Guía de Boas Prácticas “A seguridade da información nas PEMES galegas” www.infojc.com
Índice Qué ofrece esta guía de seguridade da información ............................ 4 1.1 Introdución............................................................................................................................... 5 1.2 Cal é o obxectivo do proxecto.................................................................................................. 6 1.3 Que é unha acción de apoio e acompañamento a formación................................................. 7
Orixes e xustificación desta guía........................................................ 10 2.1 Contexto: A seguridade da información nas PEME galegas .................................................. 11 2.1.1 Análise da implantación nas TIC .................................................................................................. 12 2.1.2 Análise da percepción das políticas sobre Seguridade da Información....................................... 15 2.1.3 Análise da implantación da Seguridade da Información ............................................................. 18
2.2 Referencias e estudios sobre dita temática ........................................................................... 20
Boas prácticas en seguridade da información nas pemes galegas ....... 24 3.1 Area de seguridade ................................................................................................................ 25 3.1.1 Seguridade da información .......................................................................................................... 25 3.1.2 Xestión da seguridade da información ........................................................................................ 27
3.2 Área de prevención ................................................................................................................ 29 3.2.1 Exemplos de malas prácticas (a erradicar) en materia de seguridade da información nas PEMEs galegas .................................................................................................................................................. 34
Conclusións....................................................................................... 38 4.1 Grupo Expertos ...................................................................................................................... 40 4.2 Grupo Xerentes ...................................................................................................................... 43 4.3 Grupo Usuarios Base (ou Tipo) .............................................................................................. 44 4.3 Conclusións grupos ................................................................................................................ 45
2
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Anexos ............................................................................................. 48 5.1 Marco legal............................................................................................................................. 49 5.1.1 Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD)............................................... 50 5.1.2 LISSI- CE ........................................................................................................................................ 55
5.2 Glosario .................................................................................................................................. 57 5.3 Formación .............................................................................................................................. 68 5.4 Recursos web ......................................................................................................................... 71
Bibliografía ....................................................................................... 73
www.infojc.com
3
Qué ofrece esta guía de seguridade da información nas pemes galegas
1
www.infojc.com
4
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
1.1 Introdución En calquera tipo de organización (Empresa, Asociación, Administración, etc.), a seguridade dos datos é unha seria preocupación, destacando todo o relacionado coa seguridade interna da mesma, pois a maioría dos problemas de seguridade proceden de ataques internos ou dun uso indebido por parte do persoal da empresa (tanto da información, coma dos recursos informáticos da mesma, etc.). A maioría dos sistemas de detección, monitorización, predición e control da seguridade teñen en conta soamente os ataques procedentes do exterior, que aínda que numerosos, non son os que causan os danos máis graves. A maior parte das ferramentas de seguridade interna que se empregan:
Non son dabondo ou non se aplican de maneira axeitada (contrasinais, bloqueos,actualizacións, etc.).
Ademais, a maioría delas son sistemas intrusivos que necesitan ser instaladas en todas as máquinas, cun custo computacional considerable
Non teñen en conta que as persoas que actúan no espectro directivo (directores, xerentes, xefes de departamento...), non teñen por qué ser expertos en informática (e de feito, a miúdo non o son).
As organizacións necesitan incrementar o seu nivel de seguridade da información, xa que novas ameazas, tanto internas como externas, poñen en perigo os seus sistemas cunha clara repercusión nos seus procesos de negocio. Isto obriga a introducir novas tecnoloxías e estratexias que permitan enfrontarse a estas novas ameazas, que reducen a competitividade e a produtividade das empresas, e asegurar así unha correcta protección. Pero a xestión de riscos das TI non debe centrarse só na seguridade (un aspecto que chama a atención principalmente polo seu alto impacto), senón que tamén se deben contemplar outros aspectos, coma os
www.infojc.com
5
asociados á DISPOÑIBILIDADE (polas negativas consecuencias que se estenden a toda a cadea de valor), e ao cumprimento do marco legal (LOPD/LSSI), etc. Finalmente, hai que complementar a implantación de tecnoloxías coa adopción de procesos de xestión de seguridade, que permitan utilizalas axeitadamente para monitorizar de forma continuada, e reaccionar con eficacia ante os incidentes e mesmo prevelos antes de que sucedan. Debemos dispor de tecnoloxía de seguridade proactivas (a diferenza dos modelos reactivos, que actúan xa cando o dano está feito), que permitan ir un paso por diante das ameazas, garantindo a mellor protección posible. Datos que corroboran a necesidade de implantación de medidas de seguridade interna: Actualmente, segundo Verizon máis do 23% dos problemas nas organizacións proveñen de usuarios autorizados; dos non autorizados, máis do 40% proveñen de colaboradores. Dentro da empresa, en máis do 50% dos casos son os administradores, e nun 41% os empregados. O informe reflicte tamén que ao redor dun 70% das empresas actualizan a súa seguridade cunha frecuencia superior ao ano, mentres que o nivel medio dos atacantes é “básico” nun 80%, e o 52% dos ataques teñen unha dificultade baixa. Non deixa de ser unha realidade preocupante, dado que nin os ataques teñen que ser moi elaborados, nin o perfil dos executores moi sobresaínte, para que o resultado teña un impacto elevado na viabilidade da actividade. Segundo Symantec, o 99% das empresas dispoñen de antivirus, o 87% de firewall, pero só o 34% dispón de sistemas de copia de seguridade (backup) e recuperación. O 75% non utilizan cifrado de información, e preto do 55% non dispón de ferramentas para facer fronte a vulnerabilidades. O 35% non informa aos empregados sobre a política de Seguridade, ou o que é peor, non conta con ningunha (arredor do 16%). Máis do 20% apunta ao custo como un obstáculo. Un 34% argumenta a falta de tempo e coñecementos. Se a isto lle engadimos as malas prácticas, así como as incidencias involuntarias (que tamén resultan en buracos de seguridade), faise necesaria a elaboración desta guía, co fin de transmitir os seus resultados e contribuír así á mellora da seguridade da información nas PEMES.
1.2 Cal é o obxectivo do proxecto O obxectivo desta acción consiste en incrementar o nivel de seguridade da información nas PEMES galegas, polo que primeiramente se procede a radiografar a situación do sector (obtendo e analizando os parámetros actuais do mesmo), para de seguido pasar a determinar e propoñer as medidas precisas para mellorar dita realidade. Todo elo desagregado en tres perfís xenéricos na empresa: Directivo, Técnico e Usuario Tipo, para poder recoller mellor a súas demandas específicas. Para acadalo, faise primeiro un estudio cualitativo da situación actual (revisión de documentación, indicadores, etc., das fontes referentes na materia), complementado coas aportacións de tres grupos de discusión (Expertos, Xerentes, Traballadores Base), que focalizarán de inicio as liñas a seguir, para logo ir
6
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
avaliando se o desenvolvemento da Acción se axusta ao proposto, e propoñer actualizacións que axuden a acadar os obxectivos marcados. Como proposta de valor engadido, realizarase a maiores un estudio cuantitativo sobre o estado xeral da seguridade da información nas PEMES galegas, que será totalmente anónimo, estruturado en tres perfís xenéricos (Directivo, Técnico, e Usuario Base- ou Tipo), e o máis representativo posible respecto da realidade do noso tecido produtivo. Agárdase que a presente guía supoña un medio sinxelo, intuitivo e fiable para mellorar a xestión da información e a seguridade da mesma nas PEMES galegas, o cal mellorará decisivamente na súa produtividade, e por extensión nun incremento da súa competitividade. Faise todo elo coa expectativa final de que redunde nunha mellora global das organizacións, que mesmo incrementarán as súas expectativas de Expansión e Internacionalización.
1.3 Que é unha acción de apoio e acompañamento a formación Esta iniciativa encádrase dentro das Accións de Apoio e Acompañamento á Formación da Dirección Xeral de Formación e Colocación (Consellería de Traballo e Benestar) da Xunta de Galicia, na convocatoria 20102011. Ditas accións perseguen como obxectivos xenéricos os seguintes:
Mellorar a calidade das accións formativas estendendo o subsistema de formación profesional para o emprego cara a ámbitos en que aínda non están plenamente introducidos (especialmente no eido das PEME)
Contribuír á adaptación e evolución das profesións e os contidos dos postos de traballo
Acadar unha mellora nas competencias e cualificacións (indispensables para manter e fortalecer a situación competitiva das empresas e a cualificación das persoas traballadoras ocupadas e desempregadas).
Isto abrangue dende iniciativas que desenvolven traballos de investigación e innovación (como é o caso que nos ocupa), ata outras de información e orientación profesional dirixidas a traballadores e traballadoras en activo ou desempregados, etc. Son acción financiadas pola citada Consellería de Traballo e Benestar, e polo Fondo Social Europeo (FSE), e neste caso foinos concedida a seguinte acción a InfoJC SL: “Guía de boas prácticas: a Seguridade da Información nas PEME Galegas”. Se desexa obter máis información ao respecto, pique aquí para consultar a orde correspondente que regula ditas accións. www.infojc.com
7
En resumo, o obxectivo primordial desta acción consiste en incrementar o nivel de seguridade da
información nas PEME galegas, polo que primeiramente se procede a radiografar a situación do sector (obtendo e analizando os parámetros actuais do mesmo), para de seguido proceder a determinar e propoñer as medidas precisas para mellorar dita realidade. Todo elo desagregado en tres perfís concretos en cada empresa: Directivo, Técnico e Usuario Tipo, para recoller as súas necesidades específicas, e responder así mellor ás súas demandas.
8
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
www.infojc.com
9
Orixes e xustificación desta guía
2 www.infojc.com
10
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
2.1 Contexto: A seguridade da información nas PEME galegas No caso particular do territorio galego, convén destacar dous condicionantes principais: A) Por unha banda, existe un déficit estrutural para a correcta xestión da Seguridade da Información nas PEME, e é o despregue dunha Banda Larga (BL) asumible (en prezo), dispoñible (que chegue á totalidade da demanda) e efectiva (que teña unhas características de servizo óptimas), o feito diferencial que posibilite a redución da referida fenda. Non hai que obviar que actualmente aínda existe (estimación) entre un 11-16 % de demanda empresarial de BL non cuberta no territorio galego (datos 2010 do Observatorio para a Sociedade da Información e a Modernización de Galicia, OSIMGA- e do INE), o que supón un lastre importante á hora de competir en igualdade de condicións nesta economía global. Iso permitiría desde, por exemplo, realizar os periódicos “backups” en liña (facer as copias de seguridade a través da rede de datos), as pertinentes actualizacións de seguridade dos programas e aplicacións empregados (antivirus, sistema operativo, buscadores…). Para acadar a superación do mesmo, e poñerse á altura dos demais competidores, estase facendo un esforzo importante tanto a nivel nacional como no relativo á Administración Autonómica (Axenda Dixital de Galicia 2010-2014). De maneira que a finais do citado plan estímase que se estea en condicións de superar a actual fenda dixital, e poderase dispoñer dunhas condicións mínimas de acceso ás TICs.
B) E noutro ámbito, a maior conciencia en canto ás ameazas reais de seguridade da información (que ademais medran de xeito exponencial), pero que contrasta coa falta da adopción real de ditas políticas de seguridade (segue faltando a implantación práctica das mesmas) A contorna galega caracterízase por unha escasa formación e unha acusada diverxencia entre a percepción de dita temática e a aplicación real da mesma. Esta razón representa quizais a máis difícil de esquivar e superar, xa que por moita infraestrutura e medios que se dispoña, se non existe conciencia social de perigo e non se adoitan as medidas de protección oportunas, será inevitable desembocar en resultados nefastos ao realizaren prácticas de risco. De feito, varios estudos sobre seguridade da información (ESET, PANDA, SYMANTEC, INTECO…),
www.infojc.com
11
seguen reflectindo actualmente á enxeñería social como unha das causas máis importantes de perigo para a información sensible. É dicir, o elo máis débil da cadea segue sendo o factor humano. Débese distinguir entre as dúas posibilidades xerais para ver comprometida a información dunha organización:
Por accesos externos: enténdese intencionados.
Por ataques ou condutas de risco que proveñen do interior da propia empresa (que adoita ser a vía máis importante). De feito, máis da metade das incidencias1 se deben a esta liña, e dentro da mesma, máis da metade das mesmas están motivadas polo ¡administrador de sistemas! (o
As razóns principais poden ser:
Por dolo: Motivacións económicas, de comportamento (celos, resentimento …)
Por ignorancia ou falta de capacitación: Combátese con formación, ademais de con a aplicación e un estrito cumprimento das políticas e protocolos de seguridade.
2.1.1 Análise da implantación nas TIC É un feito facilmente contrastado o peso primordial, e que vai “in crescendo” cada día que pasa, do uso das Tecnoloxías da Información e a Comunicación (TICs) a todos os niveis da nosa sociedade: como usuarios particulares, a nivel Administración e Institucións, e como non, a nivel empresarial. É máis, a crise do actual modelo produtivo (baseado nos sistemas produtivos tradicionais) fai imperiosa a reconversión do mesmo cara a outro modelo baseado no I+D+i, onde a importancia das TICs como sector transversal faise patente a todos os segmentos: esténdese e confirma o feito de que o uso das TICs é o medio para acadar os obxectivos, e non o mero fin dos mesmos.
Crecemento da produtividade do traballo e contribución das TICs (UE, EE.UU. e España)
1
Verizon, “Informe sobre investigacións de fendas na seguridade dos datos 2010”
12
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
A tendencia xeral apunta a uns mellores indicadores medios a nivel UE27 (similares en xeral coas medias mundiais- salvo excepcións como países altamente imbuídos da Sociedade da Información, coma Xapón …), cuns indicadores inferiores a nivel nacional, e aínda máis acusado ese desfase a nivel galego. Mentres tanto, tamén cabe destacar que en certos indicadores non só se acada a media nacional, senón que ata se supera a europea (uso das novas tecnoloxías por mozas entre 14-25 anos, e- administración, etc.), o que denota a posibilidade real de equipararnos no resto de indicadores (aínda cando nalgúns o esforzo esixido sexa longo e persistente). Apuntar que o tecido produtivo galego caracterízase pola fragmentación (máis do 95 % das PEME son de menos de 10 traballadores2), primando a área de servizos- onde a inmensa maioría non vai dispoñer dun administrador de sistemas/ seguridade, por iso é polo que sexa explicable o enorme contraste no tema da seguridade da información existente coas empresas máis grandes (con políticas xa definidas e implantadas no tema). Todo iso sen obviar a importancia cada vez maior do propio sector TIC, tal como testemuñan os seus indicadores actuais (INE, OSIMGA…). De feito, no actual contexto de crise é dos poucos sectores que non perde emprego, senón que o xera. Así o testemuña o informe do OSIMGA, que referenda o feito de que o sector empresarial das TIC ocupa unha posición estratéxica pola súa capacidade de xeración de emprego. O nivel de emprego no sector TIC situouse no ano 2009 nos 16.327 traballadores/as, o que representa o 1,59% da poboación ocupada galega. A evolución da ocupación neste sector mostra un continuo crecemento nos últimos anos.
