Mientras los dispositivos y sistemas digitales se están convirtiendo en parte esencial de los negocios y comercios, también se convierten en los principales objetivos de los ciberataques.

En ese sentido, la confianza se ve comprometida, y quienes utilizan estos dispositivos, sean personas o empresas, buscan algo en común: seguridad. Así que en este post nos dedicaremos a hablar de la seguridad en sistemas de información.

Detallaremos cómo las organizaciones pueden mantenerse seguras y cuáles son las medidas que toda empresa debe tomar. También dejaremos ver cómo las personas pueden tomar precaución y proteger su información personal. Acompáñanos a continuación.

Seguridad en Sistemas de Información

La seguridad en sistemas de información es un tema que se ha visto muy comprometido a medida que la tecnología de la información se universaliza. Es necesario entonces que la seguridad vaya delante o al menos a la par del conocimiento que manejan los atacantes.

Cuando hablamos de seguridad en sistemas de información nos referimos a un conjunto de medidas y uso de herramientas para prevenir, resguardar, proteger y reaccionar ante cualquier movimiento que atente contra la información. Con esto, se busca mantener la confidencialidad, mantener íntegros los datos y disponibles según sea necesario.

En ese orden, existe una triada de seguridad de la información que toda empresa, negocio, organización y persona particular debe conocer y respaldar.

Seguridad en Sistemas de Información: Los Tres Grandes

Esta triada está conformada por los conceptos de Confidencialidad, Integridad y Disponibilidad; curiosamente CIA, por sus siglas en inglés.

Confidencialidad

Desde las grandes empresas hasta las personas tienen información y contenidos que no desean compartir con cualquiera. Es necesario que los sistemas de seguridad rechacen a quienes no deberían ver estos contenidos. Es la clave de la confidencialidad.

Por ejemplo, hay una ley federal que indica que la información de los estudiantes en las universidades debe estar restringida. Así que solo el personal autorizado debería poder acceder a los registros de calificaciones.

Integridad

Es la garantía de que la información a la que se accede no se ha alterado y que lo que allí se lee es exactamente lo que se pretende. Lo que la integridad nos sugiere es que la información a la que accedemos es verdaderamente confiable, que podemos aceptarla como un hecho. Pero sabemos que la información puede perder su integridad con la intervención maliciosa. Por ejemplo, cuando un pirata informático ingresa al sistema de una universidad y cambia las calificaciones a conveniencia.

Sin embargo, la integridad también se puede perder de manera involuntaria. Un ejemplo de esto es cuando alguien autorizado por error borra o cambia algún archivo de la información, o cuando por una falla de energía, la computadora corrompe un archivo, y así sucesivamente.

Disponibilidad

Esta tercera parte de la triada de la CIA se refiere a la posibilidad de que alguien autorizado pueda acceder sin problema a la información y si es necesario, modificarla. Esto, durante un plazo de tiempo adecuado, que se define de acuerdo al tipo de trabajo. Un operador de acciones debe recibir la información de inmediato, mientras que un vendedor de inmuebles puede esperar al día siguiente para ver cómo cerraron las ventas del día.

En términos de disponibilidad, el gigante Amazon es un excelente ejemplo, ya que debe estar disponible los 365 días del año sin fallas. Algunos sitios web de empresas, sin embargo, pueden permitirse entrar en mantenimiento por unos días o algo por el estilo.

Herramientas para la seguridad de la información

¿Cómo se garantiza esta triada de la seguridad? Existen múltiples herramientas a disposición. Cada empresa puede elegir las herramientas que necesite a su gusto para que formen parte de su política general de seguridad. Compartimos algunas de estas herramientas a continuación.

Autenticación

La forma de identificar a alguien que está sentado detrás de una computadora o de un cajero automático (es decir, alguien que no podemos ver), es con una herramienta de autenticación.

Se puede lograr identificar a alguien con autenticación a través de tres o más factores: algo que la persona sabe, lo que tiene o lo que es. Esto se refleja actualmente en la forma más común de autenticación, el usuario y la contraseña. En ese caso la persona accede a la información una vez que demuestra algo que sabe (la contraseña).

Ahora la autenticación por algo que la persona tiene escala a un nivel más complejo, pues la información se obtiene a partir de un objeto, sea una llave o una tarjeta. Si ese elemento de identificación es robado, las barreras de seguridad se traspasan fácilmente.

Pero respecto al último factor, algo que la persona es, implica la autenticación a partir de una característica física de la persona, por ejemplo, un escáner ocular o una huella digital, así que es mucho más difícil de comprometer.

Si lo que quieres es saber cuál es la forma más segura de autenticar a un usuario, diremos que es usar un sistema multifactor. Es decir, es necesario combinar dos o más de los factores mencionados anteriormente. Un farsante tal vez pueda saltarse una barrera de seguridad, pero dos o más es mucho más complicado.

Así funciona por ejemplo la herramienta token RSA SecurID, que generará un nuevo código de acceso cada sesenta segundos. Así que la única forma de autenticarse en este sistema es aportar algo que la persona sabe (un PIN de 4 dígitos) y teniendo el dispositivo RSA en la mano para el código.

Control de acceso

Luego de la autenticación viene el control de acceso, que se asegura de que solo las personas adecuadas o autorizadas puedan ver, modificar, agregar y/o eliminar la información. Existen varios modelos diferentes de control de acceso. Aquí analizaremos dos: la lista de control de acceso (ACL) y el control de acceso basado en roles (RBAC).

