SlideShare una empresa de Scribd logo

Hakin9 inseguridad

H
heynan

Artículo 11

Tecnología
1 de 7
Descargar para leer sin conexión
Administrando la Inseguridad Informática Defensa Jeimy J. Cano Grado de dificultad Este documento busca repensar la seguridad de la información desde el concepto de la inseguridad, para que, tratando de aprender de la mente del atacante, se descubra cómo diseñar y construir sistemas menos inseguros, como una estrategia para destruir la falsa sensación de seguridad y animar una postura vigilante y proactiva en la gestión de la seguridad de la información. L a única constante en el mundo de la se- sobresalientes de la inseguridad. Si miramos guridad de la información, es la inseguri- con detalle estas dos consideraciones, no dad. En este sentido, las organizaciones responden necesariamente a un problema de luchan día a día para tratar de eliminar o mitigar seguridad tecnológico, sino procedimental y de las posibles vulnerabilidades que se presentan concientización. Los intrusos saben y com- en sus infraestructuras tecnológicas o en sus prenden que detrás de las infraestructuras de procedimientos que apoyan el negocio. seguridad de la información está ese elemento Revisando los recientes artículos e informes que las organizaciones hoy por hoy se resisten de vulnerabilidades (WILLIAMS, M. 2006, MI- a entrenar, a formar, a hacer parte formal de MOSO, M. y SAVAGE, M. 2006, BEAVER, K. su modelo de seguridad, los usuarios. (BEA- 2006, ROITER, N. 2006), se hace evidente que VER, K. 2006). Esta realidad, se manifiesta en la inseguridad informática es un elemento pro- importantes incrementos de robo de identidad pio de la dinámica de las organizaciones en ca- y fraudes bancarios a través de Internet que re- da uno de sus procesos. Mientras las empresas quieren una revisión profunda de nuestra com- buscan alcanzar un nivel superior de seguridad, más se encuentran con la problemática de la inseguridad, pues los procesos en sí mismos, al En este artículo aprenderás... ser redes de comunicaciones y acuerdos entre • Cómo diseñar y construir sistemas menos inse- personas, tecnologías y normas, establecen guros, relaciones y distinciones que generalmente • Cómo animar un apostura vigilante y proactiva no son distinguibles, haciendo de la labor de en la gestión de la seguridad informática. aseguramiento de la información más que una función tecnológica, acciones humanas y pro- Lo que deberías saber... cesos administrativos y estratégicos. Durante el 2006, los robos de información • Concepto de la inversión y las vulnerabilidades y la exposición de datos (http://attrition.org/ en la seguridad informática. dataloss/), fueron las manifestaciones más 36 www.hakin9.org
Inseguridad Informática prensión de la seguridad, más allá • La habilidad como la capacidad dustria, en teoría la seguridad es per- de las fallas y las vulnerabilidades. de hacer, desarrollar y actuar en fecta, en la práctica no, esta expresión En este sentido, repensar el consecuencia con ese conoci- nos sugiere que si bien, las especifi- discurso de administración de la miento. caciones matemáticas utilizadas para seguridad exige de los profesionales • La actitud, como la disposición darle claridad a las relaciones que se y directivos de seguridad aprender a del individuo frente a los retos establecen entre usuarios y objetos comprender el dual que combaten: la que propone el área de conoci- son verificables en un escenario ideal, inseguridad informática. Compren- miento y su manera de enfrentar la realidad de las organizaciones y el der el lado oscuro implica reconocer y motivar el desarrollo de habili- desarrollo de software desbordan di- que tenemos que desaprender, que dades complementarias para ir chas expectativas. nuestras actuales estrategias se más allá de lo que su entorno le La seguridad ha estado basada limitan a mantener y utilizar más tec- propone. todo el tiempo en la comprensión nologías, y no a comprender en pro- de tres elementos fundamentales fundidad las relaciones complejas En ese contexto, desarrollar el hábito y cómo alcanzarlos en cada una de que exhibe la organización y cómo de la Administración de la Inseguridad las implementaciones de modelos allí se hace presente o se materiali- Informática – ADINSI – implica hacer de seguridad: confidencialidad, inte- za la inseguridad. (THE HONEYNET de ésta una pasión, una disciplina gridad y disponibilidad – CID. Con- PROJECT 2004, TAYLOR, R., CAE- individual que permita a las organi- secuente con lo anterior, cualquier TI, T., KALL LOPER, D., FRITSCH, zaciones mantener una posición pro- intento para vulnerar alguno de éstos E. y LIEDERBACH, J. 2006). activa frente a posibles e inesperados elementos, se considerará un intento En consecuencia, las organiza- eventos, para los cuales puede no o ataque al activo fundamental que ciones deben reconocer que parte estar preparadas, pero conscientes es la información. del secreto para incrementar los sobre cómo aprender de ellos. Siguiendo la revisión anterior, se niveles de seguridad, está en la Basado en lo anterior, se presen- tiene que los ataques se presentan administración de la inseguridad in- ta este documento que examina los dado que existen escenarios y prác- formática. Expresado de otra for- conceptos actuales de la seguridad ticas que no aseguran el cumpli- ma, que tan seguros pueden llegar de la información, algunas conside- miento del CID para la información a ser, reconociendo siempre que la raciones de inversión en temas de a proteger, característica que en inseguridad de la información estará seguridad, los cuales serán insumo el mundo de la auditoría se deno- presente para desafiarlas una y otra para proponer un modelo base para mina riesgo. Un riesgo, de manera vez. la administración de la inseguridad y general, es todo aquello que no me Las implicaciones de esta pro- así ver, bajo la mirada de los intrusos, permite el logro de los objetivos; en puesta exigen desarrollar un hábito tendencias emergentes y estrategias particular, en temas de seguridad de que busque confrontar la inseguri- consecuentes con este modelo. la información, todo aquello que no dad de la información y no solamen- me permite cumplir con CID. te su control o mitigación. En razón Concepto tradicional Generalmente al adelantar un pro- a lo anterior, desarrollar un hábito de la seguridad de la ceso de administración de la seguri- requiere según Covey (2005 pág. información dad de la información, se establece 51) tres elementos: el conocimiento, La seguridad de la información desde lo que se denomina un conjunto de la habilidad y la actitud. los años 60 se ha desarrollado como procesos a revisar y la información una distinción formal, basada gene- asociada con el mismo. Este proce- • El conocimiento, como la capa- ralmente en teorías matemáticas, las so se basa por lo general en un pro- cidad de comprender en detalle cuales terminaron materializadas en grama de protección de activos de la los aspectos conceptuales rela- implementaciones de software, hard- organización (KOVACICH, G. y HA- cionados con el área de trabajo ware y productos intermedios. Como LIBOZEK, E. 2006) que considera donde se ejerce. bien comentaba una persona de la in- las políticas, los procedimientos, los procesos, los proyectos, los planes Tabla 1. Características de la Seguridad y de la Inseguridad (Tomado de: y las responsabilidades de cada uno CANO, J. 2006) de los actores de la organización frente a los activos. A través de es- Seguridad Inseguridad te programa se operacionalizan las Subjetiva Objetiva medidas requeridas para mitigar los No tiene cota superior Es posible establecerle cota superior riesgos a los cuales esta expuesta la Intangible Tangible información. La valoración de qué tan efectivo Es una propiedad emergente Es una propiedad inherente ha sido el proceso de administración Se require modelarla No se require modelarla de la seguridad generalmente se www.hakin9.org 37
Defensa mide según el número de incidentes respuesta a este interrogante será En un segundo lugar se encuen- que se han presentado en la dinámi- desarrollada posteriormente. tran las inversiones en tecnologías de ca de la organización y su negocio. autenticación, autorización, auditoría Para ello, ejercicios como las prue- Algunas y monitoreo, las cuales de manera bas de vulnerabilidades, las evalua- consideraciones sobre estratégica soportan y registran los ciones de seguridad y las auditorías la inversión y las eventos y el acceso a la información de seguridad (CANO 1997) son refe- vulnerabilidades en dentro de la infraestructura de tecno- rentes útiles para establecer el grado seguridad informática logías de información de la organi- en que las vulnerabilidades se hacen Las organizaciones que reconocen zación. En tercer lugar, se identifica presentes tanto en la infraestructura en la información un activo funda- las inversiones en el tema de ase- como en los procesos de negocio. mental para desarrollar negocios guramiento de aplicaciones, fortale- Si revisamos las prácticas actua- y sobrevivir en un mundo global, por cimiento de sistemas operacionales, les de las organizaciones alrededor lo general establecen presupuestos valoración de la seguridad, las cuales de una administración de la seguri- que consideran inversiones (general- establecen buenas prácticas que per- dad de la información, identificamos mente de un dígito) en los temas de miten afianzar la distinción de gestión una fuerte tendencia al uso de tec- aseguramiento o protección de dicho de la seguridad de la información nologías y utilización de estándares activo. Dichas inversiones fueron re- Finalmente, las inversiones sobre o buenas prácticas internacionales visadas por un estudio realizado por revisión y análisis de los datos que (KUPER, P. 2005), como una es- la firma Stanley Morgan durante el están residentes en la infraestructu- trategia para avanzar en su lucha 2005 (KUPER, P. 2005), cuyos resul- ra de computación de la empresa, la contra la inseguridad, pero pocos tados se detallan a continuación. clasificación de la información y las elementos que procuren entender La firma Stanley Morgan encontró relaciones entre aplicaciones, proce- esta última. que las mayores inversiones en se- dimientos de operación y control de En consecuencia con lo anterior, guridad se efectúan en temas de se- datos, uso de estándares internacio- el concepto de seguridad, como el guridad