Tesis de Fuga de Informacion
-
Upload
juan-carlos-barrios-tapia -
Category
Documents
-
view
217 -
download
1
Transcript of Tesis de Fuga de Informacion
-
8/15/2019 Tesis de Fuga de Informacion
1/141
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERÍA Y CIENCIAS SOCIALES YADMINISTRATIVAS
“MODELO DE CONCIENTIZACIÓN EN LA PREVENCIÓNDE LA FUGA DE INFORMACIÓN”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :
B E A T R I Z A D R I A N A D O R O T E O V A L D E Z
D A N I E L M E D I N A R A M I R E Z
J O R G E A L B E R T O H E R N A N D E Z Q U I R I N O
S A N D R A S A R A I G U Z M A N G U T I E R R E Z
MÉXICO. D.F. 2010
-
8/15/2019 Tesis de Fuga de Informacion
2/141
ÍNDICE
Resumen .............................................................................................. I
Introducción ......................................................................................... II
Capítulo I: Marco Metodológico ........................................................... 1
1.1 Planteamiento del problema ................................................................................................ 1
1.2
Objetivos .............................................................................................................................. 3
1.3 Justificación ......................................................................................................................... 4
1.4
Marco teórico ....................................................................................................................... 8
1.5
Diseño de la investigación ................................................................................................. 11
1.6
Tipo y técnicas de investigación ........................................................................................ 11
Capítulo II: Conceptos Generales ...................................................... 13
2.1
Información ........................................................................................................................ 13
2.1.1 Definición ................................................................................................................... 13
2.1.2
Función de la información .......................................................................................... 14
2.1.3
Características ........................................................................................................... 14
2.1.4
Clasificación ............................................................................................................... 16
2.2
Seguridad de la información .............................................................................................. 18
2.2.1 Definición ................................................................................................................... 18
2.2.2
Objetivos y propósitos de seguridad de la información ............................................. 19
2.2.3 Funciones de la seguridad de la información ............................................................ 20
2.2.3.1 Qué debemos proteger .................................................................................. 22
2.2.3.2
De quién debemos protegernos .................................................................... 23
2.2.3.3 Cómo podemos protegernos ......................................................................... 23
2.2.4 Importancia de la seguridad de la información .......................................................... 24
2.3
Vulnerabilidades, Amenazas y Riesgos de la Información ............................................... 26
2.3.1 Definición de vulnerabilidad ....................................................................................... 26
2.3.2
Definición de amenaza .............................................................................................. 26
2.3.3 Definición de riesgo ................................................................................................... 27
2.3.4
Clasificación de riesgos, amenazas y vulnerabilidades ............................................ 28
-
8/15/2019 Tesis de Fuga de Informacion
3/141
2.4
Fuga de información .......................................................................................................... 32
2.4.1 Definición ................................................................................................................... 33
2.4.2
Tipos .......................................................................................................................... 33
2.4.3 Obstáculos en la prevención de fuga de información ................................................ 34
2.5
Concientización.................................................................................................................. 35
2.5.1 Definición ................................................................................................................... 36
2.5.2 Objetivos .................................................................................................................... 36
2.5.3
Importancia ................................................................................................................ 37
2.5.4 Tipos .......................................................................................................................... 38
2.5.5
Beneficios y obstáculos ............................................................................................. 39
Capítulo III: Problemática actual de la concientización en la fuga deinformación ........................................................................................ 42
3.1
Comportamiento humano: un problema de seguridad de la información ......................... 42
3.2 Problemática actual por falta de concientización, educación y capacitación .................... 48
3.3
Fuga de información .......................................................................................................... 54
Capítulo IV: Normatividad, mejores prácticas y tecnología aplicada a laconcientización y fuga de información ............................................... 62
4.1
Legislación Internacional ................................................................................................... 62
4.1.1 Del acceso ilícito a los sistemas de información ....................................................... 62
4.1.2
Protección de los datos ............................................................................................. 63
4.2 Legislación Nacional .......................................................................................................... 65
4.2.1
Ley de la Propiedad Industrial ................................................................................... 66
4.2.2 Código Penal federal ................................................................................................. 66
4.2.3 Reforma al código penal federal para castigar a los crackers .................................. 68
4.2.4
Protección de datos personales ................................................................................ 69
4.3 Legislación Sectorial .......................................................................................................... 72
4.4
Mejores prácticas ............................................................................................................... 81
4.4.1
Series ISO 27000....................................................................................................... 82
4.4.2 CObIT ........................................................................................................................ 85
4.4.3 Awareness ................................................................................................................. 86
4.4.4 Assessment ............................................................................................................... 88
-
8/15/2019 Tesis de Fuga de Informacion
4/141
4.5
Tecnología existente .......................................................................................................... 88
4.5.1 Data Leakage Prevention (DPL) ................................................................................ 88
4.5.2
Sistema de detección de intrusos (IDS) .................................................................... 89
4.5.3 Sistema de Prevención de Intrusos ........................................................................... 90
4.5.4
Assessment Center (AC) ........................................................................................... 91
Capítulo V: Modelo ............................................................................ 96
5.1
Objetivos del Modelo ......................................................................................................... 96
5.2 Descripción del Modelo ..................................................................................................... 97
5.2.1 Conoce al enemigo y conócete a ti mismo ................................................................ 98
5.2.1.1
Conocer el estado actual de la organización en fuga de información .......... 99
5.2.1.2 Conocer el nivel de conocimientos del personal en temas de fuga de
información ..................................................................................................................... 100
5.2.2
Comerse el pastel por rebanadas / divide y vencerás ............................................. 101
5.2.2.1 Visualizando el camino ................................................................................ 101
5.2.2.2
Definición de grupos de audiencias ............................................................ 102
5.2.3 De la vista nace el amor / manos a la obra ............................................................. 103
5.2.3.1
Elaboración de materiales de apoyo ........................................................... 103
5.2.3.2
Impartición de concientización en fuga de información .............................. 104
5.2.4 Encontrando el eslabón más débil........................................................................... 107
5.2.4.1
Evaluación de resultados de concientización en fuga de información ........ 108
5.2.4.2
Autoevaluación de resultados de concientización en fuga de información . 108
5.2.5 Redefiniendo el curso .............................................................................................. 109
5.2.5.1
Análisis de resultados de evaluación .......................................................... 109
5.2.5.2 Reestructuración / mejora continua ............................................................. 110
5.3
Conclusiones del modelo ................................................................................................. 111
Capítulo VI: Caso Práctico ............................................................... 112
6.1
Conocimiento de la Empresa ........................................................................................... 112
6.1.1 Misión ....................................................................................................................... 112
6.1.2 Visión ....................................................................................................................... 112
6.1.3
Organigrama ............................................................................................................ 113
6.2 Aplicación del Modelo ...................................................................................................... 113
6.2.1 Análisis- Conoce al enemigo y conócete a ti mismo………………………………….114
6.2.2 Diseño- Comerse el pastel por rebanadas/ divide y vencerás………………………117
6.2.3 Desarrollo/ Implementación- De la vista nace el amor……………………………….117
-
8/15/2019 Tesis de Fuga de Informacion
5/141
6.3
Resultados del Modelo .................................................................................................... 125
6.3.1 Evaluación- Encontrando el eslabón más débil………………………………………125
6.3.2 Mantenimiento- Redefiniendo el curso………………………………….…………….125
Conclusiones ................................................................................... 126
Bibliografía ....................................................................................... 127
Glosario ........................................................................................... 129
-
8/15/2019 Tesis de Fuga de Informacion
6/141
-
8/15/2019 Tesis de Fuga de Informacion
7/141
-
8/15/2019 Tesis de Fuga de Informacion
8/141
I
Resumen
“Fuga de Información” se ha convertido en la frase de moda para describir los incidentes de
seguridad de información ocurridos durante los últimos años. Aunque el término puede ser
interpretado de diversas formas y usado en variedad de contextos, estamos de acuerdo que causauna reacción universal: miedo. Aun cuando es difícil dimensionar el daño de las fugas de
información, no hay duda que la exposición de las bases de datos, o robos de información en
sistemas de información, entre otros, afectan y/o disminuyen la confianza de los clientes, con las
respectivas consecuencias negativas para la organización. El aumento de la recolección y
almacenamiento de datos por organizaciones de todas las industrias y sectores, acompañado del
incremento de sofisticadas tácticas de hackeo informático para robar información sensitiva, y de la
poca, y a veces nula, conciencia dentro de la propia organización, las ha forzado a reconocer y
enfrentar directamente esta amenaza que dejó de ser fantasma.
El panorama es claro, la fuga de información es un problema latente y creciente, y el mecanismo
para contrarrestarlo no está dentro de los límites de la tecnología, puesto que esta puede
protegernos en el perímetro de la organización, sin embargo, los problemas de fuga de
información surgen desde dentro de la misma: el factor humano. Ya sea de forma o no intencional,
las personas están contribuyendo a que este problema crezca descontroladamente, y al ser un
problema de personas no se debe, ni se puede, atacar con tecnología, el mejor acercamiento a
una solución que nos ayude a mitigar está problemática, es haciéndolos consientes, cambiando
sus formas de pensar y actuar en asuntos de seguridad de la información, es decir, cambiando la
cultura de seguridad.
Tomando en cuenta lo anterior, el objetivo del presente trabajo es la elaboración de un “Modelo de
concientización en la prevención de la fuga de información”, en el cual se proponen las pautas
necesarias para llevar a cabo un programa que se acople a cualquier organización y con el
objetivo de minimizar la creciente fuga de información en las organizaciones. Para alcanzar esto,
es necesario conocer las bases de la seguridad de la información, fuga de información y
concientización, así mismo se requirió un estudio y análisis de las problemática existente en estos
temas, y basándonos en herramientas existentes: mejores prácticas, estándares, legislación y
tecnología, se elaboró la propuesta del modelo.
El modelo propuesto consta de 5 etapas, las cuales se basan en un proceso cíclico e iterativo de
análisis, diseño, desarrollo, implementación, evaluación y mantenimiento. Un resumen de las
particularidades de esta propuesta se describe a continuación:
-
8/15/2019 Tesis de Fuga de Informacion
9/141
I
• El análisis: Es uno de los pilares del modelo debido a que en esta etapa se reconocen las
necesidades, debilidades y estatus de la organización. Los resultados de esta etapa nos
servirán de guía para definir la línea de acción a seguir.
• El diseño: Una vez obtenidos los datos de la etapa anterior, es necesario plantear las
posibles acciones a seguir, y así definir una estrategia mediante la cual se resuelvan las
áreas de oportunidad encontradas.
• El desarrollo: En esta etapa se plasma la estrategia y objetivos que deben alcanzarse. Se
definen los recursos que utilizarán para llevar a cabo el plan de acción.
• La implementación: Después de definir el plan de acción, es en esta etapa se pone en
marcha, y se consumen los recursos definidos, enfocándose siempre en alcanzar los
objetivos establecidos.
• La evaluación y mantenimiento: En esta etapa se hace una valoración de los resultados
obtenidos de la implementación, para así poder mejorar y encontrar nuevas áreas de
oportunidad. Esta etapa también es crucial ya que es el punto de retroalimentación para
que el modelo pueda iniciar un nuevo ciclo, llegando a una cultura de mejora continua.
En conclusión, se considera relevante el uso de la concientización para minimizar la fuga de
información, y cada organización debería contemplar en su estrategia de negocios, la integración
de un modelo de concientización en temas de seguridad de la información, para la protección delactivo más importante: la información. Llegando más lejos aún, este esquema debería escalarse, y
ser legislado y exigido al margen de la legalidad para el establecimiento y operación de cualquier
organización, ya sea pública o privada. Debido a que la era de la información en la que vivimos,
cualquier violación al derecho primordial de la privacidad, debería ser penado.
-
8/15/2019 Tesis de Fuga de Informacion
10/141
II
Introducción
La información y el conocimiento han sido los elementos centrales de todas las sociedades
históricamente conocidas. Lo que caracteriza esta nueva era es que disponemos de herramientas
tecnológicas que revolucionan las formas de procesamiento de información y comunicación,transformando la forma en que las personas viven y se comunican entre sí. Hoy por hoy el manejo
de la información puede contribuir de manera decisiva en cualquier ámbito de la actividad humana,
por esta razón, es importante definir lineamientos generales que ayuden a resguardarla sin que
esta pierda su integridad, confidencialidad y disponibilidad.
La seguridad de la información es una de las tareas más cruciales que debemos afrontar en la
actualidad ya que nos encontramos en un medio donde la información se ve amenazada por
diferentes fuentes que simplemente no existían o no conocíamos hace algunos años, y aún
tomando todas las precauciones técnicas para evitar estas amenazas, y confiando con la
protección que le damos, no es suficiente, ya que la práctica nos ha demostrado que la fuga de
información sigue creciendo día a día por diversos factores, uno de ellos y que será el pilar de esta
investigación: la falta o deficiente concientización.
El presente trabajo se enfoca en plantear un “Modelo de concientización en la prevención de la
fuga de información”, el cual propondrá las pautas necesarias para llevar a cabo un programa que
se acople a cualquier organización y con el objetivo de minimizar la creciente fuga de información
en las organizaciones.
Para alcanzar este objetivo hemos estructurado nuestra tesis en 5 capítulos que se distribuyen de
la siguiente forma.
En el primer capítulo, se aborda la problemática objeto de análisis y estudio de esta tesina, los
objetivos de dicha tesina, la justificación de porqué es factible llevar a cabo la investigación y de
cómo se llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la
concientización en la prevención de la fuga de información.
A lo largo del segundo capítulo se trata uno de los temas principales de esta tesina: la Información.
Se hace un estudio de ¿qué es la información?, su importancia, su función y sus características.
Así mismo, se hace énfasis en la concientización, fuga de información, seguridad de la
información, sus definiciones, objetivos, funciones, importancia, así como los riesgos de la
información.
-
8/15/2019 Tesis de Fuga de Informacion
11/141
II
Debido a que el usuario final es quien hace uso de los sistemas de información, el tercer capítulo
está dedicado al estudio del comportamiento humano y seguridad de la información.
Se enfatiza la influencia que tiene el factor humano en la fuga de información y la importancia de
una capacitación y educación de los usuarios para minimizar la fuga de la información.
El cuarto capítulo, está dedicado al estudio y análisis de la normatividad existente referente a la
seguridad de la información, localizando sus cualidades y deficiencias. Así mismo se estudian las
mejores prácticas y la tecnología aplicada a la concientización para prevención de fuga de
información.
A lo largo del quinto capítulo se realiza el desarrollo del modelo de concientización en la
prevención de la fuga de información, explicando los objetivos que busca, una descripción
detallada, así como sus alcances y limitaciones del mismo.
Y es indispensable hacer conciencia de que cada uno de nosotros desempeñamos un papel
fundamental en la protección de la información que se nos confía, y por consiguiente, en la
reputación de la organización en la que trabajamos. Lograríamos esto con una correcta
administración de contraseñas, manteniendo los documentos en lugares seguros, sabiendo
perfectamente quiénes son los que nos están solicitando información, siguiendo un programa de
concientización, etc., con esto nos aseguramos que somos la clave para mantener protegida la
información.
-
8/15/2019 Tesis de Fuga de Informacion
12/141
1
Capítulo I: Marco Metodológico
Hoy en día, se habla mucho de conceptos como seguridad, sin embargo, la practica nos
demuestra que muchas veces no se pasa de eso: “un concepto”, diversos artículos y noticias
resaltan la deficiencia existente en conseguir la anhelada: “seguridad”. Muchas empresas hanvisto reducida su reputación, y todo lo que de esto se deriva, debido a incidentes de seguridad,
entre los más destacados se encuentra: la fuga de información.
En este primer capítulo se abordará la problemática objeto de análisis y estudio del presente
trabajo, así como los objetivos y la justificación para llevar a cabo la investigación y de cómo se
llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la concientización
en la prevención de la fuga de información.
1.1 Planteamiento del problema
En el mundo actual, donde las tecnologías de información son cada vez más un medio común
para almacenar y procesar la información, las brechas de seguridad en lo que respecta a pérdidas
o fuga de información nunca han sido tan altas. No sólo se ha multiplicado el volumen de
información en circulación, sino también las formas en que puede ser almacenada y transferida sin
consentimiento del propietario de la misma, aumentando y amenazando seriamente la solidez de
los negocios y la privacidad de sus clientes.
Otro punto importante a considerar, es que hoy en día las empresas están cada vez más
globalizadas y esto las hace vulnerables; de acuerdo a estadísticas obtenidas por InsightExpress*,
se descubrió que a pesar de las políticas, procedimientos y herramientas de seguridad
actualmente en uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen
en peligro los datos personales y empresariales. Tales conductas incluyeron:
• Uso de aplicaciones no autorizadas: el 70% de los profesionales de Tecnología de
Información (TI) cree que el uso de programas no autorizados fue responsable de
hasta la mitad de los incidentes de pérdida de información en sus empresas.
• Uso indebido de computadoras de la empresa: el 44% de los empleados comparte
dispositivos de trabajo con otras personas sin supervisión.
* En el año 2008, Cisco encargó a InsightExpress, una compañía independiente de investigación de mercado, querealizara un estudio que abarcara a empleados y profesionales de TI en diversos países, con el objeto decomprender la fuga de datos a nivel mundial.
-
8/15/2019 Tesis de Fuga de Informacion
13/141
2
• Acceso no autorizado tanto físico como a través de la red: el 39% de los
profesionales de TI afirmó que ha debido abordar el acceso no autorizado por parte
de un empleado a zonas de la red o de las instalaciones de la empresa.
• Seguridad de trabajadores remotos: el 46% de los empleados admitió haber
transferido archivos entre computadoras del trabajo y personales al trabajar desde
el hogar.
• Uso indebido de contraseñas: el 18% de los empleados comparte contraseñas con
sus colegas. El porcentaje aumenta al 25% en China, India e Italia.
De acuerdo con las estadísticas elaboradas en Estados Unidos y parte de Europa sobre delitos
informáticos, han revelado que el 76% de estos son de origen interno, es decir, por empleados de
las mismas empresas víctimas. Mientras que el otro 24% son de origen externo. Y de acuerdo alas estadísticas nacionales realizadas por el INEGI1, arrojan que un 67% de los ataques
informáticos provienen del interior de la organización.
Las empresas de cada sector (tanto privado, como público) continúan informando de
vulnerabilidades de seguridad y aun así, todavía permiten la exposición de su información más
sensible y confidencial.
Los usuarios informáticos pueden considerarse como la menos predecible y controlada
vulnerabilidad de seguridad. En la mayoría de casos, una falta de información y undesconocimiento de los principios y procedimientos básicos de seguridad son las principales
causas de las deficiencias de seguridad en lugar de la actividad maliciosa (aunque esto último no
se puede ignorar). Sin embargo, el resultado final es habitualmente el mismo: se pierde
información inestimable, la empresa pierde credibilidad, etc.
Por tal motivo, se considera que debe plantearse un modelo de concientización enfocado al factor
humano, para mitigar uno de los riesgos más importantes en el uso, manejo, acceso, control y
resguardo de la información: la fuga de información. Visto desde este enfoque, debemos entender
que ni la más alta tecnología en cuestiones de seguridad de la información podrán detener losataques hacia la misma, si no se cuenta con un programa o modelo de seguridad dirigidos al factor
humano, dentro de las organizaciones públicas.
1 INEGI, http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/seguridad/intro.htm
-
8/15/2019 Tesis de Fuga de Informacion
14/141
3
1.2 Objetivos
OBJETIVO GENERAL.
• Definir un modelo de concientización para minimizar la creciente fuga de
información en las organizaciones.
OBJETIVOS ESPECÍFICOS.
• Identificar las principales vías de fuga de información y lo que motiva al factor
humano a explotarlas.
• Identificar las acciones tomadas actualmente: tecnología, normatividad, estándares
y mejores prácticas; que apoyan en la prevención de fuga de información.
• Identificar las consecuencias de la fuga de información a causa del factor humano.
• Definir un modelo de concientización enfocado a la minimización de fuga de
información, basado en:
o El planteamiento de un programa general de comunicación entre los
miembros de la organización, para que los usuarios comprendan que la
seguridad de la información es responsabilidad de todos, no sólo deldepartamento de TI.
o Proponer mecanismos permanentes de difusión, concientización y
educación que fortalezcan la prevención de fuga de información y evitar el
uso de acciones correctivas en la organización ante la fuga de información.
o Proponer mecanismos de medición de la efectividad de los programas y
llevar a cabo seguimiento y monitoreo de los resultados obtenidos.
-
8/15/2019 Tesis de Fuga de Informacion
15/141
4
1.3 Justificación
Hoy por hoy el manejo de la información puede contribuir de manera decisiva en cualquier ámbito
de la actividad humana, por tal motivo, es importante tener un amplio conocimiento de los riesgos
que puede correr dicha información y así poder definir lineamientos generales que ayuden aresguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.
Existe una latente inquietud y preocupación sobre el tema de la seguridad de la información, ya
que de acuerdo con la American Internacional Group, la criminalidad informática ha aumentado a
un ritmo de 500% a nivel mundial.
De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente
archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se
debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, odispositivos como discos compactos y memorias USB.
Un error común en el que suelen caer las empresas es pensar que ya se encuentran protegidas de
cualquier riesgo informático por tener instalados diferentes mecanismos de seguridad entre
algunos de ellos: antivirus y detectores de intrusos en su sistema. Las tendencias demuestran que
el paradigma ha cambiado, y que ese tipo de soluciones quedaron obsoletas o han sido rebasadas
frente a los nuevos problemas que emergen cotidianamente. Los ataques más comunes de
seguridad de la información se enlistan a continuación2:
• Ataques deliberados de software
o Virus (creados por humanos)
o Sistemas operativos (provocados por humanos)
• Fallas/Errores técnicos de software (provocados por humanos)
• Fallas/Errores humanos (provocados por humanos)
• Actos deliberados de espionaje e invasión (cometidos por humanos)
• Actos deliberados de sabotaje y vandalismo (cometidos por humanos)
2 Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professorof Information Systems. Member – Human Firewall Council.
-
8/15/2019 Tesis de Fuga de Informacion
16/141
5
De los puntos anteriores se puede deducir que la información es producida y consumida por las
personas, paradójicamente, es el mismo factor humano el principal elemento que la pone en
riesgo.
Las personas en general manejan la información, a través de cualquier medio físico o lógico en
lugares públicos sin considerar que las actividades que realizan en ellas pueden estar siendo
observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos
de destrucción controlada de información una vez que los dispositivos van a reasignarse, también
es un elemento de protección.
El típico acercamiento que se ha visto en el pasado fue a través de la implementación de
tecnología estándar enfocada en servidores, servicios y redes: antivirus, antivirus de red, firewall,
endpoints, IDS’s que monitorean el tráfico, etc. Estas soluciones son efectivas y muy necesarias
para proteger ambiente de red, pero no sirven frente a la fuga de información.
Generalmente hablamos que los problemas que se generan en la seguridad de la información
pasan por el concepto de cultura de seguridad, no obstante, se hace muy poco para lograr una
autentica cultura de seguridad de la información, y en muchas ocasiones se ha dicho que la
creación de un programa de concientización sobre la importancia de la información y su protección
en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que
es el usuario final.
Sin embargo, las estadísticas develadas en el 2008 por CSI Survey, como se muestran en laFigura 1 “Porcentaje de presupuesto para seguridad en TI”, denotan que las empresas invierten
muy poco en cuestiones de seguridad de la información. Como se muestra en la siguiente gráfica:
-
8/15/2019 Tesis de Fuga de Informacion
17/141
6
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008.
Del mismo modo se resalta en la Figura 2 “Programas de concientización como porcentaje del
presupuesto de seguridad”, que la inversión en programas de concientización, educación y
capacitación, es muy baja. Como se ilustra a continuación:
Figura 2. Programas de concientización como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008.
Y aún así, los resultados de la efectividad mostrados en la Figura 3 “Métricas de los programas de
concientización”, de estos programas de concientización, educación y capacitación no son
satisfactorios, como se ilustra a continuación:
-
8/15/2019 Tesis de Fuga de Informacion
18/141
7
Figura 3. Métricas de los programas de concientización. Fuente: CSI Survey 2008.
La práctica nos ha demostrado que el uso de tecnologías como apoyo en la seguridad de la
información, es un factor dominante en las soluciones actuales, sin embargo, aún existendebilidades que son explotadas por los atacantes, y van más allá de la infraestructura tecnológica,
estos mecanismos siguen siendo deficientes debido a que no se ataca al eslabón más débil: el
factor humano, y este lo seguirá siendo mientras no se le dote de las herramientas necesarias
para formar parte activa en la preservación de la seguridad de la información. Un factor
determinante en conseguir este objetivo, inicia en la alta dirección de las organizaciones, ya que
esta debería responsabilizarse de las acciones de sus colaboradores.
Las estadísticas mostradas con anterioridad nos demuestran que existe una deficiente inversión
económica en seguridad de la información, y que dentro de esta inversión, los programas de
formación y concientización en la materia, ocupan un muy bajo porcentaje, teniendo como
resultado que los mismos, sean insuficientes o nulos, y en consecuencia, un grave detonante en la
fuga de información.
Por lo anterior se hace necesario el desarrollo de un programa adecuado de concientización en el
tema de seguridad de la información, enfocado a todos los niveles de la organización,
debidamente apoyado en las políticas de cada una sobre el tema y con un adecuado proceso de
monitoreo y actualización.
-
8/15/2019 Tesis de Fuga de Informacion
19/141
8
1.4 Marco teórico
Seguridad de la información
Tiene como fin la protección de la información y de los sistemas de información del acceso, uso,
divulgación, interrupción o destrucción no autorizada, la cual se sustenta en los principios de
confidencialidad, integridad y disponibilidad (conocidos comúnmente como CIA-triad:
confidenciality, integrity, availability, por sus siglas en inglés)3:
• Confidencialidad. La confidencialidad, o privacidad, es el proceso de asegurar que
los datos se mantienen confidenciales y no pueden ser consultados por entes no
autorizados.
•
Integridad. La integridad es la garantía de que los datos están protegidos de sermodificados de manera accidental o deliberada (maliciosa).
• Disponibilidad. Desde la perspectiva de seguridad, la disponibilidad significa que
un sistema esté disponible para sus usuarios autorizados.
Estos principios pueden ser violados, tanto de manera intencional como accidental, por miembros
internos o externos a la organización. Uno de los objetivos primordiales de la seguridad de la
información es la prevención de la pérdida de información o fuga de información. De este modo se
deben tomar en cuenta los siguientes conceptos, definidos en por el SANS Institute en su “Glosaryof Information Security Terms”4:
• Activo: Recurso del sistema de información o relacionado con éste, necesario para
que la organización funcione correctamente y alcance los objetivos propuestos.
• Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
• Impacto: medir la consecuencia al materializarse una amenaza.
• Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un
dominio o en toda la organización.
3 TechRepublic. Chad Perrin: “The CIA Triad”, 30 de Junio de 20084 Sans Institute, “Glossary of Information Security Terms”
-
8/15/2019 Tesis de Fuga de Informacion
20/141
9
• Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza
sobre un activo.
• Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema
de seguridad.
• Desastre o Contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación
normal de la organización.
Muchas organizaciones enfocan su atención en la amenaza del robo de información ó en la
vulnerabilidad de accesos inseguros. Sin embargo, el robo de información y el acceso no
autorizado son dos ejemplos de las subcategorías de fuga de información. Para evaluar
apropiadamente y reducir el riesgo de la fuga de información, de acuerdo a Sophos Plc, en suwhitepaper “Stopping data leakage”, deben considerarse las siguientes cuatro categorías5:
• Acciones y autorizaciones a los usuarios: Eliminación accidental o deliberada de
archivos o programas, pérdida de dispositivos de almacenamiento, y otros eventos
originados por falta de conocimiento o experiencia. Modificación de información, mal
uso de programas o de dispositivos de almacenamiento, compartir contraseñas o
alguna otra forma de debilitar la seguridad.
• Fallas: Colapso de software, fallas de corriente eléctrica, perdida de conexiones abases de datos, corrupción de datos o algún otro error que afecte a los dispositivos
de almacenamiento.
• Crímenes/Pérdida de confidencialidad: Compartir información no autorizada, robo
de información, sabotaje, virus, troyanos, etc.
• Desastres: Fuego, inundaciones, terremotos, o algún evento físico que propicie la
destrucción o deterioro de los dispositivos de almacenamiento.
El tema de la seguridad informática ha sido de gran importancia en los últimos años. Como
usuarios, estamos muy conscientes de amenazas como virus, adware, spyware, phishing, etc. Sin
embargo, como administradores de la información, es posible que no estemos haciendo suficiente
énfasis en la seguridad enfocada al factor humano.
5 Sophos Plc, “Stopping data leakage: Exploiting your existing security investment” whitepaper
-
8/15/2019 Tesis de Fuga de Informacion
21/141
10
Por lo anterior se hace necesaria la aplicación de programas adecuados de concientización,
capacitación y educación en el tema de seguridad. De acuerdo al Lic. Cristian F. Borghello en el
sitio SeguInfo, define los términos de la siguiente manera6:
• Concientización: Se entiende por concientización a la sensibilización del personal de la
organización, para que se den cuenta de su responsabilidad en la protección de la
confidencialidad, integridad y disponibilidad de los activos de información de la
organización, y que comprendan que esto no es solo competencia de los especialistas en
seguridad. No solo debe perseguir la protección de los activos, sino también el porqué es
importante su protección y como pueden contribuir a esta tarea.
• Capacitación: Se encarga de proveer a las personas las habilidades que le permitan
efectuar sus tareas de forma más segura. Esto incluye el enseñarles “qué” y “cómo” lo
deben hacer. También puede enfocarse desde las prácticas de seguridad máselementales, hasta las habilidades más avanzadas o especializadas.
• Educación: La educación en seguridad se adentra más que la capacitación, debido a que
está más enfocada a los especialistas en seguridad y a aquellos puestos que requieren
cierta experiencia en tópicos de seguridad.
Modelo
Para lograr una cultura consciente de la importancia de la seguridad de la información esnecesaria una educación en seguridad. Es preciso aplicar un conjunto de métodos y técnicas
(Modelo de enseñanza) para comunicar estos conocimientos de seguridad. De acuerdo a Joyce y
Weil en su libro “Models Of Teaching”, existen varios modelos de enseñanza pero todos tienen las
siguientes características7:
• ¿Qué enseñar?
• ¿Cómo enseñar?
• ¿Qué y cómo evaluar?
Las preguntas anteriores las podemos resumir en:
• Enfoque
• Metodología
• Evaluación
6 Lic. Cristian F. Borghello, http://www.segu-info.com.ar7 Joyce y Weil. “Models Of Teaching”, 2004, Pearson / Alyn and Bacon.
-
8/15/2019 Tesis de Fuga de Informacion
22/141
11
Conociendo cada uno de estos elementos, se facilitará identificar el modelo de enseñanza que se
está empleando, aunque hay casos en los que se mezclan ciertos elementos de cada modelo
dando uno aparentemente diferente.
1.5 Diseño de la investigación
• Recopilación teórica de conceptos de seguridad de información, riesgos, fuga de
información, concientización, educación, capacitación y modelos.
• Determinar las fuentes de información para recabar las bases de la investigación.
• Recopilación de estadísticas respecto a ataques a la seguridad informática.
• Investigación e identificación de las mejores prácticas y lineamientos referentes altema de seguridad de la información (COBIT, ISO 27002:2005, etc.) que
contribuyan a la elaboración del modelo.
• Identificación y evaluación de las TI que apoyan la educación, capacitación y
concientización.
• Análisis de información recopilada para elaboración de conclusiones propias.
• Elaboración de conclusiones y propuestas del modelo.
1.6 Tipo y técnicas de investigación
TIPO DE INVESTIGACIÓN: Descriptiva
Parten de la descripción de datos y características de la población o fenómeno de estudio, que
resulta insuficientemente conocida y, al mismo tiempo, relevante e interesante para ciertos
desarrollos. El objetivo central de estas investigaciones está en proveer un buen registro de los
tipos de hechos que tienen lugar dentro de esa realidad y que la definen o caracterizan
sistemáticamente. Se estructuran sobre la base de preguntas cuya forma lógica se orienta a
describir: ¿Cómo es x? ¿Qué es x? ¿Qué ocurre en calidad de x o bajo la forma x?
Sus forma de trabajo estandarizadas son las observaciones (recolecciones de datos), las
clasificaciones (formulación de sistemas de criterios que permitan agrupar los datos o unificar las
-
8/15/2019 Tesis de Fuga de Informacion
23/141
12
diferencias singulares), las definiciones, las comparaciones (determinación de semejanzas y
diferencias en comparación a estándares).
TÉCNICAS DE INVESTIGACIÓN: Documentales
Permite la recopilación de información para enunciar las teorías que sustentan el estudio de los
fenómenos y procesos.
Su objetivo es elaborar un marco teórico conceptual para formar un cuerpo de ideas sobre el tema
de investigación. Es indispensable ya que integra la estructura de la investigación, permite ordenar
las etapas de la investigación y orientar la obtención de conocimientos.
-
8/15/2019 Tesis de Fuga de Informacion
24/141
13
Capítulo II: Conceptos Generales
Conceptos como seguridad son “borrosos” o su definición se maneja con cierto grado de
incertidumbre teniendo distinto significando para distintas personas. Esto tiene la peligrosa
consecuencia de que la función de seguridad puede ser frecuentemente etiquetada comoinadecuada o negligente, haciendo imposible a los responsables justificar sus técnicas ante
reclamos basados en ambigüedades de conceptos y definiciones. Este problema puede ser
solucionado satisfaciendo las necesidades de comprensión de conceptos como: seguridad,
información, amenaza, riesgo, vulnerabilidad, concientización, fuga de información, entre otros. En
definitiva los expertos en seguridad y los expertos en informática deben interactuar
interdisciplinariamente para que exista seguridad de la información. Por este motivo, el presente
capítulo se enfoca en la definición de los conceptos ya mencionados.
2.1 Información
En la actualidad es un hecho que la información es el activo más valioso e importante de toda
unidad organizacional en las actividades humanas, es por esta razón que debemos tener
conciencia de la importancia de la misma, así como las amenazas a las que la información está
expuesta y el impacto de que dichas amenazas se vuelvan reales.
2.1.1 Definición
Para comenzar el análisis de la seguridad de la información se deberá conocer las características
de lo que se pretende proteger: la información.
Según Rafael Fernández Calvo, en su glosario básico para usuarios de Internet, define dato como:
“La unidad mínima con la que compone cierta información. Datum es una palabra latina, que
significa ‘lo que se da’”.8
Luego, de acuerdo a el Dr. Giovanni Manunta, en su libro “Seguridad: Una Introducción”, la
Información “es una agregación de datos que tiene un significado específico más allá de cada uno
de éstos, y tendrá un sentido particular según cómo y quién la procese”9.
8 CALVO, Rafael Fernández. Glosario Básico Inglés – Español para usuarios de Internet. 1994–2000.http://www.ati.es/novatica/2000/145
9 Presentación del libro “Seguridad: una Introducción”. Dr MANUNTA, Giovanni. Consultor y profesor de Seguridad de CranfieldUniversity. Revista Seguridad Corporativa. http://www.seguridadcorporativa.org
-
8/15/2019 Tesis de Fuga de Informacion
25/141
14
2.1.2 Función de la información
Según encuestas de seguridad informática publicadas en 2008 por Ernst & Young México 10, las
funciones de la información que se acercan más a la realidad y con base en puntos de vista de los
encuestados, son:
• Aumentar el conocimiento del usuario.
• Proporcionar a quien toma decisión probabilidades para la elección, reduciendo la
gama de decisiones.
• Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de
control.
En relación con el primer punto, la información como vía para llegar al conocimiento, debe de ser
elaborada para hacerla utilizable o disponible, también debe conservarse integra y confiable,
puntos que debe encargarse de proteger la seguridad de la información, como se verá en los
tópicos siguientes.
2.1.3 Características
Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre conlos equipos, las aplicaciones y la documentación, y esto depende de las características de cada
organización. De este modo, como se define en el libro “Library & Information Science Research”,
puede existir información que debe o puede ser pública: puede ser visualizada por cualquier
persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de
personas que trabaja con ella. En esta última debemos maximizar nuestros esfuerzos para
preservarla de ese modo reconociendo las siguientes características en la Información11:
1. Es crítica: es indispensable para garantizar la continuidad operativa.
2. Es valiosa: es un activo con valor en sí misma.
3. Es sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas.
10 11a. encuesta global de seguridad realizada por Ernst & Young. http://www.ey.com11 AHARONY, Noa; RABAN, Daphne R. Library & Information Science Research, 2008
-
8/15/2019 Tesis de Fuga de Informacion
26/141
15
Adicionalmente el “Information Technology Security Evaluation Criteria” define algunos aspectos
adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares,
dentro de los cuales se encuentran12:
• El control sobre la información permite asegurar que sólo los usuarios autorizados
pueden decidir cuándo y cómo permitir el acceso a la misma.
• La autenticidad permite definir que la información requerida es válida y utilizable en
tiempo, forma y distribución. Esta propiedad también permite asegurar el origen de
la información, validando el emisor de la misma, para evitar suplantación de
identidades.
• Protección a la réplica: mediante la cual se asegura que una transacción sólo puede
realizarse una vez, a menos que se especifique lo contrario. No se deberá podergrabar una transacción para luego reproducirla, con el propósito de copiar la
transacción para que parezca que se recibieron múltiples peticiones del mismo
remitente original.
• No repudio: mediante la cual se evita que cualquier entidad que envió o recibió
información alegue, ante terceros, que no la envió o recibió.
• Consistencia: se debe poder asegurar que el sistema se comporte como se supone
que debe hacerlo ante los usuarios que corresponda.
• Aislamiento: este aspecto, íntimamente relacionado con la confidencialidad, permite
regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso
del mismo.
• Auditoría: es la capacidad de determinar qué acciones o procesos se están llevando
a cabo en el sistema, así como quién y cuándo las realiza.
El valor de la información es una de las ideas más difíciles de conceptualizar. Los investigadores
han analizado este concepto en una gran variedad de formas, cada uno complementando al otro,
así como aumentando la complejidad del concepto. La información puede ser una mercancía, un
producto, un servicio o una experiencia. Además, su valor aumenta a lo largo de este continuo. El
valor a veces es asignado en la forma que la información es empaquetada y distribuida; pero, en
12 Information Technology Security Evaluation Criteria (ITSEC)
-
8/15/2019 Tesis de Fuga de Informacion
27/141
16
ocasiones el valor es inherente a su contenido a pesar de la forma que es transmitida. También el
valor de la información puede estar derivado del intercambio o su uso y pueden ser evaluados de
forma normativa, realista o subjetiva, en consecuencia los esfuerzos por protegerla deben
enfocarse en proteger sus principios fundamentales: confidencialidad, integridad y disponibilidad
(ver: “1.4 Marco teórico”).
2.1.4 Clasificación
Para lograr la confidencialidad, integridad y disponibilidad de la información, es importante que se
maneje el concepto de “clasificación de la información”, el cual, según el “SANS Institute
Information Seccurity Reading Room”, es “el conjunto de actividades que involucran el desarrollo
de políticas y procedimientos en seguridad de activos de información en donde debe establecerse
un esquema acorde con el impacto que representa la alteración, pérdida y divulgación de la
información sensitiva para la organización”. El mismo, propone la siguiente clasificación:restringida, altamente confidencial, confidencial, interna y pública, como lo muestra la Figura 4
“Clasificación de la Información”.
Figura 4. Clasificación de la Información. Fuente: SANS Institute InfoSec Reading Room.
Los niveles mostrados en la figura anterior se pueden definir de la siguiente manera13
:
• Restringida: Esta clasificación aplica para información de uso exclusivo por parte
de un reducido grupo de personas dentro de la organización. La divulgación no
autorizada de esta información conlleva severos impactos a la operación y
reputación de la empresa. Información que, de divulgarse a personas no
13 SANS Institute InfoSec Reading Room
-
8/15/2019 Tesis de Fuga de Informacion
28/141
17
autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la
organización, o bien su estado financiero, sus clientes o franquicias.
• Altamente confidencial: Esta clasificación abarca información menos sensitiva,
pero de uso exclusivo en áreas específicas de la organización. La divulgación de
esta información puede afectar las ventajas competitivas o causar daños
patrimoniales a la organización. Información que, de divulgarse a personas no
autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la
organización, o bien su estado financiero, sus clientes o franquicias.
• Confidencial: Información sobre clientes, empleados y negocios de la organización
que la organización está obligada a proteger. Información que, según la unidad
empresarial, tiene posibilidades de proporcionar una ventaja competitiva, o que
puede afectar considerablemente a la empresa, si se divulga a personas no
autorizadas.
• Interna: Esta clasificación aplica para información únicamente para uso interno de
la organización. Su divulgación pudiese acarrear daños o ser utilizada por persona
ajenas a la organización, para fines particulares. Información que, por lo general, se
divulga dentro de la organización, que no está destinada a distribuirse fuera de la
organización, y que no está clasificada como restringida, altamente confidencial o
confidencial.
• Pública: Esta clasificación incluye cualquier otra información que no se encuentredentro de cualquiera de las tres anteriores, que no requiera protección contra
accesos no autorizados. Sin embargo, su divulgación debe ser regulada por las
áreas competentes. Información que está libremente disponible fuera de la
organización, o que está destinada al uso público por parte del propietario de la
información. La información pública no tiene restricciones en cuanto a seguridad.
