capitulo ii fundamentaciÓn noolÓgica 1. control de …
TRANSCRIPT
CAPITULO II
FUNDAMENTACIÓN NOOLÓGICA
1. Control de acceso a la información
1.1 Control de acceso En el contexto de las Tecnologías de la Información (TI) y bajo el
enfoque sistémico, el acceso se refiere al intercambio de información,en un
marco de derechos y autorizaciones, entre dos tipos de componentes
específicos. Uno, denominado objeto, que son entidades informáticas que
almacenan y/o procesan recursos de la información, tales como: archivos,
bases de datos, software, hardware, etc.; y otro, los sujetos, que son las que
necesitan la información y a los recursos informáticos para realizar algún
proceso, usualmente son usuarios, programas, computadoras,etc.
En este sentido, laInternational Organization for Standardization ISO
(1998), la define como todos aquellos medios orientados a garantizar que los
recursos de un sistema de procesamiento de datos en los que sólo se
pueden acceder por las entidades autorizadas en formas adecuadas. Por su
parte, la National Institute of Standards and Technology NIST, en su
Interagency Report 7316 Assessment of Access Control Systems de la
autoría de Hu, Ferraiolo, & Kuhn (2006), delimita al control de acceso como
la determinación de las actividades que le son permitidas a los usuarios
legítimos al acceder a un recurso en el sistema.
El dominio de control de acceso, como lo entiende Gibson (2012),
cubre una multiplicidad de diferentes controles que se utilizan para identificar
a los sujetos, autenticarlos, y controlar el acceso que se otorgan a los
17
18
diferentes objetos (activos protegidos) mediante la auditoría de los derechos
y permisos sobre los mismos. Esta examinación y vigilancia se apoyará en
los registros de los eventos de acceso con la combinación de procesos de
autenticación efectiva, para determinar posibles problemas de las medidas
de protección y delas responsabilidades de las acciones de cada sujeto.
Controlar el acceso tiene como objetivo proteger a las soluciones
tecnológicas basadas en sistemas de información, para hacerlo, se
fundamenta en asegurar su integridad, su confidencialidad y su
disponibilidad, en su nivel más básico. Por ello, debe centrarse en la
autenticación eficaz y la auditoría de los objetos protegidos. Al final, se
intenta reducir la probabilidad de daño a los recursos que contienen datos
críticos, darle tratamiento a las amenazas, identificar y prevenir problemas
asociados.
1.2 Tipos de control de acceso Una forma en que se clasifican los controles de acceso se cimienta en
la forma en que se colocan en funcionamiento, a saber: los controles
técnicos o lógicos, que se implementan con la tecnología; los físicos que
incluyen elementos que se pueden tocar corporalmente; y los administrativos
o de gestión se describen las políticas de seguridad, los métodos de la
evaluación y de auditoría.
Sin perjuicio de la anterior clasificación, otra forma de clasificar el
control de acceso se basa en el tiempo que se hace necesaria su aplicación,
así, tendríamos, los que se aplican antes, durante y después de la ocurrencia
de un incidente. Gibson (2012), los describe agrupándolos por el método de
aplicación, de esta forma: preventivo, antes; detectivo, durante; y correctivo,
para el instante después de la contingencia. Posteriormente se detallan otros
tipos como lo son el de Recuperación y de Compensación
1.2.1 Preventivo Los controles preventivos se implementan con el objetivo esencial de
19
evitar todos los incidentes antes de que ocurran. Es decir, que su diseño se
encuentra orientado a detener a todas aquellas actividades no autorizadas,
antes que la misma suceda. Ejemplos claros de este tipo de controles serían:
la capacitación y formación en seguridad, establecimiento de políticas de
seguridad, reseñas de acceso con auditorías, cifrado de datos y la
configuración de un corta fuegos (firewall),ya que este último, puede prevenir
tráfico malicioso penetre en una red.
Un arquetipo especial de los controles preventivos es el denominado
de Disuasión, el cual tiene su periodo definido en el antes de la ocurrencia
del suceso de incidencia. Su misión es intentar desalentar a que no se
realice una o varias acciones específicas que desembocarían la
eventualidad. Como muestra se tiene, una estricta y grave penalización en la
violación de las políticas de seguridad y protecciones físicas con barreras
hacia áreas restringidas.
1.2.2 Detectivo Los controles de detección son los encargados de identificar las
violaciones de seguridad de la información cuando están ocurriendo,
proporcionando las pistas claves para poder realizar las investigaciones
pertinentes para tomar las decisiones acerca de los ajustes que se deben
realizar. En esencia, estos controles son desarrollados para descubrir una
actividad no autorizada, entre los que descuellan un sistema de detección de
intrusos (técnico), un detector de movimiento (físico) y guardias de seguridad.
1.2.3 Correctivo Los controles correctivos intentan modificar el entorno y al mismo
objeto de información protegido, para devolverlo a la normalidad en el menor
tiempo posible, después de haber sufrido incidente, cuyo impacto le afecte
en su disponibilidad, su integridad y/o en su confiabilidad. Los controles
correctivos son catalogados como de recuperación de contingencias o de
operaciones, para ser utilizados como instrumentos gerenciales para
20
garantizar, de nuevo, la protección de los datos. El software antivirus que
pone en cuarentena un programa malicioso es un ejemplo de un control
correctivo.
1.2.4 Recuperación Los controles de recuperación son aquellos, como los procedimientos
de copias de seguridad, que son usados para restaurar recursos informáticos
y capacidades que proporcionan los mismos, cuando han sido afectados
negativamente por un incidente de seguridad que le impide su normal
funcionamiento. Otro control que representa este tipo son los diseños de
sistemas de almacenamiento espejos (mirroring) y duplicación de hardware.
1.2.5 Compensación Cuando se tiene un escenario constituido por la necesidad de que
hace falta adicionarle una vigilancia, un control (de cualquiera especificado
con anterioridad) que se ha colocado, nace la necesidad de un nuevo control,
el cual se colocaría para ayudar a obtener un efectivo gobierno de un recurso
protegido. Este tipo de control realizaría actividades propias de monitoreo y
supervisión, tratando de inspeccionar que el recurso y el control para que
este haga exactamente lo que tiene que hacer por diseño.
1.3 Modelos de Control de Acceso La necesidad de compartir información y otros recursos
computacionales, en forma controlada, entre varios sujetos (usuarios,
programas, hardware, etc.)donde reine la disponibilidad, la confiabilidad y la
integridad de los datos, ha motivado a diferentes autores al desarrollo de
distintos modelos de control de acceso. Estos modelos se encuentran
orientados a proporcionar un riguroso formalismo, así como, un marco de
referencia para especificar, analizar e implementar las políticas y la
protección en sistemas de perspectiva multiusuario. A continuación se
describen algunos de ellos:
21
1.3.1 Control de Acceso Discrecional En este modelo de control de acceso el propietario de un objeto o
recurso de la información tiene el control total, permitiéndole, definir y
controlar qué sujetos pueden acceder al mismo, de qué forma, en qué tiempo
y lo que pueden hacer con él, es decir, si lo pueden leer (Read), modificar
(Update), eliminar (Delete), ejecutar (eXecute) y si puede modificar los
permisos, propios o de otros sujetos.
Se implementan frecuentemente mediante listas de control de acceso
o ACL (del inglés, Access Control List), siendo una herramienta propicia para
filtrar el tráfico, de cada objeto protegido, hacia los distintos sujetos. Pero,
según Schneider (2012), la asignación de privilegios, es mejor hacerla
mediante una tabla que tiene una fila para cada sujeto y una columna para
cada objeto; el cruce de estas se colocarían, si tiene, los privilegios que se
tienen.
1.3.2 Control de Acceso Mandatario Este modelo se fundamenta en colocar, tanto a los sujetos como a los
objetos, unas etiquetas de orden jerárquico; a los primeros, por su grado de
importancia y confidencialidad en la organización, y a los segundos, por el
grado de seguridad requerido para su protección. Un sujeto puede tener
acceso a un objeto etiquetado con un nivel igual o más bajo que el que él
posee, mientras no puede acceder a los objetos que tengan etiquetas de
mandato superior.
Este tipo de modelo es usualmente utilizadoen los medios militares
donde las etiquetas más comunes son: Ultra secreto; Secreto; Confidencial;
Sensible pero desclasificado; y Desclasificado. Gibson (2012), argumenta
que las etiquetas pueden ser asignadas en un entorno de recursos
compartidos, donde el acceso a uno de estos, no proporciona acceso a
cualquier otro dato, por ello, un modelo híbrido que use niveles de
22
desclasificación es más útil.
1.3.3 Control de Acceso basado en Roles En la publicación denominada American National Standard for
Information Technology – Role Based Access Control. ANSI INCITS 359-
2004, de la ANSI, American National Standards Institute (2004), se define el
modelo de referencia del control de acceso basado en roles (Role Based
Access Control, RBAC) en términos de su conjunto de elementos básicos: los
usuarios, roles, permisos, operaciones, objetos y las relaciones.
Adicionalmente, los cuatro componentes estructurales: Núcleo RBAC,
Jerarquía, la separación estática y la separación dinámica de las relaciones
de servicio.
Sandhu, Coynek, Feinsteink, & Youmank (1996) muestran los
orígenes del concepto de control de acceso basado en roles (RBAC, por sus
siglas en inglés), situándolo en la década de 1970, inmerso en los primeros
sistemas computacionales en línea del tipo operativo multiusuario y
multitarea, donde la idea central consistía en asociar los permisos a roles, y
los usuarios se le asignan los roles apropiados.
El diseño de este modelo define el acceso a los objetos protegidos de
acuerdo con la ocupación o rol que desempeña dentro de la organización. El
RBAC es útil en los ambientes organizacionales donde ocurren frecuentes
cambios de personal, imponiéndose el rol o la función sobre el sujeto como
tal. Con esto, se busca simplificar la gestión de permisos y autorizaciones,
cuando existe un gran número de objetos a ser salvaguardados, ya que los
sujetos pueden ser reasignados, muy fácilmente, de un rol a otro.
Sobre la eficiencia del modelo, Kuhn, Coyne, & Weil (2010) disertan
que los roles pueden ser estructurados jerárquicamente de forma que
algunos roles heredan los permisos de otros, así se simplifica la gestión en
comparación con la carga administrativa que se requeriría hacer un mapeo
23
directo de los usuarios individuales acceder a las listas de control conectados
a los recursos. Se añade, que el modelo RBAC debe estar articulado al
conjunto de sesiones, donde cada una, correspondea un mapeo entre un
usuario y un subconjunto activado de roles que están asignados al usuario.
Para un sistema de gran magnitud, desde la línea argumentación de
Munawer (2000), la gestión de roles, usuarios, permisos y su interrelación es
una tarea colosal que no puede ser centralizada en un pequeño equipo de
agentes de seguridad. De hecho, la descentralización de la administración de
RBAC, sin perder el control, sobre política general es una meta difícil para los
diseñadores de seguridad.
1.4 Elementos del control de acceso La gestión de la seguridad de la información busca proteger a los
activos de información ante los riesgos relacionados con los incidentes que
afecten su integridad, disponibilidad y autenticidad. Para cumplir con esta
misión, esta gestión incorporará varios elementos o procesos, que en suma,
coadyuvan a unir esfuerzos para evitar que la información pueda ser
manipulada, alterada, borrada o tomarla como base para hacer fraudes u
otros delitos que repercuten de manera negativa afectando las finanzas, el
buen nombre, la productividad, etc. Estos elementos, que deben trabajar en
una provechosa asociación, corresponden al Control de Acceso,
Mecanismos de Autenticación y la Seguridad del Factor Humano.
También es importante anotar, en este punto, que, a pesar de los
esfuerzos y controles implementados en cada uno de estos elementos,
anteriormente mencionados, es posible que sucedan incidentes de seguridad
que tengan un impacto significativo y se hace necesario un procedimiento de
colectar evidencias digitales con el fin de conocer las causas por las cuales
no se cumple con el objetivo de resguardar la seguridad y tener una
comunicación de retroalimentación que permita realizar los ajustes en cada
uno de los procesos para mejorar la gestión.
24
El primer elemento es el Control de Acceso a la información. Se
parte del hecho que no todas las informaciones tienen el mismo valor para
las empresas o personas, y por lo tanto, requieren distintos niveles de
protección. Es por esta razón, que en las políticas de seguridad de la
información, los controles de acceso se ponen en marcha para proteger la
información mediante la identificación de quién tiene los derechos de uso de
los diferentes recursos de información y de protección contra el uso no
autorizado.
El uso de los controles de autenticación, identificación y autorización
garantiza que sólo los usuarios conocidos utilicen los sistemas de
información. Por un lado, se hace necesario que antes de concederse el
acceso a un usuario, debe contar con la autorización formal por parte del
propietario y custodio del activo de información. Una vez que la autorización
es concedida, el usuario será provisto de un identificador único, que le
representaría su identificación. Además, al usuario se le proporcionará con
un mecanismo de autenticación que está ligado al identificador asignado.
Ejemplos de estos mecanismos incluyen las contraseñas y tokens.
1.5 Ciclo de vida del control de acceso El control de acceso a la información debe ser fomentado a partir de la
utilización de mecanismos, protocolos y métodos con el fin de preservarla
ante la ocurrencia de incidentes que puedan atentar en contra de su
confidencialidad, su disponibilidad e integridad. Una visión del conjunto de
pasos o, si se prefiere, un ciclo de vida del control de acceso para acceder a
recursos de información protegida lo componen las siguientes etapas
secuenciales:
1. La primera etapa consiste en identificarse en el sistema como
un usuario valido, esto es, “decir quién eres”. En esta etapa,
se puede presentar como excepción la no identificación de un
usuario, la cual necesita un manejo de no conformidad para
25
detectar los intrusos. Una excepción en esta etapa representa
un nivel de riesgo amarillo.
2. La segunda etapa consiste en demostrar, mediante un
mecanismo de autenticación, “qué eres quién dices que eres”. Una excepción de autenticación corresponde a un nivel
naranja, en donde no se puede comprobar la identidad del
usuario.
3. La tercera etapa es tener permiso sobre los recursos a los
cuales se desea accede. Una excepción a este nivel es
considerada alta y denotada como nivel de riesgo rojo.
1.6 Estrategias del control de acceso La primera de las estrategias para conseguir control consiste en la
utilización de procedimientos basados en la Identificación, Autenticación y
Autorización (IA2), los cuales deben tener presente la secuencia de pasos y
de sus prerrequisitos o precondiciones para poder efectuarse, esto es, que si
no hay identificación no procede la autenticación, también, que la
identificación representa un estado de alerta amarillo, la autenticación
naranja, y la autorización, roja. Con ello, se debe hacer un diseño de
permisos eficientes que permita controlar que hace cada usuario con los
recursos.
Un segundo elemento estratégico a considerar, corresponde a los
Mecanismos de Autenticación. Uno de estos mecanismos corresponde al
basado en contraseñas, que es un método económico que garantiza que
sólo los usuarios autorizados hagan uso de los sistemas de información
cuando lo requieran. Sin este control, existe la posibilidad de la información
crítica sea accedida, de manera irregular, materializando el riesgo de ser
usada con fines diferentes al original.
Lo anterior significa, que las contraseñas, como mecanismos de
autenticación, deben ser tratadas como información confidencial, y deben ser
26
gestionadas bajo los lineamientos del Control de Acceso y que deben aplicar
buenas prácticas para su construcción y resguardo. Por otra parte, los
distintos ataques para vulnerar contraseñas como los por fuerza bruta,
ingeniería social, etc. y en especial por el hecho que, en base al diseño de
una Red Bayesiana, según (Amador, Caicedo, Garreta, & Hurtado, 2011).
Estos autores, sostienen que se puede determinar cuáles son las
tendencias de diseño de contraseñas de los usuarios dependiendo de su
tipo, esto significa, que es posible realizar pronósticos en la preferencias de
selección de las contraseñas basándose en las regiones, los países, los
perfiles profesiones, los géneros, los idiomas, etc. A partir de esto, hay que
recordar que los mecanismos de identificación y autenticación son la primera
línea de defensa de los sistemas de información, Una contraseña mal elegida
o mal utilizada supone un riesgo y puede afectar a la confidencialidad,
integridad o disponibilidad de los equipos y de los sistemas.
El tercer elemento que impulsa la protección de la información, es la
seguridad que se le puede brindar alFactor Humano. Este componente, se
refiere al potencial del capital intelectual, habilidades, destrezas, virtudes y
defectos que tienen las personas al enfrentarse a situaciones en donde se
deban resolver problemas. Desde esta perspectiva, es una característica que
diferencia a las personas de las máquinas o tecnologías, específicamente,
cuando es necesario tomar decisiones basadas en la experiencia, la
propensión y del razonamiento abstracto.
Consecuentemente con esto, el error es una parte constituyente que le
proporciona la oportunidad de mejoras y de obtención de nuevas
experiencias basadas en lecciones aprendidas.Al igual que en otras áreas, la
protección de las personas se encuentra inmersa en la problemática de la
protección de la información. Allí, el control de acceso de la información
confidencial se trata de vulnerar por medio de la manipulación para que las
personas, que deben custodiar la información, realicen acciones que
usualmente no harían. Este tipo de ataque es denominado Ingeniería Social.
27
A partir de lo anterior, es razonable considerar al factor humano como
el eslabón más débil en la cadena de protección de la información. Esta
consideración se encuentra fundamentada en que las personas presentan
incapacidad para seguir exactamente las “instrucciones” cada vez que
realizan una acción o cuando cambia algo del escenario, ya que las personas
son influenciables por medio de los sentidos y por los sentimientos, lo que
puede generar una respuesta diferente a un mismo evento presentado en
ocasiones distintas.
Es posible que el factor de error (o el factor de humanidad) no pueda
ser removido completamente de la gestión de la seguridad de la información,
ya querepresenta la medida de desorden dentro del sistema, influenciado por
los estímulos de la entropía que afectan a las personas. En este caso, lo que
se necesita es entrenar y capacitar a los propietarios de los activos de
información en la mitigación de riesgos propios de la Ingeniería Social.
1.7 Seguimiento al control de acceso El seguimiento o monitoreo del control de accesoes el proceso
sistemático de recolectar, analizar y utilizar información que sirva como
insumo para la mejora de los controles. Para ello, este tipo de monitoreo se
centra en la aplicación de una serie de procedimientos para prevenir,
detectar y reportar los incidentes que pueden comprometer la seguridad de
los sistemas informáticos.
El seguimiento al control de acceso a la información se configura
como un sistema, conformado por procedimientos de vigilancia, sensores y
mecanismos de ajustes, que se retroalimenta continuamente para fomentar
la mejora y el autocontrol, como método en la búsqueda del
perfeccionamiento de los mecanismos y contramedidas de control. Asimismo,
promuevelas medidas de corrección apropiadas para hacer a los controles
más efectivos.
Como objetivos, el monitoreo tendía la misión, primero, de disuadir a
28
que se acceda a la información sin autorización; segundo, detectar todos los
incidentes que representen peligro. Razón por la cual, este monitoreo se
puede relacionar, en el ámbito de la complementariedad, con los
procedimientos de informática forense. Esta simbiosis necesita ser sincrónica
y regulada para mantener altos niveles de cumplimiento del objetivo de
proteger la información, mediante el proceso de colectar evidencias digitales, como orientación a conservar la admisibilidad de las evidencias digitales
recolectadas.
1.8 Buenas prácticas asociadas al control de acceso
1.8.1 Protección de contraseñas Las contraseñas son la primera línea de defensa de los sistemas de
información, junto con el ID de usuario ayudará a establecer que las
personas son quienes dicen ser. Una contraseña mal elegida o mal utilizada
supone un riesgo y puede afectar a la confidencialidad, integridad o
disponibilidad de nuestros equipos y de los sistemas. La contraseña débil es
una que se descubre fácilmente, o se detecta, obteniendo datos básicos del
usuario. Ejemplos de contraseñas débiles incluyen palabras recogidas de un
repertorio, nombres de los hijos o de mascotas, números de matriculación de
vehículos y los patrones simples de letras de un teclado de computador.
Por su parte, la contraseña fuerte (segura) es una contraseña que está
diseñada de tal forma que es poco probable que sea conocida con datos
básicos de usuario, además es difícil de hallar con ataques de fuerza bruta.
Las contraseñas fuertes presentan las siguientes características mínimas:
Contener por lo menos ocho (8) caracteres.
Las contraseñas deben contener una mezcla de mayúsculas y
caracteres en minúsculas y tener al menos 2 caracteres numéricos.
Los caracteres numéricos no debe estar en el comienzo o el final de la
contraseña. En el caso de que el sistema informático permita la
29
inclusión de caracteres especiales (@ # $% ^ & * _ + = / ~ `,:,<> | \!?),
estos deben ser incluidos.
No se deben tener dos caracteres consecutivos iguales.
Debe ser más complejo que una sola palabra.
Las contraseñas no deben basarse en una información personal de los
usuarios o la de sus amigos, familiares o mascotas. La información
personal incluye el ID de inicio de sesión, nombre, fecha de
nacimiento, dirección, número de teléfono, número de seguro social, o
cualquier permutaciones de los mismos.
Las contraseñas no deben ser palabras que se puedan encontrar en
un diccionario estándar que son de conocimiento público, argot o
jerga.
Las contraseñas no deben basarse en conocimiento público los
personajes de ficción de los libros, películas, etc.
Las contraseñas no deben basarse en el nombre de la empresa o la
ubicación geográfica.
No debe ser su nombre de usuario, ni su nombre y los de ningún
miembro de la familia.
No debe ser su apodo ni su número de identificación.
No debe ser su cumpleaños ni su número de placa.
No debe ser el nombre de su mascota ni su domicilio.
No debe ser su número de teléfono ni el nombre de su pueblo o
ciudad.
30
No debe ser el nombre de su departamento ni ser nombres de las
calles.
No debe ser marcas o modelos de vehículos.
No deben ser términos técnicos ni debe haber ninguna información
sobre usted que se conoce o es fácil de aprender (favorito - la comida,
el color, el deporte, etc.)
No debe haber siglas populares ni palabras que aparecen en un
glosario.
No debe ser el inverso de cualquiera de los anteriores.
Las contraseñas deben ser tratadas como información confidencial.
Ningún empleado puede dar, decir o insinuar su contraseña a otra persona,
incluyendo el personal de sistemas, los administradores, los superiores, otros
compañeros de trabajo, amigos y miembros de la familia, bajo ninguna
circunstancia. Las contraseñas se transmitirán electrónicamente a través de
Internet sin protección, como por ejemplo a través de e-mail. Sin embargo,
las contraseñas se pueden utilizar para obtener acceso remoto a los recursos
a través de conexiones seguras.
Ningún empleado debe mantener un registro por escrito de sus
contraseñas, ya sea en papel o en un archivo electrónico. Si resulta
necesario llevar un registro de una contraseña, se debe tener en una caja
fuerte ya sea en forma impresa o en un archivo electrónico cifrado. Se puede
tratar de descifrar o adivinar las contraseñas de los usuarios, como parte de
su proceso de auditoría de seguridad en curso vulnerabilidad. Si la
contraseña se cataloga como débil durante una de estas auditorías, el
usuario deberá cambiar su contraseña inmediatamente.
Todas las contraseñas de nivel de usuario en general, deben
cambiarse cada sesenta (60) días, a menos que haya casos especiales que
31
justifiquen lo contrario, o cuando el mismo sistema pida que la cambie. Los
usuarios no deben volver a utilizar la misma contraseña en los veinte (20)
últimos cambios de contraseña. Se deben cambiar las contraseñas cuando:
se presente el vencimiento de ésta por antigüedad, cuando la contraseña es
predeterminada, cuando se tiene conocimiento o sospecha que su
contraseña es conocida por otra persona.
El proceso de administración de contraseñas de los usuarios de los
distintos sistemas computacionales debeestar documentado y disponible
para las personas designadas. Los periodos (en días) de cambio de
contraseñas, recomendados, según el tipo de información al que se accede
se describen a continuación: para las públicas, ciento ochenta (180);
propietaria, noventa (90); confidencial, sesenta (60); y muy confidencial, de
quince (15) a treinta (30).
Finalmente, este tipo de administración está orientada al cumplimiento
de las siguientes directrices:
Autenticación de usuarios es individual. No está permitido la
autenticación por grupos de usuarios (no se permite las cuentas
genéricas).
Protección con respecto a la recuperación de contraseñas y datos de
seguridad.
Sistema de monitoreo y registro de acceso, a nivel de usuario.
La administración de funciones, para que se puedan realizar sin
contraseñas compartidas.
Procesos de gestión de contraseña de administradores debe ser
adecuadamente controlado, seguro y auditable.
32
Los administradores de sistemas deben validar la identidad del usuario
antes de realizar un restablecimiento de contraseña en la cuenta del
usuario.
Los administradores de sistemas deben emitir las contraseñas a
través de un canal de comunicación seguro. El correo electrónico no
se considera un canal de comunicación seguro.
1.8.2 Control de acceso a la red El uso de dispositivos de conexión que no sean de propiedad de la
empresa que sean conectados a la red, pueden comprometer la seguridad
de la misma. Para poder utilizar estos dispositivos debe obtenerse la
aprobación específica. Cuando un usuario necesite el acceso remoto a la red
es necesario solicitar la autorización. El acceso remoto a la red debe estar
protegido mediante la autenticación de dos factores que consta de un
nombre de usuario y un mecanismo de autenticación.
A los organismos asociados o a proveedores de tercera parte no se
les deben dar detalles de cómo acceder a la red.Cuando exista un cambio de
proveedor, se debe evaluar los controles de acceso pertinentes con el fin de
determinar de qué manera este debe ser actualizado. Además, el servicio de
acceso remoto debe estar desactivado cuando no esté en uso y se debe
llevar un registro de todas las la actividad que se realicen por medio de él.
Cuando la red se accede remotamente a través de estándares
inalámbricos de seguridad será utilizado: el Protocolo Wi-Fi ProtectedAccess
(WPA) o superior se utilizará como estándar en conexiones Wi-Fi.; una clave
de cifrado WPA se utilizará; la red se configura para no anunciar su
presencia; y el poder de los puntos de acceso se activará hasta un mínimo
que todavía permite que el punto de acceso para funcionar. Adicionalmente,
El acceso de los usuarios remotos a la red corporativa será a través de
conexiones seguras IPSECVPN o conexiones SSL VPN solamente. Esto es
necesario para asegurar la conexión desde el dispositivo remoto a la red
33
corporativa.
1.8.3 Prevención de pérdida de datos Todos los computadores portátiles y demás dispositivos portátiles o
móviles que se usen fuera de las instalaciones de la Empresa tendrán la
siguiente configuración de seguridad, para prevenir la pérdida de datos en
caso de robo:lacontraseña de hardware se activa, si está disponible; todos
los datos corporativos en el computador portátil o dispositivos portátiles o
móviles se cifran utilizando el software de cifrado apropiado; y los
documentos sensibles se accede de forma remota y no se descargan en el
computador portátil o dispositivos portátiles o móviles.
1.8.4 Protección del dispositivo remoto Para evitar que los dispositivos remotos comprometan la seguridad de
la red corporativa, el software de seguridad se instala en todos los
dispositivos.El Software de Firewall se instala en los dispositivos para evitar
que se vea comprometida por troyanos o ataques de puerta
trasera.Elsoftware antivirus estará configurado para descargar
automáticamente las últimas firmas de virus.
Para el acceso remoto debe utilizar dos pasos. Como mínimo, esto
incluirá el nombre de usuario y contraseña de verificación.Cuando sea
posible, para mejorar la autenticación de usuarios, uno de los siguientes
métodos adicionales de autenticación se utilizará en conjunción con la
contraseña de usuarios;Certificado Digital; Tarjeta Inteligente;Tarjeta
SecureID;Autenticación Biométrica, entre otras.
