Introduccin al curso

Hoy en da resulta muy habitual or hablar de seguridad, ya sea seguridad informtica, seguridad TIC (tecnologas de la informacin y las comunicaciones) o seguridad de la informacin. En los medios de comunicacin no dejamos de escuchar noticias relacionadas con incidentes de seguridad de todo tipo, robo de informacin, malware que afecta a cientos de ordenadores y sistemas o nuevas formas de engaar a los usuarios para conseguir algn tipo de beneficio econmico, como son los casos de fraude on-line o suplantacin de identidad. Todo esto hace que tengamos una cierta sensacin de intranquilidad cuando hacemos uso de las tecnologas de la informacin puesto que, en muchas ocasiones, pensamos que no podemos hacer nada para protegernos, que no lograremos evitar que sobrepasen cualquier defensa que pongamos y que es sencillamente intil tratar de evitarlo. Pero esta idea es slo una sensacin. En realidad s podemos protegernos y ser relativamente inmunes a muchos de los incidentes de seguridad que pueden darse. A lo largo de este mdulo, realizaremos un breve repaso a conceptos relacionados con la seguridad, definiremos las amenazas y los riesgos as como las contramedidas y llevaremos a cabo un breve repaso del mercado de la seguridad, a travs de las empresas que lo forman y las distintas actividades que llevan a cabo. A lo largo del presente mdulo vamos a tratar los siguientes conceptos:

Enfoques y conceptos de seguridad Amenazas y riesgos frente a contramedidas Soluciones de seguridad Resumen del mdulo

Enfoques y conceptos de seguridad

En otros cursos de esta plataforma se abordan multitud de conceptos y distintos puntos de vista sobre la seguridad. Antes de adentrarnos en la implantacin y aplicacin prctica de la seguridad, debemos realizar un breve repaso de conceptos que nos servirn como punto de partida para arrancar este tema. Implementar seguridad no es una tarea sencilla, sobre todo cuando nos encontramos en el mbito profesional donde uno de los objetivos fundamentales es la productividad y la eficiencia. En ocasiones, la seguridad puede ir en contra de este objetivo si no se realiza un diseo y una implantacin adecuados y acordes con las necesidades. Aplicar seguridad en exceso puede ser tan malo como hacerlo por defecto o aplicarla en el lugar equivocado o sin tener en cuenta aspectos relacionados con nuestra organizacin. EJEMPLO La seguridad en exceso En la empresa donde trabaja Luis han implementado un sistema antispam. Lo cierto es que llegaban muchos correos basura a los buzones de toda la empresa y se perda mucho tiempo eliminndolos unido al riesgo aadido, puesto que muchos incorporaban malware o cdigo malicioso. Es por ello, que se consider beneficioso contar con un sistema antispam. Una vez puesto en marcha el sistema, todo pareca ir bien pero los empleados se dieron cuenta que algunos correos no llegaban a sus destinatarios ya que, al parecer, la poltica de bloqueo del filtro antispam era demasiado estricta o no estaba correctamente configurada. El resultado fueron quejas de clientes, retrasos, informacin que no llegaba, etc.

En este curso, nos centraremos en la proteccin del puesto de trabajo y ste, como norma general, est dentro o pertenece a una organizacin o empresa, pero no siempre es as. Por ejemplo, un autnomo es tambin un profesional pero su puesto de trabajo, en ocasiones, est dentro del mbito domstico. Otro ejemplo son los trabajadores en movilidad, donde el puesto de trabajo adquiere una dimensin muy especial puesto que no tiene una localizacin fsica concreta.
La seguridad en el mbito empresarial

Aplicar seguridad en un entorno empresarial no es lo mismo que hacerlo en uno domstico. Adems, los objetivos y las herramientas a emplear son completamente diferentes as como los requisitos de implantacin. En relacin con esto, nos vienen a la cabeza esas situaciones conocidas por todos, en las que una empresa decide no contratar un profesional para evitar el coste asociado y hace uso de los servicios de un conocido que sabe mucho de informtica y lo soluciona todo rpidamente. Al margen de los motivos por los que se dan estas situaciones -que por lo general no suelen terminar bien-, traemos esta ancdota para reflejar el grave error que esta conducta supone.

Es fundamental que las empresas y las organizaciones sean conscientes del entorno en el que estn y de que los requerimientos de seguridad, en el mbito empresarial, necesitan de la experiencia y conocimiento de un profesional, por muy sencillos o triviales que puedan parecer los problemas a resolver. EJEMPLO El sobrino de mi cuado Gerardo es el gerente de la empresa de Luis. Despus de los problemas que han tenido con el filtro antispam, se ha dado cuenta que necesita contar con profesionales. Al parecer, el filtro no fue correctamente configurado porque la persona que lo hizo no era un profesional, sino el sobrino del cuado del jefe, que estudia informtica Lo peor de todo es que cuando ocurrieron los incidentes con el filtro antispam, su sobrino no pudo resolver la incidencia a tiempo ya que tena exmenes y los problemas persistieron durante varias semanas.

Enfoques de seguridad

Unido a todo esto y, como hemos visto en otros cursos de esta plataforma, hay muchas formas de entender la seguridad. Hemos hablado de seguridad informtica, seguridad TIC y finalmente de seguridad de la informacin y hemos llegado a las siguientes conclusiones:

El concepto ms moderno y que mejor se adapta a la situacin actual en

cuanto a la aplicacin de seguridad es la seguridad de la informacin. En este enfoque, lo fundamental es la informacin. La aplicacin de la seguridad est determinada por dicha informacin y por el valor que tiene para las organizaciones.

La informacin no es slo digital. Es por ello, que la seguridad de la

informacin hace referencia a todo tipo de informacin, independientemente de si est almacenada en soporte digital, papel, etc. Lo fundamental no es su formato sino qu importancia tiene para las organizaciones.

A lo largo de este curso nos centraremos en la seguridad de la informacin como herramienta bsica para aplicar seguridad y proteger el puesto de trabajo, que es uno de los elementos ms vulnerables dentro de las organizaciones y uno de los principales focos de problemas e incidentes de seguridad. Llegados a este punto, podemos afirmar lo siguiente:

En la empresa siempre debemos contar con asesoramiento y soluciones

profesionales

Es recomendable utilizar la seguridad de la informacin como enfoque y gua

en la aplicacin de seguridad en las empresas y organizaciones mbitos de la seguridad

Pero podemos ir ms all. Unidas a estas dos ideas fundamentales, tambin hemos visto, a lo largo de otros cursos, que la seguridad puede ser aplicada desde tres puntos de vista: legal, de negocio y de amenazas. Podra parecer que estos tres puntos de vista no tienen cabida en el enfoque de la seguridad de la informacin, pero nada ms lejos de la realidad. Lo aclaramos a continuacin. Hemos dicho que para la seguridad de la informacin lo fundamental es la proteccin de todo tipo de informacin que tenga valor para la empresa. Si tenemos en cuenta, adems, el punto de vista legal, de negocio y de amenazas, tendremos lo siguiente:

La seguridad de la informacin desde el punto de vista legal. Lo

fundamental es la proteccin de la informacin ya que es importante para la organizacin pero, a la vez, sta puede tener algn tipo de connotacin legal. Este es el caso de la LOPD (Ley Orgnica de Proteccin de Datos de Carcter Personal), que se ocupa de la seguridad de la informacin relativa a datos de carcter personal.

La seguridad de la informacin desde el punto de vista de negocio. Se

centra en la importancia de la proteccin de la informacin para el negocio -para mantener o mejorar su productividad y sus beneficios- pero siempre en torno a la informacin que es necesaria para lograr ese fin, no a toda la informacin de la organizacin.

La seguridad de la informacin desde el punto de vista de las amenazas.

Se basa en la proteccin de la informacin teniendo en cuenta las posibles amenazas a las que est expuesta y, por supuesto, en funcin de la importancia que dicha informacin tiene para la empresa. Por tanto, protegemos la informacin de distintas amenazas, pero nicamente aquella que puede estar en riesgo.

Por tanto, todo lo expuesto hasta ahora es complementario y se puede combinar para obtener el mejor resultado. Adems de las dos afirmaciones anteriores, podemos sumar otra ms, que indicamos a continuacin:

Unido a todo ello, hay que hacerlo teniendo en cuenta tres puntos de vista: el

legal, el de negocio y el de las amenazas

Con esto, tenemos ya el punto de partida para avanzar hacia la proteccin prctica del puesto de trabajo. Pero antes es conveniente conocer algunos conceptos ms.

Amenazas y riesgos frente a contramedida

Una forma muy prctica de aplicar la seguridad en las organizaciones ha sido y es a travs del conocimiento de las diferentes amenazas y riesgos a los que se enfrenta dicha organizacin y, ms concretamente, sus infraestructuras

tecnolgicas. Esta forma de aplicar seguridad es precisamente lo que conocemos como la seguridad de la informacin desde el punto de vista de las amenazas. Desde siempre, la seguridad se ha aplicado usando este enfoque puesto que a partir de una amenaza concreta, se estableca un conjunto de medidas de seguridad o contramedidas para luchar contra ella. Es una forma bastante lgica y simple de seleccin de contramedidas de seguridad. Cuando la seguridad se

construye en torno al concepto de amenaza, hay que tener en cuenta que, por un lado, efectivamente puede existir una posible amenazada pero, por otro, hay que tener en cuenta que realmente pueda llegar a suceder. Para comprender lo que queremos decir, vamos a definir qu son las amenazas y los riesgos y cmo stas se relacionan con las contramedidas:

Amenaza y riesgo. Ambos trminos no significan lo mismo. Amenaza

es todo aquello que es potencialmente peligroso. Riesgo es una amenaza que efectivamente tiene probabilidad de ocurrir. Para todo lo que resta de curso, hablaremos siempre de amenaza, que es un trmino ms sencillo de comprender y que tiene una importante probabilidad de que ocurra. EJEMPLO Riesgo y amenaza Finalmente en la empresa de Gerardo han contratado a un profesional informtico. Mientras Luis charla con l, ste le explica la diferencia entre amenaza y riesgo. Mira Luis, una amenaza podra ser que se caiga un avin encima de las oficinas de nuestra empresa, pero seguramente no se considera un riesgo puesto que la probabilidad de que ocurra es tan baja que sencillamente no tiene sentido tomarlo en cuenta, le explica. En cambio, una amenaza como un virus informtico o el fallo de la fuente alimentacin de un ordenador s se considera un riesgo debido a que la probabilidad de que ocurra es muy alta y, como ocurre en el caso del virus, bastante habitual, contina diciendo el tcnico.

Contramedidas. Aunque no es un trmino muy habitual, vamos a

utilizarlo para identificar las diferentes herramientas, soluciones, productos, servicios, etc. que estn destinados a luchar contra una amenaza. Por ejemplo, un antivirus es una contramedida al igual que un cortafuegos o una herramienta para realizar copias de seguridad. Son medidas destinadas a luchar contra las amenazas. Por tanto, a partir de ahora hablaremos constantemente del trmino amenazascontramedidas cuando expliquemos qu debemos hacer para proteger el puesto de trabajo de las distintas amenazas que pueden darse. Por ejemplo, ante la amenaza del spam se decide que es importante incorporar algn tipo de contramedida en forma de producto o servicio que evite su llegada a los buzones de correo electrnico de nuestra organizacin. Es decir, establecemos la amenaza y a continuacin, la contramedida. EJEMPLO Necesitamos ms seguridad YA! Dos meses despus de la puesta en marcha del filtro antispam, comenzamos a tener problemas no slo con el correo electrnico, sino con malware que llega a travs de las web, adems de problemas relacionados con el tipo de pginas que visitan los empleados en la empresa de Luis.

Luis se da cuenta que hubiera sido ms interesante adquirir una herramienta ms completa que les protegiera no slo del spam, sino de ms tipos de malware que llega a travs de Internet o de fraude, pginas falsas, etc. Ahora debern buscar otra herramienta para luchar contra los nuevos problemas, por separado, o con una herramienta ms completa que sea capaz de protegerles de todas esas amenazas. Afortunadamente, cuentan con Miguel, un profesional que les ayudar a tomar las mejores decisiones.