Cada negocio debe designar a los propietarios de la información correspondientes a cada uno de
los dueños de esta. Es responsabilidad del propietario de la información determinar el nivel de la
clasificación así como definir y aprobar a quien más se puede divulgar la información de la que es
propietario.
-
8/15/2019 Tesis de Fuga de Informacion
29/141
18
2.2 Seguridad de la información
“Ser lo que soy, no es nada sin la seguridad”14. Sin duda William Shakespeare tenía un concepto
más evolucionado de la seguridad que sus contemporáneos del siglo XV y quizás también que
algunos de los nuestros.
La meta es ambiciosa. La seguridad como materia académica no existe, y es considerada por los
“estudiosos” como una herramienta dentro del ámbito en que se la estudia: relaciones
internacionales – nacionales, estudios de riesgo, prevención de crímenes y pérdidas, etc.
El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de
acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar,
ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.
2.2.1 Definición
En las organizaciones, la Seguridad de la Información (SI) ha comenzado a tomar un lugar
determinante, y se ha convertido en un elemento fundamental a ser considerado en toda
estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo.
En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas
que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la
información, y al mismo tiempo no obstáculos para adaptarse a los continuos cambios de la
organización como consecuencia de las exigencias del mercado, sin embargo, para lograr esteobjetivo es necesario conocer la definición de seguridad de la información, según Timothy P.
Layton en su libro “Information Security: Design, Implementation, Measurement, and Compliance”,
define la seguridad de la información como: “la protección de la información y los sistemas de
información del acceso, uso, divulgación, alteración, modificación o destrucción no autorizados.”15
Los términos de “seguridad de la información”, “seguridad informática” y “aseguramiento de la
información” son frecuentemente e indistintamente usados de forma incorrecta. Estos términos
están relacionados entre sí a menudo y comparten los objetivos comunes de protección de la
confidencialidad, integridad y disponibilidad de la información, sin embargo, hay algunas
diferencias sutiles entre ellos. Estas diferencias radican fundamentalmente en el enfoque del tema,las metodologías utilizadas, y las zonas de concentración.
“La ‘seguridad de la información’ se refiere a la confidencialidad, integridad y disponibilidad de los
datos independientemente de la forma de los datos: electrónicos, impresos, o de otras formas. Sin
14 William Shakespeare, 1564–1616.15 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:
Auerbach publications. ISBN 978-0-8493-7087-8.
-
8/15/2019 Tesis de Fuga de Informacion
30/141
19
embargo, la ‘seguridad informática’ puede centrarse en garantizar la disponibilidad y el correcto
funcionamiento de un sistema informático sin preocuparse por la información almacenada o
procesada por el mismo. Así mismo, el ‘aseguramiento de la información” se refiere a la gestión
de los riegos asociados a la información.”16
A medida que el rol de seguridad de la información evoluciona, los directivos y ejecutivos de
negocio reconocen que éste es sin duda el primer paso en la relación entre la organización, sus
clientes, socios de negocio, proveedores y empleados. En este sentido, la seguridad de la
Información acarrea grandes implicaciones para las organizaciones debido a que la confianza es
la base para el intercambio, y su ausencia es una buena razón para hacer negocios con la
competencia.
2.2.2 Objetivos y propósitos de seguridad de la información
Chritian Byrnes y Paul E. Proctor en su libro “The Secured Enterprise: Protecting Your Information
Assets“ definen que “el objetivo de la seguridad de la información es el proteger el patrimonio
informático de la organización, entendiendo por tal, instalaciones, equipo e información.”17
Los principales objetivos, propuestos por Julio César Ardita (fundador y director de investigación y
desarrollo de CYBSEC Security Systems), que persigue la seguridad de la información son los
siguientes: 18
• Asegurar la integridad y exactitud de la información.
• Proteger la confidencialidad de la información.
• Proteger y conservar los activos de la información fuera del alcance de riesgos, de
desastres naturales o de actos mal intencionados.
• Asegurar la capacidad de supervivencia de la organización ante eventos que
pongan en peligro su existencia.
• Proveer el ambiente que asegure el manejo adecuado de la información sustantiva.
• Proteger los sistemas informáticos de la empresa ante posibles amenazas.
16 Idem17 F. Christian Byrnes & Paul E. Proctor, “The Secured Enterprise: Protecting Your Information Assets”, 2005, Prentice Hall
Professional.18 ARDITA, Julio César. http://www.cybsec.com
-
8/15/2019 Tesis de Fuga de Informacion
31/141
20
• Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la
información.
• Dar mantenimiento los usuarios, passwords y accesos a los sistemas por parte de
los usuarios de la empresa.
• Desarrollar e implementar el plan de seguridad.
• Asegurarse de que los aspectos relacionados con la seguridad sean considerados
cuando se seleccionen los contratistas.
• Monitorear día a día la implementación y el uso de los mecanismos de seguridad de
la información.
• Coordinar investigaciones de incidentes de seguridad informática.
• Revisar los logs de auditoría y sistemas de detección de intrusiones.
• Participar en los proyectos informáticos de la organización agregando todas las
consideraciones de seguridad.
En resumen, el propósito de seguridad de la información es el reducir el impacto de un fenómeno
que pueda causar pérdidas y que deberá encontrarse en posibilidades de recuperación a un
mínimo nivel aceptable, a un costo razonable y asegurando la adecuado re estabilización de la
operatividad.
2.2.3 Funciones de la seguridad de la información
Mucho se habla de seguridad de la información en estos tiempos, sin embargo, cabe destacar que
las funciones de la misma no han sido definidas claramente, lo cual recae en mal interpretaciones
de las mismas. Además es una realidad que las funciones de la seguridad de la información están
delimitadas en un ámbito tecnológico, sin embargo, se le debe dar un enfoque estratégico
optimizando así las funciones de la misma para lograr un amplio aprovechamiento de las mejores
prácticas, políticas y estrategias vinculadas a los objetivos y propósitos de la organización.
Omar Alejandro Herrera Reyna, en su el sitio SeguInfo enlista las principales funciones a realizar
por la seguridad de la información19:
19 Herrera Reyna, Omar Alejandro.http://www.segu-info.com.ar
-
8/15/2019 Tesis de Fuga de Informacion
32/141
21
• Minimizar los riegos de quebrantos y fraudes, a través del establecimiento de
normas, medidas y procedimientos preventivos y de seguridad en los productos,
servicios y procesos que los soportan.
• Proteger la información de acuerdo a su importancia y valor, así como resguardar
los demás activos de información en donde se procesan.
• Asegurar que desde su inicio incorporen en cada uno de sus proyectos y
procedimientos las normas, medidas y procedimientos de prevención y de
seguridad.
• Investigar administrativamente hechos dolosos que por su trascendencia o impacto
afecten los intereses de la empresa.
• Dar seguimiento conforme a la normatividad interna y al marco jurídico, las acciones
dolosas y negligentes de su personal, que afecten el patrimonio organizacional.
• Realizar diagnóstico de riesgos en las diferentes áreas de la empresa y proponer
acciones de solución.
• Identificar necesidades y problemática con base en el análisis de riesgos
previamente realizado e identificar problemas que afecten de manera general la
seguridad de la información.
• Definir políticas y procedimientos generales de seguridad de la información, para
todo el ámbito informático.
• Definir, orientar y dar seguimiento a estrategias y planes organizacionales de
seguridad dentro de la empresa.
• Dar seguimiento al cumplimiento de estrategias, normas, requerimientos y
liberaciones.
• Concienciar y difundir los conceptos de seguridad en toda la empresa.
-
8/15/2019 Tesis de Fuga de Informacion
33/141
22
• Participar en la creación de los planes organizacionales mediante la revisión,
adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada
área.
Es de suma importancia tener firmemente cimentadas las funciones de seguridad de la
información con el fin de que el área responsable delimite, implante y efectúe las medidas
necesarias para el cumplimiento de los objetivos y propósitos de la seguridad de la información y
por tanto de la organización en general.
2.2.3.1 Qué debemos proteger
De acuerdo al libro “Information Security: Design, Implementation, Measurement, and
Compliance”, en cualquier sistema de información existen los siguientes elementos básicos a
proteger: el hardware, el software, las comunicaciones y la información (ver Figura 5“Componentes de seguridad de la información). De estos, la información que maneja el sistema
debe ser lo más importante, ya que es el resultado del trabajo realizado. Si existiera daño del
hardware, software o comunicaciones estos pueden adquirirse nuevamente desde su medio
original; pero la información obtenida en el transcurso del tiempo es imposible de recuperar: tal vez
se pueda recurrir a un sistema de copias de seguridad (si es que se tiene), y aún así es difícil de
devolver la información a su forma anterior al daño.20
Figura 5. Componentes de seguridad de la información. Fuente: http://wikipedia.org, John M. Kennedy T.
