El terorema del proceso de la seguridad de la información

La Ciberseguridad(SC) es uno de los factores más importantes para la protección de la información sensible o critica dentro de una Organización, pero va más allá de conceptos y presentaciones donde se da una visibilidad general de todos los procesos que conllevan una verdadera gestión del Proceso de la Seguridad de la Información (PSI) y las estrategias de inteligencia orientada hacia la SC, además de esto, es importante poder establecer los métodos correctos para su funcionalidad y su mejora continua. Partiendo del proceso recomendado en la actualidad observamos que el mismo es inconcluso, porque en cada una de las etapas se recomienda algo distinto para la protección de información, es decir, para algunos la aplicación de la protección perimetral, iniciara con un porcentaje para los ejes disponibles dentro de su infraestructura, como el servicio de internet, luego a la Seguridad Perimetral(SP), la red interna o zonas que se tengan dentro del firewall, y por último la protección del equipo de usuarios, si bien es cierto, el teorema inconcluso en el PSI es complejo, es necesario detallar las actividades que tanto el Gestor de la Seguridad de la Información (GSI), el Comité de Seguridad de la Información (CSI) y los participantes en este proceso deben de conocer y como se deberá de aplicar en cada una de las fases del gobierno y la gestión de las Tecnologías de Información (TICS).”

¿Prevención, lo que realmente se necesita?

Frecuentemente las más grandes empresas de seguridad de la información anuncian las
últimas brechas de seguridad o las predicciones en ciberseguridad, que son aplicadas tanto a las
grandes compañías, gobiernos u organizaciones que cuentan con servicios publicados en el internet
y que necesitan la protección de sus sistemas, ¿pero cuando finalizara este proceso?
Todo este proceso es muy difícil de finalizar, ya que necesita un ciclo de vida y de
reutilización de procesos, adicionalmente recibir un gran presupuesto de investigación para la
protección de los servicios publicados.

Cada día, se suman más la cantidad de servicios que son accedidos desde el internet, como
servicios bancarios, C2C, educacionales, entre otros. Y para ello se necesitan de productos capaces
de mantener la Integridad, Disponibilidad y Confidencialidad de los datos que se publican. Pero
ahora, ¿están los fabricantes preparados para prever esto? Es una gran pregunta que solamente
podrá ser respondida al momento de revalidar el ciclo de vida del proceso de la seguridad de la
información.

Con el aumento de las tecnologías de información, las subdivisiones de la informática han
crecido tanto que no se tiene un control sobre todas estas y la capa de seguridad que protegerá los
datos que se procesen, tales como el Internet de las Cosas, las Redes Neurales aplicadas a la
Inteligencia Artificial, la semaforización, los ataques volumétricos de DDoS, los Análisis Heurísticos
de los sistemas Anti-malware como Sandboxes, entre otros.

La dependencia de los Sistemas informáticos hace que sean más vulnerables a ciberataques
y la preocupación de los administradores por la protección de su información se vuelve más
estresante, se puede pensar en un ciclo de vida de acuerdo a:

1. Planificación de infraestructura
2. Análisis de la creación del servicio
3. Fase de Pruebas del servicio
4. Reutilización y Puesta en Producción
5. Adquisición de las Tecnologías
6. Capacitación sobre las tecnologías

Si bien este ciclo de vida es muy general se deberá de adecuar al tipo de servicio que se
tenga dentro del negocio, como:

1. Administración de la Seguridad, basados en buenas practicas
2. Seguridad de Redes
3. Seguridad en Aplicaciones
4. Protección de Host
5. Seguridad Móvil
6. Seguridad de VoIP
7. Seguridad de Acceso
8. Protección Perimetral

En el teorema inconcluso del proceso de la seguridad de la información, los procesos son
fáciles de entender, pero difíciles de corregir, es decir, para un administrador de seguridad es
sencillo entender el riesgo que conlleva la publicación de un servicio, pero en la práctica esto resulta
un poco más complejo. La cantidad de ataques de ciberdelincuentes para lanzar cada vez más,
numerosos y sofisticados ataques a costos más bajos con los crecientes servicios de:

– Attacks-as-a-Services
– Malware-as-a-Services
– Fraud-as-a-Service

Según el sitio (securityaffairs.co) estos son los servicios más utilizados para mejorar la
compleja evolución de la oferta de ciberdelitos a nivel mundial. (Paganini, 2015)
Uno de los puntos críticos para la protección de la información hoy en día es que hay
ciberdelincuentes sin la capacidad y experiencia para desarrollar herramientas y estos solamente
contratan malware existente que son gratuitos o de bajo costo en el mercado. O en otros casos
vulneran amenazas conocidas.

Este proceso se vuelve complicado, ya que son máquinas que se enfrentan a humanos, y
para ello es necesario que se adquieran tecnologías capaces de realizar análisis heurísticos para
contrarrestar las actividades maliciosas.

¿Es posible la prevención? Tomando la información anterior, se creería que la prevención
total no es posible, y que el factor de riesgo de este y otros con el tiempo se hará mayor, ahora bien
la incidencia de ataques exitosos pueden ser reducidos con la adquisición de nuevas tecnologías de
protección, pero esto solamente se podrá ir mitigando con la Gestión del Riesgo y las mejoras
continuas y la coordinación de varios factores como: Tecnología, Procesos y Personas, y el
intercambio de experiencias e inteligencia aplicada a procesos.

Se evidencia que la tradición en la utilización de las tecnologías de seguridad como Firewalls
de nueva generación, Sistemas de Prevención de Intrusos, Sistemas de Prevención de Amenazas
Persistentes, Balanceadores de Carga, Firewall de Aplicaciones Web, Análisis de Seguridad y
Respuesta ante Incidentes, Administración de Eventos para la Seguridad de la Información, entre
otros, hacen que el ciclo de vida se vea afectado dependiendo del tipo de información publicada en
el internet y del impacto del negocio.

Bibliografia:

KASPERSKY, (2016), [En línea]: Proyecto Sauron APT, kaspersky labs: Amenaza Persistente
Avanzada,pp.3-22,[https://securelist.com/files/2016/07/TheProjectSauron-APT_research_KL.pdf]

ISO, (2016), [En línea]: Términos relacionados con ISO 27000 y seguridad de la información:
Definición del concepto de Riesgo. pp. 1, [http://www.iso27000.es/glosario.html]

INTEL Security, (2016), [En línea]: Data Protection Benchmark Study, pp. 2-
25,[https://www.mcafee.com/us/resources/reports/rp-data-protection-benchmarkstudyponemon.pdf]

http://static.unir.net/ingenieria/ciberseguridad-y-estrategia-corporativa-para-la-altadireccion/Curso_Ciberseguridad-CEA_es.pdf

Ing. Armando Monzón Escobar, MA.

Funciones como Ingeniero Senior para la Implementación y Administración de Información Proyectos de seguridad en América Central y el Caribe. Conocimiento en diseños de tecnología e infraestructuras de TI. Líder del Grupo de Ingenieros Junior y Senior a nivel regional para la administración de recursos internos y proyectos de tecnología e información seguridad. Project Manager para países de Centroamérica y el Caribe.

Deja un comentario