DISEADO POR KAREN ARRECIS

2 0 1 3

SEGURIDAD INFORMATICA
MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

INTRODUCCIN

La Gestin de Riesgo es un mtodo que se puede aplicar en diferentes contextos donde se debe incluir y trabajar con las consideraciones de la seguridad. El propsito de esta seccin es mostrar cmo se puede aplicar el enfoque de la Gestin de Riesgo en la Seguridad Informtica y particularmente en el mbito de las organizaciones sociales centroamericanas o instituciones similares. Al mismo tiempo seala los puntos crticos y claves que se debe reconsiderar, para que la gestin de riesgo sea ms exitosa.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Seguridad Informtica La Seguridad Informtica se refiere a las caractersticas y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad.

Considerar aspectos de seguridad significa a) conocer el peligro, b)clasificarlo y c) protegerse de los impactos o daos de la mejor manera posible. Esto significa que solamente cuando estamos conscientes de las potenciales amenazas, agresores y sus intenciones dainas (directas o indirectas) en contra de nosotros, podemos tomar medidas de proteccin adecuadas, para que no se pierda o dae nuestros recursos valiosos. En este sentido, la Seguridad Informtica sirve para la proteccin de la informacin, en contra de amenazas o peligros, para evitar daos y para minimizar riesgos, relacionados con ella.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Gestin de Riesgo en la Seguridad Informtica La Gestin de Riesgo es un mtodo para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases

Anlisis: Determina los componentes de un sistema que requiere proteccin, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.

Clasificacin: Determina si los riesgos encontrados y los riesgos restantes son aceptables.

Reduccin: Define e implementa las medidas de proteccin. Adems sensibiliza y capacita los usuarios conforme a las medidas.

Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Todo el proceso est basado en las llamadas polticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propsito de

Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo.

Orientar el funcionamiento organizativo y funcional. Garantizar comportamiento homogneo. Garantizar correccin de conductas o prcticas que nos hacen vulnerables. Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

Seguridad de la Informacin y Proteccin de Datos En la Seguridad Informtica se debe distinguir dos propsitos de proteccin, la Seguridad de la Informacin y la Proteccin de Datos.

Se debe distinguir entre los dos, porque forman la base y dan la razn, justificacin en la seleccin de los elementos de informacin que requieren una atencin especial dentro del marco de la Seguridad Informtica y normalmente tambin dan el motivo y la obligacin para su proteccin.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de la Informacin y la Proteccin de Datos como motivo o obligacin de las actividades de seguridad, las medidas de proteccin aplicadas normalmente sern las mismas. Para ilustrar un poco la diferencia entre los dos, se recomiendo hacer el siguiente ejercicio.

En la Seguridad de la Informacin el objetivo de la proteccin son los datos mismos y trata de evitar su perdida y modificacin non-autorizado. La proteccin debe garantizar en primer lugar la confidencialidad, integridad ydisponibilidad de los datos, sin embargo existen ms requisitos como por ejemplo

la autenticidad entre otros. El motivo o el motor para implementar medidas de proteccin, que responden a la Seguridad de la Informacin, es el propio inters de la institucin o persona que maneja los datos, porque la perdida o modificacin de los datos, le puede causar un dao (material o inmaterial). Entonces en referencia al ejercicio con el banco, la prdida o la modificacin errnea, sea causado intencionalmente o simplemente por negligencia humana, de algn rcord de una cuenta bancaria, puede resultar en prdidas econmicas u otros consecuencias negativas para la institucin.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

En el caso de la Proteccin de Datos, el objetivo de la proteccin no son los datos en si mismo, sino el contenido de la informacin sobre personas, para evitar el abuso de esta. Esta vez, el motivo o el motor para la implementacin de medidas de proteccin, por parte de la institucin o persona que maneja los datos, es la obligacin jurdica o la simple tica personal, de evitar consecuencias negativas para las personas de las cuales se trata la informacin. En muchos Estados existen normas jurdicas que regulan el tratamiento de los datos personales, como por ejemplo en Espaa, donde existe la Ley Orgnica de Proteccin de Datos de Carcter Personal que tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Sin embargo el gran problema aparece cuando no existen leyes y normas jurdicas que evitan el abuso

