Principios de la seguridad de la información (A4C41A1D01)

La seguridad de la información en la sociedad actual juega un papel fundamental. Todos utilizamos a diario sistemas informáticos para gestionar nuestra información, ya sea a nivel personal, como en una empresa o en la administración pública. Esta migración de nuestros datos a formato digital conlleva una serie de riesgos que debemos conocer y controlar para no sufrir ningún ataque que los comprometa. En este tema vamos a definir el concepto de seguridad de la información, a presentar una serie de términos relacionados y a exponer una serie de principios que debemos seguir para proteger nuestros datos digitales.

Dentro del mundo de la informática existen multitud de términos relacionados con la protección de los sistemas o de la información que estos gestionan. El primero de ellos es la seguridad de la información. Para entender este concepto, primero debemos definir qué significa exactamente información. La información es “todo conocimiento que puede ser comunicado, presentado o almacenado en cualquier forma” (CCN-STIC-431:2006). En este sentido, la información puede encontrarse habitualmente en forma de mensajes, correos electrónicos, bases de datos, etc.

La seguridad de la información, por tanto, se define como la preservación de la confidencialidad, la integridad y la disponibilidad de esta información (UNE-ISO/IEC 27000:2014). Estos tres conceptos forman las tres dimensiones de la seguridad de la información, nombrado conjuntamente como Tríada CIA (del inglés, Confidentiality, Integrity and Availability). A continuación, se define brevemente cada uno de ellos:

1. Confidencialidad: garantizar que la información es secreta, y solo las personas autorizadas pueden acceder a la misma y visualizarla.
2. Integridad: asegurar que la información no se modifica sin permiso.
3. Disponibilidad: capacidad de la información de ser accesible y estar lista para su uso cuando es demandada.

Las tres dimensiones de la seguridad de la Tríada CIA se definen como “servicios de seguridad” dentro de la norma ISO-7498-2. Además de la confidencialidad, la integridad y la disponibilidad, existen otros servicios de seguridad incluidos en esta norma:

1. Autenticación: garantizar que alguien es quien dice ser, ya sea durante una comunicación o como autor de una información.
2. No repudio: evitar que emisor o receptor nieguen la transmisión o la recepción de un mensaje respectivamente.
3. Control de acceso: evitar el acceso no autorizado a un recurso.

A la hora de pensar en diferentes medidas de protección de la seguridad de la información, debemos tener en cuenta todos los servicios de seguridad anteriores. Para comprender cada uno de los puntos vamos a ver el ejemplo de la aplicación que utilizamos en nuestra banca electrónica.

Cuando accedemos a la banca electrónica de nuestro banco a través de un navegador web, lo primero que podemos ver es información pública de los servicios que oferta. Si por cualquier error la página no estuviese accesible, la información no estaría disponible para su consulta. Si queremos acceder a nuestra información privada, como nuestras cuentas bancarias y los movimientos, necesitamos identificarnos. Para ello realizamos el proceso de autenticación, indicando nuestro nombre de usuario y contraseña. Por supuesto, si estos datos no son correctos, no podremos acceder a nuestra información, ya que existe un control de acceso a la misma. Una vez nos autenticado, podemos ver nuestros datos. Esta información se envía cifrada desde los servidores del banco hasta nuestro ordenador, por lo tanto, es confidencial. Además, también se aplican mecanismos de control de integridad, para garantizar que la información que estamos visualizando es la correcta. Por último, dado que estamos autenticados, si realizamos un movimiento bancario utilizando nuestra cuenta, el banco garantiza el no repudio de la orden

Seguridad informática

Además de la seguridad de la información existen otros conceptos similares que se suelen utilizar indistintamente, pero que cuentan con ciertos matices. Uno de ellos es el de seguridad informática, que hace referencia a los aspectos tecnológicos de la seguridad que inciden directamente en los medios informáticos donde la información es procesada, almacenada, distribuida, etc. Un ejemplo específico de este punto es utilizar cifrado para proteger los datos mientras están almacenados o en tránsito.

Por el contrario, la seguridad de la información es un término más amplio, que engloba a la seguridad informática, y que incluye aspectos sistémicos de la seguridad, como las políticas o procedimientos. Algún ejemplo de medida que se incluye dentro de la seguridad de la información, pero no en seguridad informática, son la aplicación de políticas de gestión de riesgos o la adecuación de la seguridad a la regulación vigente.

Para garantizar un buen nivel de la seguridad de la información existen una serie de principios fundamentales que debemos seguir. Estos principios nos dan unas ideas básicas que pueden ser aplicables en múltiples escenarios. De aplicarse correctamente, podemos asegurar que dispondremos de un nivel de seguridad aceptable en nuestros sistemas.

