reguleon

Seguridad informatica.

Estudio de percepcion seguridad de la informacion. Mexico 2009.

La dinamica mundial en la investigacion así como la configuración de reglas que permite fortalecer la seguridad del formación, tiene un ritmo acelerado. Un año con año surgen nuevos estándares un, se actualizan los existentes, se fabrica más y mejor tecnología encaminada a la protección de datos y a la reflexión de los rangos de disponibilidad de los servicios. La seguridad de la información, lejos de perder importancia se vuelve, cada vez +1 aspecto fundamental en todos los ámbitos: en el intercambio de ideas y conocimientos en las relaciones de negocios el día a día interpersonal y empresarial. Las grandes organizaciones del mundo están más cerca de la implementación y refinamiento de sus procesos, la infraestructura de sus redes e incorporan procedimientos de acceso en manejo de información cada vez más rigurosos pero que está sucediendo en México, cuál es la percepción de los usuarios de tecnología alrededor del tema, que tanto ha permeado una cultura de seguridad de la información en nuestro país.

El estudio de percepción sobre seguridad del información en México que se lleva cabo desde 2004, tienen como propósito responder a todas estas preguntas y servir como termómetro de lo que al respecto se piensa y se conocen los usuarios especializados y nuestros egresados en el ámbito organizacional.

Con el propósito de brindar un panorama lo más completo posible respecto del tema, se ha recopilado información y opiniones de diferentes fuentes, teniendo así la persecución del trabajador convencional no informático y del trabajador cercano a la tecnología informático, así como la opinión experta de quiénes lideran áreas ligadas de manera muy directa a la seguridad de la información y de los sistemas de sus organizaciones. Por tal razón de este documento se conforma de tres secciones complementarias.

1. Conocer los niveles de conciencia que se tienen en las empresas mexicanas, acerca de la Seguridad Informática.

2. Detectar el grado de conocimiento que se tiene con respecto a los diferentes ámbitos de la Seguridad en Informática (Seguridad Física, Seguridad frente a Agresores Externos y Seguridad frente a Agresores internos).

3. Identificar aquellos elementos relacionados con la seguridad en Informática, que son considerados importantes por los responsables de su implementación dentro de sus organizaciones.

4. Conocer la percepción que tienen diferentes expertos y algunos proveedores cuyas soluciones tienen incidencia directa o indirecta sobre la Seguridad Informática, respecto del grado de conocimientos, penetración de esta cultura entre las organizaciones de nuestro país.

5. Conocer las normas y regulaciones relacionadas con la seguridad informática están presentes en mente de los usuarios en general.

6. Contar con una herramienta que permita fomentar la conciencia de la seguridad informática, apoyando las labores educativas del país a nivel corporativo e institucional.

7. Crear un entorno que impulse el crecimiento del mercado de productos y servicios de seguridad, así como la correcta implementación de soluciones especializadas.

8. Proveer de estadísticas comparativas que permitan seguir la evolución e identificar los cambios en percepción que se tiene sobre la seguridad en informática, entre los diferentes años de evaluación.

Sus objetivos principales de estudio son:

 Determinar el nivel de conocimiento general sobre medidas de seguridad en informática.

 Determinar el grado de conocimiento de marcas y empresas en México involucradas en la seguridad informática.

 Bosquejar una escala jerárquica de percepción acerca de la importancia de los diferentes rubros, productos y servicios, que intervienen en el concepto global de seguridad en informática.

 Conocer a percepción que se tiene acerca de la cultura de seguridad en informática en México.

