Seguridad de la Información y tendencias estratégicas de ciberseguridad.

ciberseguridad 001Teniente Coronel Luis Alejandro Moreno Unibio
Tecnologías de la Información y las Comunicaciones
Escuela Militar de Cadetes del Ejército
Bogotá DC, Colombia
Email: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 

 

Resumen - En la sociedad de la información, el concepto de seguridad se convierte en el centro de gravedad para las organizaciones en aras de garantizar la confidencialidad de sus activos más estratégicos.

Palabras claves – Confidencialidad; Integridad; Disponibilidad; Ciberseguridad.

 

 1. INTRODUCCIÓN

 

Actualmente, los sistemas de información y las estrategias para blindar los activos estratégicos de las organizaciones, son cada vez más importantes en esta sociedad de la información, tanto así que el objetivo de garantizar la confidencialidad de la información llega a todos los niveles de la nación, asuntos militares, economía, política, educación, comunicaciones, entre otros.

 

Teniendo en cuenta estas condiciones, existen autores como Jihong Song y Guiying Hu de la Facultad de Ciencias de la Información e Ingeniería Universidad de Tecnología de Shenyang, SUT Shenyang de China, que definen un marco teórico aplicado al concepto de seguridad. Especialmente van más allá del concepto estratégico e inician desde las plataformas básicas hasta sistemas complejos de información. De acuerdo a lo anterior la seguridad y la integralidad del sistema mismo debería ser garantizada con las siguientes condiciones:

 

- La identificación y autenticación de usuarios: Identificación y la autenticación son conceptos esenciales entre un sistema de información y el usuario interesado. La identificación relaciona el proceso de validación entre la identidad de un usuario y el derecho que tiene para acceder a una información, es decir, identificador de usuario. La acción de identificador de usuario a través de un proceso más detallado, como el biométrico entre otros, se denomina autenticación. Esta entidad certificadora a un nivel más específico determina el acceso a información.

 

- Control de acceso: En el sistema informático, la seguridad como proceso obligatorio vincula el mecanismo de control de acceso. Contiene tareas relacionadas con validación de roles y permisos que a nivel de administración son determinadas para habilitar permisos de acceso.

 

- La gestión de privilegios mínimos: Consiste en la clasificación de roles y permisos de usuario que pueden definirse en límites de acceso a la información. Es fundamental entender que la pérdida de información es consecuencia de habilitación y configuración de perfiles de usuario de manera errónea. La autorización de los responsables de la información debe ser detallada para definir permisos y roles de acceso en un sistema de información. Entonces la reducción de la probabilidad de pérdida de información está marcada por una configuración responsable acorde a las necesidades de la organización.



- Ruta de confianza: En el sistema informático, los usuarios interactúan con sistemas operacionales a través de la capa de aplicación, la cual debe generar confianza en el proceso de acceso a la información. La posibilidad de tener efectos como el caballo de Troya no puede permitirse en los procedimientos de generación de la ruta de acceso o de confianza.

 

- Canal secreto: Es el medio de comunicación que se establece para transmitir información con una intención de hacer daño a la política de seguridad del sistema. El canal secreto debe ser analizado cuando el sistema adopta características y comportamientos ajenos a los procedimientos autorizados.

 

- Auditoría de seguridad: La auditoría consiste en registrar y comprobar las actividades relativas a la seguridad en el sistema.

 

- La defensa de virus: En términos generales, es muy difícil para evitar virus en el ordenador completamente. Pero podría tener una cierta función de protección a través de la seguridad de acceso obligatorio con el mecanismo de control de la seguridad del sistema operativo.

 

Existe una gran variedad de tecnología y soluciones de seguridad que puede ser utilizado por los desarrolladores de sistemas para apoyar la seguridad en sus aplicaciones. Por lo tanto, en principio, un desarrollador debe ser capaz de tomar decisiones de diseño de seguridad temprana en el proceso de desarrollo y simplemente elegir el conjunto grande de soluciones de seguridad disponibles. Sin embargo, esta visión idealizada de los procesos de desarrollo es válida sólo en casos muy raros.

 

Actualmente los modelos de servicios para aseguramiento de redes adoptan conceptos basados en la seguridad de la arquitectura del modelo OSI, consecuentemente a la integridad, confiabilidad y disponibilidad de la información del cliente. Sin embargo, el intercambio de información en una red de datos generalmente carece de políticas de seguridad de la información y del uso aceptable por parte de los usuarios. Esta condición permite que sistemas de comunicaciones no lleguen a un nivel de seguridad óptimo y especialmente abren la brecha que existe entre la confianza y la seguridad.

 

 

POLÍTICAS Y PROCEDIMIENTOS

 

La seguridad del sistema operativo del ordenador es relativa, es muy difícil obtener un sistema totalmente seguro, por lo que hay que entender y estudiar la seguridad del sistema operativo y la vulnerabilidad, haciendo todo lo posible para evitar que los asuntos de seguridad del sistema estén expuestos a modificaciones y niveles altos de vulnerabilidad. Para la obtención de un sistema mucho más seguro, este artículo relaciona conceptos determinantes de mecanismos de seguridad del sistema, la demanda de seguridad, la política de seguridad, modelo de seguridad y niveles de vulnerabilidad.