perimetral, es decir, cajas de nales, entre otras. proceso formal y riguroso para man- protección de seguridad anti-spam, Al revisar estos resultados, es tener un sistema de gestión orienta- anti-virus, anti-spyware, las cuales extraño ver que la menor inversión do a la protección de la información, generalmente viene preconfiguradas se concentra en la esencia misma sustentado en las estrategias y di- e instaladas, haciendo mucho más de la seguridad informática, los da- námica de negocio, entra en crisis fácil su uso y puesta en producción. tos, la información, y que la mayor al saber que la inseguridad presente Dichas cajas generalmente poseen se orienta a la adquisición de tec- dentro del sistema atenta contra su una interfase de administración que nologías para controlar en el exterior propio objetivo. La pregunta que sur- permite a los responsables de segu- la aparición de amenazas contra el ge es: ¿qué hacer frente a la inse- ridad mirar la efectividad del control activo información. guridad o riesgos inherentes a la de las amenazas para las cuales han Consecuente con este análisis, realidad de las organizaciones? La sido adquiridas. se adelantó una revisión paralela, siguiendo la misma estrategia del estudio de Stanley Morgan, para ver cómo evolucionan las vulnerabilida- des, los resultados obtenidos esta- blecen reflexiones que presentan en los siguientes párrafos. Las mayores vulnerabilidades se presentan a nivel de los datos, de la información, generalmente asociadas con la falta de cultura de seguridad, la inadecuada disposición de medios de información, inadecuadas prácticas de seguridad asociadas con vulne- rabilidades donde el factor humano y el incumplimiento de procedimientos se hacen presentes. Esta realidad se evidencia en todas las organizacio- nes en mayor o menor grado, según los esfuerzos de entrenamiento, infor- Figura. 1 Análisis de la inversión en Seguridad Informática. [Adaptado de: mación, capacitación y formación del KUPER, P. 2005] personal de las áreas de negocio. 38 www.hakin9.org
Inseguridad Informática En segundo lugar tenemos las vulnerabilidades propias a las apli- caciones, las cuales frecuentemente están enraizadas en problemas con las herramientas y prácticas de pro- gramación, lo cual exige comprender que una aplicación está hecha tanto para cumplir con la especificación con la cual fue diseñada como para fallar ante un evento no esperado. En tercer lugar, tenemos las fallas a nivel de comunicaciones. Los proto- colos utilizados en las transmisiones de información tienen vulnerabili- dades inherentes, las cuales con el tiempo se han venido detectando y corrigiendo, cuando es posible, o li- mitando la aparición de las mismas con tecnologías de seguridad que blo- Figura 2. Análisis de la evolución de las vulnerabilidades quean tráficos que puedan ser cata- logados como sospechosos. mación es una disciplina que, sus- • ¿Cómo funciona el sistema? Finalmente, tenemos las vulnera- tentada en la formalidad original de • ¿Cómo no funciona el sistema? bilidades propias de los proveedores los años 60’s, se ha fortalecido como • ¿Cómo reacciona ante una falla o y sus productos, los cuales constan- un mundo tecnológico y normativo, situación inesperada? temente están trabajando para pro- donde cualquier anormalidad que • ¿Cómo hacerlo fallar? ducir los parches y actualizaciones se presente es una falla o vulnera- requeridas para mitigar el riesgo que bilidad que debe ser controlada o mi- De acuerdo con una reciente investi- pueda comprometer la seguridad de tigada. Esta manera de razonar, ha gación (CANO 2006) y considerando la organización frente a las amenazas permitido avances importantes en los elementos anteriormente presen- que cubre dicho software o hardware. las tecnologías de protección, que tados (Figura 1 y 2), se establecen Como podemos observar al de manera sistemática y asidua ha cinco características que identifican comparar los dos resultados, el de logrado importantes desarrollos y pro- tanto a la seguridad como a la inse- inversión y el de vulnerabilidades, se puestas para enfrentar el lado oscu- guridad, las cuales serán analizadas invierte donde existen menos vulne- ro de la fuerza, la inseguridad. y detalladas a continuación. rabilidades. Por tanto, la seguridad, Si analizamos estos últimos 40 La seguridad es una realidad aunque reconocemos que es un pro- años de evolución de la seguridad subjetiva, es decir propia del sujeto. ceso y no un producto, está siendo ad- informática, podemos ver que las Cada una de las personas tiene una ministrada en función de los recursos investigaciones se han concentrado manera de comprender y entender tecnológicos y las posibilidades que en revisar las limitaciones de los la seguridad. Es tan válida la defini- estos ofrecen. La pregunta es: ¿qué productos y teorías alrededor de la ción de un ciudadano común, como hacer para remediar esta situación? seguridad, es decir, hemos estado la de un especialista en temas de estudiando la inseguridad infor- seguridad, pues cada uno de ellos Repensando la mática como factor base para los comprende la realidad de la seguri- seguridad de la nuevos desarrollos (HUTCHINSON, dad según su exposición a la misma. información B. y WARREN, M. 2001 Cap.4). Si Mientras que la inseguridad es obje- Basado en lo revisado hasta el esto es así, no podemos hablar de tiva, es decir, propia al objeto, una momento, la seguridad de la infor- seguridad de la información, sin re- realidad perceptible, observable y ve- conocer su dual, la inseguridad (CA- rificable en el objeto. En este senti- NO 2004). do, la inseguridad valida la esencia Agradecimientos El autor agradece al Dr. Jorge Ramió En consecuencia, estudiar la misma del análisis de riesgos, pues Aguirre, a la Maestra Gabriela María inseguridad como estrategia para sólo a través de hechos cumplidos, Saucedo Meza y al Ingeniero Andrés comprender la seguridad sugiere verificables y comprobables pode- Ricardo Almanza Junco por su tiempo contextualizar en un escenario real mos medir el nivel de exposición que y valiosos comentarios que permitieron la incertidumbre inherente del siste- tenemos y cómo podemos advertir afinar y ajustar las ideas expuestas en ma o realidad a modelar, para revisar mejores medidas de control para este artículo. entre otros aspectos (SCHNEIER mitigarlo, atomizarlo, minimizarlo 2003, pag. 51): o transferirlo. www.hakin9.org 39
Defensa La seguridad no tiene cota su- Al ser la seguridad un intangible, algo tenga las características que perior, en otras palabras, siempre es necesariamente responde a una pro- perseguimos. Si queremos que los posible encontrar una medida que sea piedad emergente de un sistema. activos gocen de seguridad, nos más efectiva y/o eficiente que la an- Una propiedad emergente, es aque- enfocamos en primer lugar a com- terior. Esto es fruto normal de la evo- lla que tienen los sistemas, fruto de prender los riesgos a los cuales está lución de las medidas de protección, la relación entre sus elementos y no expuesto, para desarrollar las estra- que entendiendo ¿cómo no funciona particular a un objeto que lo confor- tegias de seguridad requeridas y así el sistema? es posible plantear es- ma, en otras palabras, la seguridad lograr un nivel de exposición menor trategias que mejoren lo actualmente es fruto de la relación existente en- de dichos activos. Por otro lado, la disponible. Si la inseguridad no tuvie- tre la tecnología, los procesos y los inseguridad no requiere de modelos se cota superior como la seguridad, individuos, como un todo coherente o diseños específicos o detallados, los seguros no existirían ni se podrían y alineado que comprende que no ella sabe que todos los objetos la con- pagar. Es tal nuestra necesidad de es posible alcanzar mayores niveles tienen y sus manifestaciones se pue- mantener un nivel de protección, que de seguridad sin un entendimiento den manifestar en diferentes grados debemos tratar de cuantificar el nivel o comprensión de las interrelacio- o impactos. En este sentido la inse- de inseguridad que podemos admi- nes, muchas veces invisibles, que la guridad es una propiedad inherente nistrar, siguiendo paradójicamente un seguridad sugiere cuando de protec- a los objetos que advierte la manera nivel base de prácticas de seguridad ción de activos se trata. de cómo establecer los mecanismos y la dinámica de los procesos de ne- De otra parte, la inseguridad es mínimos para limitar la materializa- gocio. En este sentido, podemos esta- una propiedad inherente a los objetos, ción de la misma en un escenario blecer un límite superior de exposición una realidad que deber ser evidencia- con unos actores y variables. o riesgo que queremos asegurar, con da y explorada para ser comprendida, Basado en esta exploración de las condiciones y precauciones que el lo cual nos lleva necesariamente a la los conceptos de seguridad e inse- asegurador establezca como mínimas aparición de la administración de ries- guridad es posible sugerir que es para poder validar y pagar los daños gos. Cuando entendemos que en el arriesgado afirmar que podría ad- como fruto de la materialización del mundo donde nos movemos estamos ministrarse la seguridad cuando la riesgo, más allá de nuestro debido expuestos a ellos, hacemos evidente inseguridad propia de los objetos cuidado y diligencia para mantenerlo que la inseguridad está presente en nos muestra elementos reales y tan- en los niveles establecidos. nuestro vivir y por tanto, es preciso gibles que ofrecen características de La seguridad es intangible, no advertir una serie de acciones que gestión que pueden llegar a ser ana- está en los mecanismos de seguri- nos permitan mitigarlos. Es darle res- lizados y cuantificados de tal forma, dad, no está en los procedimientos, puesta a la pregunta ¿Qué hacer si el que se planteen métricas de insegu- no está en las personas o en los sistema falla? ridad que basadas en buenas prácti- cargos. La seguridad, complemen- Cuando se habla de modelar cas de seguridad y control, puedan taría al tema de la subjetividad o diseñar algo, buscamos que ese alcanzar niveles mínimos permitidos previamente analizado, es la mani- festación de que estamos ante un bien cuyo manejo no es evidente En la Red: • BEAVER, K. (2006) Don't Spring a Leak. Information Security Magazine. Enero. Dis- ni certero gracias a su volatilidad, ponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_ fruto de la percepción de