Archivo del sitio

Cuando la Seguridad de la Información Falla . . .

La Gerencia de TI siempre se esfuerza por poner en producción sus soluciones. Una mirada a las implicaciones de seguridad de la información lleva a cambiar este objetivo a poner en producción de “forma segura” sus soluciones. Una pequeña investigación sobre casos de violación a la seguridad informática puede poner a reflexionar a la Gerencia de TI sobre la importancia de garantizar que no existen “vulnerabilidades descubiertas” en la infraestructura de TI, que permitan a otros tomar control sobre una parte o todas nuestras operaciones. Dejando los casos extremos en los cuales un hacker toma control sobre los servidores de una empresa, hay muchos puntos de falla que tienen que ser evaluados por la Gestión de TI para poder decir que se controla la seguridad de la información. Hay que analizar el nivel de control de la seguridad de la información a la luz de los criterios de confidencialidad, integridad y disponibilidad. Proporcionar confidencialidad implica que la información puede ser vista solo por el personal debidamente autorizado. Muchas veces se viola este concepto cuando a nivel de la aplicación se inician operaciones utilizando usuarios genéricos, que permiten ingresar y “probar” el funcionamiento de la aplicación. Este usuario a veces es el utilizado en planes de entrenamiento que ha sido prorrogado al ambiente de producción. Como resultado existen usuarios que pueden ver más allá de lo que deberían en una aplicación. El máximo error en este tipo de situaciones se da cuando se usan usuarios con privilegios de administración de la plataforma “para mientras” se termina de configurar la aplicación. En general, este es un principio que se viola más por negligencia en la correcta configuración de permisos, que por intrusiones externas, aunque esta es también una posibilidad que se debe de evitar. Proporcionar integridad significa que los datos no sufrirán cambios que los pongan en un estado incongruente. Esto se genera cuando una aplicación no calcula bien algo o cuando se pierden datos por causas físicas, como las sobrecargas de voltaje y el daño en el equipo. En esta área, la importancia de iniciar el programa de respaldos de datos tan pronto se inicia la operación en producción es crucial. En muchas implementaciones de sistemas los respaldos regulares inician después de la primera pérdida de datos. Es como si se necesitará una experiencia negativa para reforzar la conducta protectora sobre los datos. Implicaciones relativas a los respaldos de datos van más allá que la simple tarea de realizarlos. También se han dado casos en los que se quiere recuperar un respaldo y nos damos cuenta de que este no funciona. En este caso, se tenía una falsa seguridad sobre los datos. Por último, el criterio de disponibilidad se compromete cuando por cualquier causa, el acceso a los datos queda bloqueado a los usuarios. Esta situación se genera cuando los equipos pierden su habilidad de transmitir información debido a virus o ataques de negación de servicio o negligencia en las operaciones que llevan a parar servicios. En este sentido, podemos concluir que hasta el mantenimiento preventivo pasa a ser parte de la seguridad de la información, el correcto dimensionamiento de equipos y el monitoreo proactivo de situaciones que puedan originar una interrupción de los servicios de sistemas de información. La Gerencia de TI debe de balancear los requerimientos operativos con los de seguridad. Ciertamente los usuarios no impondrán mayores requerimientos de seguridad en su información, por lo que la Gerencia de TI debe de establecer un marco normativo que controle todos los aspectos de la seguridad de la información de una manera integral.

A %d blogueros les gusta esto: