La seguridad en el campo de las TI

Traducción de la definición de la seguridad, tomado del libro Microsoft Encyclopedia of Networking, de Mitch Tullock e Ingrid Tullock; Microsoft Press, Second Edition.

SEGURIDAD

Es la protección de computadoras, redes y activos de la empresa.

RESUMEN

La seguridad es una cuestión importante en el campo de las TI (tecnologías de la información), particularmente desde que la Internet proveyó un método general de conectar redes y sistemas en forma mundial. El surgimiento de negocios en la Internet (e-bussiness) en los 90s resultó en un incremento exponencial en las redes corporativas, acompañado de una conciencia creciente de la importancia fundamental de la seguridad para la protección de los activos del negocio tales como datos financieros e información personal confidencial.
La seguridad en general es difícil de conseguir en cualquier sistema abierto, esto es, en un sistema conectado a otros sistemas. Los e-bussiness son por definición sistemas abiertos, una vez que permiten relaciones negocio-a-cliente o negocio-a-consumidor (B2C), como se ve en sitios de comercio electrónico (e-commerce) y tiendas en línea, o relaciones negocio-a-negocico (B2B) como en cadenas de proveedores o sistemas de transacción financiera.

Algunas de las dificultades en asegurar los sistemas abiertos incluyen:
  • Reconocer la importancia de la seguridad y asignar personal y recursos financieros para implementarla propiamente.
  • Encontrar y proteger el punto más débil en tu sistema
  • Mantener seguridad alta mientras que el sistema permanece amigable y usable para los involucrados
Además, incluso los sistemas cerrados deben considerar la necesidad de proteger sus activos del mal uso de los trabajadores dentro de la compañía u organización. De hecho muchos analistas de seguridad consideran la “amenaza interna” como la más seria, no obstante la gran atención que se da a hackers en los medios masivos en años recientes.

La seguridad engloba un amplio rango de asuntos que también incluyen:
  • Privacidad: Asegura la confidencialidad de la información, usualmente a través de la encriptación.
  • Integridad: Asegurar la protección de la información de ser modificada o borrada, también usualmente con la encriptación.

IMPLEMENTACIÓN

Fundamental para asegurar los activos que son accesibles a través de sistemas de IT tales como redes corporativas y sitios de comercio electrónico son los tres principios básicos de seguridad: autenticación, autorización y auditoría. Estas tres son llamadas frecuentemente “reglas de oro” porque Au es el símbolo químico del oro.
  • Autenticación: El proceso por el cual una entidad identificada y de confianza (en inglés principal) identifica a un usuario, consumidor o cliente. La autenticación puede emplear contraseñas, firmas, tarjetas inteligentes, identificación biométrica y otras herramientas. La base de la autenticación desde una perspectiva de la IT son los protocolos de seguridad, los cuales son protocolos que permiten a los usuarios ser autenticados de forma segura por los “principals” de la red. Ejemplos de tales protocolos son NTLM y Kerberos.
  • Autorización: Una vez que un usuario es autenticado, el próximo paso es asegurar que pueda acceder solo a aquellos recursos para los cuales está propiamente autorizado. Esto se hace a través de la implementación de controles de acceso, permisos, privilegios, y otros elementos, dependiendo de los sistemas involucrados. La forma más segura de autorización es el control de acceso mandatorio o no discrecional, que fuerza reglas estrictas que afectan incluso al propietario del recurso.
  • Auditoría: El tercer paso es asegurar que el acceso a recursos y privilegios sea registrado con propósitos de revisión posterior. Las bitácoras de auditoría ayudan a los administradores a determinar si los sistemas han sido comprometidos y tomar acciones para mejorar su seguridad.
Además de estas reglas de oro, varias otras estrategias son cruciales para asegurar la seguridad de los recursos del negocio accesibles a través de sistemas IT. Estos incluyen:

  • La ley de Murphy: Si algo puede fallar, seguramente fallará. Por lo tanto ningún sistema está completamente seguro y cada sistema fallará en algún momento. Debes aceptarlo y estar preparado.
  • No confíes en la tecnología: La seguridad tiene que ver más con las personas que con la tecnología. Los sistemas no estarán seguros si los admnistradores fallan en sus responsabilidades de implementar parches de una forma oportuna en cuanto se descubren nuevas vulnerabilidades en aplicaciones y sistemas operativos. De la misma forma, un cortafuegos no es de utilidad si el administrador no se tomó el tiempo de configurarlo adecuadamente. Similarmente, los usuarios deben ser educados para estar conscientes de la seguridad y para evitar errores como escribir sus contraseñas bajo sus teclados o abrir archivos adjuntos.
  • Aminorar privilegios: Nunca des a los usuarios más privilegios de los que necesitan.
  • Mecanismos múltiples: Nunca confíes en un solo sistema de seguridad tal como un cortafuegos, ten sistemas múltiples de modo que la redundancia proteja tus activos, incluyendo cortafuegos, buscadores de virus, dispositivos de detección de intrusos, bloqueadores de contenido hostil, y redes privadas virtuales (VPN). Por otro lado, trata de mantener los sistemas de seguridad tan simples como sea posible, de modo que no te veas abrumado con el manejo de la seguridad.
  • Exhaustividad: De nada sirve asegurar una parte de la red corporativa si otra parte se deja insegura. Cualquier solución de seguridad debe ser exhaustiva de modo que proteja cada aspecto del sistema de ataques externos e internos.
  • Eslabón más débil: Identifica el punto más débil en tu sistema y monitoréalo regularmente. El eslabón más débil de un sistema es diferente del cuello de botella, la parte más estrecha del sistema por la que un atacante puede entrar. Sin embargo, también se debe monitorear los cuellos de botella constantemente, incluso si están protegidos.
  • Política de seguridad: Tómate el tiempo de escribir y publicar internamente una política de seguridad completa que cubra la administración, uso e implementación de sistemas de TI de un modo seguro. Una política de seguridad subraya la arquitectura e seguridad básica de tu ambiente, reglas para acceder a los recursos, y como estas reglas son impuestas.
  • Auditoría de seguridad: Tener una organización independiente que verifique la seguridad de tu red es una buena idea para asegurar que tu política de seguridad es exhaustiva y se ha implementado propiamente.
  • Desplegado estándar: Te un proceso estándar para desplegar nuevos recursos de TI tales como servidores Web en tu red. Por ejemplo, debes primero crear una imagen de sistema operativo “asegurado”, luego instalar aplicaciones necesarias, añadir una suma de verificación (checksum) para facilitar la detección de modificaciones, realizar análisis de vulnerabilidad, y finalmente desplegar tu servidor en la red. Nunca despliegues un servidor que no ha sido asegurado convenientemente o que tiene todavía las cuentas y contraseñas por default activadas. (administrador, invitado)
  • No olvides lo obvio: La mayoría de violaciones de seguridad  son causadas por vulnerabilidades bien conocidas que no fueron protegidas aunque los parches estaban disponibles.
  • Conoce a tu enemigo: La mejor defensa es un buen conocimiento acerca de atacantes probables. La familiaridad con los procedimientos y herramientas usadas por los hackers te ayudarán a identificar, robustecer (harden) y mantener la seguridad de tu sistema. Los buenos especialistas en seguridad de redes usualmente poseen una colección de herramientas populares de hacker en su arsenal, puesto que estas herramientas pueden ser usadas para identificar vulnerabilidades.
  • Evaluación periódica: Revisa periódicamente el cumplimiento de tu compañía con la póliza de seguridad y asegúrate que los objetivos se han logrado.
  • Considera servicios externos (outsourcing): Los Proveedores de Manejo de Seguridad (MSP por sus siglas en inglés) son una nueva casta de empresas que han surgio en años recientes para ayudar a empresas pequeñas y medianas a asegurar sus sistemas de TI. Puedes ahorrar costos usando los servicios de estas compañías, pero evalúa cuidadosamente sus ofrecimientos primero y recuerda que en última instancia la seguridad es responsabilidad de tu propia compañía. Designar a un Oficial de Seguridad en Jefe (CSO por sus siglas en inglés) es un paso importante para determinar cómo implementar mejor los requisitos de seguridad de tu compañía.
Finalmente, estos son unos consejos (tips) de cómo hacer tu ambiente de TI más seguro:
  • Usa contraseñas fuertes y cámbialas cada 90 días. Se cuidadoso con las peticiones telefónicas para cambiar la contraseña de un empleado en caso de que alguien se haga pasar por el empleado.
  • Enseña a los empleados como seleccionar y proteger sus contraseñas.
  • Inmediatamente deshabilita las cuentas de empleados salientes.
  • Pon especial atención en la seguridad de empleados trabajando desde casa (telecommuters) puesto que no tienes manejo directo de su ambiente de trabajo. Asegúrate de que usen cortafuegos personales y recuérdales de las consecuencias de no cumplir con la política de seguridad de la empresa.
  • Deshabilita todos los servicios innecesarios en los servidores.
  • Aplica nuevos parches de seguridad liberados por los vendedores tan pronto como sea posible, pero asegúrate de que tus sistemas están completamente respaldados primero en caso de que los parches causen problemas inesperados.
  • Pon especial atención en la seguridad de tus redes inalámbricas. La mayoría de las redes inalámbricas son implementadas con seguridad por default y el resultado es que cualquiera conduciendo su auto cerca del edificio con una portátil puede frecuentemente acceder a tu red.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Ciclo de vida de préstamos