Situación de la seguridad en informática en México, frente a otros países del mundo. En materia de seguridad de la información México se encuentra en un nivel intermedio, equiparable o incluso superior al de la mayoría de países latinoamericanos, pero en un nivel muy por debajo de los países desarrollados. Las organizaciones grandes tienen una mayor conciencia respecto del valor de su información, de la responsabilidad que tienen al manejar información de terceros, se esfuerzan mas por difundir una cultura sobre el tema al interior de sus organizaciones, cuentan con un presupuesto mayor y mejor estructurado. Principales rezagos. Una cultura de seguridad poco extendida. Falta de capacitación tanto de los responsables de la seguridad de la información a nivel interno, como de algunos proveedores de soluciones relacionadas. Falta de una legislación clara y suficiente, se percibe que el país esta lejos de tener una estructura legal que permita hacer frente a los retos que se tienen respecto de la seguridad en informática. Bajo nivel de conciencia entre directivos de las organizaciones. Carencia de foros y de presupuesto para incentivar la investigación tecnológica. No se tiene legislación clara y suficiente respecto de protección de datos personales. La seguridad informática tiene el suficiente apoyo, porque no es obligación la protección adecuada respecto de confidencialidad. México se esta renuente a adoptar de forma inmediata nuevas tecnologías en seguridad informática, mientras no sean adoptadas de manera general. Esto derivado del rechazo a utilizarlas en el momento en que son puestos el mercado, debido a que se etiquetan como modas. Principales retos de México con el país, en materia de seguridad en informática. La capacitación es otro de los retos mas importantes a enfrentar no solo en lo que se refiere a promover un mayor conocimiento por parte de los usuarios, si no también de los especialistas del ramo quienes tienen que adaptarse con rapidez a la dinámica de reglas a nivel internacional, nacional y local, así como a la nueva tecnología. Que la gente encargada de la seguridad informática entienda que, al igual que toda la área de TI, debe alinearse al negocio y dar valor al mismo, encontrado siempre maneras de hacer más o menos. Impacto que podría tener la situación económica medial del 2009 en la percepción sobre seguridad de la información por parte de la gente. Las inversiones en materia de seguridad informática podrían mantenerse bajas e incluso decrecer, sobre todo en organizaciones medianas y pequeñas. Se estima que directores y comités de las empresas, estarán dispuestos a absorber mayores riesgos para no tener que invertir en seguridad, a menos que esta sea renovada por carácter obligatorio. Existen algunas opiniones optimistas respecto de que este fenómeno representa una buena oportunidad para demostrar que la estancamiento en ciertos temas o como disminución de los controladores, dados los recortes presupuestales. Principales retos de los proveedores de hardware y software, en materia de seguridad en informática.

CONCLUSIONES DE LA INVESTIGACION
AVANCES IMPORTANTES EN 2009
La percepción es positiva, tanto para los informáticos como los no - informáticos, respecto de la importancia que se le da a la seguridad información en las empresas u organismos donde laboran, se puede interpretar como un avance importante en la materia. Si se considera que la muestra incluye múltiples sectores, empresas de diversos tamaños y una gran diversidad en los puestos ocupados por los entrevistados, se puede concluir que México esta teniendo avances importantes en atención que las empresas de todo tipo están dando al tema de la seguridad de la información.

ASPECTOS QUE SIGUEN REZAGADOS
La mejora de la Regulación, Normatividad y Legislación en México, en materia de Seguridad en la Informática. Como en años anteriores estos rublos siguen siendo los menos tomados en cuenta por los usuarios comunes tanto informáticos como no - informáticos. Se sigue percibiendo un rezago importante en la creación y aplicación de leyes claras que ayuden a perseguir y castigar los delitos informáticos, lo cual es percibido como desventaja de México frente a otros países. Se sigue percibiendo que el Gobierno de México debe hacer mayores esfuerzos por promover una cultura de Seguridad de la Información en el país, con énfasis hacia sus propios funcionarios, pero también hacia la sociedad en general.

ARTÍCULOS SOBRE SEGURIDAD INFORMÁTICA.
El problema de Seguridad de la Información en México tiene que ver con los avances en la implementación de un buen sistema de Gestión de Riesgo lo cual ha tomado su relevancia en los últimos 15 años. El presente estudio demuestra que se ha avanzado en este esfuerzo y que falta mucho más por el lado de concienciación en forma integral, en todas las audiencias en nuestras instituciones. Muchas empresas están buscando definir su estrategia de seguridad de la información con un alcance no solo pequeño ni incipiente, con el interés de ir avanzando en la madurez del proceso de administración de riesgos. Casi todas las empresas cuentan con una estrategia de seguridad de información integral consientes los directivos de implementar un sistema de Administración de Riesgos basada en una norma, por ejemplo ISO27000, sin embargo aún falta mucho por completar un nivel de madurez por ejemplo ha por ejemplo ya haber pasado por lo menos dos ciclos del proceso de Deming, así como la medición del Gap y el establecimiento del proceso de mejora continua. Por otro lado, como consecuencia del avance de la tecnología, la inseguridad ha aumentado, ya que en dichos avances están alcanzando capacidades que facilitan el acceso a todos los niveles de seguridad. Adolfo Gregor comentó el porqué del fracaso de la Seguridad, al decir que la falla de los programas de seguridad se debe a que no hemos sido capaces de explicar, señalar y justificar al comité de seguridad, cuanto se tiene que gastar, conforme se están. Implementando las soluciones o los controles, y se pueda medir los resultados para saber cuánto se reduce el nivel de riesgo. No se sabe justificar el gasto o la inversión que se requiere para los proyectos d seguridad, en relación a las necesidades de la institución, ni se sabe informar cuánto va a reducir el riesgo.

