Definición de Riesgo
Amenazas a tener en cuenta
Riesgo
(Fuente: VOX)
1 . Contingencia o proximidad de un daño.
2 . Contingencia que puede ser objeto de un contrato de seguro.
3 . ECON. Conjunto de circunstancias que pueden disminuir el beneficio.
En el contexto de la seguridad informática, la palabra riesgo casi siempre nos hace pensar en las amenazas que pueden atentar contra las seguridad de nuestros recursos, nuestra información o nuestra empresa, pero esa palabra tiene un sentido mucho más amplio y rico como se indica arriba.
Todo cuanto pueda ser definido como una circunstáncia que haga disminuir nuestro beneficio puede ser un riesgo potencial derivado de varios factores como: la falta de control sobre los dispositivos, la falta de control sobre el acceso a la información y su protección ante ajenos, así como cuantos factores puedan atentar contra la estabilidad de la plataforma corporativa de sistemas de información.
Nuevos tiempos, nuevas amenazas. Es una realidad que se impone en un mundo interconectado donde la información circula como nunca. Es una gran ventaja pero una fuente de riesgo ya que obliga a que las compañías se protejan tanto de las amenazas externas como de las internas. Por tanto, la adecuada combinación de medidas de control y restricción de acceso, capaces de supervisar el acceso a la información, la infraestructura hardware y software y las comunicaciones de manera integral en la compañía, será la respuesta que signifique la clave del éxito y minimice las amenazas existentes.
Principales amenazas
No todo es seguridad perimetral, parece ser que cuando alguien se preocupa de la seguridad de su compañía se limita a poner medidas de protección como la instalación de un cortafuegos, una estructura de red desmilitarizada (DMZ) o la puesta en marcha de un detector de intrusiones (IDS) ese es tan solo una parte parcia del problema de seguridad de cualquier compañía.
Existen infinidad de amenazas que no tienen respuesta en las medidas de perímetro de red, tan críticas que deben ser atendidas fuera de toda duda.
El uso abusivo del PC y los riesgos internos. Desde su definición, el PC es una herramienta de trabajo que cada usuario toma como propia, un ordenador es una herramienta de trabajo corporativa, pagada y mantenida por la empresa, pero donde la empresa habitualmente no impone el control adecuado para minimizar riesgos de nivel empresarial. El perímetro real de una red son los dedos de un usuario sobre el teclado, sin medidas de control que impidan que el usuario pueda atentar contra la política de seguridad tanto voluntaria como involuntariamente, la seguridad puede no valer de nada.
La cantidad de esfuerzos y recursos invertidos por cada compañía en controlar la posibilidad de que alguien pudiera acceder a unos pocos Kilobytes de información, es totalmente desproporcionada en relación con la ausencia de medidas contra una agresión interna, como por ejemplo el volcado masivo de información en un disco duro USB con Gigabytes de capacidad, o una impresión de pantalla de un dato de especial tratamiento, como los marcados como nivel alto por LOPD, en un documento que un usuario se lleva de una empresa con total impunidad.
Puede parecer ridículo que se inviertan tantísimos millones de euros anuales en asegurarse de lo desconocido y no se dedique al menos una cantidad similar en asegurar el control de la plataforma conocida.
Las comunicaciones. Un usuario que conecta con un ISP Wireless en la red GSM desde su portátil, evita el Firewall, el IDS y cualquier medida perimetral que se haya implementado.
La información. Los equipos informáticos a menudo no se encuentran localizados únicamente en la sede de cada compañía, los portátiles, los teletrabajadores o hasta una PDA pueden ser utilizados para extraer información del control directo de cada compañía, o un robo de un PC puede suponer una grave amenaza si no se protege la información en él contenida convenientemente.
“La información es el activo más valioso de una compañía” es casi un clásico, pero es una realidad que no parece que todavía se tome en serio, es necesaria una gestión de la seguridad de la información allá donde esté contenida.
Vulnerabilidad e inestabilidad del S.O. El coste total de propiedad de un equipo informático es muy superior a los costes directos por hardware + software de cada PC, si no se garantiza que dicha plataforma es estable y no vulnerable ante código malicioso, se puede estar incurriendo en un riesgo por costes de operación y mantenimiento implícitos además del alto nivel de exposición del puesto de un usario al ataque. No olvidemos que los equipos PC son el punto más cercano a los sistemas de información críticos y son altamente vulnerables ante ataques mediante virus o troyanos. Es preciso adoptar una media que permita asegurarse de que se ejecuta y que no debe ejecutarse en cualquier punto de nuestra empresa. En resumen las principales amenazas que se detectan están íntimamente ligadas a la falta de control y la falta de gestión de las medidas destinadas a garantizar dicho control.
La apuesta de futuro y evolución sostenida de SECUWARE, que posibilitará nuestra evolución como compañía, es inequívocamente SSF (SECUWARE Security Framework) y como tal estamos seguros de estar trabajando en una nueva generación de herramientas que persiguen objetivos estratégicos y no tapar agujeros de manera aislada. Nuestro objetivo es la máxima cobertura de seguridad para hacer real el concepto de “secure desktop o escritorio seguro”.
Producir soluciones de seguridad para el puesto PC que faciliten su gestión es nuestro principal objetivo.
Afortunadamente cada día más se tiene en cuenta el proyecto y la dirección de seguridad estratégica, más que las medidas y la tecnología. Normas como la norma ISO 17799, son los claros síntomas de un mayor grado de conciencia del riesgo, y del peligro que la inseguridad tiene para la operación de las compañías. No basta con poner llaves de acceso, sino que se tiene por fin una mayor sensibilidad y principio de conciencia, de que “ponerlas en su sitio” es la clave del éxito de su implantación.