1.8.5 Control de acceso al Sistema operativo El acceso a los sistemas operativos es controlado por un proceso de
inicio de sesión segura, el cual, usualmente se apoya en la utilización de
usuarios restringidos, es decir no iniciar sesión con súper usuarios o
administradores. También, se basa en procedimiento de protegido por: la no
34
visualización ninguna información de inicio de sesión anterior (por ejemplo,
nombre de usuario); limitar el número de intentos fallidos y de bloquear si se
excede; los caracteres de la contraseña se ocultan por medio de símbolos.
Mostrar una advertencia general de que sólo los usuarios autorizados se les
permiten tener acceso.
Adicionalmente, se deben utilizar medios de seguridad para restringir
el acceso a los sistemas operativos, los cuales deben poseer la capacidad
de: Autenticar a los usuarios autorizados, en correspondencia con una
política de control de acceso definida. Registrar los intentos, tanto exitosos
como fallidos, de autenticación del sistema. Anotar el uso de los privilegios
especiales del sistema. Emitir alarmas, ante violaciones de las políticas de
seguridad del sistema. Proporcionar los medios de autenticación apropiados
cuando sea oportuno. Restringir el tiempo de conexión de los usuarios.
Implementación de políticas de escritorio limpio, es decir bloqueo del equipo
ante tiempos de inactividad.
Todos los accesos a los sistemas operativos se realizan a través de
un único ID de acceso que serán auditados y se remonta a cada usuario. El
ID de inicio de sesión no tiene que dar ninguna indicación sobre el nivel de
acceso que proporciona al sistema(por ejemplo, derechos de
administración).Los administradores deben tener cuentas especiales que se
registrarán y auditarán. Las cuentas de administrador no debe ser utilizado
por usuarios no administradores.
1.8.6 Acceso a las aplicaciones El acceso a las aplicaciones de software se debe restringir según las
funciones de seguridad integradas en el producto particular. Este acceso
debe: Gestionar usuarios y contraseñas, se separan en funciones definidas,
dar el nivel apropiado de acceso requerido para la función del usuario, ser
incapaz de ser anulado (con la configuración de administrador o eliminado
ocultas para el usuario), estar libre de alteración por los derechos heredados
35
del sistema operativo que podría permitir acceso no autorizados niveles más
elevados; y estar registrado y auditable.También se recomienda el uso de
una política del acceso mínimo e identificar posibles conflictos de separación
de funciones.
1.8.7 Escritorio limpio
Como regla general, cuando un empleado estará por un largo período
lejos de su escritorio (como un descanso para comer), los papeles delicados
de su trabajo deben ser colocados en cajones cerrados con llave. También,
al final de la jornada laboral, el empleado debe poner en orden su escritorio y
asegurar todos los papeles de oficina. Se debe proporcionar las herramientas
de seguridad física como cerrojos para escritorios y archivadores para este
propósito. Todos los empleados deben seguir las siguientes directrices:
Asignar tiempo en su horario para eliminar documentos.
Siempre limpiar su área de trabajo antes de salir por períodos largos
de tiempo.
En caso de duda – destrúyalo mediante el procedimiento de
eliminación total y manejo adecuado de residuos.
Si no está seguro de sí una pieza de duplicado de documentación
sensible debe conservarse. Lo más probablemente es que debe
destruirlo en forma segura.
Considere la posibilidad de leer artículos de papel y la presentación en
forma electrónica en su estación de trabajo.
Utilice los contenedores de reciclaje para los documentos sensibles
cuando ya no son necesarios.
Bloquear el escritorio y archivadores al final del día, o cuando amerite
Guarde bajo llave los dispositivos informáticos portátiles, como
computadores portátiles o dispositivos móviles
36
Tratar a los dispositivos de almacenamiento masivo como CD-ROM,
DVD o unidades USB como sensibles y almacenarlos en un cajón
cerrado con llave.
La información comercial confidencial o crítica; por ejemplo, en papel o
medios de almacenamiento electrónicos; debiera ser guardada bajo
llave (idealmente en una caja fuerte o archivador u otra forma de
mueble seguro) cuando no está siendo utilizada, especialmente
cuando la oficina está vacía.
Se debiera evitar el uso no autorizado de fotocopiadoras y otra
tecnología de reproducción (por ejemplo, escáneres, cámaras
digitales).
Losdocumentos que contienen información confidencial o clasificada
debieran sacarse inmediatamente de la impresora.
Se debieran proteger, tanto los puntos de ingreso como los de salida
de correo.
Las máquinas de fax desatendidas deben ser protegidas.
Las fotocopiadoras deben estar apagadas y bloqueadas fuera de las
horas de trabajo, lo que hace difícil que la copia no autorizada de
información sensible que se produzca.
Todas las impresoras y máquinas de fax deben ser despejadas de
papeles tan pronto como se imprimen, lo que ayuda a asegurar que
los documentos confidenciales no se queden en las bandejas de la
impresora para la persona indicada para recogerlo.
Las siguientes directrices, se encuentran enfocadas a tener una
práctica de pantalla limpia:
Cuando se dejan desatendidas, los computadores y terminales
debieran dejarse apagadas o protegidas con mecanismos para
asegurar la pantalla y el teclado,
37
controladosmedianteunaclavesecreta,dispositivoounmecanismode
autenticación de usuario similar y se debieran proteger con llave,
claves secretas u otros controles cuando no están en uso.
Todos los dispositivos Computacionales (computadores, impresoras,
tablets, routers, etc.)deben estar apagados cuando no estén en uso.
Adicionalmente, deben ser protegidos con mecanismos de control de
acceso.
Todo los usuarios deberían utilizar un salvapantallas protegido por
contraseña que se dispara automáticamente después de sólo unos
minutos (entre tres y cinco años es razonable) de inactividad.
Cada vez que salga de su escritorio y su computador permanezca
encendido, es esencial que usted SIEMPRE bloquear la pantalla
pulsando las teclas 'Ctr + Alt + Suprimir’ y luego entrer, para confirmar
que desea bloquear su estación de trabajo. Se recuerda que existe en
entorno Windows, la opción más cómoda con las teclas Windows + L.
Si está trabajando en la información confidencial, y usted tiene un
visitante de su oficina, debe bloquear la pantalla para evitar que el
visitante pueda acceder a cualquier parte de la información.
Cuando se está en su escritorio, sólo mantener esos elementos en su
escritorio que usted necesita para el día. Una vez iniciado y
planificado su día, le recomendamos que sólo tienen la bandeja de
entrada y salida, así como los documentos relacionados con la lista de
tareas pendientes en la mesa. El resto pueden permanecer en el
gabinete.
Al abandonar temporalmente su escritorio, debe hacer una
comprobación rápida sobre la presencia de información sensible sobre
su escritorio y guardarla. Al salir de su escritorio en la noche no deje
documentos en él, además, se debe dejar con llave los cajones, de
modo que las personas no autorizadas no puedan acceder a él. Se
puede dar una segunda llave a su asistente o secretaria, para que sea
38
accesible en caso de necesidad urgente durante su ausencia.
2. Sistemas de gestión de control de acceso
2.1Sistema de gestión Una primera aproximación, muy abstracta y básica, a este concepto
nos lo comparte la International Organization for Standardization (ISO), en su
publicación de la Norma ISO 9001:2005 Quality Management System:
Fundamentals and Vocabulary, donde especifica que un sistema de gestión,
no es más, que unsistema que permite fijar la política y los objetivos y para
lograr dichos objetivos.
Ogalla Segura (2011), lo define como “un conjunto de reglas y
principios relacionados entre sí de forma ordenada, para contribuir a la
gestión de procesos generales o específicos de una organización. Permite
establecer una política, unos objetivos y alcanzar dichos objetivos”. Donde
este sistema se enfoca en el seguimiento de la utilización de los recursos
para conocer lo que ocurre, de manera real, con el fin de planificar hacia el
futuro.
Desde el punto de vista sistémico, por encarnar la praxis de las
estrategias administrativas para lograr objetivos, se configura como un
sistema de control encargado de mantener los efectos económicos y no
económicos de las actividades de una empresa, pretendiendo mantenerla
equilibrio frente a las demandas de sí misma y de su entorno, controlando las
causas y los procesos. Es usual, desde esta perspectiva, que un sistema de
gestión esté constituido por subsistemas que, a su vez, sean sistemas de
gestión.
Las ventajas que se pueden derivar de la utilización de un sistema de
gestióncorresponden a la posibilidad de formalizar la planificación estratégica
en cuanto a la estructura orgánica y de objetivos, a corto, mediano y largo
plazo; de medir y corregir el nivel de cumplimiento de objetivos; y en
39
definitiva, orientar la retroalimentación a la reducción de riesgos del negocio
y a mejora continua.
Desde el punto de vista de las relaciones entre las actividades
definidas para dar respuesta al logro de propósitos, un modelo de gestión
representa el instrumento para lograr la coherencia organizacional. También,
al generar su propia dinámica evolutiva, un sistema de gestión determina la
madurez alcanzada por los procesos, en particular, así como en la
administración en general. Lo anterior, enmarcado en la búsqueda de un
crecimiento equilibrado.