Nº de empregados do sector TIC de Galicia
Segundo as directrices da “Axenda dixital de Galicia” (2010- 2014), dentro da Estratexia Global da actual Administración Autonómica (Xunta de Galicia) en materia tecnolóxica, contémplase unha achega de 935 millóns (m) €, que sumados ao financiamento privado alcanzará os 1600 millóns de € totais.
2
Observatorio para a Sociedade da Información e Modernización de Galicia (OSIMGA)
www.infojc.com
13
Estímase que se traducirán na creación de máis de 12.000 empregos, e en aumentar a actividade económica en 800 millóns de €, incrementado a súa achega ao PIB do 4.8 % actual ao 6 % agardado en 2014. De seguido menciónanse os obxectivos principais do plan de banda larga de Galicia (2010- 2013), xunto á súa temporalización, para logo confrontalo cos obxectivos xa cumpridos. Estes son os indicadores actuais, e a previsión de mellora dos mesmos:
Datos da cobertura de Banda Larga (BL) en Galicia (OSIMGA) 2010
Indicar o avance notable alcanzado para dotar de servizos de BL á comunidade Galega, onde só en 2010 conseguiuse facilitar o acceso a máis de 250.000 cidadáns que pola súa situación xeográfica tíñano imposible antes (cita do OSIMGA). Dita noticia constitúese como claro exemplo do peso do factor xeográfico sobre o devandito déficit, sendo a principal causa da fenda dixital entre a Galicia costeira- atlántica (máis poboada) e a interior (rural). Debido a iso, a Administración está realizando un plan con dúas vertentes principais:
Primeiro subvencionar a instalación de BL en zonas que inicialmente non dispoñían dela.
Para logo nunha segunda fase incentivar e facilitar a existencia de varias alternativas, que se traduzan nunha maior competencia e servizos máis competitivos.
Aínda así, segue existindo un agravio comparativo no acceso á BL en España respecto de Europa, que aínda se fai máis patente en Galicia (tal como indica o informe da Comisión do Mercado das Telecomunicacións- CMT de decembro de 2010): presenta a comparativa das mellores ofertas a xuño de 2010 nos diferentes países da UE-27.
14
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
De acordo co estudo, os paquetes de banda ancha e voz a velocidade media (de 2 Mb a 10 Mb) son un 21,2% máis caros en España respecto da media das mellores ofertas europeas3 en prezos axustados por paridade de poder adquisitivo (PPP). As ofertas de velocidade media aglutinan o 60% do total das liñas. En España, a mellor oferta pódese contratar por 32 € PPP, mentres que a media europea é de 26,4 € PPP. O informe da CMT tamén compara o desembolso que supón para un usuario español contratar unha oferta de banda ancha co operador histórico (Telefónica) con respecto ao desembolso que fan outros usuarios do resto de Europa ao contratar cos seus respectivos operadores “incumbentes” (Deutsche Telekom, KPN, BT, Eircom, Telecom Italia, etc). Neste apartado, a mellor oferta do incumbente español de banda ancha máis voz no tramo de velocidade media é un 84,6% superior á media das mellores ofertas en Europa, ao representar un desembolso de 58,7 € PPP, fronte aos 31,8 € PPP de media en Europa. O diferencial de prezos en España entre a mellor oferta do mercado (Orange: 32 € PPP) e a do incumbente a xuño de 2010 (58,7 € PPP) é de 26,7 € nos paquetes de velocidade de 2 a 10 Mb/s, o rango máis representativo. Esta diferenza de prezos, que se mantivo case constante nos dous últimos anos, impulsou a captura de clientes por parte dos operadores alternativos. Os subministradores de rede e os operadores que compiten con Telefónica alugando parte da súa infraestrutura, suman unha cota de mercado conxunta de case o 47% fronte ao 43% de 2008.
2.1.2 Análise da percepción das políticas sobre Seguridade da Información En varios estudos se reflicte a relaxada percepción e a pouca importancia que lle outorgan as empresas nacionais ao devandito ítem. Por exemplo, citar o “Estudo sobre a privacidade e a seguridade dos datos persoais no sector sanitario español” (Inteco, 11-02-2011), dividido segundo as causas que se argumentan para elo. O citado estudo reflicte que aproximadamente a metade das pequenas e microempresas españolas carecen da sensibilización, formación e concienciación necesaria para considerar a criticidade de que as súas compañías dispoñan de medidas de resposta fronte a situacións de continxencia grave. Ao seu xuízo estas situacións teñen unha probabilidade tan baixa de ocorrer, que non compensa investir en tales medidas e prefiren asumir o risco (19,1%). Outro 14,2% indica que é un gasto innecesario tendo en conta o custo do seu implantación.
3
Comisión para o Mercado das Telecomunicacións (CMT)
www.infojc.com
15
Gráfico que ilustra as principais razóns para non implantar un PCN (INTECO)
En definitiva, teñen unha percepción errónea dos riscos/ameazas que poidan sufrir e de que a probabilidade de que aconteza unha continxencia que, de non ser atallada a tempo, pode converterse en grave. Citar como exemplo desta segunda vía o artigo de Kasperssky Lab (11/ 01/ 2011), onde se detallan certos aspectos do anteriormente exposto: “… non é no exteriror onde está o elo máis vulnerable da cadea de seguridade na contorna das tecnoloxías da información e a comunicación (TIC). Neste sentido, o talón de Aquiles segue estando dentro das organizacións”. “Por unha banda, están os traballadores, profesionais e executivos que non son conscientes da necesidade de aplicar normas e precaucións. E polo outro, os empregados “infieis” ou vingativos cos seus patróns ou xefes directos”. De acordo coas estatísticas de Trend Arxentina:
O 60% utiliza o porto USB da súa computadora para copiar datos ao “pendrive”.
O 30% usa o webmail (correo electrónico baseado na web, como o Windows Live Hotmail, o Gmail ou o Yahoo Mail) ou mensaxería instantánea persoal.
O resto divídese entre o correo corporativo da empresa e a impresión dos documentos.
