Pilares fundamentales de la seguridad de la información

De

El activo principal de una empresa está compuesto por los diferentes recursos y los datos que manejan a diario ya sean de sus clientes, de proveedores, de socios o información que estas mismas empresas generan de forma interna para llevar a cabo las funciones acordes a su trabajo. Toda esta información debe de estar protegida estableciendo y usando posteriormente un conjunto de medidas preventivas que eviten el riesgo de brechas de seguridad y las posibles vulnerabilidades que lleven a que dicho activo (datos e información sensible) acaben en manos de cibercriminales, publicada en Internet, vendida a otras empresas o en manos equivocadas pidiendo una gran suma monetaria para poder recuperar dicha información.

Si bien la seguridad informática corporativa no asegura al 100% que no vaya a ocurrir un accidente por causas naturales o un robo de información, es recomendable y de vital importancia crear políticas de seguridad para garantizar la confidencialidad, la disponibilidad y la integridad de los datos para mantenerlos a salvo, ya que en cierta medida pueden determinar el éxito o el fracaso de un negocio. Todas estas medidas de seguridad deben de realizarse prácticamente a diario y no solamente cuando se vea comprometida la seguridad de la empresa u organización.

Además, es importante capacitar a los empleados a través de la formación y promover la concienciación sobre las amenazas más conocidas, como el phishing o el riesgo de usar dispositivos inseguros en el ámbito laboral y también en el personal.

En esta entrada voy a dar respuesta a la pregunta: ¿Sabes por qué la protección de la información es esencial para garantizar la estabilidad de una empresa?. Aquí es donde entran en juego los tres principios clave de la seguridad de la información: la confidencialidad, la disponibilidad y la integridad.

Pilares principales de la seguridad

Los tres pilares fundamentales de la seguridad de la información se corresponden con los siguientes tres términos:

Confidencialidad: La confidencialidad de la información se podría definir como la propiedad que garantiza que la información sensible esté accesible únicamente para el personal que tenga una autorización previa. Los datos solamente deben de estar disponibles a las personas, empleados o entidades que tengan un acceso autorizado y comprobado. Si la confidencialidad se ve comprometida, la empresa puede enfrentar pérdidas financieras, un robo de identidad o daños a su reputación.

Las medidas que se pueden implementar para proteger la confidencialidad:

1) Métodos de autenticación robustos: Los métodos de autenticación robustos sirven para verificar la identidad de los usuarios a través de la validación de una autenticación multifactor (MFA), tokens de seguridad, sistemas biométricos o contraseñas complejas.

2) Cifrado de datos: El cifrado de los datos es una característica clave. Cuando los datos están cifrados, se asegura que aunque una persona ajena acceda o robe los datos, no pueda interpretarlos.

El cifrado de los datos se puede implementar tanto en tránsito (cuando se envían a través de la red) como en reposo (cuando se almacenan en un dispositivo). 

Para cifrar y proteger los datos mientras se encuentran en tránsito, es decir, cuando se transfieren de un punto a otro, como en la conexión entre un navegador web y un equipo servidor o entre dos sistemas en una red, se pueden usar las siguientes tecnologías:

- TLS/SSL (Transport Layer Security / Secure Sockets Layer):

El objetivo de implementar este tipo de protocolos es otorgar seguridad encriptando la comunicación de punto a punto. Actualmente a este término aún muchos usuarios y especialistas lo siguen denominando SSL, fue sustituido por el protocolo TLS (Transport Layer Security, o en su traducción al castellano Seguridad en la Capa de Transporte) en el año 1999. El motivo de este cambio fue mejorar la seguridad de dicho protocolo y actualizarlo, ya que se sigue usando a día de hoy.

Cuando un navegador web solicita y realiza la petición a un servidor seguro mediante SSL/TLS, dicha petición se verá reflejada en la URL (Uniform Resource Locator, o en su traducción al castellano Localizador de Recursos Uniforme) a través de HTTPS el cual, es un protocolo que indica que la propia web es segura. Si no hubiera un certificado SSL/TLS en el dominio solo aparecerán las letras HTTP.