2.2 Elementos de un sistema de gestión Las partes constituyentes de este tipo de sistemas marcan de manera
decisiva la dirección que tomaría en el destino la empresa en cuanto a la
consecución de objetivos. Por ello, se han estimadocomo elementos
fundamentales de gestión, en la propuesta de modelo de Ogalla Segura
(2011), aquellos que su inexistencia imposibilita que una organización pueda
llegar a ser lo que quiere en un futuro. Se detallan a continuación:
2.2.1 Misión
En la misión se exhiben los tipos de productos y servicios que se
deben proveer para satisfacer las exigencias que demandan el medio donde
se desenvuelve la empresa o la unidad de negocio. Así mismo, coadyuva a
definir los objetivos y el para qué se diseña el sistema de gestión. La misión
representa el impacto deseado a corto plazo y define las razones por las
cuales se hace preciso crear el sistema de gestión.
2.2.2 Visión Representa el grado de madurez que desea llegar a partir de la
dinámica y mejora continua de los procesos y actividades del sistema de
gestión, por ello, conjuntamente con la misión, encamina los esfuerzos de
todos los involucrados con el sistema de gestión hacia una misma dirección.
40
Siendo una de sus metas el consolidar, profundizar y, en lo posible, ampliar
el segmento de mercado y tipo de cliente al que se le satisfacen las
necesidades.Dicha meta debe estar en concordancia con su propio
desarrollo sostenible.
2.2.3 Valores
Los Valores representan al conjunto conformado por los conceptos,
actuaciones, actitudes, modos y comportamientos, sintonizados con una
forma de pensar, que son adjudicados como normas de conducta, que deben
articularsecon el desarrollo de las actividades normales de la empresa, que
se espera que den buen resultado en la búsqueda de cumplir con los
objetivos planteados.
2.2.4 Liderazgo Es un componente que deben poseer determinados miembros de la
organización, para influenciar a los otros miembros a que se involucren, de
manera activa, en la consecución de los objetivos. Es decir, debe propiciar la
confianza en los valores empresariales para que sean aplicados en todo acto
o actividad que realicen dentro de la empresa. Con precisión, el liderazgo
debe fomentar un apasionado sentido del deber, en el entorno de cultura
formado por los valores; y, por otra parte, un gran entusiasmo por el
cumplimiento de los objetivos.
2.2.5 Política y estrategia La estrategia corresponde al conglomerado de objetivos a ser
alcanzados, unido a la planificación, control, gestión de recursos y las formas
de cómo deben lograr dichos objetivos, en un marco del análisis de las
fortalezas, debilidades, oportunidades y amenazas que le atañen en
particular. La estrategia también abarca los tiempos y rutas mínimas de
cumplimiento y la proyección de ajustes que se dieran lugar.
Las políticas son diseñadas para poner práctica una o más estrategia,
41
en un nivel general, a un programa, en nivel medio, y a un proyecto, a nivel
específico. Con esto, se pretende generar el marco de referencia para la
toma de decisiones y de qué forma se deben realizar las cosas. En
consecuencia, Koontz & O'Donell (1972), argumentan que "las políticas son
planteamientos generales o maneras de comprender que guían o canalizan
el pensamiento y la acción en la toma de decisiones de todos los miembros
de la organización".
2.2.6 Gestión del cambio - Innovación La gestión de cambio empresarial, Zimmermann (2000) la orienta
como una colección de procesos, fundamentados en el aprendizaje dentro de
la organización, que tiene como fin de cambiar las actitudes y valores de las
personas vinculadas, de alguna forma con ellas.En otros términos,
representa las variaciones estructurales que son necesarias para originar un
determinado comportamiento en la organización.
Desde una perspectiva integradora, este tipo de gestión constituye la
guía, de una parte, y la planificación, por otra, de los procesos de
autoaprendizaje y autocontrol, que den origen o fortalezcan la capacidad de
adaptación empresarial, como respuesta a las exigencias cambiantes del
medio. En este punto, es usual que la organización se disponga y actué
como un sistema de control que busque convertirla en una que gestione de
forma adecuada el conocimiento generando una organización más
inteligente.
Los resultados de la gestión de cambio se miden en términos de la
innovación lograda. Así, un primer indicador estaría representado por la
innovación en los procesos, constituido por mejora de las actividades, logro
de ventajas competitivas, resolución de problemas con los clientes, etc. En
segunda instancia, una innovación en el producto, capaz de generar valor
(utilidad y garantía) a los clientes. Por último, la adquisición y/o desarrollo de
tecnologías para dar soporte a los objetivos del negocio.
42
2.2.7 Reputación corporativa
En términos generales, la reputación empresarial expresa las
emociones que sienten todas aquellas personas que pueden ser afectadas
por las actividades que realice en ejercicio de su negocio. En este sentido,
refleja la percepción de las características, en todos los niveles, de la
empresa, que usualmente es expresada al tenor de un juicio evaluativo de
una parte, actividad, proceso o la totalidad de la empresa.
Razón por lo cual, la reputación corporativa constituye una ventaja
competitiva, según Ogalla Segura (2011), a ser tenida en cuenta en la
definición estratégica. Esto, en particular en los valores y en las actitudes que
puedan generar garantías reales y una utilidad práctica a los stakeholders.
Ellos, al tener satisfechas sus necesidades representadas en una generación
de valor concreta, podrán emitir los juicios que nutren la reputación.
La reputación empresarial de una organización se crea, poco a
poco,con las experiencias entre los stakeholders y la dinámica del ejercicio
del negocio. En este escenario, es de vital importancia la comunicación entre
las partes, la forma cómo se responde a las necesidades, los ajustes
realizados a la estructura, el autocontrol, el autoaprendizaje, la adaptación a
nuevos escenarios, la implementación de nuevas tecnologías y el manejo de
comentarios negativos, vistos desde la perspectiva de una nueva
oportunidad.
2.2.8 Comunicación
La comunicación en las empresas se ha trasformado en una
condición, sin la cual, ella no podría alcanzar el éxito en sus actividades
propias del negocio, ni tampoco obtener una posición favorable en la
sociedad, (Gómez Aguilar, 2007). La orientación de la comunicación,
dependiendo hacia dónde se dirija, puede ser interna o externa, cada una
con sus propias características.
La comunicación interna constituye todas las informaciones de manejo
43
íntimo sobre el estado, perspectivas, orientaciones, objetivos, normas, roles,
funciones y políticas. La comunicación externa es la que realiza con su
entorno, destinada a contribuir a la legalización de ella misma, sus productos
y servicios. Así, con la comunidad local se entendería en lo que refiere a su
impacto que en ella se tiene; con el gobierno, respondiendo a sus
requisiciones de estado y legislación; al mercado, generando valor a los
clientes, satisfaciendo sus necesidades; con la academia, aportando los
lineamientos que los perfiles que se requiere para el sector de la industria a
la cual pertenece.
Siguiendo a Ogalla Segura (2011), se plantea que existen dos tipos de
necesidades básicas en la comunicación empresarial: la del emisor y la del
receptor. Las requisiciones de comunicación del primero, se basan en
informar acerca de sus inclinaciones profesionales y obligaciones dentro de
su rol en el negocio. Mientras que para el receptor, su interés se centra en lo
que ocurre, pasa y se realiza en la organización.
2.2.9 Gestión por procesos La gestión por procesos representa un principio primordial para el
alcance efectivo de resultados, de allí, que tanto en la familia de normas ISO
9000 como en el modelo EFQM de la European Foundation for Quality
Management, utilizan como columna vertebral de cómo obtener los
resultados. Precisamente, la norma técnica Colombiana NTC-ISO 9000:2005,
Instituto Colombiano de Normas Técnicas Icontec (2005), sintetiza al enfoque
basado en procesos, desde el punto de vista que los resultados son
logrados, de forma más eficiente, cuando las actividades y los recursos
conexos se gestionan como un proceso.
En el modelo EFQM, la gestión por procesos emerge desde sus
agentes facilitadores, donde existe una adecuada sinergia entre el liderazgo,
las personas, las políticas, las alianzas y recursos; para dar resultados a las
personas, clientes y la sociedad, por medio de procesos gestionados desde
44
la innovación y el aprendizaje. Sin olvidar la generación de resultados
denominados claves, (Beltrán, Carmona, Carrasco, Rivas, & Tejedor, 2002),
que darán ventajas competitivas, reputación y permanencia en el medio.
Esta orientación, según Ogalla Segura (2011), refuerza el control
continuo ysitúa al cliente en los tres tipos de procesos que se dan: los
estratégicos, realizado por las directivas en su rol administrativo; de negocio,
que engloban las actividades propias a lograr la satisfacer las necesidades
de los distintos clientes; y los de soporte, encaminados a suplir las
requisiciones de recursos que necesitan los demás tipos de proceso.
2.2.10 Cuadros de mando La herramienta que permite la medición de la generación de valor al
cliente, en términos de la utilidad en satisfacer sus necesidades y la garantía
de dicha satisfacción en tiempo futuro, son los cuadros de mando. Asimismo,
sirven para detallar, por medio de indicadores, el comportamiento de los
procesos y de sus salidas, para poder planear ajustes, correcciones y
contramedidas que encausen las posibles desviaciones que se presenten.
2.3 Sistema de gestión de control de acceso
Si se tiene en cuenta que las Tecnologías de Información
implementadas en una empresa representan una totalidad compleja de
componentes interactuantes; se puede distinguir que, dentro de este
complexo, el sistema de control de acceso se encuentra encargado de dirigir,
regular y coordinar las funciones de protección lógicas, físicas y
administrativas relativas a las interacciones entre todos los componentes.
