Seguridad y manejo de la información delitos informaticos PDF

Preview

Summary

delitos informaticos apuntes resumenes cibercrimen delitos contra integridad fraudes y otros resumenes facil entendimiento.delitos informaticos apuntes resumenes cibercrimen delitos contra integridad fraudes y otros resumenes facil entendimiento....

Description

Seguridad y manejo de la información

Para seguir estudiando esta apasionante asignatura, nos adentraremos ahora en el concepto que engloba la seguridad de la información y su diferencia con la seguridad informática. Asimismo, conoceremos las distintas maneras de clasificar la información, así como también los niveles de resguardo que requieren cada una de ellas. Aprender el manejo de la información será clave, ya que conoceremos quiénes son las personas que pueden disponer de esta y también los tres pilares o estadios de la información.

Seguridad y manejo de la información

Alcances

Manejo de la información

Estadios de la información

Referencias

LECCIÓN 1 de 5

Seguridad y manejo de la información

Continuemos con la construcción del apartado que nos permitirá acercarnos aún más al concepto de los ciberdelitos. Surgen algunos interrogantes, tales como: ¿Qué fue lo que sucedió con Vincent y el armado de sus sistemas? ¿Pudo establecer conexión entre dos hosts? ¿Es segura la conexión que puede haber logrado Vincent entre sus computadoras y sus empresas para compartir información? Como vemos, son preguntas que seguro podrás ir respondiendo, algunas con elementos que has venido estudiando y otras con herramientas que estudiarás en adelante. Para ello, es importante que continuemos analizando el caso de Vincent y su empresa Lácteos SRL.

Como primera medida, habíamos podido observar que Vincent, con base en su investigación, había logrado no solo establecer conexión entre dos computadoras de su empresa para expandirla hacia otras sucursales, sino que también contaba con la posibilidad de, a través de esas computadoras que se comunican por medio de protocolos específicos, acceder a la triple w, es decir, a contenidos que se encuentran en webs de acceso a través de Internet.

Lo interesante de esto es que Vincent es una persona que fue criada con espíritu de curioso, por lo que para él era necesario continuar indagando más sobre el tema, en especial en la manera de proteger la información de la empresa. Es decir, no solo la información interna que se manejaba, sino también la que se compartía con otras sucursales y terceras partes. Frente a este contexto es que un día encontró en un artículo periodístico que hablaban acerca de la

seguridad de la información, en especial, de que había que tener presente la norma ISO 27000 (International Organization for Standarization [ISO], 2016), la cual menciona lo siguiente:

“El aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan” (International Organization for Standarization [ISO], 2016, https://goo.gl/Cqzomn).

Como se puede ver, Vincent advirtió que dicha normativa tiende a buscar un resguardo de los sistemas que procesan información. Por otra parte, también identificó otras definiciones de otros académicos, que hablan de un conjunto de medidas técnicas y legales tendientes a la prevención para el resguardo y protección de la información, cumpliendo con los principios de confidencialidad, integridad y disponibilidad (ver Figura 1).

Figura 1: Seguridad de la información. Confidencialidad, integridad y disponibilidad

Fuente: Mifsud, 2012, https://goo.gl/mRJ1H4

Con base en el cuadro anterior, Vincent podía pensar un poco más claro en lo que apuntaba la seguridad de la información, especialmente teniendo en cuenta que su empresa no podía dejar de lado ello, ya que se encontraba avanzando a la velocidad de Internet y debía lograr que sus empleados y usuarios estuvieran concientizados sobre esto. Por otra parte, sabía que no era lo mismo hablar de seguridad de la información que de seguridad informática, ya que en este último caso uno de sus ingenieros le había enseñado que se encargaba solamente de la seguridad del medio informático o infraestructura de tecnología (ver Figura 2).

Figura 2: Seguridad de la información frente a seguridad informática

Fuente: [Imagen sin título sobre seguridad de la información y seguridad informática]. (2013). Recuperado de https://goo.gl/PyXAkv

LECCIÓN 2 de 5

Alcances

Continuando con el proceso de negocio, Vincent debía tener presente que la seguridad de la información cuenta con ciertos alcances, ya que el bien más preciado es la información que posee su empresa. En tal sentido, es importante identificar, según Vincent, cada uno de los activos (correos de mails, página web, bases de datos, contratos, propiedad intelectual, etc.) que existen en su empresa y, por consiguiente, se requiere contar con políticas de protección de esa información, a fin de que el sistema y sus usuarios no sean víctimas de posibles robos de información.

