Se entiende por seguridad de la información el estado de la misma, en el que se excluye la posibilidad de visualización, modificación o destrucción de información por parte de personas que no tienen derecho a hacerlo, así como la fuga de información debida a radiaciones e interferencias electromagnéticas colaterales, dispositivos especiales de interceptación (destrucción) al transferir entre objetos de tecnología informática. ... La seguridad de la información también incluye la protección de la información contra la destrucción no intencional (fallas técnicas).
La protección de la información es un conjunto de medidas encaminadas a garantizar la confidencialidad e integridad de la información procesada, así como la disponibilidad de la información para los usuarios.
Confidencialidad: mantener en secreto información sensible, cuyo acceso está limitado a un círculo estrecho de usuarios (individuos u organizaciones).
La integridad es una propiedad en presencia de la cual la información conserva una forma y una calidad predeterminadas.
La accesibilidad es el estado de la información cuando se encuentra en la forma, lugar y momento que el usuario necesita, y en el momento en que lo necesita.
El objetivo de la protección de la información es minimizar la pérdida en la gestión causada por la violación de la integridad de los datos, la confidencialidad o la inaccesibilidad de la información para los consumidores.
La parte oficial (el procedimiento de copiar y pegar de Internet) ha terminado. Ahora no oficial. De la práctica.
Este artículo fue escrito para los directores de empresas para quienes no se aplican las reglas del Banco Nacional de la República de Kazajstán (el regulador).
¿Cómo entienden la mayoría de los gerentes (y no tanto) la "seguridad de la información"?
¿Qué quieren decir los empleadores (empresas) cuando publican vacantes con la mención de la frase "Seguridad de la información"?
En la práctica, la mayoría de la gente asocia la seguridad de la información con algún tipo de medio técnico, por ejemplo, un dispositivo de protección de red (firewall) o software de seguimiento de empleados (llamado DLP - prevención de pérdida de datos) o antivirus.
Los medios antes mencionados se relacionan con la seguridad de la información, pero de ninguna manera garantizan la seguridad del objeto protegido (información), su integridad y disponibilidad. ¿Por qué?
Por una razón muy simple: garantizar la seguridad de la información es un proceso, y no cualquier dispositivo, software, que, como la mayoría de los gerentes (y no solo), piensan que son una panacea y una protección.
Tomemos, por ejemplo, una pequeña empresa comercial con 50 usuarios. Por usuarios nos referimos a todos los empleados que tienen acceso al sistema de información (SI) de la empresa a través de cualquier dispositivo (computadora, laptop, tableta, teléfono móvil). El acceso a la IP significa cualquier acceso: al correo electrónico, a Internet, a bases de datos, archivos, etc.
La mentalidad de los líderes en nuestras empresas (incluido nuestro ejemplo) es fundamentalmente diferente a la de los de Occidente: yo soy el jefe, puedo hacer cualquier cosa. Incluyendo acceso ilimitado a Internet o la posibilidad de instalar cualquier software en una computadora. Desde el punto de vista de la seguridad de la información, dicho líder es la principal amenaza para esa misma seguridad de la información. ¿Por qué? Porque es incompetente en el tema de la seguridad de la información y piensa, como se mencionó anteriormente, que si hay un administrador del sistema o algún dispositivo costoso que compró recientemente por recomendación del mismo administrador del sistema, todo esto DEBE proporcionar la misma seguridad de la información. Puedo decir que ningún especialista ni ningún dispositivo costoso le evitará enviar deliberadamente su correo (por ejemplo, mail.ru - tan querido por todos), el atacante enviará cualquier software malicioso que no será un virus, pero por ejemplo será algún tipo de script que le permitirá acceder a su IP a través de su computadora. Descarga el archivo de su buzón de correo mail.ru (por ejemplo, se llama "Requisitos para el proveedor.doc" - el script se inicia (naturalmente sin su conocimiento).
Un atacante obtiene acceso a su red, posteriormente expande silenciosamente sus actividades y ¡listo! Un día "bueno", de repente descubres (subraya lo necesario):
- todas sus bases de datos están encriptadas. Ha recibido una carta de rescate en su correo;
- todos sus archivos se destruyen. Un emoticón llegó a su correo :);
- su red simplemente no está funcionando;
- los datos de sus clientes se han publicado en cualquier sitio;
- sus competidores conocieron su situación real;
- su rendimiento financiero real se ha hecho públicamente disponible;
- el proveedor le presenta cualquier reclamo en virtud del contrato que firmó recientemente (violación de la integridad de la información). El atacante cambió el contrato la víspera de la firma (sus abogados, contables, director comercial y otros funcionarios ya lo han verificado) y lo guardó en una carpeta del servidor.
- grabación de video de su fiesta corporativa desde cámaras de vigilancia, donde usted y su secretaria estaban bailando en la mesa en bragas hechas con clips de papel que de alguna manera le llegaron a su esposa;
- etc.
¿Qué pérdidas incurrirá la empresa comercializadora por el hecho de que la red no funcione o debido a la fuga de datos? Grandes. Las pérdidas se calculan no solo por el costo de los productos no enviados a los clientes, sino también por el costo de mantenimiento del personal durante el período de inactividad del SI, el costo de la electricidad, el alquiler, las pérdidas de reputación, etc. Guardaremos silencio sobre las grabaciones de las cámaras de vigilancia (es difícil predecir las consecuencias :).
Muchos se indignarán, todas estas son historias de terror. Los argumentos suelen ser los siguientes:
- tenemos copias de seguridad;
- contamos con un firewall de último modelo que fue instalado por la empresa de seguridad de la información más cool del país;
- tenemos el antivirus más caro;
- tenemos...
Por lo general, existen innumerables argumentos de este tipo, que en el caso anterior no le garantizan nada.
Copias de seguridad
La copia de seguridad es una de las formas más básicas de proteger la información: su integridad, disponibilidad y seguridad.
Pero:
- ¿Tiene un horario de respaldo?
- ¿Estás seguro de que tus copias de seguridad están funcionando?
- ¿El administrador del sistema ha probado sus copias de seguridad (hubo una restauración de prueba)?
- ¿Con qué frecuencia se probó la copia de seguridad?
- ¿Hay alguna copia de seguridad?
De la práctica, casi toda la lista dada anteriormente está ausente o generalmente se realiza después de un incendio (e incluso entonces, no por mucho tiempo).
Dispositivo de seguridad (firewall)
La principal amenaza a la información, su confidencialidad, integridad y disponibilidad (CIA), generalmente proviene del interior. Empleados descontentos, los jefes antes mencionados, contadores (con sus unidades flash infectadas que han estado en el caldo de cultivo de virus, el de impuestos), empleados comunes. A menudo, a la pregunta "¿tiene procedimientos documentados para acceder a la IP", muchas personas responden con una mirada en blanco? "¿Qué es esto?". O la pregunta “¿el perímetro externo (e interno) de la red fue revisado por personas calificadas para la seguridad” - por qué? Esto se debe a que todo se refiere a la misma seguridad de la información. En la práctica, la mayoría de las empresas no tienen ni uno ni otro, ni el tercero, nunca lo han hecho o no saben nada por qué esto es necesario (pero sin embargo escriben en las vacantes “seguridad de la información”). El firewall no es una panacea.Esta es una herramienta técnica diseñada para proteger tanto el perímetro externo como interno de su IP. Y a pesar de su costo, no le brindará protección si lo configura un aficionado. Esto se puede comparar con disparar un arma; puede ser caro, pero no garantiza que el tirador inepto (mal bailarín) dé en el blanco.
Antivirus
Cuántas personas, tantos antivirus. El antivirus, como se mencionó anteriormente, no es una panacea. Este es solo uno de los medios de seguridad de la información, que no excluye ni anula la configuración adecuada de sistemas operativos, políticas de grupo, derechos de acceso, procedimientos de respaldo regulados, capacitación e información a los usuarios sobre los conceptos básicos de seguridad de la información y otras medidas que pueden fortalecer el bastión de la seguridad de la información.
¿Necesita contratar a un empleado con un enfoque especial en la seguridad de la información o salir corriendo y comprar máscaras para dispositivos de seguridad (firewalls) y antivirus para garantizar la seguridad de la información?
No. En la primera etapa, no necesita comprar nada, contratar a nadie y realizar otras acciones precipitadas.
A continuación se muestra un algoritmo simplificado de acciones que se deben tomar para construir un sistema de seguridad de la información.
0. Decide cómo vas a construir un sistema de seguridad de la información - como de costumbre (cómo se hace todo en todo el espacio CIS - por el culo y para mostrar, hablamos, hicimos gente inteligente en las reuniones y lo olvidamos), o de acuerdo con los estándares generalmente aceptados.
Si la respuesta a la pregunta 0 es "como siempre", ya no puede perder su valioso tiempo y dejar de leer.
1. Decida qué y por qué proteger. El documento que describe esto generalmente se denomina "Política de seguridad de la información". El documento no describe ninguna medida específica, dispositivos técnicos, configuraciones y otras acciones necesarias para garantizar la protección de la información.
2. Haga una lista de los recursos (hardware y software) que están disponibles en la empresa. A menudo, en los requisitos para los solicitantes, se menciona una lista de software y equipo "Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense". ¿Crees seriamente que todo lo que tienes en stock te protegerá? Todo lo contrario.
3. Crear y discutir matrices de acceso de usuarios (clientes, socios, etc.) al sistema de información. Qué es una matriz de acceso: es cuando hay un documento claro quién, dónde y qué nivel tiene acceso al sistema de SI.
4. Cree un documento que rija el procedimiento de copia de seguridad.
5. Cree un documento que describa todos los medios de seguridad de la información: físicos, técnicos, de software, administrativos.
6. Preparar y realizar capacitaciones sobre seguridad de la información para los empleados de la empresa. Hágalos trimestralmente.
7. Pregunte al empleado responsable si podrá proporcionar todo el proceso por su cuenta o si requiere la participación de un tercero (o la contratación de un empleado adicional)
8. Pruebe su IP para la penetración (la llamada prueba de penetración).
9. Cree o corrija los siguientes documentos:
- restauración de SI (sistema de información) en caso de falla (equipo, desastres naturales y provocados por el hombre, otros daños);
- regulaciones de protección antivirus;
- un documento que regula el procedimiento para realizar copias de seguridad y probarlas;
- un documento que regule el control y restauración de bases de datos (si las hubiera);
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10. Monitorear y adecuar los procedimientos y normativas mensualmente de acuerdo con la situación externa e interna.
11. Sonríe. El diablo no es tan malo como lo retratan si tienes un sistema de información bien estructurado, transparente, comprensible y manejable. Comprensible tanto para usted (el gerente) como para sus usuarios (empleados) y, con suerte, para el administrador de su sistema.
Cuídate.