> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Jueves, 26 de mayo de 2005 |
Noticias
Seguridad de la Información y Protección de DatosMadurez en la seguridad informática de las organizaciones ¿gasto o necesidad?
La seguridad de la información se ha convertido en un problema de la cultura de las organizaciones.
Este fue una de los puntos de partida del último foro se seguridad organizado por Ernst & Young organiza, en colaboración con EXPANSION.
El evento reúne a responsables de seguridad de las principales empresas y administraciones de España. En esta ocasión, y como ponentes invitados, han participado en el evento Tomàs Roy Català, director de Seguridad y Calidad de la Generalitat de Catalunya, y Javier Serrano Cossio, director de Seguridad de Banco Sabadell.
Tomàs Roy debatió de su experiencia en la elaboración del Pliego de Servicios TIC Centrales de Carácter Continuado que acaba de publicar la Generalitat de Catalunya, donde se ofrece una visión sobre cómo la seguridad participa y completa cada uno de los procesos contemplados en el pliego.
Por su parte, Javier Serrano ofreció una revisión general de los diferentes mecanismos de autenticación fuerte que actualmente pueden hallarse en el mercado, con sus principales ventajas y fortalezas en cada caso.
La seguridad como un valor
Las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de la organización y no debe basarse en el conocimiento de un conjunto de expertos gurús en técnicas de ataques y defensas de los activos informáticos de cada entidad.
Cada información tiene unos atributos de confidencialidad, integridad y disponibilidad que de forma dinámica les acompañan en su ciclo de vida. Preocuparse de la seguridad en momentos puntuales (desastres, robos, virus) es, según los ponentes, un lujo que pocas empresas se pueden permitir.
La seguridad se gestiona de forma continuada, desde el momento de la creación de la información hasta el momento de su destrucción.
Del mismo modo, el proceso de inversión por parte de las organizaciones en diferentes elementos tecnológicos de seguridad, sin que la propia organización conozca claramente aspectos como lo que está protegiendo, quien tiene acceso, la forma de tratarlo o la criticidad de disponibilidad que tiene la información, puede ser otro lujo económico para las empresas.
"El ciclo de madurez de la seguridad informática en las organizaciones alcanza su punto álgido cuando se planifican las acciones de forma proactiva y en base a una priorización adecuada a las necesidades puntuales de la propia entidad”, afirma Manuel Giralt, director de Ernst & Young.
Incluso desarrollar los procesos de seguridad sin apoyarse en los existentes en la empresa (gestión de proyectos, incidencias, gestión del cambio y de riesgos) y comités de gestión y decisión, puede significar una redundancia de costes importante, difícilmente asumible por parte de la propia organización. “Lo difícil no es definir los procesos de una empresa, sino relacionarlos entre ellos”, asegura Tomas Roy.
La metodología ITIL
Existen diferentes marcos de referencia sobre los procesos de gestión TIC, pero hay que destacar el ITIL (IT Infraestructura Library) BS15000, como el standard de facto. En esta librería de procesos se definen las funciones responsables de la provisión y soporte de los servicios TIC. Cualquier proceso (como es la seguridad), tiene que poder soportarse en este marco de gestión.
En relación a este tema, José Ramón Merino, responsable del área de seguridad informática de Metro de Madrid, observa que “la metodología ITIL no sustituye los procesos de seguridad y calidad, sino que se apoya en los mismos”.Políticas
Las políticas de seguridad, la organización, la clasificación de datos y activos, la seguridad física y lógica de las comunicaciones y operaciones, control de accesos, aplicaciones y cumplimiento legal son objetivos de la seguridad presentes en la ISO-UNE 17799.
Pero quedan desenfocadas sin tener en cuenta aspectos tan relevantes como una correcta gestión de identidades, gestión de riesgos y gestión de continuidad del negocio que focalice el esfuerzo invertido.
Según Tomàs Roy: “la seguridad es un traductor entre unos requisitos del negocio y una tecnología que los cumpla. Hablemos con el negocio de impactos de imagen, legal y económico, para poder transmitir estos conceptos a los técnicos en términos de controles de confidencialidad, integridad y disponibilidad”.
Desde esta óptica, la seguridad de las informaciones se convierte en un activo de la organización. La economía de recursos presente en la mayoría de las empresas encuentra en la gestión de la seguridad un buen aliado.
“Eficiencia y eficacia, proporcionalidad de los esfuerzos y implicación de la organización y los proveedores son claves para permitir a una empresa proteger sus inversiones, reducir los costes y optimizar los resultados”, apunta Javier Urtiaga, senior manager de Ernst & Young,
Para ampliar, por favor, pulse sobre la imagen
¿Cuál es el objetivo de la seguridad? Permitir la toma de decisiones de frente a un riesgo. En relación a este punto, Tomàs Roy concluye que “el responsable de seguridad tiene éxito cuando permite a los responsables del negocio decidir su estrategia y el riesgo que esta conlleva.”
Para ampliar, por favor, pulse sobre la imagen
La identificación online
Éste no es el único aspecto que interesa a los responsables de seguridad de las empresas. ¿Podremos dejar de usar contraseñas en algún momento?, es la pregunta que se plantea a menudo.
Las contraseñas son uno de los medios más comunes de identificaciones empleados hoy en día, prácticamente todos los sistemas de seguridad incluyen contraseñas, claves PIN y otro tipo de claves de acceso.
Las contraseñas son relativamente sencillas de implantar y gestionar, pero, ¿cumplen todos los requerimientos de seguridad? Y es que el uso de las contraseñas por parte de los clientes y usuarios deja bastante que desear: contraseñas que se usan en distintos sistemas, contraseñas escritas en el ordenador, claves muy sencillas…
Parece ilógico no asegurarse de tomar todas las medidas de seguridad para preservar la contraseña, pero la necesidad de acceder a múltiples servicios con claves diferentes, muchas veces de cierta complejidad, lleva a ceder seguridad por facilidad de uso, llegando incluso en algunos casos a escribirlas en papel.
Ante esta situación se han planteado diversas tecnologías de identificación y autorización, todas ellas basadas en diversos procedimientos para establecer la identidad:
• ¿Qué tengo? El sistema de seguridad es un objeto que la persona posee, la posesión del objeto es el requisito necesario.
• ¿Qué se? El sistema de seguridad es un secreto, un dato que solo tiene una persona. El conocimiento de este dato revela la identidad.
• ¿Quién soy? Cada persona tiene una serie de características físicas únicas, como la voz, las huellas digitales o la forma de las manos.
Xavier Serrano, de Banco Sabadell, cree que "debe revisarse el uso de contraseñas como único mecanismo de autenticación y analizar en qué casos éstas deben substituirse por mecanismos de autenticación fuerte basados en dos de estos tres factores”.Sistemas biométricos
Los sistemas biométricos se basan en los atributos, quién soy, para establecer la identidad. Un sistema biométrico empleado habitualmente son las huellas digitales. Sistemas más modernos incluyen la morfología del iris, la voz e incluso la forma de las manos y dedos.
Un sistema biométrico compara los datos recibidos con una base de datos y puede establecer la identidad. Los sistemas biométricos tienen varios inconvenientes; el primero es que sólo se pueden utilizar para establecer la identidad con un sensor biométrico, es decir, pueden utilizarse para identificar a una persona con su ordenador, a un cliente en un cajero automático, etcétera. Pero su uso como medio de autenticación en la red no ofrece suficientes garantías por si solo, ya que podrían ser reutilizados. Token Criptográficos
Los token criptográficos se plantean como una solución a los problemas más comunes de las contraseñas. Un token criptográfico es un pequeño dispositivo con una pantalla y a veces un teclado que el usuario debe llevar consigo. Este token genera, cada vez que es activado, una clave de acceso. El problema es la gestión y la necesidad de utilizar un token diferente para cada servicio. Esta situación ha llevado a varias empresas a crear estándares comunes de interoperatibilidad, como el OATH.
Certificados digitales
Los certificados digitales son el mecanismo tecnológico más avanzado de autenticación. Los certificados y las firmas digitales proporcionan mecanismos criptográficamente seguros de autenticación. La ley de firma electrónica que debe posibilitar el uso de las firmas en condiciones similares a cualquier otro documento manuscrito y potenciar el uso de los certificados. Sin embargo, la complejidad de la implantación, la falta de compatibilidad y la dificultad de gestión, limitan su uso.
Debido a estos problemas, los asistentes al foro concluyen que será difícil dejar de utilizar contraseñas a corto plazo. “Los factores críticos de éxito para la adopción de un nuevos mecanismo de autenticación deben ser la seguridad que aporta, el coste de su implementación y la facilidad de uso”, apunta Javier Serrano.
Por este motivo, resulta fundamental que progresivamente “estos sistemas puedan utilizarse en múltiples canales de comunicación: Internet, teléfono, cajeros automáticos, etcétera”, añade.
Glosario de términos
- Autenticación: Dentro de la criptografía, operaciones que garantizan que un mensaje proviene del emisor autorizado.
- Certificado Digital: Documento electrónico, emitido por una entidad confiable, que asocia el nombre de una persona con las claves necesarias para identificarla. La utilización de los certificados reconocidos legalmente con las firmas digitales proporciona la garantía necesaria para realizar operaciones y transacciones.
- Falso Positivo: Es la situación, en un sistema de identificación biométrica en la cual una persona es autorizada o identificada cuando en realidad se está realizando una suplantación.
- Falso Negativo: Situación en la que una identificación biométrica resulta negativa, pese a estar autorizada la persona.
- OATH (Open Authentication): Iniciativa de los principales líderes de la industria IT destinada a proporcionar una arquitectura libre de referencia para una autenticación universal, y dirigida a cualquier tipo de usuarios, dispositivo e infraestructura.
- ITIL (Information Technology Infrastructure Library): Marco de trabajo para la administración de Procesos de IT. Este estándar se caracteriza por no estar vinculado a ninguna solución propietaria, siendo independiente de la industria y de la tecnología. Esta metodología permite trabajar con estándares y garantizar niveles de servicios y calidad.
Fuente: Expansión
20.05.05Noticias relacionadas:
* El Gobierno refuerza la seguridad informática de sus edificios (10.03.05)
* Las principales amenazas de seguridad informática para 2005 (14.01.05)
* Mucho más que hacer una copia de seguridad (22.02.05)
* Prepararse para sobrevivir a un siniestro (18.02.05)
* El Centro de Alerta Temprana Antivirus detecta 1.160 códigos maliciosos en el 2004, un 16% menos que en 2003 (30.12.04)
* Virus informáticos del 2004: el más pícaro, el más parlanchín y el más educado (23.12.04)
* El virus navideño "Zafi" amenaza los sistemas informáticos de los usuarios (16.12.04)
* El troyano 'Skulls' ataca móviles Nokia 7610 que utilizan el sistema operativo Symbian (24.11.04)
* Los móviles de última generación no son seguros (16.11.04)
* Teléfonos Móviles: el nuevo blanco de los hackers (23.09.04)
* Telefónica Móviles contrata al pionero de los antivirus para blindar los móviles (30.06.04)
'Cabir', primer virus para teléfonos móviles que usa Bluetooth para propagarse (17.06.04)
* Nuevas amenazas para la seguridad en internet (19.05.04)
