Mérida, Yucatán 97314, México

ventas@hals.com.mx

Home Blog Page 20

Seguridad Empresarial

Experiencia y conocimiento para resolver eficientemente sus necesidades de Gestión de Riesgos y Seguridad de la Información.

En el entorno de negocios actual, la información que se maneja tanto al interior de una organización como hacia el exterior de la misma está expuesta a un gran número de riesgos, los cuales tienen un impacto variable en los atributos de seguridad de la información: confidencialidad, integridad y disponibilidad. En la actualidad, el principal reto está en entender los riesgos específicos para cada entorno de negocios en particular y también entender, o incluso medir, el impacto que estos riesgos tienen sobre la seguridad de la información.

Tradicionalmente, cuando se habla de Seguridad de la Información, se entiende que se requieren ciertas soluciones de hardware y software con los que la mayoría de las empresas ya cuentan y consideran que cubren todas sus necesidades actuales y futuras de seguridad de la información. Estos elementos son firewalls, antivirus, antispam, filtros de contenido URL, etc. Sin embargo, una estrategia global de seguridad de la información debe considerar otros elementos que permiten mejorar la postura global de seguridad de la empresa y no se limitan a atender amenazas puntuales como son el acceso desde el exterior de la red corporativa o la existencia de virus, las cuales definitivamente si tienen su relevancia, pero son un elemento más dentro de un esquema general de requerimientos de seguridad.

Una Estrategia Global de Seguridad de la Información, además de los elementos tradicionales para asegurar el perímetro de la red de la organización, debe incluir aspectos relacionados con la Gestión de Identidades corporativas, Control de acceso a los sistemas de información con base en perfiles, Gestión de eventos de seguridad, entre otros.

La práctica de Seguridad de la Información tiene varios objetivos críticos:

Utilizar mejores prácticas para la identificación de necesidades y oportunidades para la mejora de los niveles de Seguridad de la Información.
Emitir puntos de vista imparciales sobre las necesidades de Seguridad de la Información para proponer las mejores estrategias y herramientas para solventarlas, con el mayor costo beneficio.
Proporcionar herramientas de Seguridad de la Información que encajen dentro de una estrategia global de seguridad para cada entorno específico, contrario a sugerir soluciones puntuales con una aportación marginal a la problemática de seguridad observada.

Beneficios para Nuestros Clientes

El beneficio principal obtenido por nuestros clientes al considerar el establecimiento de una Estrategia Global de Seguridad de la Información es la alineación de aspectos de seguridad con requerimientos específicos de negocio, con lo cual se obtiene un nivel alto en la postura de seguridad y se aumenta también la efectividad y eficiencia de los procesos de negocio involucrados en la estrategia.

Aunque los beneficios específicos dependerán de los riesgos específicos y necesidades de cada cliente, existen algunos aspectos que podemos mencionar como beneficios generales que pueden obtenerse al ejecutar una estrategia de seguridad de la información:

Mejora de la postura de seguridad de la información en aspectos identificados por el cliente como problemáticos, ya sea por experiencias pasadas o por dificultad para cumplir con compromisos establecidos, como en el caso de regulaciones legales o de industria.
Conocimiento puntual del impacto de los riesgos de seguridad en procesos de negocio, y facilidad para definir estrategias de remediación apropiadas para reducción del riesgo.
Evaluación de soluciones tecnológicas que permiten aumentar la efectividad y eficiencia de procesos de negocio, al automatizar aspectos que tienen un componente importante de interacción humana.
Capacidad para la definición de un plan global de seguridad, estableciendo de acuerdo a necesidades de negocio, las prioridades para la selección y ejecución de proyectos e iniciativas de seguridad de la información.

Las necesidades que tradicionalmente se consideran dentro de una estrategia global de seguridad pueden ser tan variados como:

Alineación de la estrategia de seguridad corporativa a un marco de referencia generalmente aceptado (mejores prácticas) o a regulaciones y legislaciones específicas de industria.
Necesidad de definir identidades globales conforme a roles organizacionales específicos para acceso a aplicaciones de negocio críticas de la organización, y seguimiento en todo el ciclo de vida de la identidad. (Gestión de identidades).
Control de acceso a aplicaciones basadas en entornos Web, con autenticación de usuarios y perfiles de acceso específicos. (Gestión de accesos).
Gestión automatizada de bitácoras provenientes tanto de elementos de seguridad de red, como de aplicaciones y sistemas de negocio, con correlación de eventos y generación de alertas de seguridad (Gestión de eventos de seguridad).
Integración del ambiente Web de la organización y autenticación de usuarios con proveedores de servicios externos (Gestión de servicios federados).
Autenticación de usuarios por medios externos (segundo factor de autenticación) a sistemas y aplicaciones críticas de negocio.
Identificación y seguimiento de información confidencial al interior de la empresa y hacia el exterior de la misma, con capacidades tanto de monitoreo como de prevención (Prevención de pérdida de la información, DLP).
Monitoreo de actividad de usuarios privilegiados y reportes de cumplimiento con legislaciones y regulaciones nacionales y de industria. (Gestión de Información de Seguridad).