terceros. gci1154838,00.html, Por ejemplo, si nos detenemos a ob- • CANO, J. (1997) Auditorías de Seguridad, Evaluaciones de Seguridad y Pruebas servar la variabilidad de los merca- de penetración: tres paradigmas en la seguridad informática. Disponible en: http:// dos financieros ante incertidumbres www.derechotecnologico.com/estrado/estrado003.html, geopolíticas, nos percataremos de • CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informá- cómo se destruye la sensación de tica. http://www.virusprot.com/art47.html, seguridad de los inversionistas oca- • WILLIAMS, M. (2006) Security threat changing, says Symantec CEO. Disponible sionando efectos devastadores en en: http://www.networkworld.com/news/2006/110306-security-threat-changing- says-symantec.html, los movimientos financieros. En con- • MIMOSO, M. y SAVAGE, M. (2006) Today's Attackers Can Find the Needle. Infor- secuencia y complementario con lo mation Security Magazine. Junio. Disponible en: http://informationsecurity.techtar anterior, la inseguridad es tangible, get.com/magItem/0,291266,sid42_gci1191313,00.html, es posible advertir el robo, la estafa, • ROITER, N. (2006) That Sinking Feeling. Information Security Magazine. Octubre. el accidente, la catástrofe, es una Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_ propiedad que es evidenciable y ve- gci1219723,00.html, rificable, esa que se puede valorar • SAVAGE, M. (2006) Protect What's Precious. Information Security Magazine. con hechos y cifras, soportando un Diciembre. Disponible en: http://informationsecurity.techtarget.com/magItem/ análisis real de los daños y efectos 0,291266,sid42_gci1232273,00.html. que ésta ha tenido. 40 www.hakin9.org
Inseguridad Informática y así mantener asegurados los bie- de la gestión del modelo de seguri- cretos en cada uno de los elementos nes o activos que se tengan bajo dad (SCHOU, C. y SHOEMAKER, de evaluación y que exige personal observación y custodia. D. 2007). Si bien este razonamiento especializado en el conocimiento Si la reflexión anterior es correc- es útil por la manera sistemática de de los objetos evaluados. Como re- ta se requiere repensar la adminis- aprender del sistema y sus fallas, sultado de este ejercicio tenemos la tración de la seguridad, por una de presenta limitaciones para desapren- evidencia de los riesgos y controles inseguridad donde, haciendo eviden- der de sus prácticas aprendidas, requeridos para mitigar la presencia te cada una de las características de cuando se enfrenta a situaciones de la inseguridad. (KOVACICH, G. esta última, podamos desaprender inesperadas o no contempladas en y HALIBOZEK, E. 2006) las prácticas actuales de administra- el modelo. Entender la inseguridad significa ción del riesgo focalizadas en obje- Para lograr materializar las ideas comprender las relaciones de los ele- tos, para reconocer en las relaciones presentadas previamente y darle mentos que son objeto de evaluación. que generan las expectativas de la una posible respuesta a la pregunta Esto implica revisar de manera sisté- gerencia (COHEN, F. 2005), los pro- planteada: ¿qué hacer frente a la in- mica e inteligente (SCHWANINGER, cesos de negocio y la infraestructura seguridad o riesgos inherentes a la M. 2006, cap. 1 y 2) los resultados de computación, una fuente comple- realidad de las organizaciones?, se de la evaluación considerando, como mentaria para el entendimiento de propone un modelo de administración mínimo, los aspectos de la tecnolo- las vulnerabilidades en los sistemas. de inseguridad informática basado en gía, los individuos y los procesos, no dos ideas principales: descubrir la in- para analizar lo que ocurre, sino para Hacia un modelo de seguridad y entender la inseguridad. comprender porqué ocurre y efectuar Administración de El descubrir la inseguridad es un diagnóstico de la situación. En po- Inseguridad Informática utilizar el enfoque tradicional (siste- cas palabras en términos sistémicos, Los modelos actuales de adminis- mático) de administración de riesgos administrar la variedad y complejidad tración de seguridad, generalmente que se viene utilizando, donde los que exhibe el sistema. buscan descubrir y corregir las fallas, ejercicios de valoración de seguri- Cuando se aplican las conside- pero no generan estrategias forma- dad requieren un conocimiento es- raciones sistemáticas y sistémicas les para entender la inseguridad; se pecializado, fundado generalmente al mismo tiempo, se comprenden de concentran en establecer las correc- en herramientas y estrategias prácti- manera complementaria los ejerci- ciones y los controles requeridos pa- cas para identificar vulnerabilidades, cios tradicionales de seguridad y se ra mejorar la efectividad y eficiencia orientado a resultados prácticos y con- posibilita un diagnóstico real de una situación anormal. Este diagnóstico puede llevarnos a desaprender lo Librería conocido y a establecer nuevas dis- tinciones en cualquiera de los niveles • CANO, J. (2006) Information Insecurity: A dual concept of information security. Pro- de análisis (estratégico, táctico y ope- ceeding of 2nd Internacional Conference on E-Global Security. Londres, UK. Abril. racional), generando conocimiento • COHEN, F. (2005) Security Governance: Business Operations, security governan- que alimente el desarrollo de mejores ce, risk management and enterprise security architecture. ASP Press. estrategias de negocio, la aplicación • COVEY, S. (2005) El octavo hábito. De la efectividad a la grandeza. Editorial Pai- de estándares y buenas prácticas, dos. • HUTCHINSON, B. y WARREN, M. (2001) Information warfare. Corporate attack así como una asertiva ejecución los and defense in a digital world. Butterworth Heinemann. procedimientos de operación. • KIELY, L y BENZEL, T (2006) Systemic security management. IEEE Security & El modelo presentado (Figura 3) Privacy. Noviembre/Diciembre. pretende, que la organización de ma- • KOVACICH, G. y HALIBOZEK, E. (2006) Security metrics management. How to nera dinámica, comprenda que cada manage the cost of an assets protection program. Butterworth Heinemann. nivel afecta a su nivel superior, esto • KUPER, P. (2005) The state of security. IEEE Security & Privacy. Septiembre/ es, lo que se evidencie en el análisis Octubre y diagnóstico del nivel operacional • SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncer- afecta al nivel táctico y así sucesiva- tain world. Copernicus Books. mente, evitando la fragmentación de • SCHOU, C. y SHOEMAKER, D. (2007) Information Assurance for the enterprise. la visión de seguridad y promovien- A roadmap to information security. McGraw Hill. • SCHWANINGER, M. (2006) Intelligent organizations. Powerful models for syste- do una postura proactiva y global de mic management. Springer Verlag. la organización, que reconoce en la • TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. seguridad la propiedad emergente (2006) Digital crime and digital terrorism. Pearson Prentice Hall. fruto del reconocimiento y enten- • THE HONEYNET PROJECT (2004) Know your enemy. Learning about security dimiento de los riesgos inherentes threats. Addison Wesley. a cada uno de los objetos que la conforman. www.hakin9.org 41
Defensa Figura 3. Modelo de Administración de la Inseguridad Informática Si esto es así, la organización de manera estructural el porqué de cuya dinámica de aplicación debe destruirá estructuralmente la falsa ésta. llevar a una distinción organizacional sensación de seguridad y la re- Por tanto, se hace necesario sobre la gestión de la inseguridad emplazará por una estrategia de complementar el modelo de riesgos de la información que se denomi- aprendizaje permanente sobre los y controles actual, con uno basado na en la teoría information assuran- incidentes que se presenten, como en las técnicas de hacking, que más ce (SCHOU, C. y SHOEMAKER, D. la norma misma de la gestión de allá de estar concentrado en los 2007) o aseguramiento de la infor- éstos. Esto es, tomará ventaja de lo activos a proteger y sus vulnerabi- mación. que aprende de la inseguridad de la lidades, reconoce las relaciones de Finalmente, el modelo de ADINSI información, para construir mejores los diferentes componentes del sis- propuesto (Figura 3) es una manera propuestas de protección, basado tema para responder las preguntas alterna para comprender que exis- en aquello que ven los intrusos planteadas anteriormente (sección ten tensiones entre las personas, y las ventajas que ofrecen las tec- repensando la seguridad de la infor- los procesos y la tecnología (KIELY, nologías. mación). L y BENZEL, T 2006) que deben ser El modelo de Administración de objeto de revisión permanente y así Conclusión la Inseguridad Informática (Figura 3) evaluar el impacto de las mismas en La realidad del creciente número presentado vincula los dos paradig- temas como las expectativas de la de vulnerabilidades reportadas, in- mas, el de riesgos y controles y el alta gerencia, la arquitectura de se- cidentes ocurridos y fallas identifica- del hacking, como una manera efec- guridad informática y las prácticas das nos invita a reflexionar sobre la tiva de procurar una administración de seguridad de las organizaciones. forma de cómo hemos venido afron- de la protección de la información, l tando los riesgos que éstas generan y los impactos de las mismas. En este sentido, el paradigma actual Sobre el Autor Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comer- de la seguridad de la información cio Electrónico, Telecomunicaciones e Informática (GECTI). Facultad de Derecho. ha entrado en crisis, por lo que se Universidad de los Andes. Colombia. Miembro Investigador de ALFA-REDI (Red requiere estudiar en profundidad la Latinoamericana de Especialistas en Derecho Informático). Ingeniero de Sistemas mente de los intrusos y sus reflexio- y Computación, Universidad de los Andes. Magíster en Ingeniería de Sistemas nes para comprender mejor lo que y Computación, Universidad de los Andes. Ph.D in Business Administration, Newport ocurre ante una falla. Por tanto, no University. Profesional certificado en Computer Forensic Analysis (CFA) del World es suficiente descubrir la falla puntal Institute for Security Enhacement, USA. Profesional certificado como Certified y analizar cómo se materializó, sino Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto: que se requiere una revisión relacio- jjcano@yahoo.com. nal de lo que ocurrió para entender 42 www.hakin9.org

