Cuando la Seguridad de la Información Falla . . .

La Gerencia de TI siempre se esfuerza por poner en producción sus soluciones. Una mirada a las implicaciones de seguridad de la información lleva a cambiar este objetivo a poner en producción de “forma segura” sus soluciones. Una pequeña investigación sobre casos de violación a la seguridad informática puede poner a reflexionar a la Gerencia de TI sobre la importancia de garantizar que no existen “vulnerabilidades descubiertas” en la infraestructura de TI, que permitan a otros tomar control sobre una parte o todas nuestras operaciones. Dejando los casos extremos en los cuales un hacker toma control sobre los servidores de una empresa, hay muchos puntos de falla que tienen que ser evaluados por la Gestión de TI para poder decir que se controla la seguridad de la información. Hay que analizar el nivel de control de la seguridad de la información a la luz de los criterios de confidencialidad, integridad y disponibilidad. Proporcionar confidencialidad implica que la información puede ser vista solo por el personal debidamente autorizado. Muchas veces se viola este concepto cuando a nivel de la aplicación se inician operaciones utilizando usuarios genéricos, que permiten ingresar y “probar” el funcionamiento de la aplicación. Este usuario a veces es el utilizado en planes de entrenamiento que ha sido prorrogado al ambiente de producción. Como resultado existen usuarios que pueden ver más allá de lo que deberían en una aplicación. El máximo error en este tipo de situaciones se da cuando se usan usuarios con privilegios de administración de la plataforma “para mientras” se termina de configurar la aplicación. En general, este es un principio que se viola más por negligencia en la correcta configuración de permisos, que por intrusiones externas, aunque esta es también una posibilidad que se debe de evitar. Proporcionar integridad significa que los datos no sufrirán cambios que los pongan en un estado incongruente. Esto se genera cuando una aplicación no calcula bien algo o cuando se pierden datos por causas físicas, como las sobrecargas de voltaje y el daño en el equipo. En esta área, la importancia de iniciar el programa de respaldos de datos tan pronto se inicia la operación en producción es crucial. En muchas implementaciones de sistemas los respaldos regulares inician después de la primera pérdida de datos. Es como si se necesitará una experiencia negativa para reforzar la conducta protectora sobre los datos. Implicaciones relativas a los respaldos de datos van más allá que la simple tarea de realizarlos. También se han dado casos en los que se quiere recuperar un respaldo y nos damos cuenta de que este no funciona. En este caso, se tenía una falsa seguridad sobre los datos. Por último, el criterio de disponibilidad se compromete cuando por cualquier causa, el acceso a los datos queda bloqueado a los usuarios. Esta situación se genera cuando los equipos pierden su habilidad de transmitir información debido a virus o ataques de negación de servicio o negligencia en las operaciones que llevan a parar servicios. En este sentido, podemos concluir que hasta el mantenimiento preventivo pasa a ser parte de la seguridad de la información, el correcto dimensionamiento de equipos y el monitoreo proactivo de situaciones que puedan originar una interrupción de los servicios de sistemas de información. La Gerencia de TI debe de balancear los requerimientos operativos con los de seguridad. Ciertamente los usuarios no impondrán mayores requerimientos de seguridad en su información, por lo que la Gerencia de TI debe de establecer un marco normativo que controle todos los aspectos de la seguridad de la información de una manera integral.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 9 de octubre de 2012 en Seguridad de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

A %d blogueros les gusta esto: