{"id":1395,"date":"2022-07-18T18:20:58","date_gmt":"2022-07-18T18:20:58","guid":{"rendered":"https:\/\/walternavarrete.com\/?p=1395"},"modified":"2022-07-18T18:20:58","modified_gmt":"2022-07-18T18:20:58","slug":"seguridad-de-la-informacion-la-necesidad-vs-la-realidad","status":"publish","type":"post","link":"https:\/\/walternavarrete.com\/academy\/seguridad-de-la-informacion-la-necesidad-vs-la-realidad\/","title":{"rendered":"Seguridad de la Informaci\u00f3n"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Informaci\u00f3n, el recurso m\u00e1s importante<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La informaci\u00f3n puede existir de muchas formas, esta puede estar impresa, escrita en papel, almacenada electr\u00f3nicamente, transmitida electr\u00f3nicamente, mostrada en un filme o hablada en una conversaci\u00f3n. Cualquier que sea la forma que tome la informaci\u00f3n o la manera en que sea compartida o almacenada siempre debe de ser protegida apropiadamente.<\/p>

La seguridad de la informaci\u00f3n es la protecci\u00f3n de la informaci\u00f3n en todas las variedades de los posibles ataques en orden para asegurar la continuidad del negocio, minimizar los riesgos del negocio y maximizar el retorno de la inversi\u00f3n y oportunidad de los negocios.<\/p>

\u00bfPor qu\u00e9 la importancia en la seguridad de la informaci\u00f3n?<\/p>

Identificar un proceso o esquema de trabajo que permita garantizar un nivel de seguridad para la informaci\u00f3n, identificando los riesgos y los niveles de protecci\u00f3n que se deber\u00e1n de implementar para dicho objetivo.<\/p>

Primero debemos de romper un MITO que es\u00a0Informaci\u00f3n = Sistemas del \u00e1rea de tecnlog\u00eda<\/u><\/strong>\u00a0por el contrario la informaci\u00f3n es un ACTIVO m\u00e1s de la empresa.<\/p>

Entonces, \u00bfQu\u00e9 es la informaci\u00f3n?<\/p>

  • La informaci\u00f3n es<\/strong>: Electr\u00f3nica \/ no electr\u00f3nica<\/li>
  • La informaci\u00f3n puede<\/strong>: estar comprometida \/ asegurada<\/li>
  • La informaci\u00f3n tiene<\/strong>: una fuente \/ un uso \/ un Valor \/ un Riesgo<\/li>
  • Las amenazas de la informaci\u00f3n son<\/strong>: Personas \/ Procesos \/ Tecnolog\u00eda<\/li><\/ul>

    Ahora bien, \u00bfpor qu\u00e9 es necesario proteger dentro de una organizaci\u00f3n los servidores y las aplicaciones? Sencillo, porque es donde se encuentra la informaci\u00f3n para la toma de decisiones de la empresa e informaci\u00f3n confidencial. Es muy importante crear un diagrama de relaci\u00f3n o de dependencia que puedan tener los sistemas cr\u00edticos, ya que esto permite identificar la \u201cruta de transformaci\u00f3n\u201d de la informaci\u00f3n y para cada una de estas etapas, es crucial identificar los usuarios o administradores que tienen acceso para poder establecer las medidas de control necesarias para poder proteger la informaci\u00f3n en cada proceso.<\/p>

    Activos de Informaci\u00f3n<\/strong><\/p>

    Es importante identificar d\u00f3nde se encuentra la informaci\u00f3n y c\u00f3mo se transforma.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    La\u00a0informaci\u00f3n es un activo<\/u><\/strong>\u00a0que, como cualquier otro activo importante en la empresa, tiene un valor para la organizaci\u00f3n y consecuentemente la necesidad de ser protegido, a partir de esto, que exista la necesidad de proteger la informaci\u00f3n de:<\/p>

    • Acceso no autorizado<\/li>
    • Modificaci\u00f3n<\/li>
    • Destrucci\u00f3n<\/li>
    • Revelaci\u00f3n<\/li>
    • P\u00e9rdida<\/li><\/ul>

      Lo anterior permite establecer la\u00a0confidencialidad, integridad y disponibilidad<\/u><\/strong>\u00a0de la informaci\u00f3n y de los activos de que intervienen en su generaci\u00f3n.<\/p>

