Mejores Prácticas en Seguridad Informática: Arquitectura, Gestión de Riesgos e Ingeniería Social

Estructura y Procedimientos Operativos

Los procedimientos deben especificar las instrucciones para la ejecución detallada de cada tarea, con inclusión de:

• Procesamiento y manejo de información.
• Requerimientos de programación de actividades.
• Instrucciones para el manejo de errores u otras condiciones excepcionales.
• Personas de soporte a contactar.
• Reinicio del sistema y procedimientos de recuperación en caso de producirse fallas en el sistema.

Arquitectura de Seguridad

Dominios de Seguridad de Red

Un dominio de seguridad es un conjunto de recursos que comparten un nivel de confiabilidad y sensibilidad.

Se deben identificar los diferentes dominios de seguridad en la red, según el nivel de confianza que en ellos se tenga.

Catálogo de Dominios

Confiables (la organización)

Dominios Confiables: Son aquellos dominios de seguridad pertenecientes a la organización en donde se han establecido controles regulados y auditados periódicamente por esta.

Semi-Confiable (DMZ)

Dominios Semi-Confiables: Son aquellos dominios no pertenecientes a la organización, pero donde los controles de seguridad pueden ser auditados periódicamente por esta.

No-Confiable (Internet)

Dominios No-Confiables: Son aquellos dominios donde la organización no es capaz de establecer políticas y controles de seguridad sobre ellos.

DMZ (Zona Desmilitarizada)

Es un segmento aislado en donde se puede tener accesos de diferentes elementos confiables y no confiables.

En este segmento no se ubican partes críticas de un sistema.

Gestión de Riesgo

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad.

Las técnicas de evaluación de riesgos pueden aplicarse a toda la organización, o solo a partes de la misma, así como a los sistemas de información individuales, componentes de sistemas o servicios específicos cuando esto resulta factible, viable y provechoso.

Puntos de Evaluación de Riesgo

• Impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos.
• Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

¿Qué Hacer con el Riesgo?

• Transferirlo: Comprando un seguro.
• Reducirlo o Mitigarlo: Implementando medidas para estas acciones.
• Renegarlo: Negar su existencia (¡MAL!).
• Aceptarlo: La compañía entiende el nivel de riesgo que poseen y asumen el costo que ocasionará el impacto de ocurrencia, y decide vivir con él. Dicho riesgo se asume como riesgo residual.
• Administrarlo: Con una preocupación constante, asumiendo que el tema de seguridad es dinámico.

Etapas de gestión de riesgo:

• Identificar sistemas críticos.

Ingeniería Social

La ingeniería social es una de las técnicas de hacking más antiguas de la informática. Con esta técnica, un hacker puede penetrar en los sistemas más difíciles usando la vulnerabilidad más grave de todas: el FACTOR HUMANO.

Atributos Humanos que son Presa de Ingeniería Social

• La tendencia de confiar en las personas.
• El deseo de ayudar o ser útil.
• El evitar generar o caer en problemas.
• El miedo a lo desconocido o a perder algo.
• La curiosidad.
• La ignorancia.
• El descuido o falta de cuidado.
• La tentación o ganancia fácil.
• El deber moral.
• La reciprocidad (responder a favor concedido).

Factores Críticos de Éxito

• Política de seguridad, con objetivos y actividades asociadas.
• Estrategia de implementación consecuente con la cultura organizacional.
• Apoyo y compromiso por parte de la gerencia.
• Entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos.
• Comunicación eficaz de los temas de seguridad.
• Distribución y publicación de políticas y estándares de seguridad.
• Instrucción y entrenamiento adecuados.
• Un sistema equilibrado e integral de medición, para evaluar el desempeño de la gestión de la seguridad de la información y mejorarlo.