Para Lobel (1986),el control de acceso computacional no es más que
la combinación de las capacidades de protección en su escenario lógico,
físico y administrativo de los recursos y servicios que son prestados en un
sistema informático o en una red de información. Con esta base, se
argumenta que un sistema de gestión del control de acceso computacional
es una totalidad sinérgica orientada a definir las políticas, métodos y
45
procedimientos de acceso sobre los activos de la información, teniendo en
cuenta unas reglas de autorización.
3. Mitigación de riesgos de la información
3.1 Riesgos Un riesgo expresa lo que podría pasar si no hay protección. También,
simboliza a la probabilidad que ocurran hechos o situaciones que afecten
negativamente. Para el proyecto Magerit, Ministerio de Hacienda y
Administraciones Públicas (2012), los riesgos se enmarcan en ser una
evaluación del grado de exposición a que una amenaza se materialice sobre
uno o más activos, causando daños a la Organización.
Contextualizadas todas estas esta ideas a los recursos de la
información; un riesgo representa los daños y perjuicios que le podrían
ocurrir a dichos recursos, que afectarían su nivel de disponibilidad, de
integridad y de confiabilidad. Asimismo, el riesgo de la información es una
posibilidad de tener pérdidas financieras y materiales, tenido una fuente de
peligro bien definida.
Para Kaplan & Garrick (1981),la noción de riesgo tiene asociadas
inquietudes de las personas fundadas por la falta de confianza o de certeza,
que le implicarían la incertidumbre y algún tipo de pérdida o daños que
podrían suceder. Esto se puede simbolizar, desde el punto de vista
matemático, como que el riesgo es igual al grado de incertidumbre de la
situación en particular más los daños que puedan ocurrir.
Los riesgos tienen asociados dos elementos detonantes, a saber: las
vulnerabilidades y las amenazas. Las primeras, constituyen los factores, las
condiciones y las características internas que propician el escenario para que
se dé la materialización de los daños. La segunda, es el factor externo, que
muchas veces no es controlable ni predecible, que atenta de manera directa
contra los activos y recursos, teniendo como objetivo causar daños y
46
pérdidas en la organización.
El riesgo es relativo y se enmarca en la noción filosófica de la teoría
de la relatividad del espacio y el tiempo de Albert Einstein. Porque quien
percibe el riesgo es el observador que se predispone a estudiarlo. Así, muy
claramente tenemos el caso de Mr. Magoo -personaje ficticio de dibujos
animados creado por United Productions of America (UPA)- quién, por su
problema de severa miopía, no puede percibir los riesgos y peligros a los que
se expone en todas sus correrías, teniendo la gran “suerte” de salir ileso. En
este caso, para Mr. Magoo no existen los riesgos ya que la probabilidad que
se materialicen en él siempre es del cero por ciento.
Para un sistema, los riesgos son las probabilidades que se importen
insumos que sean capaces de generar desinformación, favorecer al caos
organizacional y deteriorar los procesos de las trasformaciones para producir
productos deficientes o de baja calidad para ser entregados al entorno,
afectando el cumplimiento de los objetivos, las ventajas competitivasy la
legalización y relaciones con otros sistemas.
3.2 Análisis de Riesgos
Para poder proteger a los activos de la información se hace necesario
precisar, desde sus factores internos y externos, cuál es la magnitud de los
riesgos, por un lado; y de otro, su impacto en la disponibilidad, integridad y
confidencialidad de éstos. Estas actividades deben configurarse como un
ejercicio sistemático y planificado, que permita determinar cómo es, cuánto
vale y cómo se deben salvaguardar este tipo de activos.
Para la metodología española de Análisis y Gestión de Riesgos de los
Sistemas de Información –Magerit– del Ministerio de Hacienda y
Administraciones Públicas (2012), el análisis de riesgos suministra un modelo
del sistema de análisis en términos de los activos, de las amenazas y de las
salvaguardas, constituyéndose en la base neurálgica para el control de las
actividades que contribuyen a la protección de los activos de la información.
47
Vista la gestión de riesgos como un sistema, tiene como objetivo, el
generar un plan de seguridad de los activos de la información, que debe
estar articulado con los otros documentos de gobierno organizacional,
orientado a definir los niveles de riesgos que se aceptarían para el uso diario
de los activos. En esencia, este sistema, gestor y administrativo, debe
permitir la toma de decisiones frente a la utilización de los recursos de la
información.
3.3 Gestión de Riesgos Para Nikolić & Ružić-Dimitrijević (2009) la Gestión de Riesgos tiene
como misión el reconocer el riesgo, controlar su acceso y tomar las medidas
para reducirlo, así también, como implementar aquellas contramedidas que
permitan mantener, en un nivel aceptable, los riesgos.Se añade que, antes
de esta implementación, se tienen que examinar numerosas amenazas y
vulnerabilidades, antes de poder determinar el impacto de cada riesgo por
medio y su la identificación, el análisis y la evaluación de los mismos.
En esta tarea, específicamente, hay que saber los daños que les
puede pasar a los activos de la información. Razón por la cual, se gestiona
los riesgos para tomar las determinaciones de cómo seleccionar e
implementar las medidas de protección que faciliten prevenir e impedir las
pérdidas, en primera instancia; luego, si amerita, controlar las fuentes de las
vulnerabilidades, y en último caso, reducir el impacto ocasionado.
3.3.1 Evaluación del riesgo
La evaluación de riesgos es el primer proceso en la metodología de
gestión de riesgos que se utiliza para determinar el grado de la amenaza
potencial y el riesgo asociado recurso de las Tecnologías de la Información,
de acuerdo con U.S. Department of Commerce. NIST (2012); proporcionando
las pautas para poder identificar los controles apropiados con los que se
logre reducir o eliminar los riesgos durante el proceso de mitigación de
riesgos.
48
De allí, que sea su objetivo primordial sea la de tomar las decisiones
con respecto a que si en conjunto de activos de la información, como
sistema, es aceptable. También, tomar la decisión que tipo de medidas serán
utilizadas para realizar la mitigación, las cuales podrían ser, entre otros, de
carácter técnico, como lo serían las basadas en hardware o software;
organizacionales, como por ejemplo procedimientos y buenas prácticas;
operacional y de protección física y locativa.
Existen tres enfoques, según Nikolić & Ružić-Dimitrijević (2009), de la
evaluación del riesgo. El enfoque cuantitativo asigna valores numéricos al
impacto y a la probabilidad de ocurrencia;esta medida cuantitativa, calculada
por medio de un modelo estadístico se utiliza para juzgar si es o no es
aceptable. La posición semi-cuantitativa clasifica las amenazas en función de
las consecuencias y probabilidades de suceso. Este enfoque se basa en la
opinión de las personas que hacen la evaluación. La mirada cualitativa de
esta evaluación describe la probabilidad de consecuencias en detalle, ya que
es difícil de expresarla en términos numéricos.
3.3.2 Tratamiento del riesgo
El tratamiento de los riesgos se basa en un análisis del costo beneficio
de implementar salvaguardas en los activos de la información versus la
efectividad de la protección, los costos ahorrados del impacto evitado y el
valor de la información y del recurso que la contiene. Por esto, este proceso
debe identificar las diferentes opciones de tratamiento y seleccionar las más
adecuadas, teniendo en cuenta la factibilidad económica, operativa y
tecnológica.
3.3.3 Criterios de aceptación del riesgo Los criterios de aceptación de riesgos asociados a los activos de la
información se deben desarrollar y especificados de menara formal. Según la
Norma ISO/IEC 27005:2008. Risk management in information security
(2008), la aceptación del riesgo depende de las políticas, las metas, los
49
objetivos de la organización, así como, los intereses de las partes
involucradas con los activos de la información.
De esta forma, se deben definir, particularmente para cada categoría
de recurso de información, las escalas de los niveles de aceptación de los
riesgos, teniendo de presente que aceptar cierto nivel de riesgo es una
opción válida, siempre y cuando, dicho nivel encaje en las condiciones de
operación (disponibilidad e integridad) y el grado de confianza de cada uno
de los activos de la información. Esta aceptación presupone una diferencia
entre el nivel total y el que se accedió, esto es el riesgo residual
3.3.4 Monitoreo del riesgo Después de haber implementados un conjunto de contramedidas con
el fin de preservar de incidentes a un determinado activo de la información,
se debe medir la eficiencia de estas medidas de protección, en cuanto al
cumplimiento de su misión de mitigar los riesgos que tiene asociado, así
también, se verificar su efectividad en el tiempo actual. De este seguimiento
pueden emerger medidas adicionales o el reemplazo de otras, que
disminuyan el riesgo residual.
3.4 Riesgos asociados al control de acceso Los incidentes de violación del control de acceso deben ser reportados
inmediatamente para permitir que el problema sea investigado y, de ser
posible, resuelto mediante los mecanismos de protección adecuados. El
objetivo de este procedimiento de reporte es tratar de reducir el impacto en
caso de que el evento se repita. También, la información puede perderse o
deteriorarse como resultado de accidentes en dispositivos de
almacenamiento, eliminación o corrupción de información.
Consiguientemente, la integridad y disponibilidad de la información crítica
debe ser preservada mediante la realización de copias regulares de
seguridad, con la recomendación que sea a otros medios.
Los procedimientos de control orientados hacia un escritorio y pantalla
50
limpia reduce el riesgo de accesos no autorizados de la información, así
como también se reduce la pérdida o daño fuera el horario de trabajo.
Asimismo, los medios de almacenamiento de la información utilizados en una
política de escritorio y pantalla limpia podrían protegerla desastres
ocasionados por el fuego, terremotos, inundaciones o explosiones.
