lunes, 21 de diciembre de 2009

Pertinencia en IS

Las condiciones de vida y las tendencias de desarrollo actuales en la dinámica social y de negocios, han convertido a la INFORMACIÓN en un bien sustantivo primordial y de importancia estratégica para las personas y las organizaciones, enfatizando la realidad del principio que plantea que INFORMACIÓN ES PODER. Este efecto se extiende al ámbito de los recursos y servicios de las TECNOLOGÍAS DE LA INFORMACIÓN e INGENIERÍA en su función como herramientas para administrar y operar la información, lo cual los convierte en una forma de "propiedades" de gran valor para ambos, personas y organizaciones, y por ende objetivos potenciales para infligirles alguna clase de daño o perjuicio.

En este orden de ideas, dado que el propósito genérico de las funciones de SEGURIDAD es proteger y salvaguardar la existencia e integridad de las personas y sus propiedades, se puede establecer que el propósito de la SEGURIDAD INFORMÁTICA, en sentido estricto, sería proteger y salvaguardar tanto el acervo de información como la plataforma de recursos y servicios de tecnologías de la información de una persona u organización. Esta perspectiva contempla lo que se puede considerar como un "enfoque estático" de la problemática de la seguridad, proyectándola como una cuestión de "defensa del propio territorio", en este caso de la información como una propiedad de las personas y las organizaciones.

las fórmulas presentadas en El Arte de la Guerra, del maestro Sun Tzu, no ofrecen una solución específica para casos particulares, sino que plantean recomendaciones generales con un enfoque estratégico, las cuales requieren de una cierta interpretación, una vez definida el área en que se pretende aplicarlas. En este sentido, las fórmulas propuestas sugieren tres líneas de pensamiento:

El conocimiento del terreno, entendido como conocer el entorno en que se ubican y desempeñan las actividades, para establecer las ventajas y desventajas que nos puede ofrecer.

El terreno se debe evaluar en términos de distancia, dificultad o facilidad de movimiento, dimensión y seguridad. Lo primero que debe de tenerse en cuenta es la condición del terreno.

Con los datos correspondientes se maniobrará con seguridad, puesto que se conocen las ventajas y desventajas que tendrán las tropas en acción. Se sabrá así el número de tropas necesario y la relativa seguridad del medio en que se va a actuar. Para el enfoque estático, el terreno se refiere a la estructura interna de las personas y las organizaciones, en donde reside el acervo de información y las herramientas para su administración. Asimismo, para el enfoque dinámico, el terreno se refiere a los ámbitos externos en que las personas y las organizaciones desempeñan sus actividades, por ejemplo el medio de negocios o el medio de Internet, donde operan sus transacciones financieras.

El conocimiento del enemigo, entendido como conocer las fuentes desde las que se pueden materializar los riesgos proyectados, así como sus formas de actuación.

Por eso se ha dicho: Si conoces a lo otros y te conoces a ti mismo, no estarás en peligro en cien batallas. Si no conoces a los otros y te conoces a ti mismo, puedes ganar una y perder otra. Si no te conoces a ti mismo, estarás en peligro en cada batalla. Comenta Zhang Yu: "Cuando conoces a los otros eres capaz de atacarlos. Cuando te conoces a ti mismo, puedes protegerte. El ataque es el tiempo de defenderse, y la defensa es la estrategia del ataque. Si sabes esto no correrás peligro si te bates en cien batallas. Cuando te conoces puedes conservar tu energía y esperar".

Para el enfoque estático, el enemigo se refiere a todo aquel que pueda tener acceso o efecto sobre la información, por ejemplo los operadores, los sistemas y bases de datos, los equipos de cómputo y de comunicaciones a través de los cuales se opera la información, y los agentes externos que pudieran tener acceso tanto al acervo de información, como al uso de los medios de operación. Asimismo, para el enfoque dinámico, el enemigo se refiere a todo agente externo que se pueda relacionar, ya sea con acceso al ámbito interno, o bien con acceso a las entidades con las que interaccionan las personas y las organizaciones en el curso de sus actividades.

En este sentido, un ejemplo de enemigo son los hoy llamados Hackers, de los cuales, en un 80% de los casos conocidos, tienen un origen interno en las organizaciones.

El conocimiento de los medios, entendido como conocer las vías en que pueden acceder los riesgos a sus objetivos de afectación.

Hay rutas que no se deben seguir, ejércitos que no se deben atacar, ciudadelas que no se deben asediar, terrenos sobre los cuales no se deben disputar y órdenes civiles que se deben acatar. Por esto, los generales que saben adaptarse a todas las situaciones de la guerra, para tomar ventaja en el terreno, saben usar su fuerza. Si no tienen capacidad de adaptación, aún cuando conozcan el terreno no pueden ganar. Si se comanda un ejército sin conocer las reglas de adaptabilidad, aún cuando se sepa cuál puede ser la ganancia, no se logrará el respaldo de la tropa. El jefe inteligente siempre tiene en cuenta tanto el beneficio como el daño. Considerando el beneficio puede ampliar sus acciones. Conociendo el daño se pueden resolver de antemano muchos problemas. Jo Yanxi agrega que beneficio o daño son independientes, y por esto los jefes ilustrados siempre los tienen en cuenta.

Para el enfoque estático, los medios se refiere a los espacios de oportunidad existentes en la plataforma interna de recursos y servicios de tecnologías de la información, con que se opera dentro de la estructura de las personas y las organizaciones, así como los canales hacia el exterior, ya sea por canales dedicados, o bien por canales abiertos tales como el servicio telefónico o Internet. Asimismo, para el enfoque dinámico, los medios se refieren también a espacios de oportunidad, pero en este caso por los canales abiertos a través de los recursos y servicios de tecnologías de la información con los cuales se interacciona con otras entidades.

En este sentido, como ejemplos de medio, se pueden destacar a el Mailbonbing, los Troyanos, los Virus, las Bombas Lógicas, los Scanners, los Sniffers, los Gusanos (Worm), el Spam, así como las estafas, timos y el reclutamiento para redes de trata de blancas y de pornografía a través de Internet.

La solución a la problemática de la SEGURIDAD INFORMÁTICA, consiste en la adopción de ciertas formas de medidas contraceptivas para los riesgos identificados, ubicadas en sus diversos estratos funcionales y que se pueden describir en los siguientes términos:

PREVENCIÓN (Certificados X 509, Encriptación de datos, MD5, Mecanismos de validación de ingreso y contenido de datos, PGP, Políticas y normas para el manejo de información, SHA-1, SSL).

DISUASIÓN (Mecanismos de registro y auditoria de accesos a la información, Mecanismos de sanción por violaciones a la seguridad).

CONTENCIÓN (Firewalls, Mecanismos y Claves de restricción de accesos, Wrappers).

COMBATE (Antivirus, Rastreo de accesos, Wrappers).

RECUPERACIÓN Y RESCATE (Sistemas de respaldo de información).

Y cuya efectividad estará determinada tanto por el grado de precisión alcanzada en la identificación y dimensionamiento de las vertientes de riesgo, así como por el grado de cobertura de las mismas.

No hay comentarios:

Publicar un comentario