Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

¿Dónde está el problema?

Anuncio 
¿Dónde está el problema?
La inseguridad digital es mucho más compleja que la mera tecnología, pues
involucra al factor humano. El asunto dejó de ser zona reservada para especialistas
Incrementar
la seguridad
significa
establecer
políticas
administrativas
adecuadas,
evitar riesgos, y
quitar incentivos
perversos,
y no nada
más comprar
hardware y
software.
EXTRACTOS DE UN REPORTAJE
PUBLICADO EN POLÍTICA DIGITAL,
NÚMERO 12. COPYRIGHT
THE ECONOMIST. TODOS LOS
DERECHOS RESERVADOS.
1 < Política digital
N
o hace mucho, la gente prestaba poca atención
a la seguridad computacional con excepción de
algunas áreas especializadas –como los sistemas bancarios, aeronáuticos o militares– que dependen
de computadoras y redes. Pero ahora los usuarios, las
empresas y los gobiernos de todo el mundo se desvelan
con este tema. ¿Por qué?
La respuesta, aparentemente obvia, es que los ataques terroristas ocurridos en Estados Unidos levantaron
el perfil de la seguridad en todas sus formas. Pero la
verdadera respuesta es el profundo cambio cultural por
el que estamos atravesando. La seguridad digital se ha
vuelto importante en la medida en que más aspectos de
la vida personal y comercial dependen de las computadoras. En pocas palabras, la computación se encuentra
a mitad de camino entre una herramienta opcional y un
servicio de utilidad pública.
Estos servicios de utilidad pública han llegado a ser
tan confiables que la gente sólo los detecta cuando dejan de funcionar. Tal es el caso del agua potable, el gas,
la electricidad o la telefonía. Resulta evidente que el
mundo digital se mueve en esa dirección.
Uno de los prerrequisitos para que la computación llegue a ser un servicio como los mencionados es que cuente
con la seguridad adecuada. Aún resulta peligroso confiar
un negocio, la información personal o incluso nuestra vida a un sistema de seguridad lleno de agujeros.
Internet: apertura y vulnerabilidad
La facilidad para conectarse o acceder de manera remota
a la red tiene un inconveniente: la seguridad del sistema
puede ser violada. Bruce Schneier, experto en seguridad,
señala que al abrir una tienda que da a la calle entrarán
tanto clientes como ladrones. “No puedes tener a unos
sin los otros,” comenta. “Lo mismo sucede con Internet”.
Los funcionarios del gobierno estadunidense, encabezados en su tiempo por Richard Clarke, zar de la
ciberseguridad en ese país, alertaron acerca de la posibilidad de que un grupo terrorista provoque un “Pearl
Harbor electrónico”, penetrando los sistemas críticos
que controlan las telecomunicaciones, la electricidad y
los servicios de infraestructura con el propósito de paralizar a Estados Unidos desde un lugar remoto con unos
cuantos clics del mouse. La mayoría de los expertos en
seguridad no creen que esto pueda ocurrir, pero Scott
Charney, quien fuera el primer jefe de Delitos Informá-
ticos del Departamento de Justicia de ese país, afirma
que los miedos que cultivó Clarke “no ayudan, pero al
menos hacen reflexionar”.
Miedo y sexo
Nick Sturiale, de Sevin Rosen, un fondo de capitales de
riesgo, señala que “la seguridad es ahora una palabra pavloviana que provoca todo tipo de tonterías por parte de los
altos mandos en las organizaciones”. Lo que en realidad
venden los proveedores de seguridad es miedo, y añade
que el miedo y el sexo son “los dos grandes escaparates
que hacen a la gente comprar de manera irracional”.