Oscar Marín, Consultor de Secuware
(Fuente: VOX)
1 . Contingencia o proximidad de un daño.
2 . Contingencia que puede ser objeto de un contrato de seguro.
3 . ECON. Conjunto de circunstancias que pueden disminuir el beneficio.
En el contexto de la seguridad informática, la palabra riesgo casi siempre nos hace pensar en las amenazas que pueden atentar contra las seguridad de nuestros recursos, nuestra información o nuestra empresa, pero esa palabra tiene un sentido mucho más amplio y rico como se indica arriba.
Todo cuanto pueda ser definido como una circunstáncia que haga disminuir nuestro beneficio puede ser un riesgo potencial derivado de varios factores como: la falta de control sobre los dispositivos, la falta de control sobre el acceso a la información y su protección ante ajenos, así como cuantos factores puedan atentar contra la estabilidad de la plataforma corporativa de sistemas de información.
Nuevos tiempos, nuevas amenazas. Es una realidad que se impone en un mundo interconectado donde la información circula como nunca. Es una gran ventaja pero una fuente de riesgo ya que obliga a que las compañías se protejan tanto de las amenazas externas como de las internas. Por tanto, la adecuada combinación de medidas de control y restricción de acceso, capaces de supervisar el acceso a la información, la infraestructura hardware y software y las comunicaciones de manera integral en la compañía, será la respuesta que signifique la clave del éxito y minimice las amenazas existentes.
Principales amenazas
No todo es seguridad perimetral, parece ser que cuando alguien se preocupa de la seguridad de su compañía se limita a poner medidas de protección como la instalación de un cortafuegos, una estructura de red desmilitarizada (DMZ) o la puesta en marcha de un detector de intrusiones (IDS) ese es tan solo una parte parcia del problema de seguridad de cualquier compañía.
Existen infinidad de amenazas que no tienen respuesta en las medidas de perímetro de red, tan críticas que deben ser atendidas fuera de toda duda.
El uso abusivo del PC y los riesgos internos. Desde su definición, el PC es una herramienta de trabajo que cada usuario toma como propia, un ordenador es una herramienta de trabajo corporativa, pagada y mantenida por la empresa, pero donde la empresa habitualmente no impone el control adecuado para minimizar riesgos de nivel empresarial. El perímetro real de una red son los dedos de un usuario sobre el teclado, sin medidas de control que impidan que el usuario pueda atentar contra la política de seguridad tanto voluntaria como involuntariamente, la seguridad puede no valer de nada.
La cantidad de esfuerzos y recursos invertidos por cada compañía en controlar la posibilidad de que alguien pudiera acceder a unos pocos Kilobytes de información, es totalmente desproporcionada en relación con la ausencia de medidas contra una agresión interna, como por ejemplo el volcado masivo de información en un disco duro USB con Gigabytes de capacidad, o una impresión de pantalla de un dato de especial tratamiento, como los marcados como nivel alto por LOPD, en un documento que un usuario se lleva de una empresa con total impunidad.
Puede parecer ridículo que se inviertan tantísimos millones de euros anuales en asegurarse de lo desconocido y no se dedique al menos una cantidad similar en asegurar el control de la plataforma conocida.
Las comunicaciones. Un usuario que conecta con un ISP Wireless en la red GSM desde su portátil, evita el Firewall, el IDS y cualquier medida perimetral que se haya implementado.
La información. Los equipos informáticos a menudo no se encuentran localizados únicamente en la sede de cada compañía, los portátiles, los teletrabajadores o hasta una PDA pueden ser utilizados para extraer información del control directo de cada compañía, o un robo de un PC puede suponer una grave amenaza si no se protege la información en él contenida convenientemente.
“La información es el activo más valioso de una compañía” es casi un clásico, pero es una realidad que no parece que todavía se tome en serio, es necesaria una gestión de la seguridad de la información allá donde esté contenida.
Vulnerabilidad e inestabilidad del S.O. El coste total de propiedad de un equipo informático es muy superior a los costes directos por hardware + software de cada PC, si no se garantiza que dicha plataforma es estable y no vulnerable ante código malicioso, se puede estar incurriendo en un riesgo por costes de operación y mantenimiento implícitos además del alto nivel de exposición del puesto de un usario al ataque. No olvidemos que los equipos PC son el punto más cercano a los sistemas de información críticos y son altamente vulnerables ante ataques mediante virus o troyanos. Es preciso adoptar una media que permita asegurarse de que se ejecuta y que no debe ejecutarse en cualquier punto de nuestra empresa. En resumen las principales amenazas que se detectan están íntimamente ligadas a la falta de control y la falta de gestión de las medidas destinadas a garantizar dicho control.
La apuesta de futuro y evolución sostenida de SECUWARE, que posibilitará nuestra evolución como compañía, es inequívocamente SSF (SECUWARE Security Framework) y como tal estamos seguros de estar trabajando en una nueva generación de herramientas que persiguen objetivos estratégicos y no tapar agujeros de manera aislada. Nuestro objetivo es la máxima cobertura de seguridad para hacer real el concepto de “secure desktop o escritorio seguro”.
Producir soluciones de seguridad para el puesto PC que faciliten su gestión es nuestro principal objetivo.
Afortunadamente cada día más se tiene en cuenta el proyecto y la dirección de seguridad estratégica, más que las medidas y la tecnología. Normas como la norma ISO 17799, son los claros síntomas de un mayor grado de conciencia del riesgo, y del peligro que la inseguridad tiene para la operación de las compañías. No basta con poner llaves de acceso, sino que se tiene por fin una mayor sensibilidad y principio de conciencia, de que “ponerlas en su sitio” es la clave del éxito de su implantación.
Oscar Marín, Consultor de Secuware