Seguridad Gubernamental

En este nuevo mundo globalizado por Internet y las tecnologías de información, las amenazas y ataques se han vuelto más comunes y de mayor preocupación para las organizaciones. Cuántas veces hemos escuchado sobre robos de información, terrorismo informático, sabotaje, fraude y vandalismo, que en muchos casos son perpetrados por personal interno de la organización o por errores provocados por falta de controles o por procesos mal definidos.

Por ello es importante entender que la adquisición de sistemas de seguridad tales como controles de acceso, detectores de intrusos y firewalls, entre otros, ya no es suficiente. En estos tiempos es necesario adoptar soluciones que nos permitan proteger los huecos de seguridad que las tecnologías antes mencionadas no llegan a cubrir. Estas soluciones deben contemplar no solo a los “fierros” de la seguridad, sino involucrar aspectos tales como un adecuado análisis de riesgos, asignación de roles y responsabilidades y marcos normativos. Aspectos que permitirán a una organización poder hacer gala de nombrarse “segura”.

Debido a estos nuevo riesgos a los que está expuesta la información, surgió la necesidad en una institución gubernamental de llevar a cabo un proyecto que tomara en consideración no solo a los “fierros” como lo mencionamos anteriormente, sino que también tomara en consideración al personal y sus procesos, lo que dio origen a la implementación de un Modelo de Gobierno de Seguridad de la Información (MGSI). Para lograr este requerimiento, la institución convocó a través de una licitación y eligió a Scitum como el proveedor que los apoyaría en la implementación de un MGSI.

Solución

Dado que el personal encargado de la seguridad de la información dentro de esta institución no tenia establecidas reglas claras de normatividad, no estaban bien definidos los roles y las responsabilidades, no tenia implementado una metodología de administración de riesgos, ni controles para medir que las acciones tomadas se estuvieran llevando a cabo como lo planeado, Scitum se dio a la tarea de comenzar con la definición del MGSI. De acuerdo al análisis realizado previamente de la institución, la solución debía ser integrada por componentes específicos que, alineados con los objetivos del negocio y con los objetivos de TI, determinaran los lineamientos a seguir para mitigar los riesgos de la institución. El objetivo general era establecer las directrices para planear, implementar, operar, monitorear, revisar y mejorar la seguridad de la información.

Para la definición del MGSI se tomaron en consideración los siguientes componentes, los cuales explicaré brevemente:

Administración de riesgos. En el contexto de seguridad de la información, es un proceso interactivo e iterativo para la evaluación y manejo de los riesgos y sus impactos, con el propósito de lograr los niveles de confidencialidad, integridad y disponibilidad óptimos para la institución. Este proceso debe continuamente contestar a las preguntas ¿qué riesgos corre la información de nuestro negocio? ¿qué probabilidad existe de que se materialicen? ¿qué impacto tendrían en la operación? ¿podemos vivir con este riesgo? y si no: ¿qué debemos hacer para mitigarlo?
Roles y responsabilidades. En este proceso se definen los grupos de trabajo y roles específicos para cumplir con las responsabilidades de seguridad de la información. Aquí se responde a la crucial pregunta ¿quién hace qué?, así como a todo aquello que nunca nos hemos atrevido a preguntar: ¿qué me toca? ¿por qué a mi área? ¿quién será el CISO (Chief Information Security Officer)? ¿qué otros roles existen? ¿qué significa ser dueño de la información? ¿qué implica ser custodio de la información?, etc.
Normatividad de seguridad. En este proceso se define el conjunto de políticas, estándares, guías y procedimientos que permiten tener un control de la operación del negocio. La idea es saber cómo debemos cuidar la información, y nos permite también dar respuestas claras a los usuarios cuando preguntan ¿para qué sirve que cambie mi contraseña cada 3 meses? ¿por qué debo bloquear mi máquina cuando abandono mi lugar? ¿qué pasa si comparto mi contraseña aunque sea “por un día”?. Además, la normatividad dictará qué pasa si alguien no se alinea con las políticas.
Tablero de control. El tablero establece y monitorea los indicadores de cumplimiento de los objetivos de seguridad, por ejemplo, el porcentaje de áreas de negocio que han realizado análisis de riesgos de seguridad en el año, el nivel de vulnerabilidad de los sistemas críticos de información, el porcentaje de empleados con responsabilidades de seguridad que ya han recibido un entrenamiento formal en seguridad de la información, la capacidad de respuesta a incidentes, etc. En esta actividad respondemos a la pregunta ¿sabemos que se están haciendo bien las cosas?