Las listas de control de acceso son muy útiles en las empresas. A cada usuario, el administrador le asigna capacidades específicas: leer, editar, eliminar, agregar, etc. Así que solo los usuarios con esas capacidades en concreto pueden ejercer las funciones. Y si alguien no está en la lista ni siquiera sabe que existe.

Este sistema de listas es fácil de entender y mantener, pero cada recurso de información se administra por separado. Eso significa que eliminar un usuario o un conjunto de recursos de información es bastante difícil. Y mantener esta herramienta cuando se unen cada vez más usuarios se hace más complicado. Por eso existe el control de acceso basado en roles o RBAC. En este caso a los usuarios se les asignan roles y a esos roles se les otorga el acceso.Esto permite a los administradores administrar usuarios y roles por separado, simplificando la administración y mejorando la seguridad.

Cifrado

Cuando una organización o empresa necesita trasmitir datos a través de internet o por medios externos como un CD o una unidad flash, entra en juego el cifrado. En estos casos es probable que una persona ajena tenga acceso a pesar de la autenticación y el control de usuario. Así que el cifrado funciona como un proceso de codificación de datos en su transmisión o almacenamiento para que solo las personas autorizadas puedan leerlo.

Se logra la codificación a través de programas de computación que codifican el texto plano que necesita ser trasmitido. Entonces el destinatario recibe el texto cifrado y lo decodifica (descifrado), y para que así sea, remitente y destinatario deben haber acordado un método de decodificación. Ambas partes comparten la clave y a esta estrategia se le conoce como cifrado de clave simétrica. Pero tiene sus complicaciones, ya que la clave está disponible en dos lugares al mismo tiempo.

Sin embargo, una buena opción es el cifrado de clave pública. En este sistema se utilizan dos claves: una pública y una privada. Para enviar un mensaje cifrado, obtiene la clave pública, codifica el mensaje y lo envía. El destinatario al recibirlo usa la clave privada y lo decodifica. Así, múltiples usuarios con la clave pública pueden enviar un mensaje cifrado al destinatario que los recibe a través de la clave privada. Cada usuario simplemente necesita una clave privada y una pública para asegurar los mensajes.

Método para aumentar la seguridad: Firewalls

Uno de los métodos de seguridad en sistemas de información que toda organización debería tener es un firewall o cortafuergos. Un firewall puede existir como software, como hardware o como ambos. Explicamos cada uno.

Firewall de hardware

Se refiere a un dispositivo que está conectado a la red y filtra los paquetes según un conjunto de reglas. Es el tipo de firewall que optan por usar las grandes empresas y corporaciones. Son dispositivos que se instalan entre el router y la conexión a internet.

La gran ventaja de este tipo de dispositivos es que cumplen todas las funciones de un firewall con casi ningún fallo, y al mismo tiempo no consumen los recursos de las computadoras o sistemas personales. Pero por otro lado, su mayor inconveniente es el mantenimiento, ya que son difíciles de actualizar. También es necesario contar con técnicos especializados, pues si no se configuran correctamente pueden dar muchos dolores de cabeza.

Firewall de software

Es el firewall que se ejecuta en el sistema operativo e intercepta paquetes a medida que llegan a una computadora. Es el tipo más común de firewall porque es el más económico y su instalación es mucho más sencilla.

Sin embargo, entre sus principales inconvenientes está el que consume recursos de la máquina. Además, en ocasiones no se ejecuta correctamente y pueden ocasionar errores de compatibilidad con otros tipos de software instalados en el equipo.

Pero gracias a su practicidad, actualmente se pueden encontrar firewalls de hardware en sistemas operativos modernos como Windows XP y Linux que pueden llegar a ser muy potentes y flexibles.

Qué hace un firewall

Pero en general, un firewall se encarga de proteger los servidores y computadoras de la empresa, restringiendo el acceso y deteniendo paquetes que están fuera de la red de la organización y que no cumplen con ciertos criterios establecidos.

En cuanto a la restricción, un firewall restringe el flujo de información o paquetes que salen de la organización. Así, por ejemplo, se impide que los empleados accedan a páginas como YouTube, Facebook u otros sitios de entretenimiento desde las computadoras de la empresa.

Algunas organizaciones como medida de seguridad en sistemas de información optan por utilizar varios firewall. De esa manera logran proteger una o más secciones de su red.

A este segmento de la red se le conoce como DMZ, término que significa zona desmilitarizada, y que se toma prestado de la jerga del ejército. En síntesis, se refiere a una sección donde una organización puede colocar recursos que necesitan un acceso más amplio pero que al mismo tiempo deben ser protegidos.

Sistema de detección de intrusos

Dentro de la seguridad en sistemas de información también se debe considerar los sistemas de detección de intrusos o IDS, por sus siglas en inglés. Aunque un IDS no agrega ninguna seguridad adicional, sí que funciona para determinar si la red de la empresa está siendo atacada.

Cada empresa puede configurar su IDS para observar varios tipos específicos de actividad y luego avisar al personal de seguridad si encuentra alguna actividad que rompe con los criterios. Es como un vigilante dentro de la empresa en el espacio virtual.

Pero más allá de esto, un IDS también sirve para egistrar varios tipos de tráfico en la red, y con esa información posteriormente puede realizar un análisis detallado de la actividad. Así que aunque no es un mecanismo de seguridad en sistemas de información, sí es una herramienta muy útil para detectar amenazas y riesgos. Así que sin duda, toda empresa debe tener un IDS como mecanismo de seguridad.

Ahora los recursos de computación y las redes se han convertido en parte integral de los negocios, por eso es importante invertir tiempo, recursos y esfuerzos en la seguridad en sistemas de información, pues las empresas son blancos fáciles. La protección es elemental y no es algo demasiado difícil de entender.