16
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Para Dimitri Bestuzhev (analista de seguridade de devandita firma), o método varía dependendo do nivel de coñecemento técnico da persoa. “Xeralmente, as fugas danse a través do correo electrónico ou dos programas de mensaxería instantánea, aínda que tamén adoitan empregarse os métodos de almacenamento nos dispositivos tipo USB ou CD/DVD”. Bestuzhev agregou que “os datos que son roubados con maior frecuencia son aqueles que son de interese para a competencia ou significarán unha ganancia financeira para o que os posúa. Adoitan ser cuestións como plans de negocios, carteiras de clientes actuais ou información financeira da compañía, como os seus investimentos, gastos, pagos, etc.”. Citando a Microsoft, os delincuentes que operan en Internet poden usar tecnoloxía avanzada para obter acceso ao seu equipo, ou ben recorrer a algo máis sinxelo: a enxeñería social. A enxeñería social ofrece aos delincuentes un medio de obter acceso ao seu equipo. Polo xeral, a finalidade da enxeñería social é instalar de forma secreta “spyware” ou algún outro tipo de software malintencionado, para tentar convencerlle de que facilite os seus contrasinais ou outra información confidencial de carácter persoal ou financeiro. Os delincuentes de Internet consideran máis fácil aproveitarse da natureza humana que das vulnerabilidades do software ou do hardware (e os feitos así o confirman). De seguido se enumeran os principais tipos de enxeñería social4 que se presentan: · Suplantación de identidade (“phishing”): Constitúe a forma máis frecuente de enxeñería social. Para estafas de “phishing”, empréganse mensaxes de correo electrónico ou sitios web fraudulentos nos que se intenta que facilite información persoal, que logo se empregará con ánimo fraudulento. · Spear phishing: Os timadores de “spear phishing" (variante do Phising clásico) envían mensaxes de correo electrónico que parecen auténticos a empregados ou membros dunha determinada empresa, organismo, organización ou grupo: é polo tanto un ataque máis “dirixido”, porque leva referencias concretas ao branco do mesmo. Podería incluír solicitudes de nomes de usuario e contrasinais, ou conter software malintencionado, coma troianos ou virus. · Correo electrónico engañoso: As mensaxes de correo electrónico enganoso preséntanse de distintas maneiras: dende unha estafa na que se lle pide axuda para sacar diñeiro doutro país (a miúdo, Nixeria, Europa do Leste, etc.), ata un aviso de que gañou algo nun sorteo...O estafador intenta que envíe cartos ou revele información financeira que poida usarse para roubarlle cartos, a súa identidade ou ambos. Como queda patente nos exemplos anteriores, non deixa de ser unha actualización da fraude de toda a vida aos tempos actuais, onde a rede se erixe como medio fundamental de comunicación e de comercio.
4
Wikipedia, artigo sobre “Seguridade da información”, actualizado o 09/02/2011
www.infojc.com
17
2.1.3 Análise da implantación da Seguridade da Información Situación a nivel Europeo Respecto de os incidentes que afectan aos sistemas TIC das empresas nos Estados membros da EU27, indícase5 que o 12% das empresas europeas de 10 ou máis empregados/as (UE27) experimentaron problemas de seguridade debidos a fallos en hardware ou software. Este dato ascende en Galicia ao 19,7% das empresas deste segmento, fronte ao 19,1% da media española. O 5% das empresas da UE perderon ou viron modificados os seus arquivos por infeccións de virus no sistema, aínda que o dato español está por encima da media europea cun 11,1%, só superada por Eslovaquia e Portugal (cun 23% e un 14%, respectivamente). Este indicador sitúase en Galicia no 10,2%. En xaneiro de 2010, a metade das empresas da UE27 xa utilizaba unha contrasinal forte ou un hardware para a identificación de usuarios. O 62,8% das empresas galegas fronte ao 61,8% das empresas españolas utiliza estas mesmas medidas para protexer as súas redes informáticas, o que as sitúa en cuarto lugar na Unión Europea, segundo “Eurostat”.
Situación a nivel nacional Para devandita análise tómanse como referencia os estudos actualizados (máis recentes) dos organismos de referencia: ONTSI, INE…
Táboa de indicadores sintéticos sobre o estado da SI en España, Observatorio Nacional das Telecomunicacións e a SI (ONTSI)
5
Statistical Office of the European Communities (Eurostat)
18
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Os anteriores indicadores son un reflexo estimado da implantación da Sociedade da información (SI) en España, sumado a unha comparativa cos anos anteriores que permite contrastar a evolución seguida.
Táboa de datos relativos á seguridade das empresas en España, ONTSI
Afondando na situación nacional, segundo o informe de seguimento da SI 2010, ONTSI (dato tomado do Instituto Nacional de Estatística- INE), só o 33.1 % das empresas a nivel nacional (das que dispoñen de acceso a internet) contan cunha política de seguridade definida formalmente e revisable regularmente.
Comparativa de medidas de seguridade TIC nas empresas a nivel nacional (INE)
www.infojc.com
19
Situación a nivel autonómico En relación coa seguridade nas TIC, o 29,1% das empresas galegas de 10 e máis asalariados/as definen unha política propia cun plano de revisión regular, fronte ao 32,7% que rexistra a media estatal. Os sistemas internos de seguridade máis empregados nas empresas galegas deste segmento son a autenticación mediante contrasinal segura (61,5%) e o 'backup' de datos externos (34,1%).
2.2 Referencias e estudios sobre dita temática De seguido se citan varios documentos e estudos que ilustran dita realidade a nivel xeral. Informe de Principais Ameazas a nivel mundial, CISCO 2008, onde destaca que:
A preocupación principal do 33% dos profesionais de TI era a perda ou roubo de datos a través de dispositivos USB.
O 39% dos profesionais de TI a nivel mundial estaba máis preocupado polas ameazas provenientes dos seus propios empregados que pola dos piratas informáticos externos.
O 27% dos profesionais de TI admitiu que non coñecía as tendencias da perda de información dos últimos anos.
Enquisa sobre preparación de PEMES en caso de desastres (2011 SMB Disaster Preparedness Survey), Symantec, 2011 (relativa a datos de 2010), que avalía a actitude e as prácticas de pequenas e medianas empresas (PEMEs) e dos seus clientes en relación coa preparación ante desastres. Principais conclusións:
Non é unha prioridade ata que se ven afectadas
Os custos de solucionar son superiores que os de previr
Pode verse comprometida a viabilidade da organización
As consecuencias non só son económicas, se non legais, de imaxe (reputación), etc.
A enquisa observou que o 36% das PEMES tenta establecer un plan de preparación ante desastres no futuro. A medida que estas e outras organizacións deseñan plans, Symantec ofrece as seguintes recomendacións:
Plan de continuidade de negocio: debería incluír a identificación de sistemas e datos crave para o funcionamento da empresa, os seus recursos críticos.
Involucrar aos empregados: deberían formarse sobre boas prácticas en seguridade informática e sobre o que deberían facer cando a información bórrase de forma accidental ou cando non poden atopala con facilidade nos seus arquivos. Como as PEMEs teñen escasos recursos, todos os empregados deberían saber como recuperar a información empresarial en caso de desastre
20
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Realice probas frecuentes e actualice: para comprobar que o plan é efectivo
Unha sinxela planificación pode permitir ás PEMES protexer a súa información en caso de desastre o que, á súa vez, axudaralles a establecer unha maior confianza cos seus clientes”. 2º Barómetro Internacional de Seguridade nas PEMES, Panda Security extráense varias reflexións:
(xullo 2010). Do mesmo
Entre o 11-13 % das compañías enquisadas non teñen instalado ningún sistema de seguridade (apenas variación co ano 2009)
As solucións máis utilizadas son o antivirus e o “firewall”, aínda que resulta paradoxal en cambio a baixa utilización de “antispam”.
A pesar do contexto de crise, mantense o orzamento destinado á seguridade nas PEMES, cando non se incrementa lixeiramente.
Só o 40 % dos empregados reciben algún tipo de formación en seguridade, algúns de balde e outros de pago “É obvio que nun escenario de control de gastos, debería reforzarse dita vía para “previr antes que curar”.
Gráficos cos datos de formación en Seguridade en empresas,
www.infojc.com
21
Panda Security 2010
O nº de infeccións das empresas españolas é similar ao do resto de países europeos (59 %), sendo en EE. UU. e Canada menor, mentres que en Latinoamérica increméntase notablemente (ata o 65 %).