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

o mal uso de los datos personales o si no estn aplicadas adecuadamente o arbitrariamente. Existen algunas profesiones que, por su carcter profesional, estn reconocidos o obligados, por su juramento, de respetar los datos personales como por ejemplo los mdicos, abogados, jueces y tambin los sacerdotes. Pero

independientemente, si o no existen normas jurdicas, la responsabilidad de un tratamiento adecuado de datos personales y las consecuencias que puede causar en el caso de no cumplirlo, recae sobre cada persona que maneja o tiene contacto con tal informacin, y debera tener sus races en cdigos de conducta y finalmente la tica profesional y humana, de respetar y no perjudicar los derechos humanos y no hacer dao. Si revisamos otra vez los resultados del ejercicio con el banco y en particular los elementos que clasificamos como Informacin Confidencial, nos podemos preguntar, de qu manera nos podra perjudicar un supuesto mal manejo de nuestros datos personales, por parte del banco, con la consecuencia de que terminen en manos ajenas? Pues, no hay una respuesta clara en este momento sin conocer cul es la amenaza, es decir quin tuviera un inters en esta informacin y con qu propsito?

Retos de la Seguridad La eficiente integracin de los aspectos de la Seguridad Informtica en el mbito de las organizaciones sociales centroamericanas enfrenta algunos retos muy comunes que estn relacionados con el funcionamiento y las caractersticas de estas.

Los temas transversales no reciben la atencin que merecen y muchas veces quedan completamente fuera de las consideraciones organizativas: Para todas las organizaciones y empresas, la propia Seguridad Informtica no es un fin, sino un tema transversal que normalmente forma parte de la estructura interna de apoyo.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Nadie vive o trabaja para su seguridad, sino la implementa para cumplir sus objetivos.

Carencia o mal manejo de tiempo y dinero: Implementar medidas de proteccin significa invertir en recursos como tiempo y dinero.

El proceso de monitoreo y evaluacin, para dar seguimiento a los planes operativos est deficiente y no integrado en estos: Implementar procesos y medidas de proteccin, para garantizar la seguridad, no es una cosa que se hace una vez y despus se olvide, sino requiere un control continuo de cumplimiento, funcionalidad y una adaptacin peridica, de las medidas de proteccin implementadas, al entorno cambiante.

Todas ests circunstancias juntas, terminan en la triste realidad, que la seguridad en general y la Seguridad Informtica en particular no recibe la atencin adecuada. El error ms comn que se comete es que no se implementa medidas de proteccin, hasta que despus del desastre, y las escusas o razones del porque no se hizo/hace nada al respecto abundan. Enfrentarse con esta realidad y evitando o reduciendo los daos a un nivel aceptable, lo hace necesario trabajar en la Gestin de riesgo, es decir a) conocer

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

el peligro, b) clasificarlo y c) protegerse de los impactos o daos de la mejor manera posible. Pero una buena Gestin de riesgos no es una tarea nica sino un proceso dinmico y permanente que tiene que estar integrado en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios -la falla el eslabn ms dbil de la cadena!!- y que requiere el reconocimiento y apoyo de las directiva. Sin estos caractersticas esenciales no estn garantizados, las medidas de proteccin implementadas no funcionarn y son una perdida de recursos. Elementos de Informacin Los Elementos de informacin son todos los componentes que contienen, mantienen o guardan informacin. Dependiendo de la literatura, tambin son llamados Activos o Recursos.

Son estos los Activos de una institucin que tenemos que proteger, para evitar su perdida, modificacin o el uso inadecuado de su contenido, para impedir daos para nuestra institucin y las personas presentes en la informacin. Generalmente se distingue y divide tres grupos

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Datos e Informacin: son los datos e informaciones en si mismo Sistemas e Infraestructura: son los componentes donde se mantienen o guardan los datos e informaciones

Personal: son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos ms difciles de proteger, porque son mviles, pueden cambiar su afiliacin y son impredecibles Amenazas y Vulnerabilidades Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede producir un dao (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informtica, los Elementos de Informacin. Debido a que la Seguridad Informtica tiene como propsitos de garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e

informaciones, las amenazas y los consecuentes daos que puede causar un evento exitoso, tambin hay que ver en relacin con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.

Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo como por ejemplo las agresiones tcnicas, naturales o humanos, sino tambin amenazas de origen interno, como la negligencia del propio personal

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

o las condiciones tcnicas, procesos operativos internos (Nota: existen conceptos que defienden la opinin que amenazas siempre tienen carcter externo!) Generalmente se distingue y divide tres grupos

Criminalidad: son todas las acciones, causado por la intervencin humana, que violan la ley y que estn penadas por esta. Con criminalidad poltica se entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil.

Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino tambin eventos indirectamente causados por la intervencin humana.

Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque estn directamente relacionado con el comportamiento humano. Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y por eso es la tarea de la gestin de riesgo de preverlas, implementar medidas de proteccin para evitar o minimizar los daos en caso de que se realice una amenaza. Para mostrar algunas de las amenazas ms preocupantes, consultamos dos estadsticas, el primer grafo sale de la Encuesta sobre Seguridad y Crimen de Computacin 2008 del Instituto de Seguridad de Computacin (CSI por sus siglas en ingls) que base en 433 respuestas de diferentes entidades privadas y estatales en los EE.UU

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

El segundo tiene su origen en una encuesta que se hizo en el ao 2007, con 34 organizaciones sociales a nivel centroamericano

Ambos grafos, muestran el porcentaje de todos los encuestados que sufrieron ese tipo de ataque. Como se observa, existen algunas similitudes respecto a las amenazas ms preocupantes

Ataques de virus (>50%) Robo de celulares, porttiles y otros equipos (>40%) Pero tambin existen otras amenazas que, aunque no aparezcan en ambas encuestas, son muy alarmantes y que se debe tomar en consideracin

Falta de respaldo de datos Perdida de informacin por rotacin, salida de personal Abuso de conocimientos internos (no consultado en encuesta de organizaciones sociales)

Mal manejo de equipos y programas

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Acceso non-autorizado etc Vulnerabilidades

La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algn dao. En otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un dao. Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un dao. Dependiendo del contexto de la institucin, se puede agrupar las vulnerabilidades en grupos

caractersticos: Ambiental, Fsica, Econmica,Social, Educativo, Institucional y Pol tica .

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

En referencia al folleto Pongmos las pilas! [5], se recomienda leer el capitulo Algunas verdades incmodas, pgina 14 a 21, donde se aborda el tema de las amenazas y vulnerabilidades. Anlisis de Riesgo El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como propsito determinar los componentes de un sistema que requieren proteccin, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

Clasificacin y Flujo de Informacin

La clasificacin de datos tiene el propsito de garantizar la proteccin de datos (personales) y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorizacin de acceso a los datos e informaciones. Considerando el contexto de nuestra misin institucional, tenemos que definir los niveles de clasificacin como por ejemplo: confidencial, privado,

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

sensitivo y pblico. Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de autenticacin. Una vez clasificada la informacin, tenemos que verificar los diferentes flujos existentes de informacin internos y externos, para saber quines tienen acceso a qu informacin y datos. Clasificar los datos y analizar el flujo de la informacin a nivel interno y externo es importante, porque ambas cosas influyen directamente en el resultado del anlisis de riesgo y las consecuentes medidas de proteccin. Porque solo si sabemos quines tienen acceso a que datos y su respectiva clasificacin, podemos determinar el riesgo de los datos, al sufrir un dao causado por un acceso no autorizado. Anlisis de Riesgo

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Existen varios mtodos de como valorar un riesgo y al final, todos tienen los mismos retos -las variables son difciles de precisar y en su mayora son estimaciones- y llegan casi a los mismos resultados y conclusiones. En el mbito de la Seguridad Informtica, el mtodo ms usado es el Anlisis de Riesgo. La valoracin del riesgo basada en la formula matemtica Riesgo = Probabilidad de Amenaza x Magnitud de Dao Para la presentacin del resultado (riesgo) se usa una grfica de dos dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la Probabilidad de Amenaza y el eje-y (vertical, ordenada) la Magnitud de Dao. La Probabilidad de Amenaza y Magnitud de Dao pueden tomar condiciones entre Insignificante (1) y Alta (4). En la practica no es necesario asociar valores aritmticos a las condiciones de las variables, sin embargo facilita el uso de herramientas tcnicas como hojas de calculo. Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Dao no es fijo y puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones. Como mencion, el reto en la aplicacin del mtodo es precisar o estimar las condiciones (valores) de las dos variables, porque no basen en parmetros claramente medibles. Sin embargo, el anlisis de riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o positivamente, en el riesgo. En el proceso de analizar un riesgo tambin es importante de reconocer que cada riesgo tiene sus caractersticas [4]:

Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad) Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

No siempre es percibido de igual manera entre los miembros de una institucin que talvez puede terminar en resultados inadecuados y por tanto es importante que participan las personas especialistas de los diferentes elementos del sistema (Coordinacin, Administracin financiera, Tcnicos, Conserje, Soporte tcnico externo etc.) El modelo se pude aplicar a los diferentes elementos de manera aislado, sino tambin al sistemas completa, aunque en el primer caso, el resultado final ser ms preciso pero tambin requiere ms esfuerzo. Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es el riesgo y el peligro al sistema, lo que significa que es necesario implementar medidas de proteccin. Probabilidad de Amenaza

Se habla de un Ataque, cuando una amenaza se convirti en realidad, es decir cuando un evento se realiz. Pero el ataque no dice nada sobre el xito del evento

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

y s o no, los datos e informaciones fueron perjudicado respecto a suconfidencialidad, integridad, disponibilidad y autenticidad. Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas

Cul es el inters o la atraccin por parte de individuos externos, de atacarnos? Algunas razones pueden ser que manejamos informacin que contiene novedades o inventos, informacin comprometedora etc, talvez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posicin pblica que tenemos.