20 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:Auerbach publications. ISBN 978-0-8493-7087-8
-
8/15/2019 Tesis de Fuga de Informacion
34/141
23
2.2.3.2 De quién debemos protegernos
Gustavo Aldegani en su libro “Seguridad Informática” define que “un intruso o atacante a la
persona que accede (o intenta acceder) sin autorización a un sistema ajeno, ya sea en forma
intencional o no”21. La Figura 6 “Amenazas para la seguridad”, es una clara clasificación de quien
debemos protegernos.
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: “Seguridad Informática: Sus
implicancias e implementación”.
2.2.3.3 Cómo podemos protegernos
Julio C. Ardita indica que debemos protegernos en tres momentos22:
• La prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un
sistema durante su funcionamiento normal.
• La detección (durante): mecanismos orientados a revelar violaciones a la seguridad.
• La recuperación (después): mecanismos que se aplican, cuando la violación del
sistema ya se ha detectado, para retornar éste a su funcionamiento normal.
Estos mecanismos conformarán políticas que garantizarán la seguridad de nuestro sistema de
información. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales,
cada riesgo debería ser atacado de las siguientes maneras:
21 ALDEGANI, Gustavo. Miguel. Seguridad Informática, MP Ediciones Argentina.22 ARDITA, Julio César. http://www.cybsec.com
-
8/15/2019 Tesis de Fuga de Informacion
35/141
24
1. Minimizando la posibilidad de su ocurrencia.
2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera.
3. Diseño de métodos para la más rápida recuperación de los daños experimentados.
4. Corrección de las medidas de seguridad en función de la experiencia recogida.
Para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas
de integridad, confidencialidad, operatividad, control y autenticidad. Se deberá conocer “qué es lo
que queremos proteger”, “de quién lo queremos proteger”, “cómo se puede lograr esto legislativa y
técnicamente”; para luego concluir con la formulación de estrategias adecuadas de seguridad
tendientes a la disminución (¿anulación?) de los riesgos.
Comprender y conocer de seguridad ayudará a llevar a cabo análisis sobre los riesgos, lasvulnerabilidades, amenazas y contramedidas; evaluar las ventajas o desventajas en base de las
necesidades de seguridad.
2.2.4 Importancia de la seguridad de la información
La era digital permitió una apertura de fronteras, una eliminación de las barreras comerciales y un
gran intercambio de información. Así las economías han venido creciendo, y también lo han hecho
las organizaciones delictivas.
No es un secreto que cuando se habla de seguridad de la información, lo que preocupa a las
organizaciones es el nivel de inseguridad. La inseguridad es la relación entre la seguridad real y la
seguridad total, utopía inexistente. Las áreas encargadas de la seguridad de la información, en
realidad, deben lograr que el nivel de inseguridad esté dentro de los parámetros
organizacionalmente aceptados como válidos y de acuerdo a las necesidades y recursos a los que
la organización esté limitada. Paradójicamente la seguridad entonces, se mide por el nivel de
inseguridad existente en un sistema de seguridad de la información.
Gracias a relevantes encuestas elaboradas por Cybsec, argumentamos que la inseguridad de lainformación debe ser combatida a partir de un sistema de seguridad integral en donde se cumplan
las siguientes premisas23:
• Factor humano y factor tecnológico deben estar involucrados.
23 "Tendencias en Seguridad Informática 2006”. Cybsec S.A. http://www.cybsec.com
-
8/15/2019 Tesis de Fuga de Informacion
36/141
25
• Los sistemas de seguridad de la información deben funcionar eficientemente y
generar confianza.
• Cada una de las áreas de la organización debe concientizarse sobre la
responsabilidad que tienen sobre el manejo, uso y resguardo de la información que
cada ente dentro de la misma maneja.
La importancia de seguridad de la información reside en el hecho de lograr disminuir el índice de
inseguridad vigente en cualquier sistema de información, tomando en cuenta las premisas
anteriores y poniendo en marcha medidas, técnicas y controles, así como políticas y
procedimientos que sirvan de base para un correcto, creciente y permanente manejo y resguardo
de la información.
Procedimientos y tecnologías han avanzado para que la seguridad de la información sea cada vez
más eficiente.
¿Cómo darle una solución al tema? Por un lado deben revisarse los procesos del factor humano,
consultorías, capacitación, educación y concientización al personal, etc., por el otro debe darse un
permanente seguimiento al modelo de seguridad implantado. Actualmente las empresas manejan
un modelo vertical de seguridad: seguridad de almacén, seguridad de transporte, seguridad
periférica, seguridad personal, seguridad para la tecnología de información, seguridad de la carga,
seguridad ambiental, etc.; de esta forma existen un promedio de 20 proveedores de seguridadpara una sola organización. Este modelo de seguridad, utilizado mayoritariamente, es muy
vulnerable y facilita la inseguridad pues:
1. Existen zonas grises entre las distintas áreas,
2. Tiene gran dificultad de coordinar los distintos recursos,
3. Existe un riesgo elevado de fuga de información por parte de personal común y
4. No está basado en la inteligencia como “modus operandi”.
La gestión eficiente de la seguridad de la información en las organizaciones, es un claro ejemplo
de cómo la seguridad debe ser planteada en forma estratégica. Fallas de seguridad impactan
negativamente en el cuadro de resultado de las mismas.
-
8/15/2019 Tesis de Fuga de Informacion
37/141
26
La seguridad como factor estratégico permitirá coordinar, interactuar y lograr la interoperabilidad
necesaria entre los distintos proveedores verticales, actuando como punto de origen y control
desde el cual se imparten las directrices y el control de la seguridad total de la organización.
2.3 Vulnerabilidades, Amenazas y Riesgos de la Información
Muchos de los términos de seguridad son frecuentemente confundidos en publicaciones
populares. Diferentes términos de seguridad tienen distintos significados para ser usados en
formas específicas por una razón. Por ejemplo, “evaluación de riesgos” y “evaluación de
amenazas” son dos términos completamente diferentes, y cada uno es valioso por sus propias
razones y aplicables para resolver diferentes problemas.
Los tres términos de seguridad: vulnerabilidad, amenaza y riesgo, serán definidos a
continuación
24
:
2.3.1 Definición de vulnerabilidad
El término vulnerabilidad se refiere a los defectos de seguridad en un sistema que permite que un
ataque sea exitoso. La evaluación de vulnerabilidades debe ejecutarse por las partes
responsables para resolver dichas vulnerabilidades, y ayuda a proveer datos usados para
identificas daños inesperados a la seguridad que necesitan ser resueltos. Dichas vulnerabilidades
no son particularmente en tecnología, estas puede aplicarse en factores sociales, tal como
autenticaciones personales y políticas de autorización.
Analizar las vulnerabilidades es útil para mantener la seguridad continua, permitiendo a las
personas responsabilizarse por la seguridad de los recursos, y responder efectivamente a los
nuevos daños cuando sucedan. También es valiosa para el desarrollo de políticas y tecnología, y
como parte de del proceso de selección de tecnología, ya que elegir la tecnología correcta a
tiempo puede asegurar ahorros significativos en tiempo, dinero y otros costos al negocio.
2.3.2 Definición de amenaza
El término amenaza se refiere al origen de un ataque en particular. El análisis de amenazas puede
ser ejecutado para determinar el mejor acercamiento al aseguramiento de un sistema contra una
amenaza en particular o una clase de amenaza mientras le análisis de riesgos se enfoca en
analizar el potencial y la tendencia de un recurso a fallar, debido a los ataques, el análisis de
amenazas se enfoca más en analizar los recursos del atacante.
24 TechRepublic. Chad Perrin: “Understanding risk, threat, and vulnerability”, 07 de Julio de 2009
-
8/15/2019 Tesis de Fuga de Informacion
38/141
27
Analizar amenazas ayuda a desarrollar políticas de seguridad específicas en alineación con las
prioridades y el entendimiento de las necesidades de los recursos a asegurar.
2.3.3 Definición de riesgo
El término de riesgo se refiere, a la probabilidad de ser alcanzado por un ataque, ya sea exitoso o
no, así como la exposición a una amenaza. Un análisis de riesgo se ejecuta para determinar las
más potenciales brechas de seguridad y cómo prevenirlas ahora, en vez de corregirlas después.
