Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Argentina|Bolivia|Chile|Paraguay|Uruguay

 


Luis Montenegro, Director de Infoclan. MVP


Seguridad de la Información: Más que una actitud, un estilo de vida.
Desde hace algún tiempo hasta ahora, el término seguridad ha tomado una relevancia insospechada dentro del ambiente informático; hablar de seguridad de la información y considerarla dentro de la estructura interna de las organizaciones es algo cada día más importante y valioso.

¿Y de donde nació este interés por la seguridad de la información? Para poder responder a esta pregunta, debemos mirar hacia atrás en la historia y analizar la evolución que ha sufrido el tratamiento de la información. Antes de la aparición de las primeras redes de computadores, prácticamente toda la información sensible de una organización se guardaba en un formato físico: Bodegas repletas de grandes archivadores y toneladas de papeles eran los encargados de guardar los datos de los clientes y la contabilidad de una empresa. Las principales amenazas a la seguridad de dicha información se podían encontrar en desastres naturales, y el robo de información era algo bastante más complejo que ahora (no cualquiera podía salir disimuladamente con los datos de 5000 clientes de una empresa). Pero con la aparición de la computación y el auge de las redes, la información comenzó a digitalizarse de una manera impresionante, y una bodega llena de archivadores con datos de una cartera de clientes ahora podía resumirse al contenido de un disco duro de un equipo que podría ocupar menos de un metro cuadrado de superficie. Este avance en la tecnología, aparte de las múltiples ventajas en el procesamiento y análisis de la información, trajo consigo un nuevo problema al mundo de la informática: La información en formato digital, es más fácil de transportar, por lo que las posibilidades de hurtarla o alterarla no son despreciables.

Seguridad de la información: ¿Un problema sólo de los informáticos?

Si usted compra una casa lujosa y le instala un sistema de alarma, ¿Es garantía suficiente para irse de vacaciones y dejar su nuevo hogar con puertas y ventanas abiertas? Este ejemplo siempre lo uso siempre para demostrar que la seguridad no es un problema meramente tecnológico. La seguridad de la información es un conjunto de herramientas y procedimientos, tecnológicos, sociales y culturales que buscan proteger y defender nuestra información de cualquier agente interno y/o externo que pueda afectar cualquiera de sus tres principios básicos: Integridad, Confidencialidad y Disponibilidad. La seguridad no es un término estrictamente tecnológico; de nada servirá tener una red saturada de complejos Firewalls, Sistemas de Detección de Intrusos, Políticas y Passwords complejos si el Administrador de la red deja su contraseña escrita en un papel y pegada en una esquina del monitor. No existe sistema operativo que tenga la posibilidad de ver a través de la pantalla quien está digitando la contraseña en el teclado (al menos no hasta ahora), por lo que un descuido por parte de una persona puede ser fatal para la seguridad a nivel global de una organización.

Uno de los conceptos más claros y didácticos que me sirvió para poder comprender globalmente el concepto de seguridad lo aprendí hace un par de años atrás, en una charla de Microsoft. Es el concepto de Defensa en Profundidad.



Figura 1. Defensa en Profundidad (Curso Seguridad Microsoft Technet Learning Center).

Este concepto de defensa en niveles enseña principalmente que la seguridad es un aspecto transversal, que abarca desde la información misma (los datos) hasta las dependencias físicas donde se encuentra la información, pasando por un conjunto de capas sucesivas y relacionadas. Pero quizá lo más destacable del modelo de defensa en profundidad es que todas estas capas están rodeadas por el aspecto humano: una solución de seguridad que no tenga considerado el aprendizaje del tema por parte de los usuarios está condenado al fracaso.

Seguridad en el exterior… y en el interior también

Hasta hace un tiempo atrás, muchos creían que el villano de la información era el hacker, una persona de pelo largo, y aspecto tenebroso, oculta tras un computador de última tecnología en un lugar oculto de algún país con nombre desconocido. Sin embargo, esto ha pasado a ser un mito de la informática: muchas veces el enemigo puede estar dentro de la misma organización, y no necesariamente es un experto en programación ni un maestro en informática. Es más, para poder atacar los sistemas hoy en día basta con saber hacer una buena búsqueda en los distintos motores que nos provee Internet. Si uno escribe "Hacking Manual" en Google - por citar un ejemplo - aparecen ¡más de 4 millones de resultados!, muchos de ellos con completísimos manuales en español e inglés de cómo entrometerse en los sistemas de información. A esto sumamos que existen muchos errores humanos con respecto a la seguridad de la información y uno de ellos es precisamente creer que todos los posibles factores de peligro de la información se encuentran en el exterior.

Este error ha sido reafirmado por numerosas estadísticas que demuestran que un gran porcentaje de los problemas de seguridad se producen en el interior mismo de las organizaciones. Empleados insatisfechos, usuarios curiosos y por sobre todo poco concientes del impacto que pueden tomar sus acciones en una red pueden ser parte importante de los dolores de cabeza que los encargados de seguridad tienen (y tendrán) a diario.

