CARTILLA SEMANA.pdf

20
TEORÍA DE SEGURIDAD

Transcript of CARTILLA SEMANA.pdf

Page 1: CARTILLA SEMANA.pdf

TEORÍA DE SEGURIDAD

Page 2: CARTILLA SEMANA.pdf

2 [ POLITÉCNICO GRANCOLOMBIANO]

ÍNDICE

INTRODUCCIÓN CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA

DEFINICIONES

RIESGOS Y TENDENCIAS SEGURIDAD DE NUEVAS TENDENCIAS DE TECNOLOGÍA

CLOUD COMPUTING

BIG DATA

INTERNET DE LAS COSAS

OTRAS TENDENCIAS VIGILANCIA Y ESPIONAJE DIGITAL

CASOS DE ESPIONAJE

MEDIDAS DE PROTECCIÓN BIBLIOGRAFÍA

Page 3: CARTILLA SEMANA.pdf

3 [ TEORÍA DE SEGURIDAD ]

1. INTRODUCCIÓN

Figura 1. Fotografía que ilustra sistemas de control industrial - Tomado de AP Photo (http://images.politico.com/global/news/110301_cybersecurity_605.jpg)

La seguridad de la información establece a diario nuevos retos asociados a la evolución de tecnologías de la información, nuevas tendencias en los negocios y otros factores que varían de mercado en mercado. Como profesionales dedicados a estos temas, es necesario estar a la par y en ocasiones más preparados para las nuevas tendencias y avances tecnológicos que vislumbran los riesgos y oportunidades que puedan surgir enlas organizaciones.

A través de esta cartilla se observarán los temas: Infraestructuras críticas, Sistemas de control industrial, así como otras tendencias tales como Big Data. Internet of the Things, Cloud Computing, BYOD y finalmente, una revisión de temas asociados a la privacidad.

1. Metodología

El marco metodológico a seguir establece el desarrollo de lecturas sobre temas conceptuales y estructurales, asociado a material multimedia y actividades individuales y grupales como mecanismo de aplicación de conceptos y teoría.

Page 4: CARTILLA SEMANA.pdf

4 [ POLITÉCNICO GRANCOLOMBIANO]

4. Mapa conceptual

5. Objetivo General Abordar temas de actualidad de la seguridad de la información y su impacto en las sociedades modernas 5.1. Competencias

- Conocer nuevas tendencias tecnológicas a las que debe responder la seguridad de la

información

- Comprender los conceptos básicos de seguridad en sistemas de control industrial

- Identificar conceptos asociados a la infraestructura crítica

- Identificar el papel de la seguridad en el cloud computing

- Analizar los riesgos asociados a las nuevas tendencias como big data y el internet de las

cosas (IoT)

- Establecer mecanismos para gestionar peligros a la privacidad de la información

Page 5: CARTILLA SEMANA.pdf

5 [ TEORÍA DE SEGURIDAD ]

6. Desarrollo temático 6.1 Componente Motivacional La seguridad de la información evoluciona a una velocidad similar a la de la tecnología, sin embargo, factores como el uso de esta tecnología en otros entornos han abierto un sinnúmero de oportunidades y situaciones que ante los ojos del mercado son símbolos de innovación que ofrecen amplias opciones y mecanismos para hacer de la tecnología una herramienta cada vez más útil, desafortunadamente, no siempre la utilidad va asociada a la seguridad y por el contrario, son factores que abren brechas y brindan espacios donde pueden ser empleados por criminales para fugar información, afectar confidencialidad y muchas otras situaciones. Un profesional de seguridad de la información debe estar al tanto de estas tendencias y avanzar en conocimientos y habilidades para asesorar a las organizaciones frente a estos nuevos peligros.. 6.2 Recomendaciones académicas Para complementar las temáticas a abordar en la unidad frente a ciberseguridad, se recomienda tomar el curso “210W - Cybersecurityfor Industrial Control Systems” que se puede tomar del Homeland Security Department de los Estados Unidos (https://ics-cert-training.inl.gov) y es una excelente introducción a la seguridad de sistemas de control industrial. Para los otros temas a abordar, se recomienda la lectura de papers de investigación, los cuales suelen ser publicados por diferentes fuentes. 6.3 Desarrollo de cada una de las unidades temáticas CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DEFINICIONES A pesar de que el término ciberseguridad es otra manera de denominar la seguridad informática, en nuestros días es usualmente empleado para hacer referencia a temas relacionados con nuevas amenazas a la seguridad de la información, algunos otros lo asocian a temas de seguridad de infraestructura crítica, de la que hablaremos más adelante. La definición presentada por Gartner propone: “La ciberseguridad consiste en un amplio rango de prácticas, herramientas y conceptos relacionados a aquella información y seguridad de tecnologías operacionales. Se distingue este tipo de seguridad por la inclusión de uso de herramientas tecnológicas para el ataque ofensivo a posibles atacantes o adversarios.”