Una vez terminado el proceso de definición y desarrollo del MGSI, el cual incluyó los componentes antes mencionados, la segunda fase del proyecto fue llevar a cabo la implementación del MGSI, que involucró la difusión de las políticas de seguridad desarrolladas, el nombrar las nuevas actividades del personal de la institución con base en lo definido en el documento de roles y responsabilidades, haber llevado el análisis de riesgos previo para identificar las área de oportunidad y, al tener estas actividades implementadas, darles seguimiento por medio del tablero de control.

Esta segunda parte del proyecto fue de gran importancia, ya que no sirve de nada desarrollar y definir el MGSI si no se implementa y el personal involucrado no conoce cuáles son sus nuevas funciones y como las van a llevar a cabo. Sin el apoyo de la institución en general no es posible que el MGSI funcione adecuadamente.

Con estas acciones se logró cumplir con el objetivo de implementar un MGSI dentro de esta institución gubernamental, el cual permitió ver la seguridad como una solución global y recurrente.

Beneficios

Gracias a la implementación del MGSI, la institución logró los siguientes beneficios:

Toma de decisiones acertadas en materia de seguridad gracias a la información actualizada de lo que está pasando: los riesgos, los avances, indicadores de seguridad, etc.
Reacción oportuna y ágil ante incidentes de seguridad gracias a la clara definición de roles y responsabilidades, minimizando así los impactos de un ataque.
Mayor conciencia de la gente dentro de la institución acerca de la importancia de la seguridad, evitando fugas de información por ataques de ingeniería social.
Aumento en el grado de confianza de los clientes y asociados de la institución al asegurar que la información se encuentra gobernada por un modelo que permanentemente vigila y mitiga los riesgos.
Disminución de los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.

Conclusión

Sin duda alguna la implementación del Modelo de Gobierno de Seguridad de la Información (MGSI) fue un éxito tanto para Scitum como para esta institución gubernamental, ya que éste se adoptó como una manera de ver la seguridad con un enfoque integral que considerara infraestructura, gente y procesos.

Seguridad Electoral

Es evidente que la tecnología ha permitido grandes avances en distintos campos de estudio e investigación, así como en nuestra vida cotidiana, permitiendo la comunicación a cualquier parte del mundo con relativa facilidad y a bajo costo, o el acceso a la información casi de manera instantánea.

En el ámbito de los procesos electorales, el uso de la tecnología se vuelve fundamental. Como ya se ha explorado, una consideración relevante está relacionada con el voto electrónico y los riesgos de seguridad asociados a esta manera de elegir gobernantes. Junto con los beneficios que se obtienen, como la rapidez para contabilizar votos o la accesibilidad a la información, también se identifican desventajas como una mayor propensión a ataques informáticos, al utilizar más sistemas de información.

La importancia de la seguridad de la información en las elecciones

Los países que tienen como propósito la instauración de una auténtica democracia deben alcanzar metas en diferentes ámbitos, como en temas políticos, sociales, económicos o electorales. En este último punto, resulta de vital importancia el desarrollo de procesos de elección que ofrezcan certeza y confianza al electorado sobre los resultados de las votaciones.

Aunque en muchas ocasiones esto se convierte en una tarea compleja, derivada principalmente de los posicionamientos políticos, un factor que puede contribuir a lograr la confianza consiste en desarrollar plataformas tecnológicas seguras, que permitan el cómputo de los votos, de tal forma que no se vean alteradas las preferencias ni la intención del voto de los electores que han ejercido su derecho.

En otras palabras, esto significa que los sistemas, las redes o equipos de cómputo utilizados en los procesos electorales cuenten con los mecanismos de seguridad apropiados y se apliquen prácticas de seguridad, para evitar que personas ajenas al proceso de contabilización de votos y emisión de resultados, puedan llevar a cabo actividades ofensivas, que atenten contra la confidencialidad, integridad o disponibilidad de esta información.