Malos entendidos
Conviene a los proveedores presentar la seguridad como un problema tecnológico que puede ser fácilmente
resuelto con más tecnología. Pero creer que esta sofisticada tecnología va a resolver por sí sola el problema es
uno de los “tres malentendidos” que rondan la seguridad digital. Veamos en qué consisten:
El primero: Incrementar la seguridad significa establecer políticas administrativas adecuadas, evitar
riesgos, y quitar incentivos perversos, y no nada más
comprar hardware y software. No existen soluciones
rápidas. Por ello, este documento sostiene que la seguridad digital depende tanto –si no es que más– de factores culturales y humanos como tecnológicos. El establecimiento de la seguridad es una decisión administrativa,
lo mismo que un problema tecnológico. La tecnología es
necesaria, pero no suficiente.
El segundo: Consiste en creer que la seguridad puede quedar en manos de los especialistas del Departamento de Sistemas. Esto no es así, ya que es necesario
decidir qué asuntos necesitan más protección y fijar los
equilibrios entre costo y riesgo. Tales estrategias sólo
puede decidirlas la máxima autoridad. Es más, la seguridad, casi inevitablemente, conlleva inconvenientes. Sin
una señal clara que provenga “de arriba”, los usuarios
verán las medidas de seguridad como molestias que les
impiden trabajar, y buscarán la manera de evadirlas.
Según Charney, con frecuencia la seguridad resulta demasiado complicada para las máximas autoridades que
visualizan el tema como “algo mágico”.
El tercero: El tercer malentendido tiene que ver
con el tipo de amenaza. Incluso los directores que están conscientes del problema tienden a preocuparse por
aspectos como la irrupción de un virus o de un hacker y
pasan por alto los problemas más graves, generalmente relacionados con la seguridad interna: ex empleados
resentidos, relaciones en línea con clientes y proveedores supuestamente confiables, robos de computadoras
El mayor
riesgo para
la seguridad
de una
organización
son sus propios
empleados.
El eslabón más débil
Si la seguridad digital no dependiera de las personas...
E
l estereotipo del hacker es un joven pálido y delgado, inclinado sobre un teclado en un cuarto
lleno de sombras, que prefiere estar acompañado
de computadoras en vez de personas. Pero la realidad
es otra, porque los atacantes más exitosos son tipos locuaces, capaces de articular sus ideas y de participar en
casi cualquier discusión. En palabras de Schneier, el gurú de la seguridad: “Los aficionados ‘hackean’ sistemas,
y los profesionales, gente”.
Kevin Mitnick, uno de los hackers más notables de
los últimos años, confió en las debilidades humanas
para penetrar los sistemas de computación de las dependencias gubernamentales de Estados Unidos y de
compañías como Fujitsu, Motorola y Sun Microsystems.
En el 2000, al declarar ante una comisión del Senado,
y luego de haber pasado casi cinco años en la cárcel,
Mitnick relató:
Cuando intentaba entrar en uno de esos sistemas, la
primera línea de ofensiva era lo que llamo “ataque a
la ingeniería social”, que significa manipular a alguien
con engaños a través del teléfono. Tuve tanto éxito con
esta estrategia que rara vez tuve que pasar al ataque
tecnológico. El factor humano de la seguridad digital
se explota con mucha facilidad; es un tema que se pasa
por alto constantemente. Las compañías gastan millones de dólares en firewalls, encriptación e inventos
para proteger los accesos a los sistemas; es dinero que
tiran a la basura porque ninguna de esas medidas enfrenta el eslabón más débil en la cadena de seguridad.
Dicho en otras palabras, las fallas humanas pueden minar las medidas de seguridad más inteligentes.
En una investigación realizada por PentaSafe Security,
dos tercios de los viajeros de la estación ferroviaria de
Victoria, en Londres, revelaban la contraseña de ingreso
a sus computadoras a cambio de un bolígrafo. Otro informe encontró que casi la mitad de los empleados de
oficinas británicas utilizan contraseñas con su nombre
propio, el nombre de algún familiar o el de su mascota.
Algunos de los errores más comunes consisten en escri-
2 < Política digital
portátiles o puntos de acceso inalámbricos e inseguros.