Política de mínimos privilegios

Seguir una política de mínimos privilegios es una buena forma de enfocar la división de los permisos a la hora de poder acceder y procesar la información. En este sentido, los privilegios hacen referencia a los determinados permisos que tiene un usuario para realizar una acción específica sobre una información concreta. Por lo tanto, el principio de mínimo privilegio nos plantea que debemos configurar los permisos de la información de tal forma que se le permita realizar las acciones únicamente necesarias a cada usuario para garantizar sus actividades diarias. Lo que se pretende evitar es que un usuario, o grupo de usuarios, dispongan de más privilegios de los necesarios, lo que podría comprometer la seguridad del sistema.

Veamos un ejemplo de este principio. Imaginemos que varios usuarios de una misma organización utilizan el mismo ordenador para almacenar cierta información personal, como por ejemplo sus. nóminas. En este escenario, ningún usuario debería poder consultar la nómina de otro usuario que no sea él mismo. Una posible configuración de este escenario podría ser crear una carpeta para usuario y configurar los permisos de tal forma que cada usuario tenga acceso únicamente a su carpeta personal. En este caso estamos aplicando el principio de mínimo privilegio, ya que estamos concediendo los permisos únicos necesarios a cada usuario para realizar sus tareas sin problema. Por el contrario, si no configurásemos los permisos correctamente, tendríamos un escenario en el que todos los usuarios dispondrían de permisos sobre todas las carpetas. En este sentido, cualquier usuario malintencionado o que haya sufrido un ataque, y cuya cuenta haya sido comprometida, supondría un potencial problema de seguridad sobre la información del sistema.

Política de control de acceso cerrado por defecto

Estrechamente relacionado con el principio anterior se encuentra el principio de control de acceso cerrado por defecto. La idea detrás de este principio es configurar los permisos de los usuarios sobre la información de forma restrictiva por defecto, de tal forma que nadie pueda tener acceso a menos que se indique específicamente. Establecer una política de control de acceso cerrado por defecto pretende evitar el acceso indebido a cierta información de forma involuntaria y desapercibida.

Esta política se puede entender fácilmente si hablamos de los firewalls. Los firewalls son dispositivos que controlan las conexiones de la red. Por lo general, es una buena política configurar un firewall de modo que no permita ninguna conexión de red por defecto y añadir específicamente aquellas que necesitemos. Esto sucede, por ejemplo, con el firewall que viene configurado por defecto en el sistema operativo Windows. Este firewall no permite que alguien externo establezca una conexión de ningún tipo con nuestro ordenador, a menos que haya sido previamente iniciada por el propio equipo.

Segregación de funciones

En una organización es importante que las funciones estén repartidas entre los miembros de ésta. Dentro de una empresa existen, normalmente, diferentes departamentos que se encargan de diversas tareas, como el departamento de recursos humanos, el de marketing, o el de Tecnologías de la Información (TI). A la hora de utilizar los sistemas informáticos y gestionar la información de la organización se debería definir e implementar una serie de separaciones de las funciones y las  esponsabilidades de cada personal. Esto evita los conflictos de interés y la acumulación de privilegios en una única persona, lo que puede acarrear ciertos problemas de seguridad.

Un ejemplo claro podemos verlo en las funciones y tareas que deberían realizar el personal de cada uno de los departamentos de una empresa. No tendría sentido que el personal del departamento de finanzas pudiese realizar configuraciones en los dispositivos de red de una empresa, o que un empleado del departamento de marketing tuviese acceso a las nóminas de todos los empleados de la empresa. Al realizar una segregación de funciones entre los distintos empleados, aseguramos que los privilegios de los usuarios estén controlados y acotados a sus funciones diarias.

Defensa en profundidad

Este principio hace referencia a las medidas de seguridad de la información existentes, y su lugar de aplicación. Hoy en día, debido a la gran cantidad y diversidad de amenazas a las que estamos expuestos, no basta con aplicar una única medida de seguridad en un punto concreto de la organización. Es importante implementar diferentes niveles de seguridad en nuestros sistemas y en la información que estos gestionan.

Existen diferentes medidas o controles que pueden ser aplicados en cada nivel de seguridad. A continuación, se muestra un ejemplo para cada uno de estos niveles:

• Políticas, procedimientos y concienciación: disponer de una política de gestión de contraseñas en los equipos de la empresa, de tal forma que el usuario tenga que renovarla cada cierto tiempo y que cumpla con un mínimo de caracteres.

• Seguridad física: contar con un armario de comunicaciones, donde se encuentren los dispositivos de red, que esté cerrado con llave.

• Perímetro: instalar y configurar un firewall para controlar las conexiones entrantes y salientes de la empresa.

• Red interna: realizar una separación lógica de las redes internas de la organización utilizando redes VLAN (Virtual Local Area Network).

• Host: protección frente a software malicioso instalando sistemas antivirus.

• Aplicación: implementar un sistema de identidades a nivel corporativo.

• Datos: cifrar la información almacenada en los equipos.

