Areas de Seguridad

de Información
Para entrar en Contexto
En la semana pasada abordamos elementos básicos de
seguridad de información. En este orden de ideas, quedó de
manifiesto que debe existir una adecuada Gestión de Riesgos a objeto
de minimizar tanto su probabilidad de ocurrencia, así como su impacto
en caso de materializarse. Para lograr ello, es menester el diseño e
implementación de estrategias que protejan el valioso recurso de la
información. Con base a lo anterior ¿Qué es lo que se debe
proteger?, veamos.

Elementos a Proteger

La diapositiva anterior no deja ningún lugar para

interpretaciones. Por el contrario, queda de manifiesto que se debe
proteger tanto la información, como de igual manera, la tecnología que
se usa para generarla.

Lo anterior es más que obvio, sino se protege el mecanismo de

soporte, entonces éste es vulnerable, por lo tanto puede ser empleado
como medio para acceder y manipular la información para beneficios
inescrupulosos.

Sobre la base de la consideración de la idea anteriormente

expuesta, existen áreas de seguridad de información, tema central de
este pequeño recurso.

Areas de Seguridad de Información

Las áreas de seguridad de información se resumen fácilmente en

la diapositiva siguiente
Seguridad Física

Nuestros servidores de aplicaciones, base de datos, estaciones

de trabajo se encuentran ubicados dentro de algún espacio físico, los
cuales si no se tienen los mecanismos de seguridad apropiados
pueden ser accedidos por personas no autorizadas.

La seguridad física por lo general es uno de los aspectos más

olvidados a la hora de diseñar la Gestión de Seguridad de Información.
En este sentido, diremos acá que seguridad física consiste en la
aplicación de barreras físicas y procedimientos de control, como
medidas de prevención y contramedidas ante amenazas a los
recursos e información.

Más allá de lo que conlleva la definición académica en sí, lo que

nos compete es determinar que involucra la seguridad física. En
concordancia, comprende:

a) Control de acceso a las instalaciones

b) Seguridad de equipamiento (recursos de tecnología)

Control de Acceso

Exponer en qué consiste el control de acceso pareciera, al

menos a primera vista, algo muy esencial: restringir el acceso a las
instalaciones al personal no autorizado. Pues bien, ¿puede ingresar
una persona autorizada a cualquier hora?, ¿Cuál es el mecanismo
para autenticar quién tiene acceso y quién no?, ¿una persona puede
tener la misma permisología de acceso a todas las instalaciones?.

Con base a todas las interrogantes anteriores queda de

manifiesto que la seguridad física va mucho más allá (inclusive con
seguridad yo usted, estimado lector, se estará planteando otras
interrogantes adicionales a las del párrafo anterior).

Tal como se aprecia en la diapositiva anterior, existen los

elementos de tiempo (horario) y áreas; en otras palabras, el acceso
debería estar restringido a ciertas horas y por supuesto a algunas
áreas más críticas.

Ahora bien, la Gestión de seguridad debe tener claramente

establecido el mecanismo para verificar la credencial de la persona
que desee ingresar. Por lo medida general, puede ser un carnet de
identificación visible el cual se le muestra al personal de vigilancia que
finalmente proporciona el ingreso a la instalación. En otras ocasiones,
se emplean sistemas biométricos, los cuales son los que chequean la
identificación y se puede dar el caso que sea éste quién de apertura a
la puerta para permitir el ingreso.

En ocasiones tendemos a pensar que la implementación del

mecanismo de ingreso descrito en los párrafos anteriores nos
proporciona la seguridad física en cuanto al control de acceso. Pues
bien, esto es una verdad a medias; para explicarlo de mejor manera,
conviene recordar la Gestión de Riesgos vista la semana pasada, en
la cual existían monitoreos de registros. ¿Cuáles registros?. En este
sentido, queda de manifiesto que el control de acceso debe tener
actividades adicionales. Dependiendo del área en cuestión se deben
llevar registros (automatizados, por cámaras de vigilancia, manuales,
entre otros) de quién ingresó, hora de entrada y hora de salida.