Recomendados

Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_finalAltagracia Suero
 
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...Ricardo Cañizares Sales
 
Primera parte
Primera partePrimera parte
Primera parteMike Plane
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Portafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaPortafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaHerbert Arevalo
 
Guia didáctica curso
Guia didáctica curso Guia didáctica curso
Guia didáctica curso Universidad Tecnológica del Perú
 
R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)Uzziel Baltazar Moreno
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosMarcel Castillo
 

Recomendados

Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_finalAltagracia Suero
 
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...Ricardo Cañizares Sales
 
Primera parte
Primera partePrimera parte
Primera parteMike Plane
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Portafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaPortafolio 2 seguridad informatica
Portafolio 2 seguridad informaticaHerbert Arevalo
 
Guia didáctica curso
Guia didáctica curso Guia didáctica curso
Guia didáctica curso Universidad Tecnológica del Perú
 
R82388 (1)
R82388 (1)R82388 (1)
R82388 (1)Uzziel Baltazar Moreno
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosMarcel Castillo
 
Cobit
CobitCobit
Cobitalejenny
 
Seguridad informatica en mexico
Seguridad informatica en mexicoSeguridad informatica en mexico
Seguridad informatica en mexicoGael Rojas
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialxShaoranx1
 
RIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealRIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealJUAN MANUEL TORRES
 
Formación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosFormación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosBrandon Pérez
 
ADA #2
ADA #2ADA #2
ADA #2Patricio Eduardo
 
Tertulia revista computing - La era post-PC y el cloud computing
Tertulia revista computing - La era post-PC y el cloud computingTertulia revista computing - La era post-PC y el cloud computing
Tertulia revista computing - La era post-PC y el cloud computingBBVAtech
 
Presentacion 1
Presentacion 1Presentacion 1
Presentacion 1Adriancuesta
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistLizeth Rubio
 
Teoría General de Sistemas
Teoría General de SistemasTeoría General de Sistemas
Teoría General de SistemasJuan Piizz Z
 
Evaluacion 1
Evaluacion 1Evaluacion 1
Evaluacion 1Ketty Bernal
 
PROTECCION INFRAESTRUCTURAS CRITICAS
PROTECCION INFRAESTRUCTURAS CRITICASPROTECCION INFRAESTRUCTURAS CRITICAS
PROTECCION INFRAESTRUCTURAS CRITICASRicardo Cañizares Sales
 
2 conceptos basicosseguridadinformatica
2 conceptos basicosseguridadinformatica2 conceptos basicosseguridadinformatica
2 conceptos basicosseguridadinformaticajc_trinux
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2Adriancuesta
 
Administracion de la tecnologia de información
Administracion de la tecnologia de informaciónAdministracion de la tecnologia de información
Administracion de la tecnologia de informaciónheynan
 
Laminas Grudo 4expo sistemas de información
Laminas Grudo 4expo sistemas de informaciónLaminas Grudo 4expo sistemas de información
Laminas Grudo 4expo sistemas de informaciónRichard Rivero Carrasquel
 
Tecnología y Administración
Tecnología y AdministraciónTecnología y Administración
Tecnología y AdministraciónLitmar Aza Velarde
 
Tecnoligia y administracion
Tecnoligia y administracionTecnoligia y administracion
Tecnoligia y administracionJoanne Elizabeth
 
Còmo diseñar un plan de marketing
Còmo diseñar un plan de marketingCòmo diseñar un plan de marketing
Còmo diseñar un plan de marketingaulas-virtuales
 
Home photos
Home photosHome photos
Home photosderickjthomas
 
Cv visual
Cv visualCv visual
Cv visualCarlos Correa
 
Definitivas i 2011 santa ana
Definitivas i 2011 santa anaDefinitivas i 2011 santa ana
Definitivas i 2011 santa anaceleymarodriguezpdp
 

Más contenido relacionado

La actualidad más candente

Seguridad informatica en mexico
Seguridad informatica en mexicoSeguridad informatica en mexico
Seguridad informatica en mexicoGael Rojas
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialxShaoranx1
 
RIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealRIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealJUAN MANUEL TORRES
 
Formación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosFormación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosBrandon Pérez
 
Tertulia revista computing - La era post-PC y el cloud computing
Tertulia revista computing - La era post-PC y el cloud computingTertulia revista computing - La era post-PC y el cloud computing
Tertulia revista computing - La era post-PC y el cloud computingBBVAtech
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistLizeth Rubio
 
Teoría General de Sistemas
Teoría General de SistemasTeoría General de Sistemas
Teoría General de SistemasJuan Piizz Z
 
2 conceptos basicosseguridadinformatica
2 conceptos basicosseguridadinformatica2 conceptos basicosseguridadinformatica
2 conceptos basicosseguridadinformaticajc_trinux
 

La actualidad más candente (14)

Cobit
CobitCobit
Cobit
 
Seguridad informatica en mexico
Seguridad informatica en mexicoSeguridad informatica en mexico
Seguridad informatica en mexico
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
RIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealRIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & Villareal
 
Formación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosFormación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticos
 
ADA #2
ADA #2ADA #2
ADA #2
 
Tertulia revista computing - La era post-PC y el cloud computing
Tertulia revista computing - La era post-PC y el cloud computingTertulia revista computing - La era post-PC y el cloud computing
Tertulia revista computing - La era post-PC y el cloud computing
 
Presentacion 1
Presentacion 1Presentacion 1
Presentacion 1
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asist
 
Teoría General de Sistemas
Teoría General de SistemasTeoría General de Sistemas
Teoría General de Sistemas
 