Cules son nuestras vulnerabilidades? Es importante considerar todos los grupos de vulnerabilidades. Tambin se recomienda incluir los expertos, especialistas de las diferentes reas de trabajo para obtener una imagen ms completa y ms detallada sobre la situacin interna y el entorno.

Cuntas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es frecuente, ms grande es la probabilidad que pasar otra vez. En el caso de que ya tenemos implementadas medidas de proteccin es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todava existe la amenaza y segundo, cul es su riesgo actual. Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, antes tenemos que definir el significado de cada condicin de la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin comn y por tanto se recomienda que cada institucin defina sus propias condiciones.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Magnitud de Dao

Se habla de un Impacto, cuando un ataque exitoso perjudic la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.

Estimar la Magnitud de Dao generalmente es una tarea muy compleja. La manera ms fcil es expresar el dao de manera cualitativa, lo que significa que aparte del dao econmico, tambin se considera otros valores como daos

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

materiales, imagen, emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos los componentes en un solo dao econmico, resulta en un ejercicio aun ms complejo y extenso. Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser mltiples, a veces son imprevisibles y dependen mucho del contexto donde manejamos la informacin, sea en una ONG (derechos humanos, centro de informacin etc.), en una empresa privada (banco, clnica, produccin etc.), en una institucin Estatal o en el mbito privado. Otro factor decisivo, respecto a las consecuencias, es tambin el entorno donde nos ubicamos, es decir cuales son las Leyes y prcticas comunes, culturales que se aplica para sancionar el incumplimiento de las normas. Un punto muy esencial en el anlisis de las consecuencias es la diferenciacin entre los dos propsitos de proteccin de la Seguridad Informtica, la Seguridad de la Informacin y la Proteccin de datos, porque nos permite determinar, quien va a sufrir el dao de un impacto, nosotros, otros o ambos. En todo caso, todos nuestros comportamientos y decisiones debe ser dirigidos por una conciencia responsable, de no causar dao a otros, aunque su realidad no tenga consecuencias negativas. Otras preguntas que podemos hacernos para identificar posibles consecuencias negativas causadas por un impacto son:

Existen

condiciones

de

incumplimiento

de

confidencialidad

(interna

externa)? Esto normalmente es el caso cuando personas non-autorizados tienen acceso a informacin y conocimiento ajeno que pondr en peligro nuestra misin.

Existen condiciones de incumplimiento de obligacin jurdicas, contratos y convenios? No cumplir con las normas legales fcilmente puede culminar en sanciones penales o econmicas, que perjudican nuestra misin, existencia laboral y personal.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Cul es el costo de recuperacin? No solo hay que considerar los recursos econmicos, tiempo, materiales, sino tambin el posible dao de la imagen pblica y emocional. Considerando todos los aspectos mencionados, nos permite clasificar la Magnitud del Dao. Sin embargo, otra vez tenemos que definir primero el significado de cada nivel de dao (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin comn y por tanto se recomienda que cada institucin defina sus propios niveles. Clasificacin de Riesgo El objetivo de la clasificacin de riesgo es determinar hasta que grado es factible combatir los riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad econmica de una institucin, sino tambin del entorno donde nos ubicamos. Los riesgos que no queremos o podemos combatir se llaman riesgos restantes y no hay otra solucin que aceptarlos.

Implementar medidas para la reduccin de los riesgos significa realizar inversiones, en general econmicas. El reto en definir las medidas de proteccin,

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

entonces est en encontrar un buen equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo econmico que tenemos que hacer para la implementacin y el manejo de estas. De igual manera como debemos evitar la escasez de proteccin, porque nos deja en peligro que pueda causar dao, el exceso de medidas y procesos de proteccin, pueden fcilmente paralizar los procesos operativos e impedir el cumplimiento de nuestra misin. El caso extremo respecto al exceso de medidas sera, cuando las inversiones para ellas, superen el valor del recurso que pretenden proteger. Entonces el estado que buscamos es, que los esfuerzos econmicos que realizamos y los procesos operativos, para mantener las medidas de proteccin, son suficientes, ajustados y optimizados, para que respondan exitosamente a las amenazas y debilidades (vulnerabilidades) que enfrentamos.