Implementar contramedidas en funcin de las amenazas es una forma bastante habitual y eficaz de implementar seguridad, pero con la que tambin hay que tener cuidado puesto que si este tipo de decisiones se toman demasiado rpido o sin tener en cuenta otros factores se pueden cometer errores. Lo que comienza siendo una inversin se convierte finalmente en un gasto y, en muchas ocasiones, es necesario rectificar, lo que an encarece ms la contramedida que se ha implementado. Ya conocemos los enfoques y conceptos de seguridad, hemos visto un camino a la hora de aplicarla consistente en el binomio amenaza/riesgo y ahora vamos a conocer otro elemento fundamental, que son las soluciones de seguridad.

Las soluciones de seguridad

El usuario o la empresa que busca cmo protegerse se encuentran, en ocasiones, con muchas dificultades para hallar soluciones adecuadas a sus problemas porque no siempre conoce el mercado de la seguridad. Esto quiere decir que puede no entender correctamente trminos como servicio, producto, solucin, proveedor, consultora, etc. Con lo que, en muchas ocasiones, no sabe qu o a quin tiene que buscar para que le proporcionen una solucin a su problema. En este apartado vamos a tratar de aclarar algunos conceptos relacionados con el mercado de la seguridad de forma que luego nos resulte mucho ms sencillo elegir el tipo de contramedidas ms adecuadas que nos ayudarn a luchar contra las amenazas de seguridad. Como sabemos, existen empresas que comercializan productos o servicios relacionados con la seguridad. Pero no todas estas empresas son iguales o llevan a cabo las mismas funciones. Por ello, es posible distinguirlas y clasificarlas en tres grupos perfectamente diferenciados:

Los fabricantes, El canal de distribucin y venta Las consultoras

Perfiles de empresa del mercado de la seguridad

Estos tres grupos se corresponden con los siguientes perfiles o tipos de empresas (no obstante, una empresa suele pertenecer a ms de un tipo). Veamos cules son:

Fabricante. Empresa que disea, produce y comercializa los productos

hardware o software. Es frecuente que los comercialice a travs de mayoristas.

Mayorista. Empresa que dispone de un almacn de productos de fabricantes.

Vende a travs de su propio canal (distribuidores e integradores) y suele tener un mbito de actuacin regional o nacional.

Integrador. Empresa que ofrece, adems del producto de seguridad, una serie

de servicios asociados que van desde la instalacin hasta la puesta en marcha y el posterior servicio tcnico postventa.

Distribuidor. Empresa que vende directamente a otras empresas o a usuarios

finales. Suele tener un mbito geogrfico local o regional aunque tambin hay algunos de mbito nacional.

Consultor de negocio. Empresa dedicada al apoyo, consejo y asesoramiento

empresarial dentro del mbito de la seguridad de los sistemas de informacin en reas como el cumplimiento de la LOPD, los planes de contingencia, etc.

Consultor tecnolgico. Empresa que ofrece servicios de asesoramiento

dedicados especficamente a temas tecnolgicos, en general, o de seguridad, en particular.

EJEMPLO Mi empresa es La empresa de Miguel tiene un rea enfocada a la seguridad, pero trabajan en todo lo relativo a las tecnologas de la informacin. Fundamentalmente se definen como una consultora tecnolgica, pero tambin son integradores. Proveen a la empresa de Luis tanto de productos de seguridad como de servicios.

Cada da es ms habitual encontrar empresas que realizan su actividad en varios de los perfiles comentados. Esto les permite abarcar un mercado ms amplio y tambin disponer de una mayor oferta de productos y servicios.
Producto, servicio y solucin

Por otro lado, tal y como hemos comentado, estos proveedores fabrican y distribuyen productos y servicios. Vamos a tratar de definirlos.

Producto. Un producto puede ser de tipo software, hardware o una

combinacin de ambos. Generalmente se comercializa como un elemento en bloque (en un nico paquete) que se adquiere slo una vez. Suele llevar asociado un servicio de soporte y actualizacin. Un ejemplo de producto es un ordenador o un antivirus.

Servicio. Un servicio tiene una filosofa completamente diferente y un carcter

ms conceptual, similar a un alquiler o pago por uso. Bsicamente consiste en adquirir el derecho a hacer uso de un producto o servicio durante un periodo de tiempo, de forma que no se compra el servicio, sino que se paga por utilizarlo durante un periodo de tiempo, como si se tratara de un alquiler. Un ejemplo de servicio es el ADSL o la televisin a la carta.

Hoy en da cada vez se utiliza ms un modelo de negocio basado en los servicios. No obstante, son pocos todava los productos que conllevan algn tipo de servicio; por ejemplo, todos los productos deberan llevar asociado un servicio de soporte y actualizacin. A lo largo de este curso veremos muchos ejemplos de productos, servicios y combinaciones de ambos, todos ellos relativos al mbito de la seguridad. EJEMPLO Producto, servicio y solucin Miguel est realizando una visita a la empresa de Luis para contarle cules podran ser las soluciones a los problemas de seguridad que estn teniendo. Le habla de varios productos que podran ofrecerle un conjunto de contramedidas para varios tipos de amenazas de seguridad. Pero adems, tambin le muestra diversos servicios que existen y con los cuales es posible externalizar la seguridad y contratarla como un servicio. Es ms, le ofrece soluciones completas que incluyen ambas cosas, productos y servicios, de forma que puede abarcar todos los escenarios posibles y adaptarse a las necesidades particulares de su empresa.

Pero adems de los productos y servicios, encontramos una categora ms, que son las llamadas soluciones. Una solucin no es ms que la combinacin de ambos. En el mismo paquete se incluye todo, tanto productos como servicios para formar una solucin completa. Ya conocemos, por tanto, las diferentes empresas que nos podemos encontrar en el mercado de la seguridad y tambin sabemos que estas empresas nos ofrecen productos, servicios o soluciones completas que engloban ambos conceptos. Vamos a resumir los conceptos de este mdulo.

Resumen del mdulo

Podemos resumir los contenidos de este mdulo en las siguientes ideas, las ms importantes, puesto que son muchos aspectos y cuestiones tratadas:

Aplicar seguridad en exceso puede ser tan perjudicial como hacerlo por

defecto, as como hacerlo sin tener en cuenta otras cuestiones como el entorno, el sector al que pertenece la organizacin y otros.

El concepto ms moderno y que mejor se adapta a la situacin actual en

cuanto a la aplicacin de seguridad es la seguridad de la informacin donde lo fundamental es la proteccin de la informacin.

La informacin no es slo de naturaleza digital, tambin podemos

encontrarla en papel u otros formatos. Lo fundamental es la importancia que sta tiene para la organizacin y no su formato o naturaleza.

En la empresa debemos contar siempre con asesoramiento y soluciones

profesionales.

Podemos aplicar la seguridad desde tres puntos de vista fundamentales:

legal, de negocio y de amenazas.

Una de las formas ms prcticas de aplicar seguridad es hacerlo desde

el punto de vista de las amenazas.

Amenaza es todo aquello que es potencialmente peligroso, sin atender a

si realmente puede ocurrir.

Riesgo es todo aquello que es potencialmente peligroso pero que

adems tiene una probabilidad real de ocurrir.

Contramedida es un trmino que designa aquellas medidas que son

implantadas en las organizaciones para combatir las amenazas y los riesgos.

En el mercado de seguridad podemos encontrar diferentes tipos de

empresas que ofrecen productos y servicios. Podemos clasificarlos en fabricantes, mayoristas, integrador, distribuidor, consultor de negocio y consultor tecnolgico.

Por otro lado, estas empresas ofrecen productos y servicios o ambos

combinados en lo que se denominan soluciones.

Un producto puede ser de tipo software, hardware o una combinacin de

ambos. Se suele comercializar como un elemento en bloque (en paquete) que se adquiere una sola vez.

Un servicio tiene un carcter ms conceptual y es muy similar a un

alquiler o un pago por uso. El cliente paga por hacer uso del servicio durante un perodo de tiempo y suele llevar asociado un producto.

Hoy en da la tendencia es que todo se convierta en un servicio de forma

que el cliente paga por el uso. Esta modalidad est muy extendida en el mercado de la seguridad.