Todos estos antecedentes no hacen más que reafirmar teorías tan simples y poderosas como el modelo de defensa en profundidad. No sirve absolutamente de nada tener el perímetro protegido con decenas de Firewalls, proxies, IDS y otras herramientas de seguridad si cometemos el descuido de no cambiar nunca la contraseña del administrador de la red, incluso aunque hayan cambiado a dicho administrador, o si el gerente deja pegada la contraseña del equipo que tiene los datos más sensibles de la empresa pegada en un taco en una esquina del monitor (sólo porque es demasiado compleja como para recordarla de memoria). Y esto se debe a que todavía no existe el sistema operativo que tenga la capacidad de ver físicamente la persona que está tecleando y mirando al monitor como para negarle de forma inteligente el acceso a la información sensible. Si eso fuera así, los computadores pasarían a ser más inteligentes que el hombre y entraríamos a una era digna de películas.

En resumen, la necesidad de seguridad no se acaba en la puerta de nuestras casas (ni de nuestras organizaciones). La seguridad, tal como lo dice el modelo de defensa en profundidad, debe ser considerada tanto en el interior como en el exterior.

Más que una actitud, un estilo de vida

La seguridad de la información es algo dinámico y que sufre una constante evolución. Cada día aparecen nuevas amenazas a la seguridad y empiezan a faltar palabras en el diccionario para bautizarlas: Spyware, KeyLoggers, Phishing, Pharming… la lista se hace interminable. Y así como aparecen nuevas amenazas, los expertos en seguridad se esmeran en crear nuevos programas, protocolos y equipos dedicados a mejorar la seguridad a nivel informático, haciendo de la seguridad una extraordinaria carrera entre policías y ladrones, una carrera donde posiblemente nunca esté dicha la última palabra.

¿Y qué pasos está siguiendo Microsoft en esta carrera imponente? A mi en lo particular (y esto lo digo a título personal) me parece sumamente atractivo el camino que Microsoft está tomando en estos últimos años en cuanto a seguridad, sobre todo para la región de América Latina. Microsoft está trabajando fuertemente en dos ámbitos, siguiendo su modelo de defensa en profundidad. Estos ámbitos son el ámbito tecnológico y el ámbito humano/social.

Por el lado tecnológico, Microsoft está focalizando sus esfuerzos en el concepto de Desarrollo seguro. En http://www.microsoft.com/spanish/msdn/articulos/archivo/030505/voices/sdl.mspx se pueden encontrar detalles muy interesantes sobre este concepto, el cual Microsoft se ha tomado como autoexigencia para todos los desarrolladores de sus nuevos productos. Esto se traduce en el concepto de SD3+C, que traducido al español significa Seguro en su diseño, Seguro por defecto, seguro en su implementación (deployment) y con la capacidad de comunicarse. Estos conceptos han sido considerados para el desarrollo de los últimos productos Microsoft, como Windows Vista, Office 2007, SQL 2005, VS 2005, BizTalk 2006 y otros, lo cual es una mejora importante y que siempre es agradecida por los administradores. Además, la aparición de nuevas herramientas de seguridad de Microsoft - Como Windows Defender o Antigen - forman parte importante de esta nueva era donde la seguridad es un concepto clave dentro del desarrollo de los productos informáticos.

Además, Microsoft está preocupado de generar una nueva conciencia de seguridad en las personas. Para ello, ha iniciado una ambiciosa campaña a nivel de Latinoamérica que busca capacitar a los usuarios y profesionales del área en seguridad. El curso de seguridad de Microsoft Technet Learning Center y la Academia Latinoamericana de Seguridad Informática (ALSI), de la cual soy miembro del consejo de alumnos son dos iniciativas muy valiosas que ha tenido Microsoft en esta campaña de crear conciencia de seguridad en Latinoamérica.

De hecho, mi interés principal en tecnología antes de conocer estas iniciativas eran las redes de computadores. El día de hoy me siguen interesando, pero mi prioridad en capacitación y crecimiento profesional se ha inclinado hacia el lado de la seguridad informática.

En resumen, es muy importante recordar que la seguridad no es un problema meramente tecnológico. Con la importancia que ha adquirido hoy en día la información, es necesario adoptar no solo una actitud, si no que un estilo de vida seguro. Debemos aprender a estar concientes del valor de nuestra información, y usar en cada una de nuestras actividades diarias dicha conciencia. Sólo así tendremos posibilidades de ganar esta loca carrera entre las amenazas y los amenazados.

Los invito a visitar algunos sitios donde podrán aprender más de seguridad de la información:

http://www.microsoft.com/latam/technet/seguridad/guidance/antivirus/avdind_1.mspx
http://www.microsoft.com/latam/technet/video/default.asp
http://www.microsoft.com/latam/technet/seguridad/default.mspx
http://www.microsoft.com/latam/technet/seguridad/security_flash/default.asp
http://www.mslatam.com/latam/technet/evento/videos/videos_working.asp
http://www.microsoft.com/chile/technet/
http://groups.msn.com/infoclan







©2009 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft