3 herramientas y medidas importantes para controlar la vulnerabilidad de los recursos de TI
A continuación se detallan algunas de las herramientas y medidas importantes para controlar la vulnerabilidad de los recursos de TI:
La naturaleza del daño es diferente en diferentes niveles de infraestructura de TI. El daño a la información puede ser en términos de alteración o eliminación de valores, o pérdida de su privacidad. Los servicios y la red están generalmente dañados por un accidente causado por una falla del hardware o software o ambos.
Cortesía de imagen: ipa.go.jp/files/000013242.png
A medida que la información se genera y almacena con la ayuda de servicios y redes, la exposición a la información se debe a fallas de hardware o software. Como los tres elementos están interrelacionados, cualquier daño a los servicios o la red obstruye el funcionamiento del sistema y el daño a la información hace que los servicios y la red sean menos útiles. Por lo tanto, se justifica un enfoque integrado para la seguridad de la infraestructura de TI.
Es posible controlar la vulnerabilidad de los recursos de TI mediante el uso de diversas herramientas y medidas de control. Estos se clasifican en:
(a) Herramientas de control básicas
(b) Medidas generales de control.
(c) Medidas de control de aplicación
1. Herramientas de control básicas:
Las siguientes son algunas de las herramientas de control básicas que se usan comúnmente para controlar la vulnerabilidad de los recursos de TI:
(Una copia de seguridad:
Una herramienta fundamental para la protección de la información es mantener una copia de respaldo de todos los datos. Sirve el doble propósito de la recuperación de desastres y la detección de abuso. El sistema de mantener una copia de seguridad de los archivos de datos y programas puede diferir de una aplicación a otra, pero un sistema sistemático y regular de copia de seguridad de archivos se considera absolutamente esencial en todas las infraestructuras de TI.
Las rutinas de respaldo deben seguirse religiosamente para que el sistema de respaldo falle cuando más se requiera. La mayoría de los sistemas de gestión de bases de datos ahora incorporan características de copia de seguridad automática de datos. Además, los archivos de programa deben tener su copia de seguridad hecha después de cada cambio. Los datos y programas críticos deben verificarse regularmente para verificar su exactitud.
(b) Divide y gobierna:
Esta regla de seguridad probada en el tiempo también se puede aplicar a la seguridad de datos. Proporcionar acceso limitado a cada usuario es esencial para asegurarse de que nadie cause estragos en todo el sistema. El abuso en un lugar se detecta en otro lugar durante el funcionamiento normal del sistema de información.
El acceso a los recursos de TI debe definirse de modo que sean acordes con las necesidades informáticas para el desempeño de las responsabilidades del usuario; Ni menos ni más que lo esencial. Por lo tanto, el permiso de acceso puede estar limitado a cualquiera de las operaciones como leer, escribir, alterar y ejecutar.
El permiso de acceso se puede definir para cada elemento de datos en las bases de datos. Del mismo modo, los permisos de acceso deben definirse para cada módulo en el software de la aplicación y cada parte del hardware de la computadora. La identificación y validación de usuarios mediante contraseña y otras técnicas son esenciales para regular el acceso a la infraestructura de TI.
(c) Autorización de acceso:
El acceso a la información puede estar restringido con la ayuda de herramientas de autorización. Estas herramientas permiten el acceso a la información solo después de la correcta identificación de los usuarios. Cada usuario tiene acceso limitado a la información. La verificación de identidad del usuario puede hacerse con contraseñas. Las instalaciones modernas de computadoras tienen herramientas de verificación de identidad más avanzadas que se basan en la voz u otros atributos físicos, como las huellas dactilares de los usuarios.
(d) Encriptación:
El cifrado es un proceso de transformación de la información en una combinación de símbolos codificados y sin sentido, que se pueden descifrar para convertir los datos a la forma original. Esta transformación de datos tiene lugar en el uso de hardware y software especiales.