No debe sorprender que los virus y los hackers se lleven
toda la publicidad, mientras que las violaciones a la seguridad interna se encubren, y las amenazas asociadas
con las nuevas tecnologías se subestimen. n
bir la contraseña en papeles pegados en el monitor de
la computadora, en dejar las computadoras encendidas
mientras salen a comer, u olvidar sus laptops con información confidencial en lugares públicos e inseguros.
Pero el mayor riesgo para la seguridad de una organización son sus propios empleados. Ni siquiera el
personal técnico –que debería saber esto mejor que los
demás– es inmune a cometer estos errores. De acuerdo
con Meta Group, el mejor método para que los intrusos tengan acceso al sistema de una organización no es
tecnológico. Más bien consiste en descubrir el nombre
completo y el nombre de usuario de un empleado, que
se deduce fácilmente en un mensaje de email. También
se obtiene al solicitar ayuda haciéndose pasar por un
empleado, o simular que olvidó su contraseña.
Si se manejaran adecuadamente los principios administrativos en lugar de atender únicamente los aspectos
tecnológicos, la seguridad sería muy rentable. La administración eficiente es lo que hace la diferencia. Una actitud sensata y equilibrada no sólo involucra a la tecnología de seguridad, sino a un conjunto de medidas bien
definidas que los usuarios deben comprender y aplicar.
La idea es que “la seguridad sea responsabilidad de todos”. Por ello deberá establecerse una política de seguridad clara que rija lo que es permitido hacer y lo que
no. En consecuencia, esta estrategia se instrumenta por
dos caminos: uno es guiar la conducta de los usuarios, y
el otro es configurar adecuadamente los firewalls, software antivirus y demás dispositivos, del mismo modo
como se combinan los elementos de la vigilancia vecinal
al instalar alarmas y mantener las puertas cerradas a la
hora de combatir la delincuencia del mundo real. Sin
embargo, las investigaciones muestran que la mitad de
quienes trabajan en oficinas jamás han recibido entrenamiento en materia de seguridad, según Kahan.
Dónde instalar los incentivos
Hay formas más sutiles para que la seguridad y su administración interactúen. “Ante todo, la seguridad digital se
relaciona con el flujo del trabajo”, declara Ross Ander-
son, del Laboratorio de Computación de la Universidad de
Cambridge. Para mejorar la seguridad, dice, hay que pensar en la gente y sus procedimientos de trabajo, más que
comprar una flamante paquetería nueva. Con frecuencia,
dice Anderson, la inseguridad “se debe más a incentivos
perversos, que a la falta de dispositivos tecnológicos”. La
persona mejor ubicada para proteger un sistema puede,
por ejemplo, estar poco motivada para hacerlo, porque el
costo de la falla recae en otras personas.
Un ejemplo clásico es el fraude en los cajeros automáticos. Anderson investigó casos de “retiros bancarios fantasma” que los clientes sostienen jamás haber realizado.
En Gran Bretaña, quienes pagan las consecuencias de un
retiro fantasma son los cuentahabientes, no el banco. Por
eso, a los bancos les importa poco mejorar sus sistemas.
En Estados Unidos, por el contrario, los bancos son los
responsables, por lo que tienen incentivos para entrenar
adecuadamente a su personal y aplicar medidas adicionales contra el fraude, como la instalación de cámaras.
Antes de tomar
cualquier
decisión acerca
del gasto, la
política o la
administración
de la seguridad,
se deben evaluar
los riesgos.
¿Cómo identificar
y administrar riesgos?
La inversión en seguridad debe equilibrar el binomio riesgo/beneficio
L
a seguridad digital total es imposible. Por más dinero que se gaste en tecnología, por más cursos
de entrenamiento que tome el personal, o por más
consultorías que se contraten, uno siempre será vulnerable. Gastar más de manera propicia puede reducir los
riesgos, pero nunca los podrá eliminar del todo. ¿Cuánto
dinero y tiempo resulta sensato dedicarle a la seguridad,
y cuál es la mejor manera de gastarlos? No hay respuestas sencillas porque de lo que se trata es de equilibrar
costos y riesgos. Además, lo que es apropiado para una
organización puede ser inadecuado para otra.
