¿Nuestra información está a buen recaudo?
Gracias a la aparición de las llamadas tecnologías de la información y de las comunicaciones, vivimos inmersos en una “sociedad de la información”, en la que Internet se presenta como un nuevo canal de distribución que mejora la productividad de las organizaciones. Ahora bien, ¿se toman las medidas necesarias para garantizar la seguridad de esta información y de los sistemas que la alojan, transmiten o modifican?. Desgraciadamente, la respuesta suele ser negativa. Las razones principales que han conducido a esta situación son básicamente dos:
- Las incidencias que afectan a la seguridad de la información pueden resultar imperceptibles.
- No se ha concedido la importancia debida a la información de una organización.
La primera se debe a la naturaleza digital de la información. Puede resultar sencillo distinguir un documento manuscrito de una fotocopia, pero resulta imposible diferenciar un fichero de una copia, con el agravante de que si no se han adoptado los mecanismos pertinentes, esta acción puede pasar desapercibida, quedando impune el sujeto responsable. La consecuencia directa de esta situación es que no somos conscientes de la mayoría de incidentes o “ataques” si no se han adoptado las medidas necesarias. No resultaría preocupante si la información no fuera un activo vital para cualquier organización, pero la realidad es muy distinta.
Con la intención de concienciar tanto al sector público y al privado de la importancia que es preciso conceder a la seguridad de la información, han surgido varias iniciativas legislativas cuyos ejemplos más destacados son:
- LEY 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- Ley orgánica 15/91999, de 13 de diciembre, de protección de datos de carácter personal.
- Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
Si analizamos las causas de las incidencias de seguridad en una organización, llegamos a la siguiente conclusión:
- Elección errónea de las tecnologías empleadas en la arquitectura de seguridad (vulnerabilidades tecnológicas)
- Mala configuración de los dispositivos que constituyen la arquitectura de seguridad (vulnerabilidades de configuración)
- No haber definido las políticas de seguridad o haberlas definido deficientemente (vulnerabilidades asociadas a las políticas)
Puede darse el caso de que hayamos elegido la tecnología óptima para la protección de nuestra organización, pero si los productos asociados están mal configurados, habremos desaprovechado la inversión económica realizada. Tal vez, hemos elegido la mejor tecnología y la hemos configurado según las políticas de la organización, pero si éstas no son las más adecuadas, seguiríamos siendo vulnerables.
Al contrario de lo que podríamos pensar a priori, un 20% de las incidencias se deben a vulnerabilidades técnicas (primera razón), mientras que un 80% de las incidencias se deben a vulnerabilidades organizativas (dos últimas razones), esto es, asociadas al uso que hacen los usuarios de las tecnologías de seguridad.
José Antonio Álvarez Cubero
Consultor de Seguridad de Telindus
- Las incidencias que afectan a la seguridad de la información pueden resultar imperceptibles.
- No se ha concedido la importancia debida a la información de una organización.
La primera se debe a la naturaleza digital de la información. Puede resultar sencillo distinguir un documento manuscrito de una fotocopia, pero resulta imposible diferenciar un fichero de una copia, con el agravante de que si no se han adoptado los mecanismos pertinentes, esta acción puede pasar desapercibida, quedando impune el sujeto responsable. La consecuencia directa de esta situación es que no somos conscientes de la mayoría de incidentes o “ataques” si no se han adoptado las medidas necesarias. No resultaría preocupante si la información no fuera un activo vital para cualquier organización, pero la realidad es muy distinta.
Con la intención de concienciar tanto al sector público y al privado de la importancia que es preciso conceder a la seguridad de la información, han surgido varias iniciativas legislativas cuyos ejemplos más destacados son:
- LEY 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- Ley orgánica 15/91999, de 13 de diciembre, de protección de datos de carácter personal.
- Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
Si analizamos las causas de las incidencias de seguridad en una organización, llegamos a la siguiente conclusión:
- Elección errónea de las tecnologías empleadas en la arquitectura de seguridad (vulnerabilidades tecnológicas)
- Mala configuración de los dispositivos que constituyen la arquitectura de seguridad (vulnerabilidades de configuración)
- No haber definido las políticas de seguridad o haberlas definido deficientemente (vulnerabilidades asociadas a las políticas)
Puede darse el caso de que hayamos elegido la tecnología óptima para la protección de nuestra organización, pero si los productos asociados están mal configurados, habremos desaprovechado la inversión económica realizada. Tal vez, hemos elegido la mejor tecnología y la hemos configurado según las políticas de la organización, pero si éstas no son las más adecuadas, seguiríamos siendo vulnerables.
Al contrario de lo que podríamos pensar a priori, un 20% de las incidencias se deben a vulnerabilidades técnicas (primera razón), mientras que un 80% de las incidencias se deben a vulnerabilidades organizativas (dos últimas razones), esto es, asociadas al uso que hacen los usuarios de las tecnologías de seguridad.
José Antonio Álvarez Cubero
Consultor de Seguridad de Telindus