Sin una eficaz gestión de vulnerabilidad y de parches se incrementa el
riesgo de no poder disponer de los sistemas en un momento dado. Ya que
esta gestión controla a posibles atacantes y programas maliciosos que
explotan las vulnerabilidades del software. De igual forma, es posible tener
incidentes de disponibilidad de los sistemas por una deficiente o nula gestión
de aseguramiento de infraestructura (Hardening) el peligro radica en que se
hace más fácil, para un atacante, explotar las debilidades conocidas, cuando
los sistemas ejecutan servicios innecesarios.
Se precisa un manejo correcto al acceso a los correos electrónicos,
porque en ellos se puede encontrar contenido inadecuado o confidencial que
no debe ser visto por los usuarios. Igualmente, los correos electrónicos
pueden contener código malicioso, los cuales presentan la posibilidad de
acceder o dañar los datos, o reenviar datos confidenciales a un tercero.
Además, subsiste la posibilidad de pérdida de productividad de los usuarios,
si ellos dilapidan tiempo enviando y recibiendo correos electrónicos.
Un gran número de sitios y portales que existen en Internet contienen
material impropio y es importante que este contenido no se descargue a los
sistemas informáticos. Muchos otros sitios en la web contienen software
malicioso que podría lesionar el correcto funcionamiento de los sistemas
informáticos, si deliberadamente o inadvertidamente son descargados.
También existe la posibilidad de la pérdida de productividad de los
empleados, si ellos derrochan el tiempo navegando por la Internet.
51
4. Investigaciones previas
Los antecedentes investigativos se encuentran representados en una
serie de publicaciones, asociadas con las variables objeto de estudio, cuyas
contribuciones se estiman significativas en el desarrollo de interpretar el
alcance y particularidad de la presente investigación. A continuación, se
relacionan las investigaciones con mayor pertinencia a cada uno de los
eventos y con otros aspectos de relevancia que nutren y posibilitan el
desarrollo de la presente tesis doctoral.
4.1 Variable Gestión de control de acceso de la información
En los años 90, la Universidad de Colorado, Colorado Sprints,
desarrolló una investigación que plantea un Modelo de Gestión de Control de
Acceso, la cual se denomina “Management of information technology access
controls”, (Pollack, 1991). En esta tesis se detalla nueve funciones de
gestión, de carácter obligatorio, para el control de acceso al sistema, con el
apoyo de herramientas de gestión.
Como aporte a la presente investigación, la anterior tesis aporta su
punto de vista en cuanto a las funciones que son imprescindibles de un
modelo de gestión de control de acceso,a saber: el juste de pensamiento
administrativo, la realización de la evaluación de riesgos, el establecimiento
de objetivos y planes de control de acceso, la aplicación de las políticas y
procedimientos de acceso de toda la organización, la elección de los
dispositivos de control de acceso apropiados, supervisión continua y
evaluación periódica de las funciones de las tecnologías de la Información
(TI), y revisiones al sistema de control de acceso.
Muy cerca de allí, en Fort Collins, Colorado State University se realiza
la tesis doctoral que proponen dos tipos de modelos de control de acceso
para los entornos de computación ubicua: “Access control models for
pervasive computing environments”, Toahchoodee (2010). Estos modelos
tienen en cuenta la característica de este tipo de ambiente donde existe la
52
integración de la informática en el entorno propio de la persona, así, dichos
modelos aplicarían a dispositivos de escasos centímetros, que pueden ser
llevados por un usuario como lo son las Tab, Pads y Board. La contribución
de esta disertación doctoral corresponde a los mecanismos de control de
acceso en la computación ubicua.
La tesis doctoral “Access Control Management in Distributed Object
Systems” en la Freie Universität Berlin, (Brose, 2001), contribuye al presente
trabajo proporcionando una perspectiva particular de cómo especificar,
implementar y administrar las políticas de control de acceso orientadas a la
aplicación de los sistemas de objetos distribuidos como contribución a
aumentar la seguridad en general.
Específicamente, para responder a las preguntas planteadas, se
analiza el proceso global de gestión y estructura en actividades que son
realizadas por los administradores: gestión de credenciales, de objetos, de
dominio, y de políticas. Como resultado, se identifican los requisitos de
documentación, apoyo a la comunicación entre las partes involucradas, y por
abstracciones de gestión adecuadas..
En el grupo de seguridad de la información del departamento de
matemáticas de Universidad de Londres se desarrolló la tesis Doctoral
titulada “Analyzing and Developing Role-Based Access Control Models”,Chen
(2011), que intenta responder al poco aprovechamiento que se le da a las
características avanzadas del modelo de Control de acceso basado en roles
(RBAC), así como a su complejidad computacional, creando nuevos modelos
basados en RBAC, proponiendo una forma alternativa para distinguir entre la
activación y uso de jerarquías.
Como aporte a la presente investigación, se despliegauna familia de
modelos simples, expresivas y flexibles RBAC espacio-temporales, y se
extendieron estos modelos para incluir la activación y uso de jerarquías. Que,
a diferencia de trabajos existentes, dichos modelos abordan la interacción
entre las limitaciones espacio-temporales y la herencia en RBAC, y son
53
coherentes y compatibles con el estándar ANSI RBAC.
La investigación “Access Control Model and Policies for Collaborative
Environments”de la Universitaet Potsdam, Zhou (2008), se centra en dos
debates importantes en los sistemas de colaboración, como lo son: el modelo
y las políticas de control de acceso. Esto en razón de que para participar, en
forma efectiva, en las colaboraciones modernas, las organizaciones
miembros deben ser capaces de compartir los datos y la funcionalidad
específica con los socios colaboradores, garantizando al mismo tiempo sus
recursos están protegidos de accesos inadecuados. Siendo sus principales
contribuciones a la presente tesis doctoral, el proveer las descripciones de un
modelo de control de acceso y tres tipos de políticas de autorización en
entornos de colaboración.
4.2 Variable Mitigación de los riesgos
En the Higher Education Technical School of Professional Studies, de
la ciudad de Novi Sad, Serbia, se realizó el proyecto "Risk Assessment of
Information Technology Systems”, Nikolić & Ružić-Dimitrijević (2009), donde
se presentan, primero, algunas metodologías de gestión de riesgos en el
área de las Tecnologías de la información (TI); y en segunda, sedetalla,
como aporte, un nuevo método para la evaluación del riesgo. Este proyecto
tributa a la actual tesis doctoral en la descripción del tratamiento del riesgo y
los criterios de aceptación de los mismos.
National Institute of Standards and Technologydel Departamento de
Comercio de EE.UU. en su publicación “Risk Management Guide for
Information Technology Systems. NIST Special Publication 800-30”,
Stoneburner, Goguen, & Feringa (2002), enuncia los lineamientos para la
gestión de riesgos de sistemas informáticos para su uso de las
organizaciones federales que procesan información sensible. Dichas
directrices pueden ser utilizadas por las organizaciones no gubernamentales
sobre una base voluntaria.
54
Esta guía proporciona una base para el desarrollo de un programa
eficaz de gestión de riesgos, que contiene tanto las definiciones y la
orientación práctica necesarias para evaluar y mitigar los riesgos
identificados dentro de los sistemas de Tecnologías de la Información (TI).El
objetivo final es ayudar a las organizaciones a gestionar mejor los riesgos
relacionados con TI.
Adicionalmente, el departamento de comercio de Estados Unidos
complementó estos lineamientos con “Managing Information Security Risk”,
U.S. Department of Commerce. NIST (2011), cuya intención es suministrar
una guía para un programa integrado, de toda la organización para la gestión
de riesgos de seguridad de la información de las operaciones, activos, los
individuos y otras organizaciones; y con “Guide for Conducting Risk
Assessments. NIST Special Publication 800-30 Revision 1”, U.S. Department
of Commerce. NIST (2012), con el fin de suministrar los métodos que
permitan realizar las evaluaciones de riesgos, para identificar, estimar, y dar
prioridad a riesgo para las operaciones de la organización.Estas dos
publicaciones del gobierno americano contribuyen al proyecto con un
conjunto de prácticas para gestionar el riesgo.
El gobierno español, a través del Ministerio de Hacienda y
Administraciones Públicas (2012), desarrolló su proyecto MAGERIT,
destinado a desplegar una guía para la gestión y análisis de riesgos de los
sistemas de la información para minimizar los riesgos de la implantación y
uso este tipo de tecnologías en la administración pública. Este proyecto
presenta tres publicaciones –IMétodo, IICatálogo de elementos y IIIGuía de
técnicas–.Como aporte a la investigación proporciona un método sistemático
para establecer las contramedidas más eficaces que posibiliten tener los
riesgos mitigados.
55
4.3 Enfoque para el diseño de sistemas
Hurtado Carmona (2011), en su libro “Teoría General de Sistemas: Un
enfoque hacia la Ingeniería de Sistemas” describe los elementos que se
deben tener en cuenta para estudiar, desde la perpectiva de la Teoría
General de Sistemas, los fenomenos que se encuentran constituidos por
partes interactuantes. En esa misma linea, estos elementos dan las
herramientas necesarias para poder diseñar este tipo de sistemas.
