Compartimos con uds un nuevo post de la sección “artículos de interés”, a continuación. Esperamos sea de su agrado.

El equipo de Global Crossing

Incidentes de seguridad de la información

Cuando se asume la responsabilidad de gobernar las tecnologías de la información a nivel corporativo, inmediatamente se aceptan altos retos particularmente interesantes, como estar al tanto de las amenazas que propone el mundo informático, encontrándose entre otras la intercepción de información, la interrupción de procesos críticos, la modificación de transacciones y la generación de códigos arbitrarios, como también conocer las vulnerabilidades sin importar su naturaleza, (ya sean lógicas, físicas, naturales o humanas), que pudieran materializar las amenazas anteriormente manifestadas, dado que estas son actividades informáticas que golpean una y otra vez los sistemas de información.

En circunstancias normales, sin importar el tipo de mercado al cual se pertenezca, organizaciones publicas o privadas o entidades financieras y bancarias, los responsables de seguridad por las actividades que realizan cotidianamente, no tienden a actuar proactivamente para prevenir los efectos perniciosos de los distintos incidentes a que los sistemas de información están sujetos, y cuando surge un problema, porque la prevención tecnológica falla, se actúa en consecuencia. Pero, ¿se plantearon en algún instante los responsables de esta actividad, antes aplicar seguridad sobre los sistemas, medir el impacto que estos pueden acarrear si se manifiesta alguna amenaza o vulnerabilidad?

La seguridad de los sistemas informáticos evidencian a las organizaciones y manifiestan sobre estas, que se encuentran ante un problema que ocasiona grandes inconvenientes para la continuidad operativa de las mismas sin importar la gravedad del incidente.

En esta oportunidad no hablare del los tipos de ataques (internos / externos), lo importante por ahora es reconocer que existen y sobre todo tratar de prevenirlos.

Entre los incidentes más comunes que se detectan durante las ejecuciones de pruebas sobre los sistemas, falta de seguridad en la programación de códigos web, los cuales permiten acceso a los sistemas y bases de datos en forma directa; facilidad de escalamiento de privilegios por la falta de sistemas fuertes en la generación de perfiles de usuarios; malas configuraciones en los servidores de correos electrónicos los cuales permiten la lectura de los mismos y hasta la utilización de estos para el envió interno y hacer inteligencia de personas y como punto importante y muy critico quiero mencionar la falta de concientización de los empleados de las organizaciones sobre la importancia que tiene para las organizaciones la información y sobre todo cuan responsables son ellos sobre los problemas de seguridad.

La gestión de la seguridad de la información es muy extensa, pero sin duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo. Equilibrar las decisiones a tomar en función del riesgo informático, en la gran mayoría de las veces es difícil de abordar, y la incertidumbre de los resultados es muy elevada, especialmente cuando no hay datos anteriores que permitan proyectar una posible tendencia. Sin ánimo de hacer imposible la gestión del riesgo, se debe tener en cuenta también que hay riesgos incontrolables y que por tanto escapan a toda planificación. Pero esto no puede ser obstáculo para que apartemos a un lado los riesgos, y sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar absolutamente todos los riesgos es algo, por decirlo de alguna manera, inaplicable; por cuestiones económicas y de índole operativa por los cambios constantes de tecnologías e investigaciones de avanzada sobre problemas de seguridad.

Asimismo, tampoco sería correcto asumir la totalidad de los riesgos, sin invertir en ninguna medida de control sobre los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo asumido voluntariamente. Y éste ultimo concepto es el objetivo principal de la gestión de los riesgos.

Existen distintas maneras y metodologías de gestionar adecuadamente la seguridad de la información y los riesgos a los que las organizaciones se enfrentan. Desde luego, siempre es aconsejable emplear metodologías reconocidas ya que éstas surgen de una experiencia y un contraste que las hace válidas a niveles internacionales.

Por Maximiliano Canosa, Director Ejecutivo, I-Prot.