Por ejemplo, recientemente se ha retirado la acreditación de un sistema de voto electrónico por presentar debilidades, como el uso de contraseñas en cuentas de administrador del sistema operativo, que son fácilmente recuperables, o utilizar cifrado WEP en la red inalámbrica con sus debilidades ya conocidas. Sin ir más allá, es probable que condiciones de esta naturaleza puedan ser identificadas en los sistemas de información utilizados para el cómputo de los votos.

Diversidad de motivaciones y de amenazas informáticas

Si algún atacante se lo propone, existe la posibilidad de que pueda acceder a la información o los sistemas utilizados en los procesos electorales, ya que todas las plataformas son susceptibles de tener vulnerabilidades, mismas que pueden ser aprovechadas con fines maliciosos.

Por diferentes motivaciones, como la inconformidad con los resultados, pertenencia a grupos de hacktivismo, ideologías políticas de oposición o un afán por obtener un resultado favorable, algún interesado podría intentar tener acceso a esa información o bien contratar los servicios de personas con falta de ética y el conocimiento técnico necesario para hacerlo, lo que puede derivar en un delito informático, según el país donde se realice.

Por lo tanto, una cantidad importante de amenazas latentes deben estar consideradas durante las jornadas de elección y posterior a ellas, ya que podrían afectar los resultados o boicotear el proceso electoral.

Estas amenazas pueden ir desde denegaciones de servicio (DoS), la explotación de vulnerabilidades en el software utilizado, ataques específicos por código maliciosos, fuga de información, hasta la aplicación de ataques de Ingeniería Social utilizando distintos medios, como spear phishing, entre muchas otras.

La principal tarea: contribuir a la generación de confianza

Por todo lo anterior, la seguridad de la información juega un papel relevante en este tipo de jornadas, en donde su propósito primordial es contribuir a la generación de procesos electorales confiables, que independientemente de los resultados, puedan disipar cualquier duda sobre la manera en la que se contabilizan los votos y se obtienen los resultados.

En estos casos, seguramente existirán inconformidades por las partes no favorecidas con los resultados y se podrán poner en duda los métodos utilizados por los candidatos para ganar las elecciones, lo que se pretende evitar es que se pueda juzgar la manera en la que se conducen los procedimientos de cómputo.

También, diversos conflictos y consecuencias de gravedad pueden derivar de un incidente o incidentes de seguridad asociados a los procesos electorales. Por ejemplo, el votante que ha visto modificada su decisión, el candidato que ha perdido una elección, los partidos políticos que pueden adjudicarse una victoria de manera fraudulenta, un proyecto de gobierno que fracasa por la elección perdida o el daño a la credibilidad e imagen de las instituciones encargadas de organizar los comicios.

En este sentido, cobra mucha importancia la contribución de la seguridad de la información en actividades de esta naturaleza, donde distintas tareas que continuamente son recomendadas en esta materia deberían ser aplicadas para proteger los datos y la infraestructura tecnológica, considerando tres elementos básicos: tecnología, procesos y personas.

Por lo tanto, en la medida en la que la seguridad de la información sea involucrada en los procesos de elección (ya sean con métodos tradicionales o aquéllos que involucren al voto electrónico) esto debería redundar en una mayor transparencia, y por lo tanto en una mayor confianza por parte del electorado a la hora de adoptar nuevas prácticas.

En definitiva, se trata de un importante desafío que los profesionales de la seguridad de la información tienen en este campo: asegurar el proceso electoral con el objetivo de brindar transparencia y confianza para todos los actores de la elección.

Sliced Gallery Post with Three Images

Etiam ultricies viverra dolor, eu convallis metus ullamcorper non. Maecenas suscipit gravida metus a venenatis. Duis vestibulum nulla at elit tristique, id porttitor justo rutrum. Maecenas libero lacus, molestie mattis nibh id, vestibulum rhoncus tortor. Proin dictum aliquam nisi sed suscipit. Donec est turpis, sodales quis felis vitae, ultricies consequat odio. Etiam mollis risus sit amet libero tristique volutpat.

Link Post

Etiam ultricies viverra dolor, eu convallis metus ullamcorper non. Maecenas suscipit gravida metus a venenatis. Duis vestibulum nulla at elit tristique, id porttitor justo rutrum. Maecenas libero lacus, molestie mattis nibh id, vestibulum rhoncus tortor. Proin dictum aliquam nisi sed suscipit. Donec est turpis, sodales quis felis vitae, ultricies consequat odio. Etiam mollis risus sit amet libero tristique volutpat.