Page 6: CARTILLA SEMANA.pdf

6 [ POLITÉCNICO GRANCOLOMBIANO]

Por otra parte, la Tecnopedia, establece la siguiente definición: “La ciberseguridad hace referencia a métodos preventivos para proteger la información ante robos, compromisos o ataques en diversas formas. Requiere el entendimiento de amenazas potenciales a la información tales como virus y códigos maliciosos. Por otra parte, las estrategias de la ciberseguridad incluyen gestión de identidades, gestión de riesgos e incluso, gestión de incidentes.”

Finalmente, tomando como referencia el documento NIST SP 800-53 Rev 4, se establece la siguiente definición que resulta más completa y clara que las anteriores: “Estrategias, políticas y estándares asociados a la seguridad de las operaciones en el ciberespacio y que abarcan la reducción de amenazas, reducción de vulnerabilidades, disuasión, compromisos internacionales, respuesta a incidentes, (resiliencia), actividades de recuperación, incluyendo redes de computadores de operación, aseguramiento de la información, fortalecimiento de la ley, diplomacia, misiones militares y misiones de inteligencia que se encuentran asociadas a la seguridad y estabilidad de la información global e infraestructura de comunicaciones. Pero se genera una gran duda en torno a lo que se conoce como Infraestructura crítica, en este particular también se poseen varias definiciones tales como: “Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales” [CCNPIC] Adicionalmente, para España, se definen como sectores que establecen la infraestructura crítica:

Figura 2. Definición de Infraestructuras críticas realizada por el Gobierno Español. Tomado de CCNPIC

Page 7: CARTILLA SEMANA.pdf

7 [ TEORÍA DE SEGURIDAD ]

En el caso de Estados Unidos, la definición aportada por el departamento de Homeland Security establece: “Infraestructura crítica está compuesta por los activos, sistemas y redes ya sean virtuales o físicas, que son vitales para el país y cuya incapacidad o destrucción pueden generar un efecto debilitante en la seguridad nacional, la economía nacional, la salud nacional o incluso la seguridad de las personas, e incluso la combinación de todas estas.”

Ilustración 3 Sectores definidos en Estados Unidos como Infraestructura crítica. Tomado de Departamento de Homeland Security de Estados Unidos.

Page 8: CARTILLA SEMANA.pdf

8 [ POLITÉCNICO GRANCOLOMBIANO]

Para el Reino Unido, la definición es similar: “Aquellas instalaciones, sistemas, sitios y redes necesarias para el funcionamiento del país y la entrega de los servicios vitales y esenciales a través de los cuales depende la vida diaria del Reino Unido” Finalmente, los sectores definidos por el Gobierno del Reino Unido como Infraestructura crítica son:

Comunicaciones

Servicios de emergencia

Servicios de energía

Servicios Financieros

Comida

Gobierno

Salud

Transporte

Agua

Figura 4. Interacción de sectores considerados infraestructuras críticas - Tomado de Departamento de Homeland Security

Page 9: CARTILLA SEMANA.pdf

9 [ TEORÍA DE SEGURIDAD ]

Para en el caso de Colombia, este análisis de infraestructuras críticas se ha desarrollado desde hace unos años y hasta el momento se han realizado varias publicaciones al respecto. Un ejemplo de lo anterior es el informe [OEA14] generado por parte de la OEA (Organización de Estados Americanos) en el año 2014 sobre el estado de la ciberseguridad del país y recomendaciones para mejoramiento de la misma.