Evaluacion 1
Evaluacion 1Evaluacion 1
Evaluacion 1
 
PROTECCION INFRAESTRUCTURAS CRITICAS
PROTECCION INFRAESTRUCTURAS CRITICASPROTECCION INFRAESTRUCTURAS CRITICAS
PROTECCION INFRAESTRUCTURAS CRITICAS
 
2 conceptos basicosseguridadinformatica
2 conceptos basicosseguridadinformatica2 conceptos basicosseguridadinformatica
2 conceptos basicosseguridadinformatica
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 

Destacado

Administracion de la tecnologia de información
Administracion de la tecnologia de informaciónAdministracion de la tecnologia de información
Administracion de la tecnologia de informaciónheynan
 
Laminas Grudo 4expo sistemas de información
Laminas Grudo 4expo sistemas de informaciónLaminas Grudo 4expo sistemas de información
Laminas Grudo 4expo sistemas de informaciónRichard Rivero Carrasquel
 
Tecnoligia y administracion
Tecnoligia y administracionTecnoligia y administracion
Tecnoligia y administracionJoanne Elizabeth
 
Còmo diseñar un plan de marketing
Còmo diseñar un plan de marketingCòmo diseñar un plan de marketing
Còmo diseñar un plan de marketingaulas-virtuales
 
Informática presentación1
Informática presentación1Informática presentación1
Informática presentación1enanosalut
 
Presentación proyecto 1
Presentación proyecto 1Presentación proyecto 1
Presentación proyecto 1hugoson
 
Enchinarrado de estrellas disco libro bueno
Enchinarrado de estrellas disco libro buenoEnchinarrado de estrellas disco libro bueno
Enchinarrado de estrellas disco libro buenoenchirranado
 
Estratégia Realinhamento dos Serviços Públicos
Estratégia Realinhamento dos Serviços PúblicosEstratégia Realinhamento dos Serviços Públicos
Estratégia Realinhamento dos Serviços PúblicosGovBR
 
Doctors Private Practice
Doctors Private PracticeDoctors Private Practice
Doctors Private PracticeAdv. T.K Sujith
 
Novo Paradigma das Compras Governamentais
Novo Paradigma das Compras GovernamentaisNovo Paradigma das Compras Governamentais
Novo Paradigma das Compras GovernamentaisGovBR
 
Carreras profesionales vigil
Carreras profesionales vigilCarreras profesionales vigil
Carreras profesionales vigilDelia Lk M
 
Clicar para visualisação
Clicar para visualisaçãoClicar para visualisação
Clicar para visualisaçãojruaca
 

Destacado (20)

Administracion de la tecnologia de información
Administracion de la tecnologia de informaciónAdministracion de la tecnologia de información
Administracion de la tecnologia de información
 
Laminas Grudo 4expo sistemas de información
Laminas Grudo 4expo sistemas de informaciónLaminas Grudo 4expo sistemas de información
Laminas Grudo 4expo sistemas de información
 
Tecnología y Administración
Tecnología y AdministraciónTecnología y Administración
Tecnología y Administración
 
Tecnoligia y administracion
Tecnoligia y administracionTecnoligia y administracion
Tecnoligia y administracion
 
Còmo diseñar un plan de marketing
Còmo diseñar un plan de marketingCòmo diseñar un plan de marketing
Còmo diseñar un plan de marketing
 
Home photos
Home photosHome photos
Home photos
 
Cv visual
Cv visualCv visual
Cv visual
 
Definitivas i 2011 santa ana
Definitivas i 2011 santa anaDefinitivas i 2011 santa ana
Definitivas i 2011 santa ana
 
Informática presentación1
Informática presentación1Informática presentación1
Informática presentación1
 
Presentación proyecto 1
Presentación proyecto 1Presentación proyecto 1
Presentación proyecto 1
 
Liçao03
Liçao03Liçao03
Liçao03
 
Alto Verão Dyfteria!
Alto Verão Dyfteria!Alto Verão Dyfteria!
Alto Verão Dyfteria!
 
Cansado de no entender
Cansado de no entenderCansado de no entender
Cansado de no entender
 
Enchinarrado de estrellas disco libro bueno
Enchinarrado de estrellas disco libro buenoEnchinarrado de estrellas disco libro bueno
Enchinarrado de estrellas disco libro bueno
 
Estratégia Realinhamento dos Serviços Públicos
Estratégia Realinhamento dos Serviços PúblicosEstratégia Realinhamento dos Serviços Públicos
Estratégia Realinhamento dos Serviços Públicos
 
Doctors Private Practice
Doctors Private PracticeDoctors Private Practice
Doctors Private Practice
 
Novo Paradigma das Compras Governamentais
Novo Paradigma das Compras GovernamentaisNovo Paradigma das Compras Governamentais
Novo Paradigma das Compras Governamentais
 
Carreras profesionales vigil
Carreras profesionales vigilCarreras profesionales vigil
Carreras profesionales vigil
 
Dibujos
DibujosDibujos
Dibujos
 
Clicar para visualisação
Clicar para visualisaçãoClicar para visualisação
Clicar para visualisação
 

Similar a Hakin9 inseguridad

07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaWaldo Arteaga
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadGuiro Lin
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaFernando Sánchez
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesYESENIA CETINA
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Inseguridad informática
Inseguridad informática Inseguridad informática
Inseguridad informática Diana Luna
 

Similar a Hakin9 inseguridad (20)

Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normas
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacion
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocio
 
Que es la seguridad patrimonial
Que es la seguridad patrimonialQue es la seguridad patrimonial
Que es la seguridad patrimonial
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Ciber seguridad
Ciber seguridadCiber seguridad
Ciber seguridad
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridad
 
SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO
SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTOSEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO
SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Inseguridad informática
Inseguridad informática Inseguridad informática
Inseguridad informática
 

Último

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (16)