En particular, para poder diseñar a un sistema se hece necesario
determinar las razónes por la cual existe, es decir, sus objetivos. Con esto se
puede definir algunos aspectos estrategicos de sus componentes, cómo
deberán comportanse y cómo funcionarían. Inmediatamente, se tiene en
cuenta que en sí misma, es una problemática definir los componentes que
hacen parte de un sistema. Ayuda la caracteríatica de la recursividad al
indicar que los entes constituyentes son subsistemas. Allí se debe empezar a
delimitar la frontera dedinitiva del sistema.
Después de precisar las partes que componen al sistema que se está
diseñando, se determinan el tipo de relaciones que existen entre ellas.
Tambien, sus funcionalidades y los productos esperados. Asimismo, debe
quedar definido el entorno en el cual se sumerge. Desde este punto, es
necesario establecer, tanto los insumos generales y los que son importados
por cada subsistema, en concordancia a los productos que deben ser
generados por cada parte del sistema.
La descripción detallada de los procesos de conversión en cada uno
de los subsistemas deben ser presentadosbajo un enfoque que permita
apreciar el aporte parcial a la conversión total, la cual se entrega al entorno.
En ultimo lugar, se describen los procesos de retroalimentación para el
autocontrol yaprendizaje; y los elementos que ejercen la funcionalidad de la
administración del sistema.
56
5.Contexto legal
5.1 Gestión de riesgos en Venezuela La normatividad de la gestión de riesgos en general en la República
Bolivariana de Venezuela parte desde su Constitución (CRBV - 1999),
específicamente, en sus artículos Nº 55, de los Derechos Civiles y Nº 156, de
la Competencia del Poder Público Nacional. Adicionalmente, se
complementa con las leyes de Gestión Integral de Riesgos Socio-naturales y
Tecnológicos (G.I.R.S.T – 2009); de la Organización Nacional de Protección
Civil y Administración de Desastres (2001); de Coordinación de Seguridad
Ciudadana (2001); Ley Especial de Refugios Dignos (2011) y el Decreto con
Fuerza de Ley de la Organización Nacional de Protección Civil y
Administración de Desastres (2001).
5.2 Gestión de riesgos en Colombia
Colombia, por su parte, crea el Sistema Nacional para la Prevención y
Atención de Desastres, para hacer frente a los riesgos. Este sistema usa los
deberes derechos y prerrogativas que proporcionan, entre otras, las
siguientes normas estatales: Decreto 1547 (1984) Por el cual se crea el
Fondo Nacional de Calamidades; Decreto 919 (1989) Por el cual se organiza
el Sistema Nacional para la Prevención y Atención de Desastres y se dictan
otras disposiciones; Directiva Presidencial No.33 (1991) Responsabilidades
de los organismos y entidades del sector público en el desarrollo y operación
del Sistema Nacional de Prevención y Atención de Desastres.
Adicionalmente, la Directiva Ministerial 13 (1992) Responsabilidades
del Sistema Educativo como integrante del Sistema Nacional de Prevención
y Atención de Desastres; Decreto 2190 (1995) Por el cual se ordena la
elaboración y desarrollo del Plan Nacional de Contingencia contra Derrames
de Hidrocarburos, derivado y Sustancias Nocivas en aguas marinas, fluviales
y lacustres; Decreto 969 de 1995: “Por el cual se organiza y reglamenta la
Red Nacional de Centros de Reserva para la atención de emergencias.
57
Finalmente, por las leyes 46 (1988) Por la cual se crea y organiza el
Sistema Nacional para la Prevención y Atención de Desastres, se otorgan
facultades extraordinarias al Presidente de la República y se dictan otras
disposiciones; Ley 322 (1996) Por la cual se crea el Sistema Nacional de
Bomberos y se dictan otras disposiciones; Ley 388 (1997) Por la cual se crea
el Plan de Ordenamiento Territorial.
5.3 Gestión de la seguridad en la administración pública En un primer lugar, en Colombia la Ley 594 (2000) fue legislada con el
fin de establecer las pautas y preceptos generales que regulan la función
archivística del estado, aplicable a la administración pública en sus diferentes
niveles, las entidades privadas que cumplen funciones públicas y los demás
organismos regulados por dicha ley. Esta misma ley, le delega la
salvaguarda del patrimonio documental colombiano, así como a la
modernización de los archivos públicos, alArchivo General de la Nación AGN
(2014). Este a su vez, para cumplir con el ordenamiento se orienta a
fortalecer y actualizar los lineamientos relativos al patrimonio documental.
De manera transversal, la gestión documental, en Colombia, se
encuentra inmersa en las iniciativas de gobierno electrónico y en la
apropiación de tecnologías de la información y la comunicación (TIC) en la
administración pública, como parte de la estrategia estatal de ofrecer
servicios de calidad con una marcada transparencia. Con esto, el estado
colombiano pretende brindar acceso a los ciudadanos del patrimonio
documental en forma expedita y transparente.
Con el programa de la Estrategia de Gobierno en Línea, MinTIC
(2015), Colombia busca proyectar una nación con altos índices de eficiencia,
trasparencia y participativo, aprovechando las ventajas innatas de las TIC.
Esto significa que los ciudadanos gozarán de mejores servicios, serán
empoderados y tendrán confianza alrededor de las tecnologías TIC.
También, se tendrá excelencia en la gestión pública, desde las TIC,
58
orientada a impulsar el avance del país en los objetivos de desarrollo
sostenible.
En esta misma línea y desde el punto de vista de la Unesco, el
patrimonio documental de un país lo representan los contenidos y el soporte
en el que se deposita, de allí, la clasificación que hace de ellos: Piezas
textuales con un contenido que en su mayoría está constituido por símbolos
que representan fonemas; Piezas no textuales identificados como dibujos y
similares; Piezas audiovisuales con base al sonido y a los fotogramas; y
Documentos virtuales, que se encuentran almacenados en distintos
dispositivos electrónicos.
Debido al creciente uso de los documentos virtuales por medio de
internet, nacen nuevas conductas que atentan contra la integridad,
disponibilidad, confidencialidad, autenticidad y derechos de autoría de la
información contenida en dichos documentos. Ante esto, el estado
Colombiano implementó medidas coercitivas mediante laLey 1273 (2009),
con la que se crea un nuevo bien jurídico tutelado denominado "de la
protección de la información y de los datos”, y tipificando como delitos una
serie de conductas que atentan la seguridad de la información.
De igual forma, el legislativo expidió la Ley 1581 (2012), la cual posee
por objeto desarrollar el derecho constitucional delos ciudadanos a conocer,
actualizar y rectificar las informaciones que, de ellas se hayan recolectado y
almacenado en distintos medios, realizado en territorio colombiano o, en su
defecto, cuando la responsabilidad del tratamiento, en virtud de los tratados y
normas internacionales, sea aplicable a la legislación colombiana.
5.3.1 Regulación del patrimonio documental En Colombia se tiene una legislación que reglamenta el cómo deben
ser archivados el patrimonio documental en la administración pública, y
también se tiene una legislación que permite castigar a los que comentan
delitos en contra de los contenidos del patrimonio documental. Esto se puede
59
traducir en que existe una política de estado que permite a las entidades
públicas administrar el patrimonio documental y a su vez castigar a los que
atenten contra este patrimonio.
5.3.2 Estrategias La administración pública en Colombia debe tener un conocimiento
exacto sobre los activos de información que posee, como parte importante de
la gestión de riesgos. Además, los activos de información deben ser
clasificados de acuerdo a la sensibilidad y criticidad de la información que
contienen o bien de acuerdo a la funcionalidad que cumplen. También deben
ser rotulados para estipular cómo se deben tratar y proteger.
Habitualmente, la información deja de ser crítica o confidencial
después de cierto período de tiempo o cuando ya es pública. Estas
particularidades deben tenerse en cuenta para evitar el exceso de
clasificación y gastos innecesarios. Asimismo, la información adopta muchas
formas, medios de almacenamiento y de trasmisión, y en cada una, se deben
contemplar los mecanismos de protección asegurar se confidencialidad,
integridad y disponibilidad.
Finalmente, la información puede convertirse en obsoleta y se hace
necesario eliminarla, en un proceso que debe asegurar la confidencialidad de
la misma. Se estima que se hace necesario que la administración pública en
Colombia tenga una gestión de los activos de información como estrategia
metodológica, que permita gestionar los activos de información, en la cual se
deben tener en cuenta los siguientes objetivos a cumplir:
• Responsabilidad por los Activos. Este objetivo se encuentra
centrado en lograr mantener la protección adecuada de los activos de la
administración pública. Para esto, es necesario que cada uno de los activos
de información se involucre y se le asigne un dueño. Cada dueño de cada
activo tiene la responsabilidad de la gestión de los controles apropiados.
• Clasificación de la Información. Con este objetivo se busca que la
60
información reciba el nivel de protección adecuado. Este objetivo se orienta a
descubrir las necesidades, las prioridades y el nivel necesario de protección.
1. Identificación de activos. Se identifican los activos de información,
con base a la definición de qué es y qué no es. Se unifican a todos aquellos
que tengan características comunes y que posean el mismo nivel de
seguridad. El producto de esta etapa es un inventario estructurado de activos
de información.
2. Análisis de riesgo de los activos de información. A cada activo de
información se realiza la evaluación en donde se identificación de los riesgos
tecnológicos a los que está expuesto y la medición de riesgos identificados.
3. Gestión de activos. En esta etapa se categorizan los activos en
cuento a su grado de sensibilidad frente a sus riesgos.
4. Control y seguimiento. En esta etapa se busca detectar
desviaciones o ajustes necesarios a los planes de mitigación de riesgos.