      En la pr\u00e1ctica, lo que las empresas buscan para efecto de aplicar un esquema formal en relaci\u00f3n con la seguridad de la informaci\u00f3n, no \u00fanicamente se limita a brindar un folleto sobre aspectos de seguridad industrial o interna al momento de contratar nuevo personal, sino la de establecer un Sistema de Manejo de Seguridad de la Informaci\u00f3n (por sus siglas en ingles ISMS \u2013 Information Security Management System) de lo cual:<\/p>

      • Es un esquema de trabajo para manejar y continuamente mejorar las pol\u00edticas organizacionales, procedimientos y procesos en funci\u00f3n a la seguridad de la informaci\u00f3n.<\/li>
      • Un ISMS es parte integral de los sistemas de administraci\u00f3n dentro de la organizaci\u00f3n, basado en un esquema de an\u00e1lisis de riesgos a establecer, implementar, operar, monitorear, revisar, mantener y mejorar.<\/li><\/ul>
        • Se convierte en un proceso recurrente como parte natural de la operaci\u00f3n de la organizaci\u00f3n que debe de ser repetible en base a los controles que se establezcan.<\/li><\/ul>

          La siguiente imagen ilustra los niveles que deben de implementarse para el cumplimiento de un sistema ISMS:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

          \n\t\t\t\t
          \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
          \n\t\t\t\t
          \n\t\t\t\t\t\t\t\t\t

          La pir\u00e1mide establece los cuatro niveles que se deben de implementar para la realizaci\u00f3n de un sistema formal para el manejo de la seguridad de la informaci\u00f3n, todo esto basado en el cumplimiento de la norma ISO 27001, de lo cual ampliamos a continuaci\u00f3n cada parte de la pir\u00e1mide:<\/p>

          • Dise\u00f1o del ISMS<\/strong>: se define el alcance o el listado de las plataformas que estar\u00e1n cubiertas bajo el sistema de seguridad, tambi\u00e9n en esta etapa se realiza un an\u00e1lisis de riesgo al que pueden estar expuestas las plataformas cr\u00edticas y finalmente el establecimiento del enunciado de la pol\u00edtica de seguridad que la empresa estar\u00e1 adoptando.<\/li>
          • Pol\u00edticas y procedimientos:<\/strong>\u00a0incluye la elaboraci\u00f3n de una pol\u00edtica de seguridad, un documento que detalla los controles de seguridad que deber\u00e1n de ejecutarse sobre las plataformas cr\u00edticas, frecuencia de ejecuci\u00f3n de dichos controles y los par\u00e1metros para establecer si dichos controles se encuentran en cumplimiento o no.<\/li><\/ul>
            • Instrucciones, Checklist, Formularios, etc.:<\/strong>\u00a0listado de procesos que deber\u00e1n de ejecutarse, listas de verificaci\u00f3n a realizarse sobre las plataformas cr\u00edticas y formularios que deber\u00e1n de utilizarse para garantizar el registro de acciones y\/o cambios que se puedan realizar sobre los sistemas cubiertos bajo la pol\u00edtica de seguridad.<\/li>
            • Registros:\u00a0<\/strong>el manejo de evidencias, registros y eventos deber\u00e1n de conservarse por un tiempo establecido para poder realizar los procesos de auditor\u00edas que sean necesarios para validar el cumplimiento de los controles de seguridad.<\/li><\/ul>

              La aplicaci\u00f3n de la norma ISO 27001, es un paso bastante grande que las empresas pueden realizar, ya sea para el cumplimiento de normas internacionales o para poder realizar proceso de exportaci\u00f3n o comercializaci\u00f3n con empresas de otros pa\u00edses en donde la ejecuci\u00f3n de controles de seguridad bajo este est\u00e1ndar es necesario.<\/p>

              \u00bfEsto aplicar\u00eda para cualquier empresa?<\/strong><\/p>

              \u00a1Claro que s\u00ed!, la implementaci\u00f3n de un esquema de seguridad aplica para cualquier empresa.<\/p>

              Me imagino que igualmente est\u00e1s pensando que el aplicar un sistema de seguridad de la informaci\u00f3n es exclusivo para grandes empresas, ya que en la mayor\u00eda de casos es necesario destinar recursos tanto econ\u00f3micos como de personal para que un sistema se pueda implementar y se brinde el seguimiento necesario para su cumplimiento.<\/p>

              Si consideras que tu empresa es muy peque\u00f1a para invertir en la implementaci\u00f3n de un sistema formal de seguridad, puedes perfectamente implementar parcialmente algunos elementos del sistema que igual puedan brindarte muchos beneficios para poder establecer un buen control sobre la seguridad de los sistemas como, por ejemplo:<\/p>

