INTRODUCCIÓN

La información es el principal patrimonio de cualquier organización, es por eso que su correcta gestión es una herramienta fundamental a la hora de innovar para el mejoramiento continuó de las empresas. Éstas deben realizar un esfuerzo para optimizar su nivel de seguridad por medio de políticas y objetivos. Por otro lado, la búsqueda continúa de mejoras para la protección de la información, permitirá a las empresas ofrecer a sus clientes confiabilidad o en otros casos servicios seguros y confiables.

1

1 MARCO TEÓRICO

La información es un activo importante que tiene valor, por esto, requiere una protección adecuada. Ya que la información puede estar, impresa o escrita en papel, almacenada electrónicamente y transmitida por correo o medios electrónicos y hablada. Como bien intangible, es importante para la toma de decisiones y muchas veces es crucial en las negociaciones de grandes compañías.

2

2 SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se caracteriza como la protección de la integridad, la confidencialidad y la disponibilidad, es decir, que la información siempre este completa y precisa, protegida contra todo tipo de modificaciones y en tal caso que sólo puedan acceder a ella personas autorizadas, sin embargo esta información debe estar disponible cuando se requiera para el propietario de esta o para su utilización de forma correcta por otros funcionarios.

Es importante tener en cuenta dos conceptos en la seguridad de la información, el riesgo y la seguridad. El primero de estos, son todas aquellas amenazas y vulnerabilidades que puedan suceder de manera imprevista ocasionando pérdidas para la compañía o personas naturales. Ahora bien, la seguridad es la forma de protección contra tales riesgos.

TIPOS DE SEGURIDAD

Hay varios tipos de seguridad, la seguridad física, que son todas aquellas medidas externas a los centros donde se procesas los datos y protege estos centros de todo tipo de amenaza externa. Por otro lado, la seguridad lógica, protege la información como tal, es decir, todas las aplicaciones, bases de datos y ficheros.

OBJETIVO DE LA SEGURIDAD DE LA INFORMACIÓN

El objetivo principal y natural de la seguridad de la información, es reducir y hasta eliminar los riesgos asociados a la información, específicamente, restringiendo al personal autorizado el uso, divulgación, interrupción o destrucción de la información.

PROTOCOLOS DE SEGURIDAD

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de datos. Estos protocolos, protegen la información y la comunicación de esta, ya sea entre dispositivos o por otros medios. Todos estos para ejercer una confidencialidad, integridad, autenticación. Los protocolos de seguridad están conformados por, criptografía (Cifrado de datos), lógica (Estructura y secuencia) y autenticación.

MANEJO DEL RIESGO

3

Son los diferentes protocolos que se tienen para la seguridad de un activo o un bien específico dentro de un proceso en una compañía, los principales protocolos son:

1. EVITAR: se usa en riesgos que no son admisibles en la operación a ningún nivel.

2. TRANSFERIR: se usa cuando existe la posibilidad de compartir el riesgo entre dos o más procesos o entidades

3. ACEPTAR: se usa cuando se decide aceptar voluntaria o involuntariamente el riesgo y sus consecuencias, reconociéndolo en el primer caso, o reteniéndolo inconscientemente en el segundo.

4. REDUCIR: se usa en riesgos que no se pueden evitar totalmente por su característica operacional, pero que se llevan a su nivel más bajo posible.

ACTORES QUE AMENAZAN LA SEGURIDAD DE LA INFORMACIÓN

■ HACKERS

■ CRACKERS

■ LAMMERS

■ COPYHACHERS

■ BUCANEROS

■ PHREAKER

■ NEWBIE

■ SCRIPT KIDDIE

ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN

Para los elementos de la seguridad de la información, debemos tener en cuenta las amenazas que pueden ser una violación potencial de la seguridad y no siempre es necesario que la violación ocurra para que la amenaza exista. Por otro lado la vulnerabilidad, que es la debilidad en un activo o un procedimiento que establece la seguridad de un activo. Ésta se puede presentar debido a:

■ Un inadecuado compromiso de la dirección.