Por lo general, se actúa de manera reactiva y no proactiva. Con

lo anterior, lo que se desea acotar es que se hace uso de los registros
después de ocurrido un evento anómalo a fin de determinar el hecho
en sí. Bien, si se hace un adecuado uso del monitoreo se puede
obtener información de diversa índole, por ejemplo, se podría
evidenciar que determinada persona está ingresando a las
instalaciones en horas irregulares frecuentemente. Con lo anterior no
se pretende exponer a la persona en sí, pero, puede ser un llamado de
alerta o en su defecto, el investigar el por qué de ese comportamiento.
De hecho, veremos la semana siguiente que la Norma ISO27000
contempla el registro de eventos dentro de ella.

Asimismo, a objeto de seguir en nuestra exposición, veamos la

siguiente figura para dar por finalizado el punto de control de acceso.
 Con respecto a ello queda de manifiesto que el control de acceso
debería también considerarse para el caso de los vehículos y aplicar
cuando corresponda el registro y monitoreo a que a lugar.

Seguridad de Equipamiento

Cuando nos referimos a la seguridad de los equipos no estamos

hablando e firewalls, contraseñas, antivirus, encriptamiento, entre
otros. ¿Y acaso no forma parte de la seguridad?, sí, pero bajo este
punto nos referimos a la seguridad física no lógica, la cual
abordaremos en las páginas (no muchas, no se preocupen)
subsiguientes.

La seguridad de los equipos debería contemplar, entre otros

aspectos lo siguiente
 El primer punto no da espacios a interpretaciones. Si se tienen
los equipos en áreas restringidas, se protegen si se aplican de manera
adecuada los mecanismos de control de acceso a las instalaciones
vistos en los párrafos anteriores.

Los puntos siguientes tampoco requieren de mayor explicación,

recordemos que acá estamos refiriéndonos a la seguridad e integridad
propia de los equipos. Los aspectos relacionados a la protección de lo
almacenado en éstos es lo que expondremos a continuación.
Seguridad Lógica

Para comenzar nuestra exposición en referencia a la seguridad

lógica, nos apoyaremos en la siguiente diapositiva

De lo anterior queda de manifiesto que la seguridad lógica se

enfoca en controlar el acceso a los datos almacenados en nuestros
recursos tecnológicos.

De acuerdo a lo anterior, básicamente lo que se pretende con la

seguridad lógica es lo siguiente
 De acuerdo a la diapositiva anterior, se desprende entonces, que
se debe tener en consideración lo siguiente:

 Seguridad a nivel de Sistema Operativo

 Seguridad a nivel de Base de datos

 Seguridad de redes

 Seguridad de servidores/estaciones de trabajo

 Seguridad de código fuente de aplicaciones.

Expliquemos brevemente cada uno de ellos. Seguridad de la

red, obviamente la red es la puerta principal de acceso a la
información. Si no se entra a la red, no se llega a la información ¡a
menos que se labore dentro de la compañía!, en tal sentido se debe
prestar especial atención para ella, estudiando los riesgos que pueden
existir. Una empresa muy conocida o bancaria tiene más interés para
entes externos, lo cual se traduce en una amenaza.

Otro aspecto a tener en consideración es el sistema operativo.

Cuando se habla del sistema operativo de una vez se piensa en
protección de servidores y antivirus. Las consideraciones van mucho
más allá, el sistema operativo se debe cuidar tanto a nivel de
servidores como de estaciones de trabajo. El cuidado de la base de
datos resulta obvio, y no requiere de mayor explicación, puesto que allí
es donde residen los datos. Quizás algunos se pregunten ¿seguridad
en los programas?, si, seguridad en los programas, no sólo porque
representan un activo intelectual, lo cual resulta evidente, sino por los
datos. Una manera de alterar y/o dañar los datos es mediante los
programas. Un ente inescrupuloso puede conseguir la manera de
acceder a los programas, entenderlos, modificarlos y colocarlos en
producción para modificar lo que desee para su propio beneficio.