Igualmente chama a atención o dato que recolle que un 41% das PEMEs españolas e un 31 % das europeas non conta cunha persoa dedicada á seguridade informática.
No que se refire ás empresas que non contan cun sistema de seguridade, destacan como argumentos principais esgrimidos os seguintes: o 43 % en España (36 % en Europa) estima que non é necesario ou importante, cando no ano 2009 se impoñía o prezo como causa principal.
Pero aínda cabe incidir en implicar e formar a todos os estamentos da empresa, para que a seguridade sexa unha máxima a todos os niveis.
Sen esquecer o feito de migrar dos actuais sistemas reactivos (antivirus …) a solucións máis integrais, especializadas e proactivas, que fagan fronte ao incremento exponencial de ameazas actuais: antivirus con tecnoloxía proactiva, sistemas baseados en SaaS (Security as a Service), filtros antispam, protección perimetral, programas antispyware, servidores de respaldo/ NAS de datos …
Citar como exemplo da temática o Artigo de Fortinet (CSO 04-02-2011), que ilustra a importancia das vulnerabilidades internas debidas ao factor humano e cita varias das súas vertentes. De seguido se enumeran as sete principais vías polas que unha rede pode verse infectada desde o seu interior e as pautas para evitalo:
1) Os lectores USB, outros End-Points: (cámaras e marcos dixitais, reprodutores de MP3), Medios Ópticos (CDs …), Smartphones e outros dispositivos dixitais (tabletas, PDAs…) A ubicuidade destes lectores e a súa potencialidade para eludir as solucións “Data Leak Prevention” (DLP) tradicionais, levou aos “hackers” a desenvolver “malware” específico que se executa de forma automática ao conectar a chave ao porto USB (“Conficker”, “Stuxnet”…). O recomendable sería impedir que se executen estes dispositivos automaticamente (xa incorporado en varios programas de serie), ademais de reforzar o control e as políticas sobre o emprego dos mesmos.
2) Portátiles e Netbooks Todas as compañías teñen información sensible que non debe saír das súas oficinas. Isto convértese nun perigo cando a información está almacenada nun portátil non seguro. Una solución sería: Implantar un sistema de arquivado por encriptación para os datos sensibles.
22
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
3) Puntos de Acceso inalámbrico (APs) Os ataques a redes inalámbricas son comúns e causaron graves danos. Recoméndase usar o protocolo máis seguro, xunto cun AP capaz de ofrecer autenticación e reforzar as medidas de seguridade.
4) Conexións internas: Xestión de usuarios (control de accesos) Os empregados dunha compañía non poden acceder, accidental ou premeditadamente, a áreas da rede corporativa ás que non deberían ter acceso. Débense cambiar as claves regularmente e cumprir coas políticas de autenticación e acceso.
5) O troiano humano Pode entrar na empresa camuflado baixo diversos aspectos, desde un home de negocios ata alguén cun mono de operario, e en menos dun minuto pode infectar a rede corporativa desde a sala de servidores. Hai que recordar aos empregados que se debe identificar a persoas alleas á organización, cumprindo a política de control de accesos.
6) A mente prodixiosa Ademais destas medidas para mitigar as posibles ameazas que supón a tecnoloxía dixital, non debemos esquecer que a mente humana é unha gran base de datos. A mellor salvagarda é ser consciente e estar alerta de calquera ameaza sempre que esteamos manexando información sensible: bloqueo de equipos ao ausentarse, emprego de contrasinais seguras e confidenciais, etc.
7) E-mail Os “mails” poden ser en si mesmos un foco de infección. Identificar a fonte é clave. Podemos coñecer quen é o emisor utilizando tecnoloxía PGP ou cunhas cantas preguntas antes de enviarlle información sensible. Débese reforzar o control dos accesos ás direccións de alias, usar filtros “antispam”, así como recordar aos empregados as políticas de seguridade da compañía.
www.infojc.com
23
Boas prácticas en seguridade información nas pemes galegas
da
3
www.infojc.com
24
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
3.1 Area de seguridade
3.1.1 Seguridade da información Citando á Wikipedia, “enténdese por seguridade da información a todas aquelas medidas preventivas e reactivas do home, das organizacións e dos sistema tecnolóxicos que permitan resgardar e protexer a información, procurando manter a confidencialidade, a autenticidade e a integridade da mesma” (así coma o non repudio - proba de quen e cando a recibe/envía). Dito doutro xeito, pódese entender como seguridade un estado de calquera sistema (informático ou non) que nos indica que ese sistema está libre de perigo, dano ou risco. Enténdese como perigo ou dano todo aquilo que poida afectar ó seu funcionamento directo ou aos resultados que se obteñen do mesmo. Para a maioría dos expertos o concepto de seguridade é utópico porque non existe un sistema 100% seguro (non hai seguridade absoluta). Por iso considérase que a seguridade é un proceso continuo de mellora, polo que as políticas e controis establecidos para a protección da información deberán revisarse e adecuarse, de ser preciso, ante os novos riscos que xurdan, a fin de tomar as accións que permitan reducilos e, no mellor dos casos, eliminalos. É importante xa que logo, resaltar a importancia que se lle dá dentro de medios gobernamentais, políticos, empresariais ou educativos. Para que a información flúa dun lugar a outro sen inconvenientes (ou que o faga cos permisos ou autorizacións pertinentes) existe a seguridade e custodia de datos. Para explicar isto falarase da xestión da seguridade da información e a auditoría de sistemas. Para que un sistema se poida definir como seguro debe ter as catro características antes referidas6:
6
Integridade: “A información só pode ser modificada por quen está autorizado. Isto é que non se realicen modificacións por parte de persoas co acceso non autorizado aos datos, información ou procesos e que non se realicen modificacións non autorizadas por persoal autorizado aos mesmos. A información será consistente tanto interna como externamente”.
Wikipedia, artigo sobre “Seguridade da Información”, actualizado o 09/02/2011
www.infojc.com
25
Confidencialidade: “A información só debe ser lexible para os autorizados. Isto implica a prevención do acceso non autorizado á información (xa sexa en forma intencional ou non)”.
Dispoñibilidade: “A información, datos ou recursos deben estar dispoñible para o persoal adecuado cando se precisen”.
Irrefutabilidade (Non Rexeitamento ou Non Repudio): “Que non se poida negar a autoría”.
Dependendo das fontes de ameaza, a seguridade pode dividirse en dúas ramas principais7:
Seguridade lóxica: "aplicación de barreiras e procedementos que resgarden o acceso aos datos, de modo que só se permita acceder a eles ás persoas autorizadas para facelo."
Seguridade física: “aplicación de barreiras físicas e procedementos de control, como medidas de prevención e contramedidas ante ameazas aos recursos e á información confidencial”
Outros termos a ter en conta ó falar de seguridade informática son (METER ALGúN ICONO -Por exemplo a presentación da casa)8:
Activo: “Recurso do sistema de información ou relacionado con este, necesario para que a organización funcione correctamente e acade os obxectivos propostos”.
Ameaza: “É un evento que pode desencadear un incidente na organización, producindo danos materiais ou perdas inmateriais nos seus activos”.
Impacto: “Medir a consecuencia ó materializarse unha ameaza”.
Risco: “Posibilidade de que se produza un impacto determinado nun activo, nun dominio ou en toda a organización”.