El cifrado y el descifrado se basan en el código especificado por el usuario. Este código es propiedad exclusiva del usuario autorizado de datos y el uso de cualquier otro código no transformaría la información. Las herramientas de encriptación son bastante comunes cuando la información se transmite a lugares lejanos utilizando proveedores de datos comunes, como líneas telefónicas.
(e) Comparaciones:
La comparación es una de las herramientas importantes para detectar abusos. La comparación periódica de los datos con los documentos de origen, los archivos de programas actuales con copias maestras de los archivos de programas, los valores de los términos anteriores con los valores de los términos actuales actúan como una herramienta útil para la detección oportuna de abusos. Estas comparaciones deben ser realizadas por personas que no están directamente involucradas en la creación y el uso de los recursos de TI.
(f) Responsabilidad:
Asegurar el cumplimiento del procedimiento de seguridad es bastante difícil porque, en ausencia de detección de un abuso importante, la complacencia comienza a aparecer. Por lo tanto, es necesario arreglar la responsabilidad del cumplimiento de los procedimientos de seguridad.
(g) Registro de usuario:
El seguimiento de las actividades de los usuarios de la infraestructura de TI es un elemento disuasivo importante en el uso indebido de computadoras. El mantenimiento y el escrutinio periódico de la lista detallada de las operaciones realizadas por cada usuario ejercen una gran presión sobre los usuarios para que sigan las normas de seguridad y también garantizan la detección temprana del abuso. Las pistas de auditoría son necesarias para reconstruir el procesamiento y arreglar la responsabilidad por el abuso.
(h) Orientación:
Muchas veces, los abusos son posibles debido a una capacitación inadecuada en el manejo de medidas de seguridad. Se debe desarrollar un sistema de ayuda en línea para todos los usuarios en forma de orientación y asistencia para comprender la amenaza a la seguridad. Un sistema de este tipo ayuda mucho a desarrollar la confianza de los usuarios en la fortaleza del sistema de seguridad y ayuda en la detección temprana de amenazas y abusos.
(i) Auditoría:
La auditoría del sistema de información es otra herramienta importante para garantizar que el sistema de información realice sus funciones designadas correctamente. La Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés) es una organización con sede en los EE. UU. Que tiene como objetivo desarrollar estándares para la auditoría de sistemas de información para capacitar y acreditar a profesionales para este propósito.
Las empresas más pequeñas que no pueden permitirse establecer procedimientos internos de auditoría de sistemas de información, pueden contratar los servicios de información en la práctica, auditores del sistema para este propósito. Dicha auditoría detecta y desalienta la supervisión y mantiene la alerta de seguridad.
El uso específico de estas herramientas y la naturaleza exacta de los procedimientos de control dependerán de la naturaleza del recurso y la gravedad de la amenaza.
2. Medidas generales de control:
Estas medidas de control son aplicables a todas las aplicaciones y recursos de datos. Consisten en controles físicos y de software que se pueden ejercer en la infraestructura de TI.
(a) Controles organizacionales:
El vehículo más importante de control sobre los sistemas de información es la estructura de la organización y las responsabilidades de las personas en la organización. Dos formas básicas de control de la organización se relacionan con la segregación de funciones en un solo trabajo.
Por ejemplo, el registro de una transacción puede estar separado de la autorización de las transacciones. El desarrollo de software y las pruebas de software pueden separarse para asegurar que la colisión sea necesaria por abuso. La rotación laboral y la licencia obligatoria son otros controles organizacionales de naturaleza general que se han encontrado bastante útiles para detectar el abuso.
(b) Controles de desarrollo e implementación del sistema:
Estos incluyen controles tales como la autorización adecuada de la especificación del sistema (firma de las especificaciones), pruebas y aprobación de cambios en el sistema existente, etc. Los controles sobre las copias maestras del software, incluido el código fuente, la documentación y otros activos relacionados, son partes esenciales del desarrollo del sistema. y controles de implementación. La fijación de estándares para el sistema de información y su implementación son importantes desde el punto de vista de la seguridad.