FACTORES SI

Siendo las Tecnologías de Información y Comunicación (TIC´s) elementos fundamentales de nuestra forma de vivir, trabajar y divertirnos, es fundamental entender como estas pueden convertirse de igual forma en elementos de protección y diversión para la seguridad de nuestra información. El mundo de las Tecnologías de Información juega un rol importante como habilitadoras del negocio así como mecanismos de defensa, si son debidamente seleccionadas y utilizadas.

PANORAMA DEL CAMPO DE BATALLA.
Mas allá del solo hecho de detener ataques, las organizaciones enfrentan distintos resto en materia de seguridad de la información como son: Protección de la información corporativa y los datos personales de clientes y empleados. Garantizar la continuidad e interoperabilidad de los servicios de los que depende el negocio. Generación de conciencia y cultura en toda la organización. Reducción de costos y optimización de recursos operativos. Cumplimiento con marcos regulatorios y disposiciones legales.. Atender de manera reactiva un escenario de inseguridad ha sido la práctica por excelencia; es decir, las empresas implementan redes y posteriormente instalan firewall o soluciones de detección y prevención de intrusos para poder protegerlas, implementan servicios de comunicaciones unificadas y erróneamente te asumen que cajas mágicas pueden ser instaladas posteriormente para proteger toda una arquitectura.

DESCUBRIENDO EL HILO NEGRO.
Es fundamental que las personas y las organizaciones comience a activar todos aquellos servicios de seguridad presentes en su tecnología, que cuestiones a sus proveedores al respecto e, independientemente del planteamiento abandonen la idea de que existen soluciones mágicas a todos los problemas de seguridad.

ACTUE, HOY ES LE MOMENTO.
Ciertamente la tecnología por sí sola no es la solución a todos los problemas de seguridad, y menos aun si se ve como un tema aislado. La formula cambia radicalmente cuando tomamos en consideración los procesos y la gente que soporta los objetivos de negocio de la organización. Así como cuando demandamos seguridad integrada en cada planteamiento; de esta forma, la seguridad y las Tics quedan alineadas perfectamente a las prioridades de la organización , convirtiéndose en verdaderas habilitadoras de nuevos servicios, reducción de costos y optimización de procesos.

JFS. EL CAMBIANTE PERFIL DEL HACKER.
Hacker es el termino que se utiliza para referirse a una persona que obtiene acceso a datos electrónicos, mediante el rompimiento de candados electrónicos. A finales de los 80´s y principios de los 90´s los hackers comenzaron a atacar los sistemas de telefonía. La motivación por realizar esto era básicamente el reconocimiento de una comunidad de personas conocedoras de tecnología, que usaban nombres en clave y que competían para ver quién era el mejor. Esta tendencia continúo durante el crecimiento de las computadoras personales, donde inclusive la mayoría de los virus eran demostraciones de poderío intelectual y conocimiento tecnológico por parte de los creadores. Con la llegada de la World Wide Web, a mediados de los 90´s y el crecimiento de sitios de comercio electrónico y banca electrónica, comenzó a cambiar el perfil del típico hacker. Comenzaron a haber muchas personas que utilizaban el hackeo para obtener ganancia personal, la cual podía consistir desde beneficios económicos, perpetrar venganzas o contravenir ciertas posiciones fisiológicas o políticas. Como consecuencia de la explosión de la interconectividad a finales de los 90´s y en la década de los 2000´s con la mayoría de las transacciones financieras del mundo yendo por medios electrónicos y el crecimiento geométrico del uso del Internet para adquirir bienes y servicios, el perfil del hacker tuvo un nuevo cambio, al entrar de lleno el crimen organizado a esta actividad. Los hackers actuales forman parte de grandes organizaciones criminales internacionales operando en muchos países. Existen ejemplos de redes de negocios de redes completas creadas exclusivamente para encubrir actividades criminales, incluyendo pornografía infantil, robo de claves, ataques a empresas o gobiernos.