Vulnerabilidade: “Posibilidade de ocorrencia da materialización dunha ameaza sobre un activo”.
Ataque: “Evento, exitoso ou non, que atenta contra o bo funcionamento do sistema”.
Desastre ou Continxencia: “Interrupción da capacidade de acceso á información e procesamento da mesma”.
Destacar que risco e vulnerabilidade son conceptos diferentes, debido a que a vulnerabilidade está ligada a unha ameaza,mentres que o risco o está a un impacto.
7
Artigo dispoñible na web http://www.segu-info.com.ar, “Seguridade Lóxica”
8
Artigo dispoñible na web http://www.monografias.com, “Seguridade da Información_Auditoría de Sistemas”
26
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Tendo en conta o anterior, pódese resaltar que entre os activos máis importantes para unha organización está a información e, por conseguinte, a custodia da mesma.
Esquema ónde se detallan as principais relacións entre varios conceptos da SI
3.1.2 Xestión da seguridade da información A xestión da seguridade da Información defínese coma o “conxunto de metodoloxías, prácticas e procedementos que buscan protexer a información como activo valioso, co fin de minimizar as ameazas e riscos continuos aos que está exposta, a efectos de asegurar a continuidade do negocio (plan de continuidade de negocio e/ou de recuperación ante desastres), minimizar os danos á organización e maximizar o retorno de investimentos e as oportunidades do negocio (e no caso de cada individuo, de protexer a identidade e a privacidade)”. Podería resumirse como o conxunto de políticas de administración e emprego da información de xeito seguro e controlado. Esta xestión soe guiarse por unha serie de normas estándar (ISO, UNE, etc.) que adoitan englobarse nun sistema de Xestión de Seguridade da Información (SGSI), sendo o máis empregado o que dicta a norma ISO 27001. Partindo e aplicando a soada frase de Lord Kelvin (1824-1907): "O que non se define non se pode medir. O que non se mide, non se pode mellorar. O que non se mellora, degradase sempre", un Sistema de Xestión da Seguridade da Información debe ter establecidos criterios de medición da eficacia e a eficiencia para mellorar de xeito continuo e adaptarse á consecución dos obxectivos perseguidos.
www.infojc.com
27
No ámbito da seguridade da Información, o Plan de Continuidade de Negocio (INTECO) é a forma na que calquera organización xestiona a implantación de medidas de prevención ante ameazas que poidan afectar aos mecanismos de negocio ó desenvolvemento da mesma. O Plan de Continuidade de Negocio debe ser apoiado dende a propia Dirección da Organización e prevé os orzamentos e recursos necesarios (materiais, empregados, formación, etc.) para poder asegurar dita continuidade. Así, a fórmula básica de calquera plan de continuidade contempla as seguintes actividades9:
Preparación: “Define as estratexias a seguir ante unha situación de crise, analizando plans e procedementos de resposta, así como a forma de mitigar os riscos identificados”.
Prevención: “Debe realizarse unha labor continua de vixilancia, identificando e avaliando as medidas xeradas para a mitigación dos riscos que se identificaron”.
Resposta: “Xestión dos recursos asignados para posibles crises”.
Recuperación: “Levar á organización á situación normal de actividade unha vez superada unha situación de crise”.
Sendo os riscos un dos maiores problemas na seguridade, recomendase ter tres planos de actuación: un para o peor dos casos, outro para estados intermedios e outro máis para circunstancias favorables. Gradación dos protocolos de resposta
Localización no tempo do RTO e o MTD antes de que unha empresa sufra perdas graves
A seguinte ilustración amosa de maneira visual o concepto Tempo de Recuperación Permitido (RTO), que é o tempo asumible sen risco para a organización; e a súa relación co Tempo Máximo Permitido de
9
Instituto Nacional das Tecnoloxías da Comunicación (INTECO), “Guía práctica para PEMEs, Como implantar un plan de continuidade de negocio”, 2010
28
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Interrupción (MTD) – que é o límite para a viabilidade da organización (considerando a ocorrencia nalgún momento do tempo dun desastre). Canto máis curtos son o RTO e o RPO, máis complexos e caros son os plans de continuidade de negocio (precísanse tempos de resposta máis rápidos). Estes dous parámetros deciden tamén as diferentes estratexias de recuperación. Deste xeito poderase mitigar o hipotético dano que se poida provocar, pois se tomaron medidas. Non se pode dicir que a seguridade garanta un 100% de tranquilidade (xa que cada día aparecen novas vulnerabilidades e máis sofisticados ataques, etc.), pero o que é seguro e que propicia que os sistemas sufran menos conflitos e estean en condicións de ser recuperados se fora preciso. No caso de que a información confidencial dunha empresa (os seus clientes, as súas decisións, o seu estado financeiro ou nova liña de produtos, etc.), caera en mans dun competidor e se volvera pública de forma non autorizada, podería supoñer unha importante perda de credibilidade dos clientes (dano de imaxe), perda de negocio, demandas legais ou ata a creba da mesma, polo que protexer a información confidencial é un requisito do negocio, e tamén un imperativo ético e unha obriga legal. A seguridade é un proceso continuo de mellora, por moi seguro que sexa un sistema, sempre se pode mellorar (de maneira que nunca se debe baixar a garda).
3.2 Área de prevención Hoxe en día, os datos da nosa empresa, a información sensible, constitúe o activo máis importante da nosa actividade, o que nos diferenza fronte ó resto. Por iso mantelos seguros convértese nunha cuestión de capital importancia. Neste capítulo ofrecese información, exemplos, consellos, boas prácticas, etc., co fin de evitar comportamentos e/ou situacións de risco que poidan comprometer a seguridade dos nosos datos ou, no seu defecto, minimizalas no posible. Insistir no feito de que a seguridade está a mudar, a actualizarse, motivada polas circunstancias (dinámicas), dende un enfoque tradicional “reactivo”, a outro máis actual e “proactivo”. En xeral, pódese resumir dicindo que este último aborda a temática dende un punto de vista integral (global, a todos os niveis), e ten en conta tódolos actores e recursos susceptibles de ameaza, de maneira que se fundamenta en tres grandes piares: Tecnoloxía, Procesos, e Persoas.
Tecnoloxía: emprego de ferramentas “orixinais” actualizadas (Hw/ Sw)
Procesos: políticas e procedementos de actuación definidos, claros e asumibles.
Persoas: capacitación e sensibilización de “todos” os recursos humanos no eido da seguridade. Para esixir, primeiro hai que formar e concienciar, para que todos se “involucren”: ¡A seguridade da información é tarefa de todos!
www.infojc.com
29
Por elo, existen distintos tipos de medidas que convén empregar para remediar dito problema: dende ferramentas e solucións de Hardware/ Software de Control e Análise (a nivel interno), ata solucións de protección do “perímetro” co exterior, sen esquecer o apartado referido ás políticas e procedementos seguros. Respecto ó primeiro caso, atopamos as solucións antivirus e antimalware en xeral (antispam, antiphishing, etc.), as cales é absolutamente preciso ter correctamente actualizados ás versións máis recentes. Dita política de “versións oficiais máis recentes” é extensible a calquera tipo de software ou hardware empregado, incluíndo navegadores, solucións de ofimática, etc. Dito isto, introducimos De seguido o concepto de seguridade perimetral, que se define como a “barreira de protección” que hai entre a rede local da nosa empresa (LAN) e a exterior (WAN). Actualmente, debido ó progresivo uso das TIC e ó incremento e modificación de accesos á rede, este perímetro está cambiando continuamente e facéndose máis extenso e, polo tanto, tamén máis vulnerable.