Con Riesgo restante se entiende dos circunstancias, por un lado son estas amenazas y peligros que, aunque tenemos implementados medidas para evitar o mitigar sus daos, siempre nos pueden afectar, si el ataque ocurre con una magnitud superior a lo esperado. Podemos protegernos de cierto modo contra los impactos de un terremoto comn, sin embargo cuando ocurre con una fuerza
MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

superior o antes no conocido, el impacto general ser mucho ms grande y muy probablemente afectar tambin a nosotros. La otra situacin es cuando aceptamos conscientemente los posibles impactos y sus consecuencias, despus de haber realizado el anlisis de riesgo y la definicin de las medidas de proteccin. Las razones para tomar esta decisin pueden ser varias, sea que evitar los daos no est dentro de nuestra posibilidad y voluntad econmica o porque no entendemos que no tenemos suficiente poder sobre el entorno. Sea lo que sea la razn, el punto importante es que sabemos sobre la amenaza y decidimos vivir con ella y su posible consecuencia. Reduccin de Riesgo La reduccin de riesgo se logra a travs de la implementacin de Medidas de proteccin, que basen en los resultados del anlisis y de la clasificacin de riesgo.

Las

medidas

de

proteccin

estn

divididos

en

medidas fsicas

tcnicas,personales y organizativas. En referencia al Anlisis de riesgo, el propsito de las medidas de proteccin, en el mbito de la Seguridad Informtica, solo tienen un efecto sobre los componentes de la Probabilidad de Amenaza, es decir aumentan nuestra

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

capacidad fsica, tcnica, personal y organizativa, reduciendo as nuestras vulnerabilidades que estn expuestas a las amenazas que enfrentamos. Las medidas normalmente no tienen ningn efecto sobre la Magnitud de Dao, que depende de los Elementos de Informacin y del contexto, entorno donde nos ubicamos. Es decir, no se trata y muy difcilmente se puede cambiar el valor o la importancia que tienen los datos e informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra misin. En referencia al folleto Pongmos las pilas! [5], en el capitulo Cmo podemos prevenir para no lamentar, pgina 22 a 27, se aborda algunas medidas de proteccin contra amenazas muy comunes.

La fuerza y el alcance de las medidas de proteccin, dependen del nivel de riesgo

Alto riesgo: Medidas deben evitar el impacto y dao. Medio riesgo: Medidas solo mitigan la magnitud de dao pero no evitan el impacto. Considerando que la implementacin de medidas de proteccin estn en directa relacin con inversiones de recursos econmicos y procesos operativos, es ms que obvio, que las medidas, para evitar un dao, resultarn (mucho) ms costosas y complejas, que las que solo mitigan un dao.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir que tcnicamente funcionan y cumplen su propsito, que estn incorporadas en los procesos operativos institucionales y que las personas se apropian de ests. Es indispensable que estn respaldadas, aprobadas por aplicadas por la coordinacin, porque sino, pierden su credibilidad. Tambin significa que deben ser diseadas de tal manera, que no paralizan o obstaculizan los procesos operativos porque deben apoyar el cumplimiento de nuestra misin, no impedirlo. Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben sobre su existencia, propsito e importancia y son capacitadas adecuadamente en su uso, de tal manera, que las ven como una necesidad institucional y no como otro cortapisa laboral. Debido a que la implementacin de las medidas no es una tarea aislada, nica, sino un proceso continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento operativo institucional, respaldado por normas y reglas que regulan su aplicacin, control y las sanciones en caso de incumplimiento. Herramientas de Proteccin Caja de Herramientas de Seguridad Componente integral del proyecto de Seguimiento al Taller Centroamericano Ampliando la Libertad de Expresin: Herramientas para la colaboracin, informacin y comunicacin seguras fue la promocin y uso de las herramientas ofrecidas a travs de la Caja de Herramientas de Seguridad (security in-a-box). La Caja de Herramientas de Seguridad es un esfuerzo colaborativo entre Tactical Technology Collective y Front Line. Incluye una Gua Paso a Paso, la cual se ocupa de varios temas de seguridad digital. Tambin proporciona una coleccin muy completa de Guas Prcticas, cada una de las cuales incluye una herramienta especfica de software gratuito o
MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

de cdigo abierto, as como las instrucciones necesarias sobre cmo utilizar dicha herramienta para asegurar tu computadora, proteger tu informacin o mantener la privacidad de tus comunicaciones por Internet. Aunque la gran mayora de las herramientas tambin existen para los sistemas operativos abiertos, como por ejemplo Ubuntu, hasta la fecha, solo estn incluidas las herramientas y los manuales de instalacin para ambientes de Microsoft Windows.

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS

MANUAL DE SEGURIDAD INFORMATICA. DISEADO POR AREN ARRECIS