En razón de lo anterior, Vincent tuvo que identificar la siguiente clasificación de la información, a fin de poder clasificarla en su empresa y conocer más en profundidad el manejo de esta, ya que es clave al momento en que se produzca un ciberataque conocer a quién acudir. En efecto, advirtió la siguiente clasificación:

Crítica

–

es aquella información imprescindible que no puede faltar en la actividad de toda empresa (por ejemplo: la base de datos de empleados de la empresa).

Valiosa

es aquella información que se considera un activo preciado (base de información contable que lleva la empresa).

–

–

Sensible

es aquella información que solo debe ser conocida por personal facultado de acuerdo con niveles de acceso (base de información de proyectos y códigos fuente de software propios de la empresa).

Como Vincent ya había investigado anteriormente, sabía que no solo bastaba con conocer esa clasificación, sino también conocer de qué fuente interna proviene el manejo de la información, es decir, de qué área y en qué soporte se encuentran alojados, ya sea en documentos, CD, DVD, discos duros extraíbles, servidores y, sobre todo, la durabilidad de cada uno de los mencionados.

Por otra parte, no solo dentro de la empresa de Vincent se sabía que había que conocer quién maneja la información, sino también los riesgos que trae aparejado, es decir, las propias debilidades que presentan las empresas a través de sus sistemas, que pueden quedar expuestos a terceros, en razón de la falta de políticas de gestión internas que ponen en peligro el activo más importante, en especial, datos de sus clientes, proveedores, etcétera. En consecuencia, Vincent sabía que dichos riesgos traen aparejados un impacto para su empresa, ya sea en la imagen, ocasionando grandes pérdidas económicas. Para entender un poco más lo que Vincent venía trabajando, detalló la siguiente clasificación de tres categorías de riesgos:

1

errores involuntarios de personas o máquinas;

2

desastres naturales en general;

3

ataques voluntarios con un fin determinado.

Dentro de la categoría 1, se encuentra la mayoría de los problemas de las empresas. Ello se reduce con la debida formación de los empleados. Por su parte, los desastres naturales no se saben cuándo pueden suceder, pero sí se debe contar con un plan de contingencia ante una eventual circunstancia involuntaria (categoría 2). Por último, se cuenta

con el caso de ataques voluntarios con el fin específico de producir un daño u obtener un rédito y afectar de una manera considerable a la organización (categoría 3) (Flores Barahona, 2000).

Frente a este panorama, Vincent había leído que la seguridad se presentaría como la solución ante cualquier riesgo cibernético en su empresa, siempre y cuando cumpliera con ciertas normas y protocolos que permitan la gestión propia de los riesgos que se presenten. En ese sentido, era importante diferenciar que estos no solo provienen del exterior, sino también del interior. Por ese motivo, Vincent llamó a su especialista en seguridad, quien le comentó que para contrarrestar dichos riesgos la solución sería el uso del sistema de gestión de seguridad de la información (SGSI), ya que permite detectar, administrar y disminuir los posibles riesgos que intentan atacar los sistemas de su empresa.

Ahora bien, había que previamente tener en consideración ciertos pasos para su aplicación, por lo que el especialista le comentó a Vincent que en primer lugar se debían analizar los activos y riesgos de la empresa.

Con base en ello, era posible considerar las medidas de protección, ya que eso iba a posibilitar definir los procedimientos que se deben aplicar, a fin de evitar la fuga de información, y adoptar una política de seguridad. De esa manera, con las medidas de seguridad aplicadas se evitaría poner en riesgo a la empresa.

En este escenario, Vincent sabía que debía lograr tener su sistema de manera segura, ya que ciberdelincuentes se estaban aprovechando de vulnerabilidades y errores para conseguir información. Y consultando con la mayoría de sus colegas empresarios, descubrió que ninguno conocía de estos nuevos riesgos que podían afectar a sus empresas en cuestiones de segundos. Principalmente, llegó a esta conclusión porque dentro de las empresas no se sabe la diferenciación de los activos, ni tampoco se invierte en un sistema de gestión y control interno, lo que hace que muchas sean pasibles de sufrir un ciberataque, producto de ser un blanco fácil para obtener información por parte de los ciberdelincuentes.

Con base en esto, se sabía que la falta de protección con niveles internos de seguridad (firewalls), y también sin la previsión de realizar auditorías externas o controles, llevaría lamentablemente a ser víctima de este fenómeno.