Esquema tipo de seguridade perimetral nunha organización
Anteriormente primaban as medidas de seguridade física, baseadas en controlar os accesos ó lugar onde se atopaban as máquinas, pero por mor da evolución tecnolóxica dos últimos anos, as vías de acceso á información (dispositivos, canles, etc.) diversificáronse e incrementáronse, polo que a implantación de medidas de seguridade lóxicas foi inevitable (barreiras e procedementos que resgardan o acceso aos datos). Por iso, insistir de novo en que a maneira de entender a seguridade da información mudou de xeito significativo nos últimos anos, introducindo e primando as medidas “proactivas” (evitar a aparición do
30
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
risco ou minimizalo no posible) sobre as anteriores medidas “reactivas” (responder unha vez aparecido o dano). A principais medidas a adoptar poderían ser:
Uso de Routers, Firewall (devasas- “cortalumes”), DMZ (zonas desmilitarizadas)...
Uso de dispositivos de detección (IDS) e defensa (IPS) ante “intrusións” (accesos non autorizados)
Segmentación das distintas barreiras (Proxy, Firewall, Servidor de Comunicacións) e principio de redundancia: Fragmentase o sistema de acceso, intercalando distintos elementos de protección en serie, ademais de, polo menos, duplicar as alternativas ante calquera escenario adverso.
Adopción de políticas de seguridade no envío/recepción de información: cifrado de datos, autenticación/verificación, protocolos de comunicación seguros (SSL), etc.
Seguridade/Control de Acceso á rede (NAC).
De seguido engádense outras medidas complementarias do ámbito de procedementos e protocolos de actuación para salvagardar a información (ademais do desenvolvemento dalgunha das anteriores):
Xestión de accesos/Control de permisos a usuarios: Cada usuario terá acceso unicamente á información que precise e será responsable de ditos accesos. O historial de accesos quedará rexistrado para poder identificar fontes de problemas derivados da mala utilización dos accesos concedidos (deber de custodia da información, etc.).
Política de uso de dispositivos portátiles externos (discos duros externos, Pen Drives USB, etc.): O seu uso debería de estar prohibido ou moi delimitado (por exemplo, limitado a contornas seguras como “sandboxes”, para previr posibles contratempos como infeccións, etc.), dado que representan un potencial perigo cara o roubo de información.
Cifrado de datos: É recomendable o cifrado de todos os datos sensibles, especialmente en equipos que poidan ser máis susceptibles ó roubo ou acceso externo (portátiles ou dispositivos externos que saian da organización ou se atopen en lugares de acceso máis xeral ou menos controlado).
Control de acceso a redes sociais no centro de traballo: As últimas novas reflicten o crecente perigo que supón para calquera organización o acceso ás mesmas. Con todo, hoxe en día son imprescindibles a nivel comercial, posto que representan un bo escaparate e unha xanela inestimable de comunicación ó mercado.
Plan de continuidade de negocio (PCN ou, en inglés, BCP) e recuperación ante desastres: como indica o seu nome, é o procedemento encamiñado a solucionar a problemática que se derive de calquera incidencia grave que poña en perigo a actividade da empresa (e, polo tanto, da organización), onde se definen a restauración dos procesos críticos da empresa ante calquera incidencia.
www.infojc.com
31
Seguridade por capas: A información estará “fragmentada”, descentralizada, de maneira que non se poida acceder á mesma na súa totalidade dende un único acceso, senón que haberá que acceder a ela pouco a pouco (e sempre pasando os controis establecidos para cada “capa” ou sección, que tamén se distribuirán por toda a estrutura, co fin de aumentar o éxito no seu propaosito).
Con isto o que se pretende é que só se poida acceder á información estritamente precisa para cada posto de traballo (e aprobada previamente pola Dirección, en función do perfil de usuario).
Por exemplo, un empregado de Administración que se encargue da confección de nóminas vai precisar acceder a distintos datos que non precisará un traballador de Expedición (que controle o envío/recepción das materias primas e produtos).
Firma de acordos/ cláusulas de confidencialidade: Cada usuario ten unha serie de deberes e dereitos respecto da información que manexa, que o compromete á súa salvagarda e custodia.
Formación e capacitación personalizada a todo usuario: Segundo a área e posto de traballo a executar.
Canles seguras de transmisión (VPN, etc.): Tan importante como cifrar a mensaxe é protexer o medio de transmisión do mesmo.
Os protocolos de seguridade son un conxunto de regras na transmisión de datos que tentan garantir as características antes mencionadas: confidencialidade, integridade, autenticación e non repudio da información. Compóñense de:
Criptografía (Cifrado de datos): Cando unha mensaxe é enviada trasponse ou ocultase o contido ata que chega ó seu destino, o cal debe de coñecer a clave de cifrado para poder descifralo. Para un ente intermedio alleo á comunicación entre emisor e receptor, a mensaxe é ilexible e carece de sentido.
Lóxica (Estrutura e secuencia): Orde na cal se agrupan los datos da mensaxe, o seu significado e cándo vai ser entregada.
Autenticación: Validación de identificación é a técnica mediante a cal un proceso comproba que o outro locutor é quen se supón que é e non se trata dun impostor.
Por outro lado, existen outras medidas que soen ir incluídas dentro do Plan de Continuidade de Negocio e que, dada a súa importancia, cabe destacar neste apartado. Serían:
Copias de seguridade (Backup): Duplicado da información que se considera esencial para a viabilidade da empresa, que permite restituíla no caso de incidencia ou desastre.
Principio de redundancia: Refírese ó feito de dispoñer sempre dunha alternativa, dun plan B, ante calquera continxencia que poida acontecer. Podería explicarse coma o feito de poñerse sempre
32
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
no peor escenario posible no sentido de ter preparadas alternativas viables en caso de fallo da principal.
Por exemplo, si se interrompe o subministro de rede na empresa, dispoñer dunha rede alternativa (módem USB, etc.). Este tipo de medidas aplícanse sempre en función da necesidade de dispoñibilidade de cada apartado do servizo.
Por todo o anterior, a Xestión de Sistemas de Información abarca varios procesos complementarios entre si, e que dependerán da natureza do mesmo (parte do PCN)10: A) Identificación e cualificación da información (“para protexer, primeiro débese coñecer qué é importante”). O seu manexo está baseado na tecnoloxía e debemos coñecer qué pode/debe ser confidencial: pode ser divulgada, mal empregada, roubada, borrada ou sabotada. Isto afecta á súa dispoñibilidade e pona en risco. Segundo isto, a información pódese clasificar en11:
Critica: É indispensable para a operación da empresa.
Valiosa: É un activo importante para a empresa.
Sensible: Debe ser coñecida só polas persoas autorizadas
B) Análise dos riscos aos que se enfronta (ou pode sufrir), ponderación, e catalogación dos efectos potenciais. Imponse unha avaliación obxectiva de ditos riscos (en función das características de cada organización), e a súa posterior ponderación (posibilidade de acontecemento, impacto- resultado do mesmo, etc.) e catalogación.