Estas organizaciones generan virus y troyanos para obtener información, utilizar las computadoras de las personas para provocar ataques de diversos tipos, y que no sea fácil de rastrear de dónde vienen, y además activamente están de manera continua buscando vulnerabilidades en servidores en todo el mundo, sistemas operativos y computadoras personales. También existe razón para sospechar que algunos gobiernos a nivel mundial están generando sus propios virus y programas de espionaje, lo hacen no solo para obtener información militar y política, sino también para hacer robos y obtener recursos financieros. Las redes sociales actuales de todo tipo, no están exentas de actividades criminales. Desafortunadamente, los hackers actuales son un elemento mas del crimen organizado que tanto ha dañado al mundo en este siglo. A medida que la tecnología avanza, cada vez hay mayor incentivo para que las organizaciones criminales busquen infiltrar sistemas. Por otra parte, también están habiendo mejoras en la seguridad, desde el diseño mismo de los sistemas operativos.

LOS RIESGOS DE LAS REDES SOCIALES.
Las redes sociales en México han sido un gran éxito, a tal grado que 4 de los 10 sitios más visitados del país son portales de redes sociales. Dentro de estas redes sociales los usuarios comparten con el mundo mucho más que fotografías y videos, ya que dentro del portal de cada usuario se almacenan datos personales. A simple vista , esta información podría no tener relevancia, pero se han puesto a analizar cuál es la información que nos solicita cuando queremos recuperar la contraseña, por ejemplo cuando un usuario quiere recuperar la contraseña de su buzón de correo, la mayoría de los portales nos dan dos opciones; nos pueden enviar la contraseña a una cuenta de correo electrónico alternativa o podemos proporcionar información para crear una nueva y generalmente nos piden tres datos: el lugar donde fue creada la cuenta, código postal y la respuesta a correcta a una pregunta secreta. Si nos damos cuenta, con la información que aparece en el perfil de usuario podemos contestar dos de las tres preguntas o mejor aun navegando por el portal del usuario podemos encontrar la respuesta a la pregunta secreta. El problema de la recuperación de la contraseña del correo electrónico es solo uno de la larga lista de las aplicaciones que utilizan estos datos para dar acceso a los usuarios a información confidencial desafortunadamente, este problema se vuelve más crítico cuando esta información es utilizada para acceder a cuentas de correo electrónico o portales de internet, con información o recursos críticos para una compañía. Desafortunadamente gran parte de los ataques han tendido coma base la ingeniería social o recopilación de información. Uno de los principales problemas es que el 98% de los usuarios utilizan al menos la misma contraseña para acceder a sus recursos. El mayoría de las ocasiones esta contraseña no tiene la robustez necesaria.

Pero, cómo evitar este tipo de ataques o cómo prevenir los ataques del tipo de ingeniería social, la mejor forma de prevenir esto es concientizar a los usuarios sobre los posibles riesgos que se le se pueden presentar y que hacer en caso de que esto suceda. Asimismo, es necesario implementar las políticas y procedimientos necesarios que refuercen el perímetro de seguridad de las compañías. El mensaje no es dejarlas de usarlas, sino tener cuidado en qué tipo de información subimos y, de esta misma, cuál queremos que sea visible al mundo o a nuestro círculo de amigos, ya que finalmente recordemos que esta información se encuentra en Internet y hasta en sistemas que son vulnerables a ataques.

ISO31000 E ISO27005.
En la actualidad son cada vez más las organizaciones que están adoptando formas de trabajo basadas en sistemas de gestión tales como ISO900 para la gestión de calidad e ISO14000. Las áreas de TI y Seguridad de la Información han implementando estándares como ISO2000 (Sistemas de Gestión de Servicios TI), ISO38500 (Gobierno Corporativo de TI) BS2599 (Sistema de Gestión de la Continuidad del Negocio) y el popular ISO27001 (Sistema de Gestión de Seguridad de la Información). Cuando las organizaciones se enfrentan a la hoja en blanco para el desarrollo del análisis de riesgos se encuentran en un campo de estudio que se encuentra en proceso de madurez y que se puede realizar de muchas formas distintas. El principal objetivo de estándares como ISO31000 y el ISO27005 es establecer los marcos de referencia generales que sirvan de base para ejecutar el proceso de gestión de riesgos.