Niveles de seguridad (la imagen fue creada por el editor)

La aplicación de una o varias medidas en uno de los niveles no nos garantiza que estemos completamente seguros. Se podría dar el caso en el que dispusiéramos de un alto nivel de seguridad física en la organización, contando con un guardia de seguridad, controlando los accesos al edificio, protegiendo los dispositivos de red en un armario de comunicaciones cerrado con llave... pero que no aplicásemos ningún otro control en el resto de los niveles de seguridad. Podríamos sufrir  en cualquier momento un ataque a través de una conexión de red desde el exterior y podrían visualizar todos los datos almacenados en nuestros equipos ya que no contamos con medidas en el resto de los niveles. En cualquier sistema informático, el nivel de seguridad del conjunto se define por el nivel de seguridad del punto más débil. Es importante por tanto tener en mente todas las capas y establecer controles en cada una de ellas, aplicando el principio de defensa en profundidad.

Formación en seguridad informática

Como se ha mencionado en el punto anterior, el nivel de seguridad de un sistema se define por el nivel de seguridad de su punto más débil. En este sentido, el punto más débil de cualquier sistema de información son las personas que los utilizan, los usuarios. No es suficiente con aplicar todas las medidas existentes en todos los niveles de seguridad si los usuarios no conocen las amenazas que pueden afectarles o no saben cómo actuar cuando están ante una.

Es fundamental que tanto los usuarios domésticos como los empleados de las empresas dispongan de ciertos conocimientos sobre ciberseguridad. Se sabe que la gran mayoría de los ataques que resultan exitosos no se debe a la falta de medidas o controles de seguridad, sino al desconocimiento por parte de los usuarios. Uno de los ejemplos más comunes en este sentido, y que más tasa de éxito tiene, es el phishing. Estos ataques se basan en el engaño al usuario, enviándole un mensaje haciéndose pasar por una tercera persona o entidad para que realice una acción específica. El usuario confía en el mensaje y sigue los pasos, lo que acaba en muchos casos en robos de datos, acceso a cuentas, etc.

A nivel personal, es interesante conocer las diferentes fuentes de información que existen en materia de seguridad para poder consultarlas y adquirir conocimiento en esta materia. Estos recursos disponen de información relevante, tanto para usuarios como para empresas, sobre las distintas amenazas que existen hoy en día y cómo podemos protegernos de ellas.

Además, a nivel corporativo, es interesante implementar programas de formación para todo el personal.

Auditorías de seguridad informática

Además de conocer las diferentes amenazas que nos pueden afectar, tanto en el ámbito personal como en el trabajo, y aplicar medidas para protegernos, también es importante conocer el nivel de seguridad del que disponen nuestros sistemas. Para ello se realizan auditorías de seguridad, que permiten conocer el estado de seguridad de un conjunto de sistemas de información.

Las auditorías de seguridad permiten comprobar que, efectivamente, las medidas de seguridad se están aplicando correctamente y cumplen su función. Estas auditorías sirven además para descubrir la existencia de vulnerabilidades que no habían sido identificadas previamente y que pueden suponer una potencial vía de entrada a ataques. Las auditorías son un punto clave para conocer el estado de seguridad de un sistema u organización.

Existen diferentes tipos de auditorías, pero en general podemos clasificarlas en auditorías internas o externas. Las auditorías internas son realizadas por personal de la organización sobre sus propios sistemas. Por otra parte, las auditorías externas son contratadas a una empresa externa. Es importante establecer las condiciones y el alcance de estas auditorías antes de su realización para evitar malentendidos o problemas imprevistos. Existen también auditorías que son certificables y que sirven para garantizar un cierto nivel de seguridad de cara a posibles clientes o proveedores.

En la sociedad actual, tanto los ciudadanos en sus vidas privadas como las empresas y organizaciones públicas realizan sus tareas diarias utilizando sistemas de información. Hoy en día, la gran mayoría de negocios tiene una gran dependencia de los sistemas informáticos para llevar acabo sus operaciones. De hecho, existe un alto valor para el negocio en todos los datos que son  registrados, procesados y almacenados por las empresas.

Es fundamental, por tanto, adoptar los principios de la seguridad de la información que hemos visto para garantizar que no sufrimos ningún ataque que pueda interrumpir nuestras tareas diarias. En caso contrario, existen multitud de consecuencias negativas, tanto a nivel personal como para las empresas. Diariamente podemos ver multitud de noticias relacionadas con ataques y riesgos relacionados con la seguridad de la información. Algunos ejemplos de estas consecuencias en el  entorno corporativo son:

• Pérdida de la credibilidad y, por tanto, daños a la imagen y reputación de la organización.

• Robo de datos confidenciales de clientes, empleados, proveedores y socios comerciales.

• Incumplimiento de las leyes vigentes en la Unión Europea en materia de protección de datos personales.

• Pérdida económica, en el caso de que no sea posible recuperar la información extraída o eliminada de nuestros sistemas. Además, los atacantes pueden exigir el pago de una suma de dinero, utilizando un tipo de software malicioso denominado ransomware. Este tipo de programas suponen una de las principales amenazas existentes hoy en día.

• Paralización de los procesos de producción, pérdidas en ventas e impacto en la calidad del servicio.