RIESGOS Y TENDENCIAS Al analizar las infraestructuras críticas, surge la duda con respecto a qué riesgos enfrentan estos sectores antes descritos y por qué resultan vulnerables. Para ello se debe hacer la claridad que este tipo de activos presentan altos grados de inseguridad asociados al uso de tecnologías denominadas ICS, por su sigla en inglés que significan Sistemas de Control Industrial y son popularmente conocidos como sistemas SCADA. Un sistema de control industrial consiste en el uso de hardware, software y redes de comunicaciones para la administración, monitoreo y control de sistemas responsables de mecanismos a nivel industrial, ejemplos de esto son:

Plantas químicas

Sistema eléctrico

Extractoras de petróleo

Sistemas de manejo de aguas

Entre otros Dentro de las variedades de sistemas de control industrial, se pueden hablar de varios tipos:

SCADA –Sistema de supervisión, control y adquisición de datos

DCS –Sistemas de control distribuidos

PCS –Sistemas de control de procesos

EMS –Sistemas de gestión de energía

AS –Sistemas de automatización

SIS –Sistemas de instrumentalización de seguridad Más allá de entrar en detalle y conocer qué compone cada uno de estos sistemas, existen factores comunes que han permitido la aparición de riesgos asociados a la seguridad de la información y hacen de estos sistemas masivamente utilizados un objetivo de ataque muy interesante en nuestros días, veamos en detalle estos factores de riesgo:

Page 10: CARTILLA SEMANA.pdf

10 [ POLITÉCNICO GRANCOLOMBIANO]

Son sistemas diseñados para un uso hasta de 20 años, por lo cual suelen volverse obsoletos tras un tiempo continuando con el uso de tecnologías legadas y sin soporte de fabricantes.

Se emplean protocolos que no manejan seguridad para el intercambio de comunicaciones, tal como el protocolo Modbus, el cual tiene más de 30 años en el mercado y es ampliamente usado aún cuando todo lo transmitido a través del mismo no está cifrado.

Se ha convertido en tendencia la publicación hacia Internet de las interfaces de administración de estos sistemas de control, empleando usuarios y contraseñas predeterminadas así como componentes de software vulnerables.

La industria emergente de ciberdelincuencia se encuentra desarrollando herramientas avanzadas para atacar y aprovechar estas vulnerabilidades comprometiendo la seguridad industrial de países enteros. Estas herramientas pasan a ser vulnerabilidades que los fabricantes tardan años en solventar, que a su vez suelen ser vendidas en el mercado negro por altos precios.

El ataque a este tipo de activos puede desestabilizar sectores enteros de una ciudad o un país, llegando al punto de afectar sus “actividades vitales” tal como se observaba en las definiciones de Infraestructura Crítica.[TREND12]

Figura 5. Imagen de interfaz Hombre-Máquina (HMI) de un sistema SCADA de control de planta de cementos

Page 11: CARTILLA SEMANA.pdf

11 [ TEORÍA DE SEGURIDAD ]

Los profesionales de seguridad enfrentan retos, los cuales son un factor importante para comprender. Entre ellos están estos tipos de sistemas que se encuentran por lo menos 10 años atrás de los avances tecnológicos que se pueden encontrar en nuestros días, esto de la mano con una usual división presentada dentro de las organizaciones donde se puede decir que son operados por el área de OT (Operation Technologies) en vez de serlo por parte de IT (Information Technologies). Esta barrera se presenta dado que la administración, gestión y uso de estas plataformas es altamente especializada y lo que es trabajado normalmente por las áreas de IT no tiene cabida en la operación. Al tener la oportunidad de conocer cómo funcionan estos sistemas y trabajar con ellos es posible comprender qué los hace diferentes, prueba de ello es que son entornos donde el concepto de CID (Confidencialidad – Integridad - Disponibilidad) cambia por DIC (Disponibilidad – Integridad – Confidencialidad) y es claro que esto se debe a que son sistemas de misión crítica cuyo diseño está establecido con el fin de brindar alta disponibilidad por encima de cualquier otro tema. Este interesante y apasionante tema ha abierto sus puertas al mundo de la seguridad y es necesario estar preparados para entrar y brindar apoyo con la premisa de comprender que la seguridad pensada para entornos de TI o las empresas en general, no aplican para OT. SEGURIDAD DE NUEVAS TENDENCIAS DE TECNOLOGÍA Volviendo a entornos empresariales no operacionales, aparecen nuevas tecnologías que brindan ventajas, oportunidades y establecen tendencias en nuestros días, sin embargo al mismo tiempo, se abren brechas de seguridad que es necesario identificar, tratar y controlar permitiendo que la innovación prosiga pero de forma segura y salvaguardando la información de las organizaciones. CLOUD COMPUTING

Figura 6. Gráfica que ilustra ideas de servicio en Cloud Computing - Tomada de Patriot Software

Page 12: CARTILLA SEMANA.pdf

12 [ POLITÉCNICO GRANCOLOMBIANO]

De acuerdo con la guía de seguridad de áreas críticas en Cloud Computing v 3.0, la Cloud Security Alliance (CSA) define esta como “un modelo para proporcionar acceso ubicuo, conveniente y bajo demanda a un conjunto de recursos de computación configurable, como redes, servidores, almacenamiento, aplicaciones y servicios”. La anterior definición fue ajustada del estándar NIST 800-145 (NationalInstitute of Standards and Technology). El NIST define Cloud Computing bajo cinco características, tres modelos de servicio, y cuatro modelos de despliegue que se describen a continuación: Características

Multi-tenancy (Puesta en común de recursos): uso de los mismos recursos o aplicaciones por parte de múltiples consumidores que pueden pertenecer a la misma organización o a organizaciones diferentes. [CSA]

Servicio de auto demanda: el consumidor puede abastecer sus requerimientos de forma automática sin requerir la interacción humana con cada proveedor de servicio. [CSA]

Amplio acceso a la red: Las capacidades están disponibles en la red y se accede a ellas a través de mecanismos estándar que fomentan el uso por parte de plataformas de clientes heterogéneas tanto ligeras como pesadas (Ej.: teléfonos móviles, portátiles, entre otros.) [CSA]

Elasticidad y rapidez: Las capacidades pueden suministrarse de manera rápida y elástica, para poder realizar el redimensionado rápidamente. Las capacidades aparecen como ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier momento. [CSA]

Servicio supervisado: Los sistemas de nube controlan y optimizan el uso de los recursos de manera automática utilizando una capacidad de evaluación en algún nivel de abstracción adecuado para el tipo de servicio como procesamiento, ancho de banda, que pueden seguirse, controlarse y notificarse, aportando transparencia para el proveedor y el consumidor. [CSA]

Page 13: CARTILLA SEMANA.pdf

13 [ TEORÍA DE SEGURIDAD ]

Modelos de servicio Cloud Computing maneja tres modelos de servicio que tienen relaciones e interdependencias:

Figura 7. Definición por capas de componentes de cloud computing - Tomado de Cloud Security Alliance

Infraestructura como servicio (IaaS): se ofrece una infraestructura computacional

(normalmente un entorno de virtualización de plataforma) como un servicio, junto con

almacenamiento puro y gestión de la red. El cliente puede desplegar software arbitrario,

este no gestiona ni controla la infraestructura, pero controla sistemas operativos,

almacenamiento, aplicaciones desplegadas y tiene control limitado de componente de red

(Ej.: puede hospedar firewalls.) [CSA]

Plataforma como servicio (PaaS): entrega de una plataforma de computación y una pila de

soluciones como un servicio. Este modelo facilita el despliegue de aplicaciones sin el costo y

la complejidad de comprar y gestionar el hardware y el software subyacentes, así como las

capacidades de aprovisionamiento del alojamiento. [CSA]

Page 14: CARTILLA SEMANA.pdf

14 [ POLITÉCNICO GRANCOLOMBIANO]

Software como servicio (SaaS): modelo de entrega de software en el que se alojan el

software y sus datos asociados centralizadamente, y el acceso por los usuarios se realiza

usando un cliente ligero, normalmente un navegador web. [CSA]

Al entender las relaciones y dependencias entre los modelos, es importante comprender los riesgos asociados a la seguridad. IaaS es la base de todos los servicios, PaaS tiene su base en IaaS y SaaS tiene su base en PaaS; se trata de una cadena en profundidad. Se heredan capacidades y aspectos relativos a riesgos en seguridad de la información.