Sobre este punto, Vincent recordaba un caso reciente que uno de sus amigos había sufrido en su empresa de ropa, ya que había sido víctima de un caso de ransomware (secuestro de información y pedido de rescate), con lo cual no podía disponer de los activos de su empresa, es decir, de la información clave y clasificada que le permitía continuar con la actividad de su negocio. En ese caso, su amigo no había podido continuar con su actividad por no haber contado con un plan de protección de información previa.

LECCIÓN 3 de 5

Manejo de la información

Siguiendo con el análisis que viene haciendo Vincent, es importante tener en cuenta sobre lo que debe considerar al momento de hablar del manejo de la información. Para ello, es fundamental hacer referencia a ciertos estudios, de los cuales se destaca la empresa Eset, que ha reflejado que un 38,85 % de los ataques proviene de exempleados de la compañía; el 34,53 %, de actuales empleados; un 28,22 %, de agentes externos (cibercriminales); y un 27,90 %, de competidores, entre otros.

Figura 3: Origen de incidentes de seguridad en Latinoamérica

Fuente: Pagnotta, 2014, https://goo.gl/nX2PoE

Como se ha podido ver en el gráfico que precede, Vincent puede advertir altos índices de empleados internos y exempleados como los principales responsables de los ataques a la información de la empresa. Frente a ello, le surge la pregunta: ¿Qué debería tener en cuenta para no ser víctima de un incidente con base en las responsabilidades de sus empleados? Ante esta pregunta, Vincent recuerda algo que había leído previamente en relación con la exposición de la información:

documentos escritos (contratos, licitaciones, estados contables, etc.);

documentos almacenados electrónicamente (proyectos, base de clientes, etc.);

información presentada en imágenes (nuevos modelos de negocio, presentaciones, etc.);

información plasmada en una conversación.

Sobre lo expuesto, Vincent puede ver claramente la importancia de clasificar la información, de tal manera que permita conocer quién realmente maneja la información de la empresa. En efecto, pensando en los delitos cibernéticos, ocurren cuando compañías colegas tratan de competir y manipular a ciertos empleados con sumas de dinero para obtener información clasificada o sensible.

Otra de las cuestiones que toma razón Vincent para su empresa es el valor de la imagen de esta, ya que, cuando se habla de que la información es uno de los activos de la empresa, él considera que se debe tener presente que cuanto más se proteja su activo, mayor es la confianza de sus clientes para con él y su equipo de trabajo. Por consiguiente, entiende que ese grado de confianza y su imagen cae notablemente cuando sufre un ciberataque.

Como se ve, Vincent continúa con su pensamiento de que todo es una cadena que se encuentra entrelazada, pero se pregunta: ¿Qué pasaría si existe un caso de fuga de información por parte de uno de los empleados de la empresa, donde la mayor parte proviene de cuentas de homebanking de clientes, incluidos sus depósitos? Sin dudas, llevaría a pérdidas millonarias, ya que no se tomaron en cuenta ciertos recaudos de seguridad y control de información interna.

Por otra parte, Vincent hace referencia a la imagen de la empresa, y claramente el costo que repercute en la imagen negativa es muy grande, como también el de pagar al personal IT (Tecnología de la información) para que solucione las vulnerabilidades, el costo de los abogados para representar los intereses de la entidad frente a reclamos judiciales, el costo de facturación que se va a perder hasta tanto no se haya solucionado esa situación. En conclusión, Vincent empieza a mover su cabeza de costado a costado sin saber hacia dónde ir en caso de que le suceda esto y el desastre que le ocasionaría.

Como has podido observar, desde la óptica de los ciberdelitos, es muy común ver estos casos de fuga de información en empresas. Tomemos de ejemplo a España, donde ahora comenzarán a controlar a las empresas para que estas denuncien ciberdelitos que hayan sufrido, y así poder llegar a los ciberdelicuentes.

LECCIÓN 4 de 5

Estadios de la información

¿Qué pilares en la seguridad de la información ha logrado identificar Vincent a lo largo de su actividad con su compañía? Como hemos venido observando, Vincent ya tiene una solidez en cómo proteger la información de la empresa. Lo que sí es necesario es reforzar los tres pilares claves que se mencionan a continuación:

CONFIDENCIALIDAD:

INTEGRIDAD:

DISPONIBILIDAD:

implica el acceso a la información por parte de las personas autorizadas para su ingreso. Ello significa que dependerá de los privilegios con que cuente el empleado para poder acceder a cierta información o no. Un ejemplo de ello es la identificación, ya sea con nombre de usuario y autentificación o con el uso de contraseñas, así como los permisos con que cuenta el usuario para acceder a un sistema. Ahora bien, con relación a los ataques sufridos, generalmente suceden debido a la ingeniería social (a través de técnicas de phishing), usuarios descuidados, suplantación de identidad, actividad de usuarios no autorizados, haber descargado archivos que se encuentren protegidos, etcétera. Una de las recomendaciones es usar cifrados en las comunicaciones a fin de evitar fuga de información, capacitación constante del personal y control de acceso a la información.