(c) Controles físicos:
Estos controles incluyen asegurar las ubicaciones de hardware y software contra incendios, inundaciones, robos, disturbios, etc., utilizando diversas herramientas de seguridad como detectores de humo, guardias de seguridad, cerraduras individuales, cámaras de circuito cerrado, sistemas de identificación, etc. Estos controles están diseñados para alejando la amenaza a la vida física de la infraestructura de TI. Estos controles son paralelos al control sobre otros activos físicos como efectivo, acciones, etc.
(d) Controles de recuperación de desastres:
Las medidas de control de recuperación de desastres son muy importantes en el caso de aplicaciones críticas y daños a gran escala en los sistemas de información. Es necesario construir una configuración alternativa para garantizar que la recuperación del desastre sea posible a un costo mínimo y con una pérdida mínima de tiempo y oportunidad.
En algunos casos, esto se logra manteniendo una infraestructura de TI paralela para ser utilizada en caso de desastre. En caso de que falle el sistema de transacciones bursátiles, o el sistema de reserva de viajes, el costo de la demora en la recuperación o la falla en hacerlo, podría ser extremadamente alto.
En tales casos, la infraestructura de TI paralela se considera absolutamente esencial. Sin embargo, también están disponibles sistemas alternativos de recuperación de desastres. Algunos proveedores se especializan en la recuperación de datos en caso de accidentes como fallas en el disco duro, ataques de virus, etc.
(e) Controles basados en software:
Las medidas de control basadas en software normalmente se relacionan con el control sobre el acceso a datos y la validación de datos en el momento de la entrada de datos. Cabe señalar que la mayoría de los abusos informáticos se producen a través de la manipulación de datos. Las rutas de acceso en el software se pueden realizar en utilidades de múltiples capas y sensibles, y los datos pueden protegerse adecuadamente a través de controles de software.
Estos controles, generalmente, se relacionan con la autenticación del usuario, la definición de la función para cada usuario y la creación de un registro inalterable de la secuencia de operaciones realizadas en un terminal determinado (pista de auditoría).
Esto se hace para averiguar la secuencia de eventos que llevan a un abuso en particular. El acceso no autorizado debe dar como resultado una advertencia y los intentos repetidos de acceso no autorizado deben tomarse como un intento serio de romper el sistema de seguridad. Por lo tanto, los intentos repetidos de acceso no autorizado pueden estar destinados a dar como resultado la terminación del procesamiento, el apagado del terminal y el registro de la pista de auditoría para su posterior análisis.
(f) Controles de comunicación de datos:
Estos controles son cada vez más importantes porque el tráfico de datos está aumentando en proporciones geométricas junto con el aumento en la distancia entre el remitente y el receptor. Ambos dan como resultado una mayor exposición de los datos al riesgo de realizar tapping. Hay muchos métodos utilizados para proteger los datos en su camino hacia el terminal de destino.
En términos generales, las amenazas a los datos en transmisión pueden ser de tres tipos, (a) amenaza de acceso no autorizado, (b) amenaza a la exactitud e integridad de los datos, y (c) amenaza a la descarga oportuna de los datos.
(i) Acceso no autorizado a los datos:
Las redes cableadas (que utilizan cables coaxiales o medios de fibra óptica) son menos propensas a las escuchas en ruta que los canales electrónicos. Los módems de seguridad también están ganando popularidad en las redes que usan líneas telefónicas. Otro método llamado sistema de devolución automática de llamadas se utiliza para verificar la autenticidad del usuario. En este sistema, la persona que llama a la información marca y espera.
El remitente verifica la autenticidad, registra la contraseña utilizada por la persona que llama la información y devuelve la llamada a la persona que llama. Este tipo de verificación doble de la identidad y la ubicación de la persona que llama es muy útil para detectar escuchas telefónicas. El sistema de cierre de sesión automático también es un sistema de control muy popular.
