómez Vieites, Alfa Omega.

Lan Times, guía de seguridad e integridad de dtos, McGrawHill

Seguridad y comercio en el Web, SimsonGarfinkey y Gene Spafford, McGrawHill

Fundamentos de seguridad de redes, Eric Maiwald, McGrawHill

Seguridad en Unix, manuel Mediavilla, Computec-RaMa