CONFIDENCIALIDAD:

INTEGRIDAD:

DISPONIBILIDAD:

es el proceso tendiente a asegurar que la información se mantenga sin ningún tipo de modificación y que, en caso de que la sufra, sea realizada por personal autorizado para ello. Aquí se pueden ver los casos mencionados anteriormente, pero principalmente las puertas traseras o backdoors, que es donde se encuentra la vulnerabilidad. También se puede dar por errores de software. Una de las sugerencias es no permitir el acceso de todos a toda la

información y, en cambio, dar permisos a los empleados con base en la información que vayan a utilizar en su jornada laboral, es decir, limitar el acceso, usar herramientas criptográficas y sistemas hash, a fin de corroborar que la información no haya sufrido ninguna alteración.

CONFIDENCIALIDAD:

INTEGRIDAD:

DISPONIBILIDAD:

conlleva a que las personas autorizadas en el manejo de la información puedan tener acceso a esta en el momento que lo necesiten. Aquí los casos que generalmente se ven son situaciones extremas generadas por la naturaleza, por un ataque de denegación del servicio o por hechos generados por el hombre, tanto voluntaria como involuntariamente. En este caso particular, lo que se sugiere es tener un plan de contingencia frente a estas circunstancias, mediante el cual se apliquen protocolos determinados para tal situación y así se logre evitar la pérdida de productividad.

En resumen:

Figura 4: Conclusión

Fuente: Elaboración propia.

Con base en lo anterior, te invitamos a realizar la siguiente actividad de refuerzo.

Se observó a lo largo de la lectura que Vincent tuvo que identificar tres tipologías de riesgos que pueden presentarse en su propia empresa y que es importante que conozca a fin de evitar que su empresa sea víctima. Con base en ello y en las siguientes oraciones, identifica cuál de todas se corresponde con una de las tipologías correcta y reconocida por Vincent:

Errores involuntarios de personas o máquinas, porque son aquellos que no dependen de ataques externos, sino de los mismos usuarios que hacen que se produzcan dichos errores.

Errores voluntarios de personas o máquinas, porque son generados con ánimo de producir un caos en una empresa.

Errores de terceros e involuntarios que repercuten en la empresa, porque no han sido advertidos por la misma empresa y han repercutido en el normal funcionamiento del sistema y de los datos.

Errores por desastres y ajenos a la voluntad humana, porque no se pueden prever.

SUBMIT

En resumen, hemos recorrido en estas páginas sobre el manejo de la información y su seguridad. Los cambios que se han ido dando a lo largo del tiempo han llevado a que se tenga que conocer más en detalle la clasificación de los activos y de qué manera se debe resguardarlos.

Ahora nos acercamos más al fenómeno del cibercrimen y los ciberdelitos, con lo cual, pensemos: ¿Qué tipologías podemos encontrar dentro de este fenómeno? ¿Cuáles son las principales amenazas y su evolución?

Estas y otras preguntas intentaremos responder en el siguiente tema por estudiar.

LECCIÓN 5 de 5

Referencias

Flores Barahona, J. F. (2000). Diseño de un software criptográfico de seguridad para las comunicaciones navales [Tesis de grado]. Recuperado de https://www.dspace.espol.edu.ec/bitstream/123456789/3300/1/5819.pdf

[Imagen sin título sobre seguridad de la información y seguridad informática]. (2013). Recuperado de https://seguridadetica.wordpress.com/2013/09/16/seguridad-informatica-o-seguridad-de-la-informacion/

Seguridad de los sistemas de Información. (Norma ISO N°. 27000) International Organization for Standardization (ISO). (2016). Recuperado de https://www.iso.org/isoiec-27001-information-security.html

Mifsud, E. (2012). Monográfico: Introducción a la seguridad informática - Seguridad de la información / Seguridad informática

[Imagen].

Recuperado

de

http://recursostic.educacion.es/observatorio/web/ca/software/software-

general/1040-introduccion-a-la-seguridad-informatica?start=1

Pagnotta, S. (2014). Incidentes de seguridad crecen 48% en 2014: reporte de PwC [Imagen]. Recuperado de https://www.welivesecurity.com/la-es/2014/10/06/incidentes-de-seguridad-crecen-2014/...