Imagen
Desde la versión 7.2 de SAC manejamos un nuevo ciclo de vida para los préstamos. Un nuevo préstamo, al agregarse, queda con el estado solicitado. Posteriormente puede realizarse la autorización, la cual solo la puede realizar el usuario que tenga el permiso 8, "autorizar préstamos". El préstamo queda con el status autorizado, pero todavía no se hace ningún movimiento de cuentas ni aparece como activo. Una vez autorizado se puede hacer vigente. Esto hace un movimiento de préstamo contra la cuenta de efectivo, o de bancos en su caso. El préstamo se entrega formalmente y aparece en caja para el socio acreditado. También comienza a aparecer en el reporte de saldo de préstamos. Cuando se hace el último abono el préstamo pasa a status pagado. Un préstamo con status solicitado o autorizado, se puede cancelar oprimiendo el botón correspondiente. Un préstamo con status vigente también se puede cancelar pero requiere un poco más de esfuerzo. Hay que cancelar primero todos sus movimient
Leer más

Reporte de Buró de Crédito INTF versión 14

Imagen
Desde la versión de SAC 9.2.6767 se sustituye el reporte de Buró de Crédito con formato CSV por el reporte de Buró de Crédito ver. 14 INTF. Este reporte se puede generar desde SAC, en Reportes/Préstamos/Saldos/Buró de Crédito ver. 14 INTF. Anteriormente Buró de Crédito admitía los dos formatos, el CSV y el INTF, en sus diferentes versiones, 12, 13 y 14, para que las entidades de crédito le enviaran la actualización de sus créditos. Desde Enero de 2018 (comunicado mediante la circular PF ML 033) avisan que desde el 29 de Junio de 2018 solo se recibirá la versión 14 tipo INTF. El CSV es un formato de texto separado por comas, muy usado en la informática. Su uso puede rastrearse hasta 1972. Este tipo de archivos puede manipularse en cualquier procesador de textos o hasta en hojas de cálculo como Excel. Tiene la desventaja que no puede hablarse de un estándar establecido, pues diferentes aplicaciones usan su propia versión de CSV. Un ejemplo de archivo CSV sería el siguiente: Año,M
Leer más

Base de datos de códigos postales

Se ha incorporado a SAC la base de datos de códigos postales, mantenida por SEPOMEX (Servicio Postal Mexicano) Este banco de información contiene todos los códigos postales, relacionados con el tipo de asentamiento, nombre de asentamiento, ciudad, municipio y estado, de todo el país. El tipo de asentamiento generalmente se refiere a la colonia, pero puede ser fraccionamiento, barrio, ejido, poblado, unidad habitacional, etc. En SAC, al capturar una nueva persona (socio, cliente, ahorrador, inversionista), al teclear su código postal, automáticamente traerá los demás datos, ahorrando tiempo de captura y evitando innumerables errores. Para agregar esta funcionalidad, además de la versión nueva de SAC, se requiere cargar en SQL Server la base de datos de SEPOMEX. La base de datos se llama CP.BAK y está alojada en: https://onedrive.live.com/?cid=295BD5F735EFA020&id=295BD5F735EFA020%21242 Hemos tomado el catálogo de códigos postales de SEPOMEX, que se puede conseguir en Ex
Leer más