Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.
En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.
Como aprendimos en la escuela siempre que hay un proceso de
comunicación los elementos que intervienen son: la información
transmitida, el emisor, el medio por el cual se transmite y el
receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos
identificar lo que la SI debe proteger:
El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.
Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.
Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.
Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:
Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.
Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.
Continuará...
No se porque pero este caso me sigue asombrando... Quizás sea por la
demostración de soberbia del responsable de Sony quien declaró:
"La mayoría de la gente no tiene ni idea de lo que es un rootkit, así
que ¿por qué debería importarles?"; o quizás sea por la violación de
licencias Open Source en la que incurrieron para crear un software
propietario que invade la intimidad del usuario; o quizás sea porque
en su licencia dicen que se reservan el derecho de hacer lo que
quieran... En fin, aquí la historia completa escrita por una autoridad
en criptografía Bruce Schneier: http://www.kriptopolis.org/node/1467
Más información en:
http://seguinfo.blogspot.com/2005/11/nueva-informacin-sobre-el-caso-sony.html
El rootkit del DRM de Sony: la verdadera historia: http://seguinfo.blogspot.com/2005/11/el-rootkit-del-drm-de-sony-la.html
Sony habría robado código del hacker "DVD Jon" para incorporarlo en su rootkit: http://seguinfo.blogspot.com/2005/11/sony-habra-robado-cdigo-del-hacker-dvd.html
Sony: "Nos reservamos el derecho a instalar spyware en su PC": http://seguinfo.blogspot.com/2005/11/sony-nos-reservamos-el-derecho.html
Sony abandona el rootkit anticopia: http://seguinfo.blogspot.com/2005/11/sony-abandona-el-rootkit-anticopia.html
Este es un mapa animado con las consultas a Google en todo el planeta el 14 de agosto de 2003:http://labs.google.com/papers/sawzall-20030814.gif
¿Qué pasó ese día?
http://es.wikipedia.org/wiki/14_de_agosto
a. Me gustaría recibir algún comentario de los lectores de este boletín, sobre todo de los que son considerados "enemigos de Internet" en: http://www2.noticiasdot.com/publicaciones/2005/1105/1811/noticias/noticias_181105-03.htm
b. Como saben los que siguen segu-info, el principal esfuerzo que hacemos
día a día es por COMPARTIR información, para que esta llegue al mayor
número de habitantes posibles.
Espero no recibir algún tipo de sanción por compartir, como lo
demuestra este principio de acción contra temibles "piratas": http://seguinfo.blogspot.com/2005/11/demandan-20-usuarios-argentinos-por.html
Al final de la noticia se lee: "En el encuentro de hoy se pudo ver al productor discográfico y hoy titular de la filial Argentina del conglomerado Sony-BMG, Afo Verde, con el ex Soda Stereo Charly Alberti, además de directivos de sellos grandes y chicos".
Espero que pronto empresas como Sony impongan orden y se termine con
esta delincuencia que no hace más que perjudicar a las discográficas
multinacionales (perdón, ¿no debería haber dicho autores?).
Por si no queda claro el sarcasmo anterior, referirse al caso Sony
para observar como hacer bien las cosas preservando la privacidad de
los usuarios.
c. El pedido de extradición de Gary McKinnon a EE.UU. encuentra una
fuerte oposición en Internet:
http://www.kriptopolis.org/node/1456
http://freegary.org.uk/
a. Esto si que demuestra un alto nivel cultural: http://www.filmica.com/david_bravo/archivos/002494.html
b. Extraño instrumento para el bolsillo del caballero y la "cartera" de la dama: http://www.noticiasdot.com/publicaciones/2005/1105/0411/noticias/noticias_041105-19.htm