La seguridad digital consiste en administrar los riesgos. Antes de tomar cualquier decisión acerca del gasto,
la política o la administración de la seguridad, se deben
evaluar los riesgos.
Los tres pasos iniciales
Primer paso: Imaginar todas las formas posibles en que
puede ser violada la seguridad. Esto se llama “modelar
amenazas” y es más difícil de lo que parece. Schneier, el
gurú en seguridad, ilustra este punto al imaginar cómo
consumir alimentos en un restaurante sin pagar. La opción obvia es comer y luego levantarse y correr, o pagar
con una tarjeta de crédito o dinero falsos. Pero un verda-
3 < Política digital
Durmiendo con el enemigo
La incompetencia y la indiferencia son una cosa; la mala administración es otra. Un reporte de la consultoría
Vista Research señala que “el grueso de los delitos relacionados con la seguridad digital es interno”.
La explicación de un ataque interno puede originarse en una deficiente administración. De hecho, mejorar
el sistema de administración resulta más eficiente que
invertir en tecnología. La mejor manera de prevenir la
delincuencia interna es volverla difícil. “Una de las cosas
clave e indispensable es separar las tareas, de tal manera que nadie pueda, de forma individual, hacerse cargo
de todo”, afirma Anderson.
Cuando los empleados dejan la empresa o cambian de área, sus accesos al sistema deben revocarse
o alterarse de inmediato. Además, es necesario tener
reglas muy claras para que el personal de Seguridad
sepa qué hacer cuando un funcionario abusa de sus
prerrogativas de acceso. n
dero ladrón puede imaginar ataques más creativos. Por
ejemplo, puede hacerse pasar por cocinero, mesero, gerente, una celebridad o incluso el dueño del restaurante,
porque se supone que estas personas comen gratis. Puede inventar un cupón para obtener comidas gratuitas, o
activar la alarma de incendio y, mientras impera el caos,
hacerse de la comida y huir. Estos modelos de amenazas
alertan sobre el amplio rango de ataques posibles.
Segundo paso: Consiste en determinar qué tanto debemos preocuparnos por cada tipo de ataque. Habrá que
estimar la cantidad de ataques y las pérdidas que cada
uno de ellos puede ocasionarnos al año. Al multiplicar
uno por el otro, el resultado proporciona las “expectativas de pérdidas anuales”, que indican cuánta importancia
tienen los riesgos. Algunos incidentes –los menos– podrán causar pérdidas masivas; otros serán más comunes
y ocasionarán pérdidas menores.
Tercer paso: El último paso es calcular cuánto cuesta defenderse contra estos ataques. Este cálculo contempla opciones como mitigar el riesgo con tecnologías
preventivas; aplicar políticas y procedimientos internos;
trasladar el riesgo al exterior, contratar a un tercero para que se haga cargo de esta función, o adquirir un seguro contra este tipo de eventualidades, entre otros. n
Documentos relacionados
SISTEMAS DE COMPUTACIÓN
SISTEMAS DE COMPUTACIÓN
Técnico en Soporte
Técnico en Soporte
Reticula Ingeniería Informatica IINF-2010-220
Reticula Ingeniería Informatica IINF-2010-220
Temas Evaluación grado 10
Temas Evaluación grado 10
REDES COMPUTACIONALES - Over-blog
REDES COMPUTACIONALES - Over-blog
Bruce Schneier, experto en seguridad informática
Bruce Schneier, experto en seguridad informática
Unidad 2 - Cruzando el Pacifico
Unidad 2 - Cruzando el Pacifico
Descargar
Anuncio
Anuncio