Modelos de despliegue Se cuenta con cuatro formas en las que se despliegan los servicios en la nube:

Nube pública: La infraestructura de nube se pone a disposición del público en general y su

infraestructura es propiedad y es gestionada por una organización que vende los servicios

en la nube. [CSA]

Nube privada: La infraestructura de nube se gestiona únicamente para una organización.

Puede ser gestionada por la organización o un tercero y puede existir tanto en sus

instalaciones como fuera de ellas. [CSA]

Nube comunitaria: La infraestructura de nube la comparten varias organizaciones y soporta

una comunidad específica que tiene preocupaciones y requisitos similares, como, políticas,

consideraciones sobre cumplimiento normativo, requisitos de seguridad, entre otros. Puede

ser gestionada por las organizaciones o un tercero y puede existir en las instalaciones o

fuera de ellas. [CSA]

Nube híbrida: La infraestructura de nube es una composición de dos o más nubes (privada,

comunitaria o pública) que se mantienen como entidades separadas pero que están unidas

por tecnología estandarizada o propietaria que permite la portabilidad de datos y

aplicaciones. [CSA]

Una vez comprendidos los componentes del Cloud Computing, se debe analizar cuales riesgos implican estos tipos de tecnologías, entre los principales se pueden citar:

Page 15: CARTILLA SEMANA.pdf

15 [ TEORÍA DE SEGURIDAD ]

“PÉRDIDA DE GOBERNANZA: al utilizar las infraestructuras en nube, el cliente necesariamente cede el control de una serie de cuestiones que pueden influir en la seguridad al proveedor en nube. Al mismo tiempo, puede ocurrir que los Acuerdos de nivel de servicio no incluyan la prestación de dichos servicios por parte del proveedor en nube, dejando así una laguna en las defensas de seguridad. VINCULACIÓN: la oferta actual en cuanto a herramientas, procedimientos o formatos de datos estandarizados o interfaces de servicio que puedan garantizar la portabilidad del servicio, de las aplicaciones y de los datos resulta escasa. Por este motivo, la migración del cliente de un proveedor a otro o la migración de datos y servicios de vuelta a un entorno de tecnologías de la información interno puede ser compleja. Ello introduce la dependencia de un proveedor en nube concreto para la prestación del servicio, especialmente si no está activada la portabilidad de los datos como aspecto más fundamental. FALLO DE AISLAMIENTO: la multiprestación y los recursos compartidos son características que definen la computación en nube. Esta categoría de riesgo abarca el fallo de los mecanismos que separan el almacenamiento, la memoria, el enrutamiento e incluso el renombre entre los distintos proveedores (por ejemplo, los denominados ataques «guesthopping». No obstante, debe considerarse que los ataques a los mecanismos de aislamiento de recursos (por ejemplo, contra hipervisores) todavía son menos numerosos, y su puesta en práctica para el atacante presenta una mayor dificultad en RIESGOS DE CUMPLIMIENTO: la inversión en la obtención de la certificación (por ejemplo, requisitos reglamentarios o normativos del sector) puede verse amenazada por la migración a la nube: Si el proveedor en nube no puede demostrar su propio cumplimiento de los requisitos pertinentes Si el proveedor en nube no permite que el cliente en nube realice la auditoría. En determinados casos, también significa que el uso de una infraestructura pública en nube implica que no pueden alcanzarse determinados niveles de cumplimiento (por ejemplo, con PCI DSS (4)). COMPROMISO DE INTERFAZ DE GESTIÓN: las interfaces de gestión de cliente de un proveedor en nube público son accesibles a través de Internet, y canalizan el acceso a conjuntos de recursos más grandes (que los proveedores tradicionales de alojamiento), por lo que plantean un riesgo mayor, especialmente cuando son combinados con el acceso remoto y las vulnerabilidades del navegador de web. PROTECCIÓN DE DATOS: la computación en nube plantea varios riesgos relativos a la protección de datos tanto para clientes en nube como para proveedores en nube. En algunos casos, puede resultar difícil para el cliente en nube (en su función de controlador de datos) comprobar de manera eficaz las prácticas de gestión de datos del proveedor en nube, y en consecuencia, tener la certeza de que los datos son gestionados de conformidad con la ley. Este problema se ve