 

Consecuente a esquemas de aseguramiento de sistemas de comunicaciones, el mercado tecnológico presenta alternativas para mitigar la pérdida de confianza en un sistema de seguridad de información, lo cual es catastrófico para la continuidad del negocio. Por lo anterior se analiza el concepto de vulnerabilidad que se hace común en el ámbito de la seguridad de la información.


- Vulnerabilidad. Para identificar las debilidades y posible presencia de amenazas en un sistema de información, es preciso autoevaluar éticamente los huecos de seguridad y versiones antiguas de software de dispositivos que hacen parte de la estrategia de aseguramiento de la solución de comunicaciones.

 

En un nivel superior, la capa de aplicación generalmente presenta debilidades y códigos descifrables que pueden permitir accesos no autorizados a la información.

 

TABLA ASPECTOS DE LA EVALUACIÓN Y RESUMEN

ASPECTOS DE EVALUACIÓN

RESUMEN

Autenticación de la identidad

Distinguir la identidad de los usuarios

Control de acceso 

Restringir el acceso de los usuarios

Auditoría de seguridad

Auditoría ley de seguridad pertinentes

Protección de la información residual

Pruebe el contenido del espacio liberado

Defensa de código malicioso 

Acerca del software de defensa del código malicioso

Control de recursos

Control de los recursos del sistema operativo

 

Hay que tener mecanismos de seguridad y procedimientos definidos acordes a la regulación vigente para determinar políticas y sanciones en un sistema de comunicaciones que garantice la integridad de la información.

 

- Ingeniería de procesos de seguridad. El desarrollo de sistemas compuestos por componentes integrados es una tarea muy compleja debido a sus características específicas y la naturaleza. Muchos sistemas están compuestos por una gran cantidad de componentes integrados, tal como el sistema de medición inteligente. En estos sistemas, los dispositivos de medición inteligente obtienen la información de medición y auditoría transaccional de información.

 

Algunas de las características más importantes del proceso son:

 

• Ayuda a los desarrolladores de sistemas en la toma de decisiones de diseño para encontrar la mejor solución de desarrollo en las aplicaciones.

• Facilita el cumplimiento a la normatividad vigente en procedimientos inherentes a la organización y sistemas de información.

• Satisface las necesidades específicas de usuarios y roles en los sistemas.

 

Los sistemas de componentes integrados tienen una naturaleza reactiva también. Cuando procesan información que permite reaccionar de una manera oportuna solucionando novedades que pueden presentarse en algún momento. Un ejemplo es el sistema de control en un área de bosque, en el cual si detectan un fuego tienen que enviar una alarma para solicitar el apoyo oportuno y extinguir la conflagración. En este último ejemplo podemos ver que estos sistemas tienen una naturaleza en tiempo real de procesamiento y toma der decisiones.

 

- Ciberseguridad. Extender la ciberseguridad informática más allá de las áreas de red de las compañías, e incluso llegar específicamente a los hogares, es una necesidad que nace con una nueva generación de elementos tecnológicos y arquitecturas, facilitando el ingreso a los beneficios de un mundo conectado y globalizado de manera controlada y segura.

 

El Internet de las cosas (IoT) es una realidad y hoy se configura una cultura que se extiende a millones de posibilidades el empleo de la red, a través de electrodomésticos y hasta las mismas casas, lugares que se consideran seguros y que hoy se exponen a infinidad de riesgos que no se contempla o no se conocen.
Según informa la International Data Corporation - IDC, se estima que el mercado del Internet de las cosas alcance los 7.1 mil millones de dólares en 2020. Esta nueva tecnología promete muchos beneficios a los usuarios finales, pero también presenta grandes retos en materia de seguridad y privacidad de datos.


Salvar estos obstáculos requerirá de la aplicación eficiente de diversas tecnologías de ciberseguridad, por ejemplo, autenticación fuerte, conexiones encriptadas entre usuarios finales y sus hogares, protección de malware (software con código malicioso), botnets (redes de equipos controladas remotamente) y aplicaciones seguras (donde juega un papel clave el desarrollo de software seguro). La nube exige a los fabricantes de dispositivos una constante actualización, brindando equilibrio entre seguridad y privacidad, convirtiéndose este, en el factor decisivo cuando el usuario final desee adquirir estos productos.

 

Las compañías no pueden alejarse al crecimiento exponencial de tecnologías de dispositivos de acceso a la red global (tabletas, celulares, redes sociales), que hoy en día hacen parte de lo que se considera el tecnosistema. Adicionalmente este tipo de tecnología está expuesto a retos en términos de control y visibilidad.

 

Contar con medidas de ciberseguridad informática al interior de las empresas cobra cada día mayor vigencia. La tendencia en Latinoamérica muestra que las empresas están aumentando para el presente año sus inversiones en materia de seguridad informática, antes que en cualquier otro tipo de solución tecnológica.

