Seguridad en el desarrollo de tecnologas de la informacin, Universidad de Oriente, Venezuela. (2015)

GERENCIA ESTRATGICA DE PROYECTOS EN TECNOLOGAS DE LA INFORMACIN

Antonio GarcaHctor Rafael Rodrguez RojasUniversidad de Oriente, Ncleo Anzotegui, Escuela de Ciencias Administrativas.Email: hector_531@hotmail.com

RESUMENEl presenta artculo resalta la importancia de tcnicas fundamentales en el desarrollo de tecnologas de informacin, los cuales abarcan tcnicas, procedimientos y estndares que garantizan la seguridad de las diferentes aplicaciones o dispositivos tecnolgicos de la informacin.

Palabras Claves: Seguridad, tecnologas de la informacin, aplicaciones

INTRODUCCIN

Desde el punto de vista de seguridad resulta fundamental establecer lineamientos que rijan cada una de las operaciones y funciones del sistema dentro de normativas que garanticen la consistencia de datos e informacin.

Es claro que para ello se deben estudiar todos los escenarios de riesgo a los que se puede enfrentar la tecnologa o aplicacin desarrollada, ya que la estabilidad de la misma garantiza el acceso apropiado a la informacin adecuada y la distribucin de la misma de manera masiva.

En estas ltimas dcadas las tecnologas de informacin y comunicacin (TIC) se han convertido en un elemento fundamental en la estructura organizacional de cualquier empresa o institucin. El aprovechamiento de este recurso le permite a una organizacin optimizar sus procesos y desarrollar tareas de manera ms eficiente.

La seguridad en el mbito de las TIC no est relacionada a slo aspectos de manejo de datos, tambin tiene su relacin con el soporte tcnico y la asistencia en el mantenimiento de los equipos que son necesarios para implementar las nuevas tecnologas de informacin.

Dimensiones Bsicas Seguridad TIC

De con Cabrero (1998) las nuevas tecnologas de la informacin y comunicacin son las que giran en torno a tres medios bsicos: la informtica, la microelectrnica y las telecomunicaciones; pero giran, no slo de forma aislada, sino lo que es ms significativo de manera interactiva e interconexionadas, lo que permite conseguir nuevas realidades comunicativas' (pg. 198)

Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de l. En general, un sistema ser seguro o fiable si podemos garantizar tres aspectos:

Confidencialidad: acceso a la informacin solo mediante autorizacin y de forma controlada. Integridad: modificacin de la informacin solo mediante autorizacin. Disponibilidad: la informacin del sistema debe permanecer accesible mediante autorizacin.

Confidencialidad

Es la propiedad de la informacin por la que se tiene la certeza de que esta solo puede ser accedida (vista y entendida), por quienes tienen la necesidad de ello y han sido autorizados por el propietario de la misma. En trminos de seguridad de la informacin, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada informacin o recursos.

El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la informacin.

Un ejemplo tpico de mecanismo que garantice la confidencialidad es la Criptografa, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes. Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptacin. Esta clave es necesaria para que el usuario adecuado pueda descifrar la informacin recibida y en funcin del tipo de mecanismo de encriptacin utilizado.

Integridad

Es la propiedad de la informacin por la que se tiene la certeza de que esta es exacta y completa, que no ha sido alterada en modo alguno. Tambin se habla de la integridad de los sistemas de informacin, de los sistemas que permiten el proceso de los datos o informacin, y en este sentido es la caracterstica de los mismos que garantiza que no se ven modificados (lo cual puede ocurrir accidentalmente o deliberadamente).

En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de la informacin o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.

El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la informacin.

La integridad hace referencia a:

La integridad de los datos (el volumen de la informacin) La integridad del origen (la fuente de los datos, llamada autenticacin)

Disponibilidad

Es la propiedad de la informacin por la que se tiene la certeza de que los autorizados a acceder a ella lo pueden hacer cuando lo requieran en todo momento y circunstancia

En trminos de seguridad de la informacin, la disponibilidad hace referencia a que la informacin del sistema debe permanecer accesible a elementos autorizados.

El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informticos. En trminos de seguridad informtica un sistema est disponible cuando su diseo e implementacin permite deliberadamente negar el acceso a datos o servicios determinados.

Como resumen de las bases de la seguridad informtica que hemos comentado, podemos decir que la seguridad consiste en mantener el equilibrio adecuado entre estos tres factores. No tiene sentido conseguir la confidencialidad para un archivo si ni siquiera el usuario administrador pueda acceder a l, ya que se est negando la disponibilidad.

Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la informacin frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda eliminarla no podr conocer su contenido y reponer dicha informacin ser tan sencillo como recuperar una copia de seguridad (si las cosas se estn haciendo bien).

En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la confidencialidad o disponibilidad. Se considera menos daino que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.

VULNERABILIDADES Y AMENAZAS

Una vulnerabilidad de seguridad es un defecto o debilidad en el diseo, implementacin o funcionamiento de un sistema que podra ser utilizado para violar su seguridad.

Las amenazas son aquellas acciones o situaciones que pueden ocasionar consecuencias negativas en la operativa de la empresa, entidad u organismo. Comnmente se indican como amenazas los fallos de programacin, los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.

Un riesgo de seguridad ocurre cuando se combinan una vulnerabilidad y una amenaza de seguridad.

Para gestionar la seguridad hay que hacer un inventario de activos y de las amenazas que pueden daarlos. A continuacin se realiza un anlisis de riesgos. El riesgo, que es contingencia o proximidad de un dao ha de ser medido en trminos de la probabilidad de que una amenaza concreta pueda explotar la vulnerabilidad de un activo para daarlo y causar prdidas.

Por ejemplo, el riesgo de incendio en un CPD debe considerarse independientemente de los posibles sensores de temperatura (ya veremos porqu en la siguiente entrada). Para la cuantificacin, existen amenazas, como por ejemplo incendios, de las que se dispone de informacin suficiente (series histricas, compaas de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad, como por ejemplo el acceso no autorizado a datos, dnde se hacen estimaciones sobre la base de conocimiento o experiencia previa. En este caso, para el personal interno del Centro de Proceso de Datos (CPD), la probabilidad puede ser del 70%, mientras que para el personal de la organizacin externo al CPD del 45%, y para personas externa el 20%.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por varias razones como son:

Los usuarios conocen la red y saben cmo es su funcionamiento. Tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo. Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.

Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella y buscar la manera de atacarla.