Con la creciente presión de las responsabilidades de los ejecutivos, existe la posibilidad de que los ejecutivos se olviden de cerrar la sesión correctamente o de cerrar la sesión. Dichos sistemas aseguran que si el terminal no se utiliza durante un período de tiempo específico, el terminal se desconecta automáticamente del servidor. El acceso adicional a la información es posible solo cuando se repite el procedimiento de inicio de sesión. Este tipo de control minimiza la posibilidad de suplantación.
(ii) Controles de integridad de datos:
Los controles de precisión e integridad de los datos son esenciales para garantizar la integridad de los datos transmitidos. Los errores en la transmisión de datos pueden ser causados por una perturbación en el canal de transmisión de datos o algún fallo en el hardware de conmutación de datos.
Para verificar si los datos han alcanzado el destino de manera precisa y completa, se pueden usar bits de paridad. Otro método popular es dividir el mensaje en paquetes con encabezados y pies de página (remolques), y verificar su existencia al final del receptor.
(g) Controles de operación de la computadora:
El control sobre el funcionamiento de los sistemas informáticos y terminales puede jugar un papel importante para evitar el abuso informático. Vale la pena planificar el programa de operación de la computadora para los usuarios regulares, más particularmente, en los niveles más bajos de la jerarquía administrativa, donde los requisitos operacionales son predecibles y se pueden programar adecuadamente. Cualquier desviación de las operaciones programadas puede analizarse para desalentar el funcionamiento del sistema informático para funciones distintas a las especificadas para el día.
El control sobre el funcionamiento de los sistemas informáticos se vuelve más difícil en el caso de terminales compartidos y aquellos que involucran la comunicación interactiva. Sin embargo, si la identificación y las contraseñas no se comparten, la mayoría de los problemas de control sobre los terminales compartidos pueden ser atendidos.
(h) Controles de hardware:
Los controles de hardware de computadora son las verificaciones incorporadas por los fabricantes de hardware de computadora para verificar el mal funcionamiento del sistema y emitir advertencias en caso de fallas. Estas incluyen las famosas comprobaciones de paridad en los dispositivos de almacenamiento, las comprobaciones de validez y las comprobaciones de lectura dual para verificación. Estos controles son muy útiles para almacenar y recuperar datos y realizar funciones aritméticas en los datos.
Los controles generales deben ser revisados para su efectividad. Estos controles constituyen el núcleo de las medidas de seguridad para el sistema de información en su conjunto.
3. Controles de aplicación:
Para aplicaciones específicas, es imperativo ejercer controles especiales en vista de sus requisitos particulares y percepciones de riesgo. Dichos controles tienen como objetivo garantizar la precisión, la validez y la integridad de la información y el mantenimiento de las existencias de información. Incluyen controles tanto automáticos como manuales.
(a) Controles de entrada:
Los controles de entrada aseguran que la entrada esté debidamente autorizada y registrada según el documento de origen. Los documentos de origen están numerados en serie y la entrada se verifica en lotes antes de que influyan en la base de datos. Los totales de control de lotes y las rutinas de edición se utilizan para garantizar que los datos de entrada sean precisos y completos, y se eliminen las entradas duplicadas.
Los avisos de entrada de pantalla y los menús de pantalla se utilizan para ayudar a garantizar la precisión y la integridad de la entrada de datos. Los controles de verificación de datos se utilizan para garantizar tipos de datos válidos, la longitud del campo, la identificación de la transacción y verificar la razonabilidad de los valores numéricos en la entrada.
(b) Controles de procesamiento:
Estos controles tienen como objetivo garantizar la correcta ejecución de los procedimientos que deben ejecutarse en la entrada. Los totales de control de ejecución, la comparación por computadora de los registros maestros con los elementos de datos seleccionados en las transacciones, las verificaciones de razonabilidad, las verificaciones de formato, las verificaciones de dependencias, la verificación visual, etc. .
(c) Controles de salida:
Estos controles están diseñados para garantizar que la salida de una ejecución de la aplicación sea precisa y completa. Estos controles incluyen el balanceo de los totales de salida con los totales de entrada y procesamiento, la auditoría de los informes de salida y el procedimiento para la entrega de informes de salida a destinatarios autorizados.