Page 16: CARTILLA SEMANA.pdf

16 [ POLITÉCNICO GRANCOLOMBIANO]

exacerbado en los casos de transferencias múltiples de datos, por ejemplo, entre nubes federadas. Por otra parte, algunos proveedores en nube sí proporcionan información sobre sus prácticas de gestión de datos. Otros también ofrecen resúmenes de certificación sobre sus actividades de procesamiento y seguridad de datos y los controles de datos a que se someten, por ejemplo, la certificación SAS 70. SUPRESIÓN DE DATOS INSEGURA O INCOMPLETA: cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede con la mayoría de sistemas operativos, en ocasiones el proceso no elimina definitivamente los datos. En ocasiones, la supresión adecuada o puntual de los datos también resulta imposible (o no deseable, desde la perspectiva del cliente), bien porque existen copias adicionales de datos almacenadas pero no disponibles o porque el disco que va a ser destruido también incluye datos de otros clientes. La multiprestación y la reutilización de recursos de hardware representan un riesgo mayor para el cliente que la opción del hardware dedicado. MIEMBRO MALICIOSO: aunque no suelen producirse habitualmente, los daños causados por miembros maliciosos son, con frecuencia, mucho más perjudiciales. Las arquitecturas en nube necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos son los administradores de sistemas de proveedores en nube y los proveedores de servicios de seguridad gestionada.” [ENISA] El reto en cuanto a seguridad de la información es brindar adecuado tratamiento a los riesgos identificados, salvaguardando la información de las organizaciones. BIG DATA

Figura 8. Definición de componentes cercanos a Big Data

Page 17: CARTILLA SEMANA.pdf

17 [ TEORÍA DE SEGURIDAD ]

De acuerdo con la definición propuesta por IBM, “Big Data es una tendencia en el avance de la tecnología que ha abierto las puertas hacia un nuevo enfoque de entendimiento y toma de decisiones, la cual es utilizada para describir enormes cantidades de datos (estructurados, no estructurados y semi estructurados) que tomaría demasiado tiempo y sería muy costoso cargarlos a una base de datos relacional para su análisis. De tal manera que, el concepto de Big Data aplica para toda aquella información que no puede ser procesada o analizada utilizando procesos o herramientas tradicionales. Sin embargo, Big Data no se refiere a alguna cantidad en específico, ya que es usualmente utilizado cuando se habla en términos de petabytes y exabytes de datos.” En otras palabras hablamos de minería de datos sobre grandes volúmenes de información, lo que a simple vista no supone un cambio a prácticas actuales, sin embargo, al analizar en detalle si se pueden identificar riesgos asociados a la preservación de la privacidad ya que una de las tendencias es poder identificar perfiles de comprador, de cliente, etc. en otros términos, contar con grandes volúmenes de datos acerca de las personas para poder así conocer más sus gustos o aficiones para ofrecer productos. Por otra parte, ante estas grandes cantidades de datos, surgen preguntas respecto a cómo proteger la información personal y cómo seguridad de la información está apoyando este tipo de tecnologías. INTERNET DE LAS COSAS

Figura 9. Representación de Internet of theThings - Tomado de Business Insider

Page 18: CARTILLA SEMANA.pdf

18 [ POLITÉCNICO GRANCOLOMBIANO]

Internet of The Things no es una nueva tecnología, por el contrario como lo presenta CISCO, consiste en una red de objetos físicos que acceden a través de Internet. Estos objetos cuentan con tecnologías embebidas que les permiten interactuar con estados internos o externos. Es decir, cuando los objetos pueden comunicarse cambia el cómo toman decisiones y para quién lo hacen. Así, como el concepto presentado establece que es posible bajo el uso de estas tecnologías de conexión realizar nuevas actividades con dispositivos, incluso permitiendo su control y administración remota, presenta un amplio riesgo a la seguridad de la información dado que se suman nuevos equipos sobre los cuales es necesario identificar las comunicaciones que establecen, cómo hacen uso de la red y cómo son accedidos evitando también su uso para temas de espionaje o control gubernamental como se observará más adelante. Entonces, la Internet de las cosas supone un nuevo reto para la seguridad de la información en nuestros días. OTRAS TENDENCIAS Por mencionar otras tendencias que vale la pena revisar a profundidad se tienen:

Bring Your Own Device o el reto de los dispositivos móviles en las organizaciones

Teletrabajo

Aplicaciones móviles con acceso a toda nuestra información

Impresoras 3D

Máquinas inteligentes VIGILANCIA Y ESPIONAJE DIGITAL Finalmente, al hablar de vigilancia y espionaje digital vienen a colación polémicas como las generadas en años anteriores con la publicación de información por parte de Wikileaks (fundación creada por Julian Assange), así como la información que fue revelada por el ex trabajador de la Agencia de Seguridad Nacional de los Estados Unidos Edward Snowden. Sin embargo este tema va más allá y ha sido un constante choque entre gobiernos y entidades que buscan el respeto a la privacidad e intimidad de las personas a lo largo del mundo.

Page 19: CARTILLA SEMANA.pdf

19 [ TEORÍA DE SEGURIDAD ]

En las últimas informaciones publicadas se hablaba de espionaje por parte de países empleando canales de comunicaciones de uso público de sus ciudadanos e incluso la manipulación de hardware y software, incluyendo algoritmos de cifrado, por parte de agencias de inteligencia en varios países. Como profesionales de seguridad de la información estos temas brindan luces con respecto a riesgos existentes dentro de las organizaciones tales como espionaje industrial, sabotaje, entre otros. El fortalecimiento de controles respecto al acceso a la información tanto de personal interno y por supuesto externo, así como la definición de mecanismos a través de los cuales se realizará dentro de lo legal, el monitoreo de actividades del personal, esto debe estar acorde a lo definido como uso aceptable de activos de información y políticas de la organización. Entra a ser una tarea parte de las actividades diarias de los responsables de seguridad el identificar tráficos inusuales desde y hacia equipos en la organización, así como comunicaciones por canales encubiertos (actualmente las botnets funcionan a través de puertos como 25 empleados por el protocolo de envío de correos SMTP, puertos de IRC e incluso ya se observan grados de sofisticación tales como uso de HTTPS empleando certificados digitales o uso de algoritmos desconocidos para esta tarea. Asimismo, es necesario fortalecer el proceso de educación a las personas con el fin de que eviten ser víctimas de ataques de ingeniería social que se han ido popularizando a través de los últimos años con la masificación de herramientas para este propósito, así como el aprovechamiento de las debilidades en seguridad de dispositivos móviles.Es decir, ser altamente proactivos para identificar posibles amenazas o aprovechamiento de vulnerabilidades en la infraestructura de las organizaciones ya que están siendo utilizados como mecanismos de espionaje, ex filtración de información hasta el punto de chantaje. Es también muy importante la implementación de mecanismos de cifrado para datos e información protegiéndola de acceso no autorizado. El mejor consejo es siempre estar alertas. 7. Bibliografía [CCNPIC]CNPIC - ¿Qué es una Infraestructura Crítica? – Centro Nacional para la Protección de las Infraestructuras Críticas – 2010 – Disponible en: http://www.cnpic-es.es/Preguntas_Frecuentes/Que_es_una_Infraestructura_Critica/index.html [OEA1 ]Misión de asistencia técnica en seguridad cibernética, conclusiones y recomendaciones – Organización de Estados Americanos. 2014. Disponible en: http://www.oas.org/documents/spa/press/Recomendaciones_COLOMBIA_SPA.pdf

Page 20: CARTILLA SEMANA.pdf

20 [ POLITÉCNICO GRANCOLOMBIANO]

[TREND12] “Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas

de los gobiernos”, TrendMicro – OEA - 2012. En línea disponible en:

http://www.oas.org/es/ssm/cyber/documents/oastrendmicrolac_spa.pdf

[ENISA] “Computación en la Nube - Beneficios, riesgos y recomendaciones para la seguridad de

la información”, ENISA - 2009. En línea disponible en:

http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-

risk-assessment-spanish/at_download/file

[CSA] GU AS DE SEGURIDAD DE REAS CR TICAS EN CLOUD COMPUTING .0, Cloud Security

Alliance, 2011. Disponible en: https://www.ismsforum.es/ficheros/descargas/guia-

csa1354629608.pdf, última consulta: 1 de Junio de 2014