 

En Colombia, el tema de la seguridad informática resulta cada día más relevante. Se tienen cifras que registraron más de 7.000 nuevos virus y usuarios atacados por malware financiero alcanzó números cercanos a los 4.000.000, para un incremento anual de más del 18%. Por lo anterior las organizaciones han buscado estrategias para aumentar los niveles de seguridad sin afectar los presupuestos y gastos.

 

Hoy en día las empresas emplean nuevas tecnologías que facilitan procesos y niveles de conexión del negocio con el mundo, pero también exponen información a diversos riesgos que requieren controles especializados en temas de malware avanzado, ataques de Denegación de Servicio (DoS), botnets, uso de aplicaciones no corporativas, entre otros.

 

Por lo anterior, las arquitecturas de ciberseguridad en todos los campos del estado, deben pensarse desde el negocio y su misionalidad, para consolidar los más altos niveles de seguridad para no tener un sin número de elementos que trabajen por separado sino un tecnosistema complejo que trabaje como uno solo y cuyo nivel de visibilidad y administración sea sencillo y claro.

 

Afortunadamente existen en el mercado distintas opciones que garantizan cubrir los riesgos asociados a un mundo conectado y globalizado; cada persona y empresa debe definir el nivel de riesgo y la capacidad de inversión en soluciones de seguridad de la información.

 

 

CONCLUSIONES

 

Actualmente, los sistemas de información y las estrategias para blindar los activos estratégicos de las organizaciones, son cada vez más importante en esta sociedad de la información, tanto así que el objetivo de garantizar la confidencialidad de la información llega a todos los niveles de la nación, asuntos militares, economía, política, comunicaciones, etc.

 

Para identificar las debilidades y posible presencia de amenazas en un sistema de información, es preciso autoevaluar éticamente los huecos de seguridad y versiones antiguas de software de dispositivos que hacen parte de la estrategia de aseguramiento de la solución de comunicaciones.

 

Muchos sistemas están compuestos por una gran cantidad de componentes integrados, tal como el sistema de medición inteligente. En estos sistemas, los dispositivos de medición inteligente obtienen la información de medición y auditoría transaccional de información.

 

Extender la ciberseguridad informática más allá de las áreas de red de las compañías, e incluso llegar específicamente a los hogares, es una necesidad que nace con una nueva generación de elementos tecnológicos y arquitecturas, facilitando el ingreso a los beneficios de un mundo conectado y globalizado de manera controlada y segura.

 

Contar con medidas de ciberseguridad informática al interior de las empresas cobra cada día mayor vigencia. La tendencia en Latinoamérica muestra que las empresas están aumentando para el presente año sus inversiones en materia de seguridad informática, antes que en cualquier otro tipo de solución tecnológica.

 

REFERENCIAS

[1] JIHONG SONG, Operating System Security and Host Vulnerability Evaluation. 2009.

[2] DONG ZHAOYANG. Smart Grid Cyber Security. 2014.

[3] ANDRE REIN, CARSTEN RUDOLPH. Introducing Security Building Block Models. 2012.

[4] COLOMBIA DIGITAL. Web de tecnología. URL: https://colombiadigital.net/actualidad/articulos-informativos/item/8757-ciberseguridad-en-un-mundo-conectado-a-internet.html. Febrero 2016.

[5] YURI DEMCHENKO, CEES DE LAAT. Re-thinking Grid Security Architecture. 2008.

 

luis alejandro morenoLuis Alejandro Moreno Unibio, Oficial del Ejército de grado Teniente Coronel, Ingeniero de Sistemas de la Universidad de Boyacá, con tesis de grado en el desarrollo de tecnologías en apoyo a la docencia, Especialista en Gerencia Integral de Telecomunicaciones, Cum Laude y trabajo de grado en el Modelo de Control de la Afectación de la Amenza. Diplomado en Aspectos Gerenciales de Telecomunicaciones, Diplomado en Aspectos Jurídicos en Telecomunicaciones y Diplomado en Telecomunicaciones, Certificado por Network Appliance, Certificado en Ortronics y Certificado en Auditor Líder de Calidad por Icontec. Experiencia de 18 años en gerencia de proyectos en el sector público entro los cuales se destaca la Implementación de la Red Nacional de Datos del Ejército en el año 2003 ($2.300.000.000.00), Implementación del Sistema de Seguridad de Inteligencia de la Central de Inteligencia Técnica del Ejército en el año 2006 ($1.650.000.000.00), Renovación de la Infraestructura de Red del Comando General de la FFMM en el año 2014 ($3.950.000.000.00), Migración Plataforma Microsoft del Comando General de la FFMM en el año 2014 ($4.968.000.000.00) y Migración plataforma Oracle para Sistemas de Información del CGFM en el año 2015 ($6.200.000.000.00).

 

  • Icon 01
  • Icon 01
  • Icon 01
  • Icon 01
  • Icon 01
Download Free Designs http://bigtheme.net/ Free Websites Templates