4

■ Personal inadecuadamente capacitado o concientizado.■ Ausencias de políticas y procedimientos. ■ Inadecuado seguimiento y monitoreo de los controles.

Otro factor importante es el impacto, que es la consecuencia de la materialización de la amenaza sobre el activo. Y por último el riesgo, siendo una amenaza que pueda causar cierto daño negativo sobre un activo determinado que presenta una vulnerabilidad a dicha amenaza.

HERRAMIENTAS DE LA SEGURIDAD DE LA INFORMACIÓN

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización, es por esto que, para que la seguridad de la información cumpla la finalidad por la cual existe, surge la necesidad de establecer un sistema de gestión de seguridad de tecnologías, estándares y manuales.

¿Qué es un sistema de gestión de la seguridad de la información?

Un sistema de gestión de la seguridad de la información o un SGSI como también se llamará más adelante en este trabajo, es aquel que le permite a cualquier organización gestionar eficiente y eficazmente el acceso a la información que ésta maneja, con el objetivo de mantener la confidencialidad, integridad y disponibilidad de los activos de información. Todo esto a través del diseño, implantación y mantenimiento de un conjunto de procesos que estén enfocados a cumplir estos objetivos.

El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

En este orden de ideas, en toda organización un SGSI, le permitirá conocer todos aquellos riesgos a los cuales está sometida su información, obteniendo así un mayor control y establecer estrategias para minimizarlos.

Un SGSI, se lleva a cabo, basándose en la filosofía del ciclo de Deming ("Plan-Do-Check-Act" palabras en inglés que significan "Planificar-Hacer-Controlar-Actuar" respectivamente), ya que con este enfoque se asegura en el sistema una

5

mejora continua y constante. Entonces, un sistema de gestión de la información tiene las siguientes fases:

■ Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación

de riesgos de seguridad de la información y la selección de controles

adecuados.

■ Do (hacer): es una fase que envuelve la implantación y operación de los

controles.

■ Check (controlar): es una fase que tiene como objetivo revisar y evaluar el

desempeño (eficiencia y eficacia) del SGSI.

■ Act (actuar): en esta fase se realizan cambios cuando sea necesario para

llevar de vuelta el SGSI a máximo rendimiento.

TECNOLOGIAS PARA LA SEGURIDAD DE LA INFORMACIÓN

Las principales tecnologías referentes a la seguridad de la información en

informática son:

■ Cortafuegos: Un cortafuegos (firewall en inglés) es una parte de un

sistema o una red que está diseñada para bloquear el acceso no

6

autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se

trata de un dispositivo o conjunto de dispositivos configurados para permitir,

limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base

de un conjunto de normas y otros criterios. Los cortafuegos pueden ser

implementados en hardware o software, o una combinación de ambos. Los

cortafuegos se utilizan con frecuencia para evitar que los usuarios de

Internet no autorizados tengan acceso a redes privadas conectadas a

Internet, especialmente intranets. Todos los mensajes que entren o salgan

de la intranet pasan a través del cortafuegos, que examina cada mensaje y

bloquea aquellos que no cumplen los criterios de seguridad especificados. 

■ Administración de cuentas de usuarios: La administración de cuentas de

usuario y grupos es una parte esencial de la administración de sistemas

dentro de una organización. Pero para hacer esto efectivamente, un buen

administrador de sistemas primero debe entender lo que son las cuentas de

usuario y los grupos y como funcionan. La razón principal para las cuentas

de usuario es verificar la identidad de cada individuo utilizando un

computador. Una razón secundaria (pero aún importante) es la de permitir

la utilización personalizada de recursos y privilegios de acceso. Los

recursos incluyen archivos, directorios y dispositivos. El control de acceso a

estos dispositivos forma una gran parte de la rutina diaria de un

administrador de sistemas; a menudo el acceso a un recurso es controlado

por grupos. Los grupos son construcciones lógicas que se pueden utilizar

para enlazar a usuarios para un propósito común. Por ejemplo, si una

organización tiene varios administradores de sistemas, todos ellos se

pueden colocar en un grupo administrador de sistema. Luego se le pueden

dar permisos al grupo para acceder a recursos claves del sistema. De esta

forma, los grupos pueden ser una herramienta poderosa para la

administración de recursos y acceso.