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

Hakin9 inseguridad

  • 1. Administrando la Inseguridad Informática Defensa Jeimy J. Cano Grado de dificultad Este documento busca repensar la seguridad de la información desde el concepto de la inseguridad, para que, tratando de aprender de la mente del atacante, se descubra cómo diseñar y construir sistemas menos inseguros, como una estrategia para destruir la falsa sensación de seguridad y animar una postura vigilante y proactiva en la gestión de la seguridad de la información. L a única constante en el mundo de la se- sobresalientes de la inseguridad. Si miramos guridad de la información, es la inseguri- con detalle estas dos consideraciones, no dad. En este sentido, las organizaciones responden necesariamente a un problema de luchan día a día para tratar de eliminar o mitigar seguridad tecnológico, sino procedimental y de las posibles vulnerabilidades que se presentan concientización. Los intrusos saben y com- en sus infraestructuras tecnológicas o en sus prenden que detrás de las infraestructuras de procedimientos que apoyan el negocio. seguridad de la información está ese elemento Revisando los recientes artículos e informes que las organizaciones hoy por hoy se resisten de vulnerabilidades (WILLIAMS, M. 2006, MI- a entrenar, a formar, a hacer parte formal de MOSO, M. y SAVAGE, M. 2006, BEAVER, K. su modelo de seguridad, los usuarios. (BEA- 2006, ROITER, N. 2006), se hace evidente que VER, K. 2006). Esta realidad, se manifiesta en la inseguridad informática es un elemento pro- importantes incrementos de robo de identidad pio de la dinámica de las organizaciones en ca- y fraudes bancarios a través de Internet que re- da uno de sus procesos. Mientras las empresas quieren una revisión profunda de nuestra com- buscan alcanzar un nivel superior de seguridad, más se encuentran con la problemática de la inseguridad, pues los procesos en sí mismos, al En este artículo aprenderás... ser redes de comunicaciones y acuerdos entre • Cómo diseñar y construir sistemas menos inse- personas, tecnologías y normas, establecen guros, relaciones y distinciones que generalmente • Cómo animar un apostura vigilante y proactiva no son distinguibles, haciendo de la labor de en la gestión de la seguridad informática. aseguramiento de la información más que una función tecnológica, acciones humanas y pro- Lo que deberías saber... cesos administrativos y estratégicos. Durante el 2006, los robos de información • Concepto de la inversión y las vulnerabilidades y la exposición de datos (http://attrition.org/ en la seguridad informática. dataloss/), fueron las manifestaciones más 36 www.hakin9.org
  • 2. Inseguridad Informática prensión de la seguridad, más allá • La habilidad como la capacidad dustria, en teoría la seguridad es per- de las fallas y las vulnerabilidades. de hacer, desarrollar y actuar en fecta, en la práctica no, esta expresión En este sentido, repensar el consecuencia con ese conoci- nos sugiere que si bien, las especifi- discurso de administración de la miento. caciones matemáticas utilizadas para seguridad exige de los profesionales • La actitud, como la disposición darle claridad a las relaciones que se y directivos de seguridad aprender a del individuo frente a los retos establecen entre usuarios y objetos comprender el dual que combaten: la que propone el área de conoci- son verificables en un escenario ideal, inseguridad informática. Compren- miento y su manera de enfrentar la realidad de las organizaciones y el der el lado oscuro implica reconocer y motivar el desarrollo de habili- desarrollo de software desbordan di- que tenemos que desaprender, que dades complementarias para ir chas expectativas. nuestras actuales estrategias se más allá de lo que su entorno le La seguridad ha estado basada limitan a mantener y utilizar más tec- propone. todo el tiempo en la comprensión nologías, y no a comprender en pro- de tres elementos fundamentales fundidad las relaciones complejas En ese contexto, desarrollar el hábito y cómo alcanzarlos en cada una de que exhibe la organización y cómo de la Administración de la Inseguridad las implementaciones de modelos allí se hace presente o se materiali- Informática – ADINSI – implica hacer de seguridad: confidencialidad, inte- za la inseguridad. (THE HONEYNET de ésta una pasión, una disciplina gridad y disponibilidad – CID. Con- PROJECT 2004, TAYLOR, R., CAE- individual que permita a las organi- secuente con lo anterior, cualquier TI, T., KALL LOPER, D., FRITSCH, zaciones mantener una posición pro- intento para vulnerar alguno de éstos E. y LIEDERBACH, J. 2006). activa frente a posibles e inesperados elementos, se considerará un intento En consecuencia, las organiza- eventos, para los cuales puede no o ataque al activo fundamental que ciones deben reconocer que parte estar preparadas, pero conscientes es la información. del secreto para incrementar los sobre cómo aprender de ellos. Siguiendo la revisión anterior, se niveles de seguridad, está en la Basado en lo anterior, se presen- tiene que los ataques se presentan administración de la inseguridad in- ta este documento que examina los dado que existen escenarios y prác- formática. Expresado de otra for- conceptos actuales de la seguridad ticas que no aseguran el cumpli- ma, que tan seguros pueden llegar de la información, algunas conside- miento del CID para la información a ser, reconociendo siempre que la raciones de inversión en temas de a proteger, característica que en inseguridad de la información estará seguridad, los cuales serán insumo el mundo de la auditoría se deno- presente para desafiarlas una y otra para proponer un modelo base para mina riesgo. Un riesgo, de manera vez. la administración de la inseguridad y general, es todo aquello que no me Las implicaciones de esta pro- así ver, bajo la mirada de los intrusos, permite el logro de los objetivos; en puesta exigen desarrollar un hábito tendencias emergentes y estrategias particular, en temas de seguridad de que busque confrontar la inseguri- consecuentes con este modelo. la información, todo aquello que no dad de la información y no solamen- me permite cumplir con CID. te su control o mitigación. En razón Concepto tradicional Generalmente al adelantar un pro- a lo anterior, desarrollar un hábito de la seguridad de la ceso de administración de la seguri- requiere según Covey (2005 pág. información dad de la información, se establece 51) tres elementos: el conocimiento, La seguridad de la información desde lo que se denomina un conjunto de la habilidad y la actitud. los años 60 se ha desarrollado como procesos a revisar y la información una distinción formal, basada gene- asociada con el mismo. Este proce- • El conocimiento, como la capa- ralmente en teorías matemáticas, las so se basa por lo general en un pro- cidad de comprender en detalle cuales terminaron materializadas en grama de protección de activos de la los aspectos conceptuales rela- implementaciones de software, hard- organización (KOVACICH, G. y HA- cionados con el área de trabajo ware y productos intermedios. Como LIBOZEK, E. 2006) que considera donde se ejerce. bien comentaba una persona de la in- las políticas, los procedimientos, los procesos, los proyectos, los planes Tabla 1. Características de la Seguridad y de la Inseguridad (Tomado de: y las responsabilidades de cada uno CANO, J. 2006) de los actores de la organización frente a los activos. A través de es- Seguridad Inseguridad te programa se operacionalizan las Subjetiva Objetiva medidas requeridas para mitigar los No tiene cota superior Es posible establecerle cota superior riesgos a los cuales esta expuesta la Intangible Tangible información. La valoración de qué tan efectivo Es una propiedad emergente Es una propiedad inherente ha sido el proceso de administración Se require modelarla No se require modelarla de la seguridad generalmente se www.hakin9.org 37
  • 3. Defensa mide según el número de incidentes respuesta a este interrogante será En un segundo lugar se encuen- que se han presentado en la dinámi- desarrollada posteriormente. tran las inversiones en tecnologías de ca de la organización y su negocio. autenticación, autorización, auditoría Para ello, ejercicios como las prue- Algunas y monitoreo, las cuales de manera bas de vulnerabilidades, las evalua- consideraciones sobre estratégica soportan y registran los ciones de seguridad y las auditorías la inversión y las eventos y el acceso a la información de seguridad (CANO 1997) son refe- vulnerabilidades en dentro de la infraestructura de tecno- rentes útiles para establecer el grado seguridad informática logías de información de la organi- en que las vulnerabilidades se hacen Las organizaciones que reconocen zación. En tercer lugar, se identifica presentes tanto en la infraestructura en la información un activo funda- las inversiones en el tema de ase- como en los procesos de negocio. mental para desarrollar negocios guramiento de aplicaciones, fortale- Si revisamos las prácticas actua- y sobrevivir en un mundo global, por cimiento de sistemas operacionales, les de las organizaciones alrededor lo general establecen presupuestos valoración de la seguridad, las cuales de una administración de la seguri- que consideran inversiones (general- establecen buenas prácticas que per- dad de la información, identificamos mente de un dígito) en los temas de miten afianzar la distinción de gestión una fuerte tendencia al uso de tec- aseguramiento o protección de dicho de la seguridad de la información nologías y utilización de estándares activo. Dichas inversiones fueron re- Finalmente, las inversiones sobre o buenas prácticas internacionales visadas por un estudio realizado por revisión y análisis de los datos que (KUPER, P. 2005), como una es- la firma Stanley Morgan durante el están residentes en la infraestructu- trategia para avanzar en su lucha 2005 (KUPER, P. 2005), cuyos resul- ra de computación de la empresa, la contra la inseguridad, pero pocos tados se detallan a continuación. clasificación de la información y las elementos que procuren entender La firma Stanley Morgan encontró relaciones entre aplicaciones, proce- esta última. que las mayores inversiones en se- dimientos de operación y control de En consecuencia con lo anterior, guridad se efectúan en temas de se- datos, uso de estándares internacio- el concepto de seguridad, como el guridad perimetral, es decir, cajas de nales, entre