              • Validar y aplicar las\u00a0actualizaciones de seguridad<\/u><\/strong>\u00a0a los sistemas de forma peri\u00f3dica.<\/li>
              • Mantener un\u00a0monitoreo del rendimiento<\/u><\/strong>\u00a0de las plataformas para poder identificar los patrones de comportamiento.<\/li>
              • Manejar un\u00a0repositorio central de los eventos<\/u><\/strong>\u00a0de las plataformas m\u00e1s importantes para poder dar seguimiento a fallas que puedan ocurrir.<\/li>
              • Mantener una\u00a0documentaci\u00f3n actualizada<\/u><\/strong>\u00a0tanto del inventario de equipos como de las configuraciones de los sistemas.<\/li><\/ul>

                \u00a0<\/p>

                Los ejemplos previos son acciones que f\u00e1cilmente se pueden realizar sin llegar a implementar todos los controles que formalmente se establecen en la ISO 27001, por lo tanto, sin mayor inversi\u00f3n econ\u00f3mica se puede desarrollar un nivel de control y monitoreo bastante aceptable de las plataformas cr\u00edticas.<\/p>

                Existen muchas herramientas gratuitas que permiten realizar los controles detallados anteriormente, entre algunos que puedo compartirte:<\/p>

                • Monitoreo de Rendimiento
                  • ManageEngine OPManager<\/li>
                  • Solarwinds NPM (Network Performance Monitor)<\/li>
                  • Cacti<\/li>
                  • ZenOSS<\/li>
                  • Zabbix<\/li><\/ul><\/li>
                  • Monitoreo de Aplicaciones
                    • ManageEngine AppManager<\/li>
                    • Solarwinds ASM (Application Server Monitor)<\/li><\/ul><\/li>
                    • Registro central de eventos de sistemas
                      • Syslogs (existen versiones gratuitas)<\/li><\/ul><\/li><\/ul>

                        \u00a0<\/p>

                        Hay muchas otras alternativas de c\u00f3digo abierto (OpenSoure) que pueden ser utilizadas para lograr estos objetivos tambi\u00e9n.<\/p>

                        El \u00e9xito en la utilizaci\u00f3n de estas herramientas est\u00e1 en poder tener el control de c\u00f3mo los equipos, aplicaciones o plataformas del negocio se est\u00e1n comportando para poder llegar a tener incluso la capacidad de poder predecir cargas de trabajo, esto \u00faltimo es llamado\u00a0Planificaci\u00f3n de Capacidades\u00a0<\/strong>para poder ser preventivos y no reactivos ante nuevas demandas de trabajo que se deben afrontar, pero sobre todo, el poder lograr un nivel de automatizaci\u00f3n en el monitoreo de las aplicaciones cr\u00edticas nos dar\u00e1 la tranquilidad que las operaciones se est\u00e1n desarrollando de la mejor manera.<\/p>

                        De igual forma el uso de aplicaciones de monitoreo y control, facilita la implementaci\u00f3n de un esquema de seguridad, en donde podemos contar con las evidencias de accesos no autorizados o comportamientos anormales en las aplicaciones del negocio.<\/p>

                        RESUMEN<\/strong><\/h2>

                        El cuido al acceso de la informaci\u00f3n es uno de los aspectos m\u00e1s importante en toda organizaci\u00f3n e incluso a nivel personal, por lo que uno de los primeros pasos a realizar es la identificaci\u00f3n de las plataformas cr\u00edticas, establecer controles de seguridad y monitoreo sobre las mismas; partiendo de ah\u00ed debes de iniciar a adoptar un modelo de seguridad que m\u00e1s se adapte a tu negocio.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

                        \n\t\t\t\t
                        \n\t\t\t\t\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                        \n\t\t\t\t
                        \n\t\t\t\t\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

                        Identificar los aspectos iniciales para el establecimiento de controles de seguridad, uso de herramientas y procedimientos para asegurar el activo m\u00e1s importante en la: la informaci\u00f3n.<\/p>\n","protected":false},"author":1,"featured_media":1399,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[68],"tags":[],"class_list":["post-1395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technology"],"_links":{"self":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts\/1395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/comments?post=1395"}],"version-history":[{"count":0,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts\/1395\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/media?parent=1395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/categories?post=1395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/tags?post=1395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}