Enumerando las más críticas y peligrosas, y evalúa los niveles de riesgos relativos a otros
mediante una función de interacción entre el costo y la probabilidad de ocurrencia de dicha brecha.
Analizar riesgos puede ayudar a determinar una apropiada inversión a la seguridad (tanto en
tiempo como en dinero), y priorizar la implementación de políticas de seguridad como un reto para
resolverlos lo más pronto posible.
Entender el uso apropiado de estos términos es importante, no únicamente para sonar que
conocemos de lo que estamos hablando, ni para facilitar la comunicación. También ayuda para
desarrollar y aplicar buenas políticas. La especificidad de los términos técnicos se ve reflejada en
la forma en que los expertos han identificado claras distinciones entre prácticas reales y sus
campos de experiencia, y puede ayudar a clarificar como se deben enfrentar los retos para
alcanzar los objetivos.
Es necesario conocer los riesgos, los recursos que se deben proteger y como su daño o faltapueden influir en la organización, así mismo, es necesario identificar cada una de las amenazas y
vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una
relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco
(ver Figura 11 “Elementos e Interrelaciones Amenaza – Vulnerabilidad – Riesgo”).
-
8/15/2019 Tesis de Fuga de Informacion
39/141
28
Figura 7. Elementos e Interrelaciones Vulnerabilidad – Amenaza –Riesgo. Fuente: Revista de Ingeniería Informática del
CIIRM.
2.3.4 Clasificación de riesgos, amenazas y vulnerabilidades
Retomando los términos anteriores, las organizaciones deben evaluar los posibles riesgos,
amenazas y vulnerabilidades a los que está expuesta su información. En general, esta evaluación
es determinar qué amenazas y vulnerabilidades merecen una atención prioritaria en relación con
el valor de la información o sistemas de información protegida. A pesar de que las amenazas y
vulnerabilidades deben ser consideradas al mismo tiempo, es importante distinguir entre las
amenazas de las vulnerabilidades.
De este modo, las vulnerabilidades en la seguridad de la información pueden clasificarse de la
siguiente forma:
• Vulnerabilidades en Sistemas: Surgen desde las distintas fases del desarrollo de
estos sistemas, mismas que a continuación tratamos de definir: vulnerabilidades de
-
8/15/2019 Tesis de Fuga de Informacion
40/141
29
diseño, vulnerabilidades de implementación y vulnerabilidades de implantación y
configuración.
• Vulnerabilidades en Infraestructura Tecnológica: Son el resultado de
implementación incorrecta de tecnologías, otras son consecuencias de la falta de
planeación de las mismas pero, como ya se ha mencionado, la mayoría de las
deficiencias de la seguridad son ocasionadas por los usuarios de dichos sistemas y
es responsabilidad del administrador detectarlos y encontrar la mejor manera de
corregirlas.
• Vulnerabilidades de acuerdo al factor humano. Involucra debilidades por parte de
personas involucradas con los sistemas de la organización, ya que desconocen las
mínimas medidas de seguridad y/o políticas de la organización. Dichas carencia o
deficiencia de conocimiento y/o conciencia de la seguridad de la información puedellevar a la manipulación de las personas para convencerlas de que ejecuten
acciones o actos que normalmente no realizan para que revele todo lo necesario
para superar las barreras de seguridad (conocido como “Ingeniería Social”). Un
atacante pude utilizar medios no electrónicos (llamadas telefónicas, anuncios,
suplantación de personal técnico, etc.), para conseguir acceso o atacar la
infraestructura de soporte a sistemas de información de la organización. Se deben
evaluar los procedimientos y organización de la organización relacionados con
seguridad de la información a fin de detectar debilidades frente a técnicas de ataque
no electrónicas, mejor conocidas como Ingeniería Social.
A pesar de que las amenazas pueden surgir de una amplia variedad de fuentes, se pueden
clasificar en tres grandes grupos:
• Amenazas Humanas: Esta clasificación trata sobre cada uno de los personajes que
pueden ser potenciales atacantes de nuestro sistema: el personal externo y el
personal perteneciente a la organización. Podemos clasificar las amenazas
humanas en:
o Personal Interno
o Ex–Empleado
o Curiosos
o Terroristas
o Intrusos remunerados
-
8/15/2019 Tesis de Fuga de Informacion
41/141
30
o Hackers, crackers, phreakers, gurús, lamers ó script–kidders, copyhackers,
bucaneros, newbies, wannaber, samurái, piratas informáticos, creadores de
virus, etc.
A diferencia del atacante externo, los empleados de una empresa poseen
conocimiento y disponen de mayores oportunidades para explotar vulnerabilidades
existentes. Por esta razón, el fraude interno sigue siendo altamente costoso y difícil
de identificar, el ambiente de control interno, la cultura organizacional de prevención
y la ejecución rápida de acciones asertivas al presentarse situaciones de este tipo,
son fundamentales para su minimización.
Algunas causas por las que un sistema de seguridad de la información puede ser
más vulnerable desde el factor humano, son:
o Personal Interno.
• Baja moral, motivación y sentido de pertenencia entre los
empleados.
• Alta rotación de empleados.
• Baja disponibilidad de personal en los departamentos de
contabilidad y auditoría interna.
• Empleados con estilo de vida inconsistente con sus ingresos y
patrimonio.• Presión interna (ejemplo, presión sobre la Gerencia para alcanzar
las metas de presupuesto).
• Forcejeos y luchas internas en la alta gerencia.
• Empleados con motivos de queja reales o imaginarios contra la
Compañía o la Gerencia.
o Nivel institucional
• Ambiente de Control Interno débil, en especial en el área decontroles informáticos.
• La ausencia de un programa de cumplimiento de políticas internas y
regulaciones.
• Gran número de quejas de clientes, proveedores o entes
reguladores.
-
8/15/2019 Tesis de Fuga de Informacion
42/141
31
• Falta ó deficiencia de conocimiento, debido a nulos o escasos
programas de difusión, educación, capacitación y concientización
en materia de seguridad de la información.
• Amenazas Tecnológicas: El crecimiento de las necesidades en tecnología de la
información (TI) es directamente proporcional al crecimiento de los riesgos,
amenazas y vulnerabilidades que nos rodean. Dentro de las amenazas tecnológicas
a la seguridad de la información podemos considerar las siguientes: trojan horses,
data diddling, spoofing, scanning, eavesdropping ó packet sniffers, denial-of-service,
virus, worms, session hijacking, logic bombs & time bombs, etc.
• Amenazas Naturales: Este tipo de amenazas se refiere a condiciones de la
naturaleza y la intemperie que podrán causar daños a los activos. Las principales
amenazas que se prevén en las amenazas naturales son: incendios, inundaciones,condiciones climatológicas, terremotos, etc.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del
medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información
brindada por los medios de control adecuados. Estas decisiones pueden variar desde el
conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en
caso de accidentes.
La ejecución adecuada y oportuna de pruebas es esencial para identificar muchas de estasamenazas y vulnerabilidades. Un punto importante para determinar los riesgos, amenazas y
vulnerabilidades consiste en la elaboración inventario de la información y sistemas relacionados a
la misma (ver tema “2.1.4 Clasificación de la información”), de este modo mediante la apreciación
del riesgo y la exposición a las amenazas y vulnerabilidades observadas, se podrá asignar
clasificaciones de riesgo a la información y sistemas de información.
La clave para la clasificación de riesgos es organizar la información y los sistemas de información
dentro de un marco lógico. Dicho marco debe reconocer que no todas las amenazas y los riesgos
son iguales, así mismo se debe reconocer que la organización dispone de recursos finitos para laatención de dichos riesgos. Los riesgos razonablemente previsibles, deben ser priorizados y
clasificados de acuerdo a la sensibilidad y la importancia de la información.
La probabilidad o posibilidad de que se produzca un hecho, y el impacto que tendría, debe
considerarse en la determinación de la clasificación del riesgo, además de la clasificación de la
información. Del mismo modo la clasificación asignada al riesgo debe estar directamente influido
-
8/15/2019 Tesis de Fuga de Informacion
43/141
32
por perfil de la organización y la eficacia de sus controles. Normalmente, el resultado se expresa
en diferentes “niveles de riesgo”, por ejemplo, "Alto", "Medio" o "Bajo". La clasificación de riesgo es
específicamente juzgado, determinado y asignado en relación con el nivel de exposición y la
probabilidad de la amenaza, teniendo en cuenta la adecuación de los controles internos. Cuando
los controles son insuficientes o no que se haya concluido la evaluación de riesgos se debería
incluir un plan de acción para mejorar los controles.
Una vez que los ri