otras. proceso formal y riguroso para man- protección de seguridad anti-spam, Al revisar estos resultados, es tener un sistema de gestión orienta- anti-virus, anti-spyware, las cuales extraño ver que la menor inversión do a la protección de la información, generalmente viene preconfiguradas se concentra en la esencia misma sustentado en las estrategias y di- e instaladas, haciendo mucho más de la seguridad informática, los da- námica de negocio, entra en crisis fácil su uso y puesta en producción. tos, la información, y que la mayor al saber que la inseguridad presente Dichas cajas generalmente poseen se orienta a la adquisición de tec- dentro del sistema atenta contra su una interfase de administración que nologías para controlar en el exterior propio objetivo. La pregunta que sur- permite a los responsables de segu- la aparición de amenazas contra el ge es: ¿qué hacer frente a la inse- ridad mirar la efectividad del control activo información. guridad o riesgos inherentes a la de las amenazas para las cuales han Consecuente con este análisis, realidad de las organizaciones? La sido adquiridas. se adelantó una revisión paralela, siguiendo la misma estrategia del estudio de Stanley Morgan, para ver cómo evolucionan las vulnerabilida- des, los resultados obtenidos esta- blecen reflexiones que presentan en los siguientes párrafos. Las mayores vulnerabilidades se presentan a nivel de los datos, de la información, generalmente asociadas con la falta de cultura de seguridad, la inadecuada disposición de medios de información, inadecuadas prácticas de seguridad asociadas con vulne- rabilidades donde el factor humano y el incumplimiento de procedimientos se hacen presentes. Esta realidad se evidencia en todas las organizacio- nes en mayor o menor grado, según los esfuerzos de entrenamiento, infor- Figura. 1 Análisis de la inversión en Seguridad Informática. [Adaptado de: mación, capacitación y formación del KUPER, P. 2005] personal de las áreas de negocio. 38 www.hakin9.org
  • 4. Inseguridad Informática En segundo lugar tenemos las vulnerabilidades propias a las apli- caciones, las cuales frecuentemente están enraizadas en problemas con las herramientas y prácticas de pro- gramación, lo cual exige comprender que una aplicación está hecha tanto para cumplir con la especificación con la cual fue diseñada como para fallar ante un evento no esperado. En tercer lugar, tenemos las fallas a nivel de comunicaciones. Los proto- colos utilizados en las transmisiones de información tienen vulnerabili- dades inherentes, las cuales con el tiempo se han venido detectando y corrigiendo, cuando es posible, o li- mitando la aparición de las mismas con tecnologías de seguridad que blo- Figura 2. Análisis de la evolución de las vulnerabilidades quean tráficos que puedan ser cata- logados como sospechosos. mación es una disciplina que, sus- • ¿Cómo funciona el sistema? Finalmente, tenemos las vulnera- tentada en la formalidad original de • ¿Cómo no funciona el sistema? bilidades propias de los proveedores los años 60’s, se ha fortalecido como • ¿Cómo reacciona ante una falla o y sus productos, los cuales constan- un mundo tecnológico y normativo, situación inesperada? temente están trabajando para pro- donde cualquier anormalidad que • ¿Cómo hacerlo fallar? ducir los parches y actualizaciones se presente es una falla o vulnera- requeridas para mitigar el riesgo que bilidad que debe ser controlada o mi- De acuerdo con una reciente investi- pueda comprometer la seguridad de tigada. Esta manera de razonar, ha gación (CANO 2006) y considerando la organización frente a las amenazas permitido avances importantes en los elementos anteriormente presen- que cubre dicho software o hardware. las tecnologías de protección, que tados (Figura 1 y 2), se establecen Como podemos observar al de manera sistemática y asidua ha cinco características que identifican comparar los dos resultados, el de logrado importantes desarrollos y pro- tanto a la seguridad como a la inse- inversión y el de vulnerabilidades, se puestas para enfrentar el lado oscu- guridad, las cuales serán analizadas invierte donde existen menos vulne- ro de la fuerza, la inseguridad. y detalladas a continuación. rabilidades. Por tanto, la seguridad, Si analizamos estos últimos 40 La seguridad es una realidad aunque reconocemos que es un pro- años de evolución de la seguridad subjetiva, es decir propia del sujeto. ceso y no un producto, está siendo ad- informática, podemos ver que las Cada una de las personas tiene una ministrada en función de los recursos investigaciones se han concentrado manera de comprender y entender tecnológicos y las posibilidades que en revisar las limitaciones de los la seguridad. Es tan válida la defini- estos ofrecen. La pregunta es: ¿qué productos y teorías alrededor de la ción de un ciudadano común, como hacer para remediar esta situación? seguridad, es decir, hemos estado la de un especialista en temas de estudiando la inseguridad infor- seguridad, pues cada uno de ellos Repensando la mática como factor base para los comprende la realidad de la seguri- seguridad de la nuevos desarrollos (HUTCHINSON, dad según su exposición a la misma. información B. y WARREN, M. 2001 Cap.4). Si Mientras que la inseguridad es obje- Basado en lo revisado hasta el esto es así, no podemos hablar de tiva, es decir, propia al objeto, una momento, la seguridad de la infor- seguridad de la información, sin re- realidad perceptible, observable y ve- conocer su dual, la inseguridad (CA- rificable en el objeto. En este senti- NO 2004). do, la inseguridad valida la esencia Agradecimientos El autor agradece al Dr. Jorge Ramió En consecuencia, estudiar la misma del análisis de riesgos, pues Aguirre, a la Maestra Gabriela María inseguridad como estrategia para sólo a través de hechos cumplidos, Saucedo Meza y al Ingeniero Andrés comprender la seguridad sugiere verificables y comprobables pode- Ricardo Almanza Junco por su tiempo contextualizar en un escenario real mos medir el nivel de exposición que y valiosos comentarios que permitieron la incertidumbre inherente del siste- tenemos y cómo podemos advertir afinar y ajustar las ideas expuestas en ma o realidad a modelar, para revisar mejores medidas de control para este artículo. entre otros aspectos (SCHNEIER mitigarlo, atomizarlo, minimizarlo 2003, pag. 51): o transferirlo. www.hakin9.org 39
  • 5. Defensa La seguridad no tiene cota su- Al ser la seguridad un intangible, algo tenga las características que perior, en otras palabras, siempre es necesariamente responde a una pro- perseguimos. Si queremos que los posible encontrar una medida que sea piedad emergente de un sistema. activos gocen de seguridad, nos más efectiva y/o eficiente que la an- Una propiedad emergente, es aque- enfocamos en primer lugar a com- terior. Esto es fruto normal de la evo- lla que tienen los sistemas, fruto de prender los riesgos a los cuales está lución de las medidas de protección, la relación entre sus elementos y no expuesto, para desarrollar las estra- que entendiendo ¿cómo no funciona particular a un objeto que lo confor- tegias de seguridad requeridas y así el sistema? es posible plantear es- ma, en otras palabras, la seguridad lograr un nivel de exposición menor trategias que mejoren lo actualmente es fruto de la relación existente en- de dichos activos. Por otro lado, la disponible. Si la inseguridad no tuvie- tre la tecnología, los procesos y los inseguridad no requiere de modelos se cota superior como la seguridad, individuos, como un todo coherente o diseños específicos o detallados, los seguros no existirían ni se podrían y alineado que comprende que no ella sabe que todos los objetos la con- pagar. Es tal nuestra necesidad de es posible alcanzar mayores niveles tienen y sus manifestaciones se pue- mantener un nivel de protección, que de seguridad sin un entendimiento den manifestar en diferentes grados debemos tratar de cuantificar el nivel o comprensión de las interrelacio- o impactos. En este sentido la inse- de inseguridad que podemos admi- nes, muchas veces invisibles, que la guridad es una propiedad inherente nistrar, siguiendo paradójicamente un seguridad sugiere cuando de protec- a los objetos que advierte la manera nivel base de prácticas de seguridad ción de activos se trata. de cómo establecer los mecanismos y la dinámica de los procesos de ne- De otra parte, la inseguridad es mínimos para limitar la materializa- gocio. En este sentido, podemos esta- una propiedad inherente a los objetos, ción de la misma en un escenario blecer un límite superior de exposición una realidad que deber ser evidencia- con unos actores y variables. o riesgo que queremos asegurar, con da y explorada para ser comprendida, Basado en esta exploración de las condiciones y precauciones que el lo cual nos lleva necesariamente a la los conceptos de seguridad e inse- asegurador establezca como mínimas aparición de la administración de ries- guridad es posible sugerir que es para poder validar y pagar los daños gos. Cuando entendemos que en el arriesgado afirmar que podría ad- como fruto de la materialización del mundo donde nos movemos estamos ministrarse la seguridad cuando la riesgo, más allá de nuestro debido expuestos a ellos, hacemos evidente inseguridad propia de los objetos cuidado y diligencia para mantenerlo que la inseguridad está presente en nos muestra elementos reales y tan- en los niveles establecidos. nuestro vivir y por tanto, es preciso gibles que ofrecen características de La seguridad es intangible, no advertir una serie de acciones que gestión que pueden llegar a ser ana- está en los mecanismos de seguri- nos permitan mitigarlos. Es darle res- lizados y cuantificados de tal forma, dad, no está en los procedimientos, puesta a la pregunta ¿Qué hacer si el que se planteen métricas de insegu- no está en las personas o en los sistema falla? ridad que basadas en buenas prácti- cargos. La seguridad, complemen- Cuando se habla de modelar cas de seguridad y control, puedan taría al tema de la subjetividad o diseñar algo, buscamos que ese alcanzar niveles mínimos permitidos previamente analizado, es la mani- festación de que estamos ante un bien cuyo manejo no es evidente En la Red: • BEAVER, K. (2006) Don't Spring a Leak. Information Security Magazine. Enero. Dis- ni certero gracias a su volatilidad, ponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_ fruto de la percepción de