EL FUTURO DE LA GESTIÓN DE RIESGOS CON ISO31000.
El estándar ISO31000, el cual ya se encuentra disponible como borrador, este estándar detalla los principios para la gestión de riesgos, el marco de referencia para la gestión de riesgos y el proceso de gestión de riesgos. Son 11 los principios que las organizaciones tienen que reconocer y adoptar. La gestión de riesgos crea valor. Es parte integral de los procesos organizacionales. Forma parte de las organizaciones.. Atiende explícitamente los aspectos de incertidumbre. Es sistemática, estructurada y oportuna. Está basada en la mejor información disponible. Está alineada en el contexto externo e interno de la organización. Toma en consideración los factores humanos y culturales. Es transparente e inclusiva. Es dinámica. Iterativa y responde a los cambios. Facilita la mejora continua en las organizaciones. Aun cuando el marco de referencia para la gestión de riesgos no define un sistema de gestión, ha sido estructurado para que se pueda integrar al sistema de gestión corporativo e incluye los siguientes elementos: Compromiso de alta gerencia. Diseño de un marco de referencia para la gestión de riesgos (etapa de Plan/Planear). Implementar la gestión de riesgos (etapa de Do/Hacer).

Monitorear y revisar el marco de referencia (etapa de Checar/Verificar). Mejora continua del marco de referencia (etapa de Act/Actuar). El proceso de gestión de riesgos contempla los siguientes elementos: Comunicación y consulta. Establecimiento del contexto. Análisis y evaluación de riesgos. Identificación de riesgos. Análisis de riesgos. Evaluación de riesgos. Tratamiento de riesgos. Monitoreo y revisión.

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACION CON ISO27005.
El estándar ISO27005 se ha desarrollado para apoyar a las organizaciones que han decidido implementar un Sistema de Gestión de Seguridad de la Información basado en ISO27001 e ISO27002, sin embrago debemos tener claro que: 1. No es mandatario el cumplimiento con ISO27005 para efectos de certificación en conformidad con ISO27001 y 2. Cualquier organización que desee gestionar sus riesgos de seguridad de la información puede utilizar este estándar, aun cuando no cuente con un Sistema de Gestión de Seguridad de la Información basado en ISO27001.

Este estándar propone un proceso similar al de ISO31000, sin embargo, durante la etapa de identificación de riesgo, el ISO27005 requiere que se realice la identificación de activos, amenazas, controles existentes, vulnerabilidades y consecuencias, mientras que la estimación de riesgo requiere la evaluación de las consecuencias y la posibilidad de ocurrencias de los incidentes.

HACIA UNA CULTURA DE LA SEGURIDAD DE LA INFORMACION.
Por Pedro F. Solares Soto. Universidad Iberoamericana. Existen diversos enfoques de la definición de la seguridad de la información. En términos generales, es factible entender la seguridad como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, perdida o daño, ya sea de manera personal, grupal o empresarial. Es garantizar que los recursos informáticos de una empresa estén disponibles para cumplir sus propósitos, es decir que no estén dañados o alterados por circunstancias o factores externos. En la mayoría de los estudios han encontrado que el escaso conocimiento de los usuarios es la principal causa individual de las brechas de seguridad en los sistemas de información (redes). La problemática es mas compleja por las estructuras ineficientes de seguridad de la información que tienen una gran cantidad de empresas a nivel mexicanas y extranjeras, y porque no existe conocimiento relacionado con la plantación de un programa de seguridad integral que proteja los recursos informáticos de las amenazas actuales. La tecnología no es el único aspecto clave en la seguridad y el control de los sistemas de información. La tecnología ofrece una base, pero ante la falta de políticas de administración inteligente, la mejor tecnología, incluso, puede ser anulada.

Por lo general, se tiene la percepción de que las amenazas a la seguridad de una empresa provienen del exterior de la organización. No obstante, los empleados de una empresa plantean serios problemas de seguridad. De ahí que sea fundamental crear una cultura de seguridad entre los empleados, los directivos y dueños de las empresas, para que los directivos y dueños de las empresas, para que lo asuman como factor clave en la competitividad y desarrollo de su labor cotidiana en el centro de trabajo. La conciencia de seguridad en México se sigue incrementando. Sin embargo este avance es más lento de lo deseable. La seguridad de la información esta íntimamente ligada a los procesos y a las políticas. Así un plan de cultura dirigida a la seguridad de la información tiene que ser completo e incluir las políticas sobre aspectos de seguridad, reuniones con los grupos objetivos y contar con una metodología adecuada con fundamento en las Certificaciones Profesionales Internacionales y los estándares a nivel mundial.

Referencias.