El certificado TLS está soportado por todos los navegadores web. Este tipo de certificados son de vital importancia ya que protegen información sensible en diferentes servicios online o en numerosas acciones por parte del usuario como las siguientes:

  • Compras por Internet, cuyo pago posterior es a través de una tarjeta de crédito.
  • Información de cuentas bancarias.
  • Credenciales de inicio de sesión del usuario en una plataforma online.
  • Una conexión entre un cliente de correo y un servidor de correo.
  • Inicio de sesión mediante un acceso web a un correo electrónico.

Para implementarlo en un dominio o sitio web, es necesario instalar un certificado SSL en dicho servidor web. Existen herramientas como Let's Encrypt que permiten obtener un certificado SSL/TLS gratis.

- VPN (Virtual Private Network):

Las VPN (red privada virtual) crean un “tunel” de cifrado para transmitir datos entre un dispositivo y una red proporcionando seguridad y privacidad. Suelen ser usadas (siempre debería de usarse) cuando los empleados trabajan desde ubicaciones externas a la empresa.

Las VPN hacen uso de herramientas como OpenVPN o IPSec, un conjunto de protocolos utilizados para crear conexiones asegurando el cifrado de los datos en transito. OpenVPN, al ser software de código abierto, puede ser revisado por la comunidad, aumentando la transparencia y la detección temprana de vulnerabilidades.

- SSH (Secure Shell):

La función principal de este protocolo consiste en acceder de forma segura a sistemas remotos permitiendo la transferencia cifradas de archivos. Para conectarse, hace falta que el usuario haga uso de un cliente de SSH o accediendo desde la terminal. En en lado del servidor, se puede utilizar OpenSSH.

- PGP/GPG para cifrar el correo electrónico:

Pretty Good Privacy (PGP) y GNU Privacy Guard (GPG) son dos herramientas que se usan para asegurar el cifrado del contenido en los correos electrónicos. Esto garantiza que solo el destinatario pueda leer el mensaje descifrándolo a través de su clave privada.

Para utilizar PGP y GPG, se requiere de dos claves: una clave publica y una clave privada. El remitente cifra su email usando la clave pública del destinatario, y este descifra el contenido con su clave privada correspondiente.

3) Control de acceso: También es muy importante gestionar de manera correcta los permisos que tengan asignados cada empleado de la empresa para que solo pueda acceder a los recursos que le pertenecen (por ejemplo, que solo pueda acceder a los recursos disponibles de su departamento) y a los que no, denegarle el acceso.

En los controles de acceso se podrían utilizar firewalls, sistemas de detección de intrusos (IDS/IPS), la monitorización y el registro de las actividades a través de una lista de control de acceso (ACL).

Los diferentes tipos de controles de acceso se pueden clasificar de la siguiente manera:

- DAC (Control de acceso discrecional):

En este tipo de control de acceso, el propietario del recurso es quien tiene el control sobre que usuarios pueden acceder al recurso en cuestión. El propietario debe de gestionar adecuadamente los permisos.

- RBAC (Control de acceso basado en roles):

En este tipo de control de acceso, los usuarios son asignados a unos roles determinados. Los permisos están asociados a esos roles en lugar de directamente a cada usuario.

- ABAC (Control de acceso basado en atributos):

En este tipo de control de acceso, los accesos se basan en una combinación de atributos del usuario (como la ubicación o el rol que tenga), de recursos (como el tipo de archivo o su clasificación) y del entorno (como el horario, el dispositivo, etc). Con este control de acceso, se consigue por ejemplo, que un empleado solo pueda acceder a ciertos documentos durante las horas laborales, desde la red interna de la empresa en la que trabaja y desde un dispositivo de la organización.

- MAC (Control de acceso obligatorio):

Este tipo de control de acceso se suele usar en entornos de alta seguridad, como en instituciones gubernamentales.

Es necesario implementar controles de acceso físicos como el uso de tarjetas de acceso, cámaras de seguridad o cerraduras biométricas para proteger la infraestructura de una organización.

Para cifrar y proteger los datos mientras se encuentran en reposo, es decir, cuando se almacenan en dispositivos como discos duros, memorias USB o en bases de datos, se pueden usar las siguientes tecnologías:

1) Cifrado de disco: El cifrado del contenido de los discos duros protege los datos y la información que contienen, ya que la hace ilegible en caso de que accedan sin permiso. Para ello, se puede usar herramientas como BitLocker en Microsoft Windows o LUKS en Gnu/Linux.

También es posible cifrar un determinado archivo o carpetas específicas. En Gnu/Linux se pueden usar herramientas como ccrypt o VeraCrypt. Para acceder a la información de un disco duro o memoria USB cifrado, será necesario conocer la clave de desbloqueo del dispositivo.

2) Cifrado de base de datos: Como en el párrafo anterior con el cifrado de disco, cifrar los datos en una base de datos, consiste en el proceso de ofuscar la información mediante una clave o contraseña. Este proceso, consigue que solo se pueda acceder a la información si se sabe la clave para acceder a ella. Hay que tener en cuenta que el cifrado en ocasiones podría no ser necesario (por ejemplo, si el acceso a la información se realiza dentro de una intranet segura).

Además, el uso del cifrado en bases de datos debería incluir una estrategia de mantenimiento para las claves, contraseñas y los certificados que van a usarse.

En las bases de datos SQL, se usan claves de cifrado para proteger las credenciales y la información de conexión que se almacenan en el servidor. Estas claves son de dos tipos: asimétricas y simétricas.

En el cifrado simétrico se utiliza una sola clave para cifrar y descifrar los datos, por lo que la seguridad depende de mantener protegida esta clave. Uno de los algoritmos de encriptación más conocidos y utilizados en este caso podría ser AES.

En el cifrado asimétrico se utiliza dos claves, una contraseña para cifrar los datos (sería una clave pública) y otra contraseña para descifrar dichos datos (sería una clave privada). Uno de los algoritmos de encriptación más conocidos y utilizados en este caso podría ser RSA.

Cifrado simétrico y asimétrico

Integridad: La integridad de la información se podría definir como la propiedad que garantiza que los datos y la información estén libres de modificaciones y de posibles errores. Con esto se pretende conseguir que dicha información sea confiable y precisa en el momento de crearse, usarse o transferirse en caso de que fuese necesario.

Estos activos no deben de ser modificados por personal no autorizado o por entidades ajenas. Si los datos o información fuesen alterados (ya sea de forma intencionada o por error), podrían suponer un problema a nivel interno de la empresa u organización, ya que podrían generar pérdidas (por ejemplo, si se modifica un informe de ventas).

Las medidas que se pueden implementar para proteger la integridad:

1) Monitoreo: Implementar sistemas de monitoreo para capturar cada acceso, cambio o borrado de la información. Esto permite identificar posibles alteraciones o accesos no autorizados.

2) Usar sumas de verificación: Implementar las firmas digitales y funciones hash para verificar la integridad de los datos almacenados o descargados, y descartar posibles alteraciones o que los archivos hayan sido corrompidos.

Por ejemplo, antes de almacenar un archivo, se calcula su hash y posteriormente, se verifica para asegurarse de que no haya cambios no autorizados. Se podría utilizar también cuando se realiza la descarga de una imagen iso y comprobar que la descarga no esta corrupta. Para ello, se podría usar programas como GTKHash o comprobar la integridad a través de la terminal.

3) Hacer uso de herramientas de control de versiones: En proyectos de desarrollo de software, puede usarse herramientas de control de versiones, las cuales permiten el seguimiento de todas las modificaciones que se realicen en los archivos, incluyendo quién hizo los cambios y cuando.

Disponibilidad: La disponibilidad de la información se podría definir como la propiedad que garantiza que la información esté siempre accesible a las personas autorizadas a través de los medios y canales adecuados para que podamos acceder a ella siguiendo los procesos que hayan sido establecidos. 

Las medidas que se pueden implementar para proteger la disponibilidad de los sistemas y la información:

1) Respaldo: Disponer de servidores de respaldo y balanceo de carga para evitar interrupciones en caso de que un sistema falle.

2) Planes de continuidad de negocio (BCP) y recuperación ante desastres (DRP): Diseñar planes de recuperación ante desastres para garantizar que la empresa pueda recuperar sus operaciones lo antes posible. Este plan deberá de incluir procedimientos para restaurar la infraestructura crítica.