terceros. gci1154838,00.html, Por ejemplo, si nos detenemos a ob- • CANO, J. (1997) Auditorías de Seguridad, Evaluaciones de Seguridad y Pruebas servar la variabilidad de los merca- de penetración: tres paradigmas en la seguridad informática. Disponible en: http:// dos financieros ante incertidumbres www.derechotecnologico.com/estrado/estrado003.html, geopolíticas, nos percataremos de • CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informá- cómo se destruye la sensación de tica. http://www.virusprot.com/art47.html, seguridad de los inversionistas oca- • WILLIAMS, M. (2006) Security threat changing, says Symantec CEO. Disponible sionando efectos devastadores en en: http://www.networkworld.com/news/2006/110306-security-threat-changing- says-symantec.html, los movimientos financieros. En con- • MIMOSO, M. y SAVAGE, M. (2006) Today's Attackers Can Find the Needle. Infor- secuencia y complementario con lo mation Security Magazine. Junio. Disponible en: http://informationsecurity.techtar anterior, la inseguridad es tangible, get.com/magItem/0,291266,sid42_gci1191313,00.html, es posible advertir el robo, la estafa, • ROITER, N. (2006) That Sinking Feeling. Information Security Magazine. Octubre. el accidente, la catástrofe, es una Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_ propiedad que es evidenciable y ve- gci1219723,00.html, rificable, esa que se puede valorar • SAVAGE, M. (2006) Protect What's Precious. Information Security Magazine. con hechos y cifras, soportando un Diciembre. Disponible en: http://informationsecurity.techtarget.com/magItem/ análisis real de los daños y efectos 0,291266,sid42_gci1232273,00.html. que ésta ha tenido. 40 www.hakin9.org
  • 6. Inseguridad Informática y así mantener asegurados los bie- de la gestión del modelo de seguri- cretos en cada uno de los elementos nes o activos que se tengan bajo dad (SCHOU, C. y SHOEMAKER, de evaluación y que exige personal observación y custodia. D. 2007). Si bien este razonamiento especializado en el conocimiento Si la reflexión anterior es correc- es útil por la manera sistemática de de los objetos evaluados. Como re- ta se requiere repensar la adminis- aprender del sistema y sus fallas, sultado de este ejercicio tenemos la tración de la seguridad, por una de presenta limitaciones para desapren- evidencia de los riesgos y controles inseguridad donde, haciendo eviden- der de sus prácticas aprendidas, requeridos para mitigar la presencia te cada una de las características de cuando se enfrenta a situaciones de la inseguridad. (KOVACICH, G. esta última, podamos desaprender inesperadas o no contempladas en y HALIBOZEK, E. 2006) las prácticas actuales de administra- el modelo. Entender la inseguridad significa ción del riesgo focalizadas en obje- Para lograr materializar las ideas comprender las relaciones de los ele- tos, para reconocer en las relaciones presentadas previamente y darle mentos que son objeto de evaluación. que generan las expectativas de la una posible respuesta a la pregunta Esto implica revisar de manera sisté- gerencia (COHEN, F. 2005), los pro- planteada: ¿qué hacer frente a la in- mica e inteligente (SCHWANINGER, cesos de negocio y la infraestructura seguridad o riesgos inherentes a la M. 2006, cap. 1 y 2) los resultados de computación, una fuente comple- realidad de las organizaciones?, se de la evaluación considerando, como mentaria para el entendimiento de propone un modelo de administración mínimo, los aspectos de la tecnolo- las vulnerabilidades en los sistemas. de inseguridad informática basado en gía, los individuos y los procesos, no dos ideas principales: descubrir la in- para analizar lo que ocurre, sino para Hacia un modelo de seguridad y entender la inseguridad. comprender porqué ocurre y efectuar Administración de El descubrir la inseguridad es un diagnóstico de la situación. En po- Inseguridad Informática utilizar el enfoque tradicional (siste- cas palabras en términos sistémicos, Los modelos actuales de adminis- mático) de administración de riesgos administrar la variedad y complejidad tración de seguridad, generalmente que se viene utilizando, donde los que exhibe el sistema. buscan descubrir y corregir las fallas, ejercicios de valoración de seguri- Cuando se aplican las conside- pero no generan estrategias forma- dad requieren un conocimiento es- raciones sistemáticas y sistémicas les para entender la inseguridad; se pecializado, fundado generalmente al mismo tiempo, se comprenden de concentran en establecer las correc- en herramientas y estrategias prácti- manera complementaria los ejerci- ciones y los controles requeridos pa- cas para identificar vulnerabilidades, cios tradicionales de seguridad y se ra mejorar la efectividad y eficiencia orientado a resultados prácticos y con- posibilita un diagnóstico real de una situación anormal. Este diagnóstico puede llevarnos a desaprender lo Librería conocido y a establecer nuevas dis- tinciones en cualquiera de los niveles • CANO, J. (2006) Information Insecurity: A dual concept of information security. Pro- de análisis (estratégico, táctico y ope- ceeding of 2nd Internacional Conference on E-Global Security. Londres, UK. Abril. racional), generando conocimiento • COHEN, F. (2005) Security Governance: Business Operations, security governan- que alimente el desarrollo de mejores ce, risk management and enterprise security architecture. ASP Press. estrategias de negocio, la aplicación • COVEY, S. (2005) El octavo hábito. De la efectividad a la grandeza. Editorial Pai- de estándares y buenas prácticas, dos. • HUTCHINSON, B. y WARREN, M. (2001) Information warfare. Corporate attack así como una asertiva ejecución los and defense in a digital world. Butterworth Heinemann. procedimientos de operación. • KIELY, L y BENZEL, T (2006) Systemic security management. IEEE Security & El modelo presentado (Figura 3) Privacy. Noviembre/Diciembre. pretende, que la organización de ma- • KOVACICH, G. y HALIBOZEK, E. (2006) Security metrics management. How to nera dinámica, comprenda que cada manage the cost of an assets protection program. Butterworth Heinemann. nivel afecta a su nivel superior, esto • KUPER, P. (2005) The state of security. IEEE Security & Privacy. Septiembre/ es, lo que se evidencie en el análisis Octubre y diagnóstico del nivel operacional • SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncer- afecta al nivel táctico y así sucesiva- tain world. Copernicus Books. mente, evitando la fragmentación de • SCHOU, C. y SHOEMAKER, D. (2007) Information Assurance for the enterprise. la visión de seguridad y promovien- A roadmap to information security. McGraw Hill. • SCHWANINGER, M. (2006) Intelligent organizations. Powerful models for syste- do una postura proactiva y global de mic management. Springer Verlag. la organización, que reconoce en la • TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. seguridad la propiedad emergente (2006) Digital crime and digital terrorism. Pearson Prentice Hall. fruto del reconocimiento y enten- • THE HONEYNET PROJECT (2004) Know your enemy. Learning about security dimiento de los riesgos inherentes threats. Addison Wesley. a cada uno de los objetos que la conforman. www.hakin9.org 41
  • 7. Defensa Figura 3. Modelo de Administración de la Inseguridad Informática Si esto es así, la organización de manera estructural el porqué de cuya dinámica de aplicación debe destruirá estructuralmente la falsa ésta. llevar a una distinción organizacional sensación de seguridad y la re- Por tanto, se hace necesario sobre la gestión de la inseguridad emplazará por una estrategia de complementar el modelo de riesgos de la información que se denomi- aprendizaje permanente sobre los y controles actual, con uno basado na en la teoría information assuran- incidentes que se presenten, como en las técnicas de hacking, que más ce (SCHOU, C. y SHOEMAKER, D. la norma misma de la gestión de allá de estar concentrado en los 2007) o aseguramiento de la infor- éstos. Esto es, tomará ventaja de lo activos a proteger y sus vulnerabi- mación. que aprende de la inseguridad de la lidades, reconoce las relaciones de Finalmente, el modelo de ADINSI información, para construir mejores los diferentes componentes del sis- propuesto (Figura 3) es una manera propuestas de protección, basado tema para responder las preguntas alterna para comprender que exis- en aquello que ven los intrusos planteadas anteriormente (sección ten tensiones entre las personas, y las ventajas que ofrecen las tec- repensando la seguridad de la infor- los procesos y la tecnología (KIELY, nologías. mación). L y BENZEL, T 2006) que deben ser El modelo de Administración de objeto de revisión permanente y así Conclusión la Inseguridad Informática (Figura 3) evaluar el impacto de las mismas en La realidad del creciente número presentado vincula los dos paradig- temas como las expectativas de la de vulnerabilidades reportadas, in- mas, el de riesgos y controles y el alta gerencia, la arquitectura de se- cidentes ocurridos y fallas identifica- del hacking, como una manera efec- guridad informática y las prácticas das nos invita a reflexionar sobre la tiva de procurar una administración de seguridad de las organizaciones. forma de cómo hemos venido afron- de la protección de la información, l tando los riesgos que éstas generan y los impactos de las mismas. En este sentido, el paradigma actual Sobre el Autor Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comer- de la seguridad de la información cio Electrónico, Telecomunicaciones e Informática (GECTI). Facultad de Derecho. ha entrado en crisis, por lo que se Universidad de los Andes. Colombia. Miembro Investigador de ALFA-REDI (Red requiere estudiar en profundidad la Latinoamericana de Especialistas en Derecho Informático). Ingeniero de Sistemas mente de los intrusos y sus reflexio- y Computación, Universidad de los Andes. Magíster en Ingeniería de Sistemas nes para comprender mejor lo que y Computación, Universidad de los Andes. Ph.D in Business Administration, Newport ocurre ante una falla. Por tanto, no University. Profesional certificado en Computer Forensic Analysis (CFA) del World es suficiente descubrir la falla puntal Institute for Security Enhacement, USA. Profesional certificado como Certified y analizar cómo se materializó, sino Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto: que se requiere una revisión relacio- jjcano@yahoo.com. nal de lo que ocurrió para entender 42 www.hakin9.org