■ Detección y prevención de intrusos: Un Sistema de Prevención de

Intrusos, al igual que un Sistema de Detección de Intrusos, funciona por

medio de módulos, pero la diferencia es que este último alerta al

7

administrador ante la detección de un posible intruso (usuario que activó

algún Sensor), mientras que un Sistema de Prevención de Intrusos

establece políticas de seguridad para proteger el equipo o la red de un

ataque; se podría decir que un IPS protege al equipo proactivamente y un

IDS lo protege reactivamente.

■ Antivirus: En informática los antivirus son programas cuyo objetivo es

detectar y/o eliminar virus informáticos. Nacieron durante la década

de 1980. Con el transcurso del tiempo, la aparición de sistemas

operativos más avanzados e Internet, ha hecho que los antivirus hayan

evolucionado hacia programas más avanzados que no sólo buscan

detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una

infección de los mismos, y actualmente ya son capaces de reconocer otros

tipos de malware, como spyware, rootkits, etc.

■ Biometría: La biometría (del griego BIOS vida y metrón medida) es el

estudio de métodos automáticos para el reconocimiento único de

humanos basados en uno o más rasgos conductuales o rasgos físicos

intrínsecos. En las tecnologías de la información (TI), la «autentificación

biométrica» o «biometría informática» es la aplicación de técnicas

matemáticas y estadísticas sobre los rasgos físicos o de conducta de un

individuo, para su autentificación, es decir, “verificar” su identidad.

Las huellas dactilares, la retina, el iris, los patrones faciales, de venas de

la mano o la geometría de la palma de la mano, representan ejemplos de

características físicas (estáticas), mientras que entre los ejemplos de

características del comportamiento se incluye la firma, el paso y el tecleo

(dinámicas). La voz se considera una mezcla de características físicas y del

comportamiento, pero todos los rasgos biométricos comparten aspectos

físicos y del comportamiento.

■ Criptografía:

■ Esteganografía:

ESTANDARES PARA LA SEGURIDAD DE LA INFORMACIÓN

8

En las últimas décadas, todo ha estado en constante cambio y la información no ha sido ajena a esto. La naturaleza y la tecnología que constituyen las bases de la información y las comunicaciones son el principal cambio, ya que, se ha multiplicado el número y los diversos tipos de mecanismos que integran los principales puntos de acceso, esto incluye los elementos de tecnología fija, inalámbrica y móvil. Además existe una proporción amplia de accesos con conexión constante y permanente, que tiene una tendencia creciente.

Dado lo anterior, es necesario que la seguridad asuma nuevos retos y empiece ha adaptarse a estos cambios, motivo por el cual en las organizaciones, surge la iniciativa de trabajar con estándares en materia de seguridad sobre la información, orientados a todos los participantes de la nueva sociedad de la información, donde es urgente tener una mayor conciencia y conocimientos de todo lo que implica la seguridad, así como la necesidad de establecer todas las herramientas necesarias para desarrollar una cultura que gire en torno a ésta.

Las siguientes razones han dado muestra a las empresas de la necesidad de contar con un estándar de seguridad:

■ Establecer un reglamento de prácticas favorables para la gestión de la seguridad.

■ Establecer las especificaciones para la adopción de un Sistema de Gestión de la Seguridad de la Información.

■ Establecer un estándar de facto a nivel global, que se implemente en las entidades que administran la seguridad de la información.

■ Establecer un conjunto de normas que se apliquen en cualquier entorno y sector, y que utilicen tecnologías de la información para lograr los objetivos propuestos.

■ Mejorar los niveles de competitividad, optimizando la seguridad y el funcionamiento de la empresa.

■ Promover servicios para que la empresa se incorpore más fácil y eficientemente a la sociedad de la información.

Todo lo anterior conlleva a la necesidad de establecer y contar con un sistema de gestión, que permita garantizar la seguridad de la información en las

9

organizaciones que tengan como premisa, mantenerse en la competencia que actualmente es muy grande, ya que los usuarios de éstas exigen que sus datos estén en un lugar seguro y que al utilizarse estos para realizar transferencias, se hagan por un medio correcto y se les de el uso correcto. Con el fin de que la empresa pueda comunicarse con el mundo y todos los participantes sean entendidos, es necesario generar un estándar, así, el mundo podrá hablar un mismo idioma y en la implementación de todos estos procesos habrá una mejora continua, ya que, habrá un aporte de cada uno de los sectores involucrados.

Actualmente existen una gran variedad de estándares en términos de seguridad de la información, pero el que unifica todas las características de todos los demás es la serie ISO 27000.

ISO 27000

■ Orientado a establecer un sistema gerencial para minimizar riesgos y proteger la información.

■ Especificación para la gestión del sistema de seguridad de la información.

■ Usado para la certificación.

Otros estándares10

● Estándar Británico ISO-IEC BS7799-IT

● Estándar RFC2196

● Estándar IT Baseline Protection Manual

● Estándar SSE-CMM

3 LA ESTEGANOGRAFÍA

La esteganografía lo que hace principalmente es explotar las limitaciones de la percepción humana. Existen programas que hacen un estegoanalisis, que detecta los cambios dejados como huellas de cambios en archivos.

La esteganografía es la disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es una mezcla de artes y técnicas que se combinan para conformar la práctica de ocultar y enviar información sensible a través de portador, para que pueda pasar desapercibida.

Si bien la esteganografía suele confundirse con la criptografía, por ser ambas parte de los procesos de protección de la información, son disciplinas distintas, tanto en su forma de implementar como en su objetivo mismo. Mientras que la criptografía se utiliza para cifrar información de manera que sea ininteligible para un probable intruso, a pesar del conocimiento de su existencia, la esteganografía oculta la información en un portador de modo que no sea advertido el hecho mismo de su existencia y envío. De esta última forma, un probable intruso ni siquiera sabrá que se está transmitiendo información sensible.

El origen de la palabra deriva de la composición de los vocablos griegos, steganos que significa cubierto u oculto, y graphos que significa escritura.

HERÓDOTO

Probablemente uno de los ejemplos más antiguos del uso de que la esteganografía sea el referido por Heródoto en Las historias. En este libro describe cómo un personaje tomó un cuadernillo de dos hojas o tablillas; rayó bien la cera que las cubría y en la madera misma grabó el mensaje y lo volvió a cubrir con cera regular. Otra historia, en el mismo libro, relata cómo otro personaje había rasurado a navaja la cabeza de su esclavo de mayor confianza, le tatuó el mensaje en el cuero cabelludo, esperó después a que le volviera a crecer el

11

cabello y lo mandó al receptor del mensaje, con instrucciones de que le rasuraran la cabeza.

SIGLO XV

El científico italiano Giovanni Battista della Porta descubrió cómo esconder un mensaje dentro de un huevo cocido. El método consistía en preparar una tinta mezclando una onza de alumbre y una pinta de vinagre, y luego se escribía en la cáscara. La solución penetra en la cáscara porosa y deja un mensaje en la superficie de la albúmina del huevo duro, que sólo se puede leer si se pela el huevo.

SEGUNDA GUERRA MUNDIAL

Durante la segunda guerra mundial se usaron los microfilmes, en los puntos de las ies o en signos de puntuación para enviar mensajes. Los prisioneros usan i, j, t y f para ocultar mensajes en código morse. Pero uno de los sistemas más ingeniosos se conoce con el nombre de "Null Cipher".5 Este último consiste en enviar un mensaje, de lo más común posible, y elegir cierta parte de él para ocultar el mensaje. Un ejemplo es el texto siguiente:

“Apparently neutral's protest is thoroughly discounted and ignored. Isman hard hit. Blockade issue affects pretext for embargo on by products, ejecting suets and vegetable oils. (Al parecer la protesta neutral es completamente descontada e ignorada. Isman afectados. Cuestión de bloqueo afecta pretexto de embargo sobre los productos, consigue expulsar sebo y aceites vegetales)”

Si tomamos la segunda letra de cada palabra aparece el mensaje:

“Pershing sails from NYr June i (Pershing parte (en barco) desde Nueva York el 1 de Junio).”

TINTAS INVISIBLES

12

No está claro desde qué época se comenzaron a utilizar, pero sin duda se han usado a lo largo de la historia y hasta la actualidad. Las más conocidas se pueden clasificar en dos categorías:

Básicas: sustancias con alto contenido en carbono: leche, orina, zumo de limón, jugo de naranja, jugo de manzana, jugo de cebolla, solución azucarada, miel diluida, coca cola diluida, vino, vinagre, etc. Básicamente, sin importar cuál de las “tintas” mencionadas se utilicen, al calentar la superficie donde se escribió el mensaje invisible, el carbono reacciona apareciendo el mensaje en un tono café.

Más sofisticadas: aparecen tras una reacción química, o tras ser expuestas a la luz de cierta longitud de onda (IR, UV,...).

4 CRIPTOGRAFÍA

De la misma manera que la estenografía kripto significa oculto y graphos escritura. Tradicionalmente se ha definido como la parte de la criptología que se ocupa de las técnicas, bien sea aplicadas al arte o la ciencia, que alteran las representaciones lingüísticas de mensajes, mediante técnicas de cifrado y/o codificado, para hacerlos ininteligibles a intrusos (lectores no autorizados) que intercepten esos mensajes. Por tanto el único objetivo de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía que había era la llamada criptografía clásica.

La aparición de las Tecnologías de la Información y la Comunicación y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse. Este desafío ha generalizado los objetivos de la criptografía para ser la parte de la criptología que se encarga del estudio de los algoritmos, protocolos (se les llama protocolos criptográficos) y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican. Para ello los criptógrafos investigan, desarrollan y aprovechan técnicas matemáticas que les sirven como herramientas para conseguir sus objetivos.

13

OBJETIVOS DE LA CRIPTOGRAFÍA

La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican.1 El objetivo de la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad. Por tanto se ocupa de proporcionar:

Confidencialidad. Es decir garantiza que la información está accesible únicamente a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.

Integridad. Es decir garantiza la corrección y completitud de la información. Para conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica.

No repudio. Es decir proporciona protección frente a que alguna de las entidades implicadas en la comunicación, pueda negar haber participado en toda o parte de la comunicación. Para conseguirlo puede usar por ejemplo firma digital.

Autenticación. Es decir proporciona mecanismos que permiten verificar la identidad del comunicante. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero.

14

Soluciones a problemas de la falta de simultaneidad en la telefirma digital de contratos. Para conseguirlo puede usar por ejemplo protocolos de transferencia inconsciente.

Un sistema criptográfico es seguro respecto a una tareas si un adversario con capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica.

5 CONCLUSIONES

■ La necesidad creciente en materia de seguridad de la información, obliga a las empresas grandes, medianas y pequeñas, a destinar parte de su presupuesto, a invertir en el aseguramiento de la información. Dicha inversión puede ser de distintas proporciones, dependiendo los objetivos que desee la empresa en materia de seguridad, pero los rubros que se manejan son similares, es decir, implementación de sistemas de gestión, entrenamiento y educación de los empleados y estudios de nuevas políticas serias que permitan conseguir las metas deseadas por la organización.

■ Las amenazas de seguridad originadas de distintas fuentes, son cada vez más ambiciosas y más sofisticadas, por lo tanto las empresas están en una constante implementación de estrategias que garanticen la seguridad de la información para mostrar una imagen de confiabilidad a sus clientes y usuarios.

■ Los estándares en materia de seguridad permiten especificar, a las empresas que los adopten, los requisitos para establecer, implantar, operar, monitorear, revisar, mantener y mejorar el sistema de gestión de la seguridad de la información para la implementación de controles de seguridad adaptados a la necesidad de la organización, o parte de ella, en relación con el contexto y los riesgos identificados.

■ Las empresas para estar a la vanguardia y mantenerse en la gran competencia que existe en el mercado, deben cambiar los sistemas tradicionales por la implementación en implantación de un sistema de gestión de seguridad de la información que cumpla con los estándares ya existentes para tal fin.

15