3) Alertas: Usar herramientas de monitorización para vigilar el estado de los sistemas y notifiquen a los administradores ante cualquier fallo, interrupción o intento de ataque.

4) Actualización y parcheo de sistemas: Mantener los sistemas operativos y aplicaciones actualizados. También recomendaría usar software libre siempre que sea posible.

5) Protección contra ataques DDoS: Implementar sistemas para mitigar ataques de denegación de servicio distribuido (DDoS), que pueden deshabilitar la disponibilidad de los servicios.

En resumen, es importante mantener los equipos de forma adecuada, crear copias de seguridad para tener respaldos de la información en caso de pérdida y planes específicos para recuperar los servicios ante un desastre natural (como un terremoto) o provocados por el ser humano (un incendio provocado), además de alertas ante posibles interrupciones de los servicios.


Y hasta aquí el final de esta entrada. Espero que te haya sido útil.

Comentarios

Publicar un comentario

Entradas populares de este blog

Principales razones por las que usar Gnu/Linux

De
Imagen
Si bien el origen y desarrollo del sistema operativo Gnu/Linux no es algo nuevo, ya que convive entre nosotros desde hace más de 30 años (en el caso del kernel o núcleo creado por Linus Torvalds en el año 1991 y en el caso de los componentes de GNU desde el año 1983 creado por Richard Stallman ), aún a día de hoy muchas personas desconocen la existencia de este sistema operativo. Y es que en la actualidad, no hace falta tener unos conocimientos extremadamente altos en computación para usar un sistema Gnu/Linux sin complicaciones al existir distribuciones muy fáciles de instalar y de utilizar independientemente del perfil y habilidad del usuario. En esta entrada me centraré en explicar los motivos principales por los que se debería de usar Gnu/Linux como sistema operativo principal, y en aquellos casos en los que no sea posible, utilizarlo como sistema secundario. Aclarar antes que nada dos cosas: la primera aclaración que quiero transmitir es que no pretendo hacer comparaciones o...
SEGUIR LEYENDO »

¿El fin de la privacidad?

De
Imagen
Desde mayo del año 2022, se está debatiendo una medida legislativa propuesta por la Unión Europea la cual, cambiaría por completo el concepto de confidencialidad tal como lo conocemos en todas nuestras conversaciones privadas en línea. Además, estaríamos ante un estado de vigilancia masiva y permanente a través de las aplicaciones de mensajería instantánea como WhatsApp y los proveedores de servicios de correo electrónico como Gmail. Si te interesa leer más sobre esta medida llamada Chat Control , te invito a que sigas leyendo hasta el final de la publicación. ¿Qué es el Chat Control? Actualmente existe una regulación denominada “Chat Control 1.0” , en la que se les permite a los proveedores de servicios, escanear las comunicaciones de sus usuarios de forma voluntaria. Sólo algunas de estas plataformas de mensajería aplican esta medida. Los servicios que se conocen que aplican esta regulación son Gmail, Facebook, Skype y Snapchat . En mayo del año 2022 se propuso la medida 2.0 de...
SEGUIR LEYENDO »

Privacidad y aprendizaje automático: el uso de datos personales en el entrenamiento de la IA

De
Imagen
Las redes sociales se presentan a los usuarios como una especie de refugio personal , un espacio donde compartir recuerdos, pensamientos o momentos cotidianos de nuestro día a día. Pero lo que muchos aún desconocen (o prefieren ignorar en la mayoría de las ocasiones) es que esa aparente intimidad es, en realidad, una vitrina pública hacia el mundo exterior. Detrás de cada publicación, reacción o comentario, hay un flujo constante de datos personales que podrían estar alimentando a los sistemas de inteligencia artificial actuales. Debemos plantearnos ciertas preguntas como las siguientes: ¿Qué se hace con esa información? ¿Realmente sabemos qué aceptamos cuando pulsamos “acepto” en los términos y condiciones? ¿Somos conscientes de que nuestros datos pueden ser utilizados para otros fines que van mucho más allá de la experiencia del usuario?. Aclarar de antemano, que no estoy en contra del uso de la inteligencia artificial por parte de los usuarios. Al contrario, reconozco el potenc...
SEGUIR LEYENDO »