Tipos de Impacto
Descrición do Impacto
Operativos
Actividades de negocio que deixan de esta ren funcionamento ou o custe das horas de traballo perdidas polos empregados
Económicos
Custes directos ou indirectos como, por exemplo, o lucro cesante ou o dano emerxente
Regulatorios ou contractuais
Sancións por incumprimento legal ou penalizacións por incumprimento do contrato con clientes
Imaxe
Relación de aspectos máis intanxibles e por tanto máis difíciles de valorar como a imaxe, a fiabilidade e a reputación da organización fronte a clientes, provedores e accionistas Descrición dos principais tipos de impacto (INTECO)
10
Instituto Nacional das Tecnoloxías da Comunicación (INTECO)
11
Wikipedia, artigo sobre “Seguridade da Información”, actualizado o 09/02/2011
www.infojc.com
33
C). Medidas a implantar en cada circunstancia, para de inicio tentar previr e eliminar (ou, no seu defecto, mitigar/controlar) os posibles perigos aos que se enfronta o uso da información. É vital ter asignada unha Reacción proporcional a cada Acción, para coñecer en todo momento cómo actuar en función do acontecido (parametrización de reaccións). D). Medir e actualizar a concordancia dos resultados cos obxectivos agardados, a fiabilidade do sistema e o programa de mellora continua. Hai que coñecer o grao de funcionamento das medidas aplicadas para comprobar a idoneidade das mesmas e promover a súa optimización.
3.2.1 Exemplos de malas prácticas (a erradicar) en materia de seguridade da información nas PEMEs galegas En xeral, as malas prácticas soen ser consecuencia dunha falta de sensibilidade ou de coñecemento cara o problema da seguridade. En xeral, estas poden ser melloradas con información e formación, que constitúen algúns dos fitos desta guía. Como a seguridade ten diferentes niveis, así tamén os teñen os riscos que afronta, derivados dos procesos de tratamento diario. Lembrar que diferentes estudos están de acordo en que unha das vías principais de riscos respecto da seguridade da información provén do interior das propias organizacións, polo que de seguido se enumeran algúns exemplos de malas prácticas (e os seus resultados), coa posible solución xenérica aos mesmos.
CASO PRÁCTICO: Divulgación do segredo industrial
34
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
CASO PRテ,TICO: Suplantaciテウn Identidade dixital
CASO PRテ,TICO: Envテュo de Spam
www.infojc.com
35
CASO PRÁCTICO: Denial of Service
CASO PRÁCTICO: Infección Malware
36
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
CASO PRテ,TICO: Phising
CASO PRテ,TICO: Sniffing
www.infojc.com
37
Conclusións
4 www.infojc.com
38
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Unha vez achegados ao tema da Seguridade da Información, vendo a súa complexidade e comprobando a súa aplicación a todas as áreas, poderíanse salientar as seguintes conclusións, respecto da análise dos documentos de referencia citados ao longo da guía:
Maior concienciación (debido á maior esixencia do mercado- da demanda): Cada vez máis empresas esixen o cumprimento de ditas políticas aos seus provedores ou subcontratistas, así como aos procesos de concurso da Administración pública.
Maior esixencia legal e normativa: Por exemplo,dende comezos de ano téñense que efectuar as comunicacións coa Administración de xeito telemático, de maneira que é imperativo legal garantir a seguridade de toda esa información.
Unha vez vista a perspectiva do tema, existe un déficit tecnolóxico e de infraestruturas, pero que se está salvando a pasos axigantados debido á imperiosa necesidade (motivada pola crise) de axeitar o noso actual modelo produtivo a unha nova economía internacionalizada e baseada na investigación e a innovación (aplicada, orientada a resultados), que nos conduza a produtos/ procesos e servizos de elevado valor engadido, e que nos diferencie dos nosos competidores. Pero tamén é obvio que por máis que se salve dita fenda dixital, e de que exista unha maior concienciación da importancia da seguridade, pouco se conseguirá si esta non vén acompañada dunha maior aplicación de ditas políticas de seguridade da información, que capaciten a todo o espectro de usuarios fronte á incipiente e incremental ameaza que se cerne sobre o emprego de devanditas tecnoloxías (incremento de comunicacións/ transaccións a través da web, etc.). A información eríxese coma un dos principais activos da actividade de calquera organización, e se se vise comprometida, os efectos adversos que diso se derivarían poderían ser moi rápidos (pola importancia dos tempos de resposta na economía de hoxe) e funestos (ata poderían supoñer a paralización da actividade, poñendo en perigo a súa propia viabilidade). Por conseguinte, non deixa de ser paradoxal que os datos reais reflictan o escaso esforzo que se dedica a garantir esa información sensible, da cal depende a nosa proposta de valor:
Escasa adopción de SGSI: políticas, procedementos …
Modesto porcentaxe de realización/ actualización/ comprobación de copias de seguridade de devandita información
Baixa implantación de plans de continuidade de negocio, etc.
www.infojc.com
39
E tamén resultan esclarecedores (e preocupantes), os datos que indican a disparidade existente entre a percepción que se ten e o estado real sobre devandita cuestión, o que denota a falta de formación en devandito campo. Ditas informacións (Plan de continuidade de negocio e recuperación ante desastres, INTECO), indican a escasa concienciación respecto ao tema da seguridade, cando a realidade reflexa que é bastante máis alcanzable protexerse e previr, que actuar logo de verse afectado (cando aínda hai posibilidade de recuperar, que non é sempre). De feito, a maioría das organizacións só modifican esa deriva unha vez que se ven afectadas por un incidente de importancia que fai perigar a subsistencia da propia organización: proba que denota a carencia de formación específica para a seguridade da empresa a todos os niveis de organización da mesma. Sumado á adopción de dispositivos tecnolóxicos (HW/ SW) automáticos de protección (antivirus, antimalware …), filtrado (devasas, DMZ…), detección e defensa de intrusións (IDS/ IPS), etc., destaca a importancia da adopción de medidas de capacitación e formación a todos os niveis da organización en función da actividade realizada (para concienciar sobre a importancia da seguridade;e en último termo responsabilizar a cada usuario dos seus actos). Resúmense agora os aspectos que xurdiron nos respectivos grupos de traballo realizados no transcurso do deseño desta Acción de Apoio
4.1 Grupo Expertos Situación actual Descoñecemento LOPD A primeira das ideas que quedou clara na exposición dos expertos foi o grande descoñecemento que hai sobre a lexislación en materia de protección de datos (LOPD). Temos unha das normativas máis restritivas da UE sobre este tema e na maioría dos casos os empresarios descoñecen a que están obrigados e cales son os pasos que deben dar para cumprir coa lei de protección de datos: por exemplo, soen estar inscritos os ficheiros cos datos, pero non soen comprobarse nin actualizarse...
Falta de sensibilidade respecto da temática Outra das cousas que tamén parece ser de xeral acordo é a falta de sensibilidade, ou de actitude receptiva en canto o tema da seguridade. Aquí se expuxeron diferentes causas: tales como a falta de formación, os custes elevados e a complexidade do problema, etc., xa que acadar un nivel de seguridade eficaz supón na maioría das arquitecturas unha enorme complexidade de procesos que precisan de persoal especializado ou de xestión externa. Esta actitude de certa desidia por parte dos responsables, parece ser unha resposta ás prioridades da empresa. É dicir, a seguridade da información non se entende como prioritaria, en parte porque non hai unha consciencia do perigo que se está a asumir, ou o que é o mesmo, non se ten coñecemento do nivel de desprotección e risco que isto supón.
40
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Polo tanto, outro acordo ao que se chegou foi que na maioría das empresas (tanto grandes, como pequenas), existe unha enorme falta de sensibilidade cara a importancia do tema da seguridade. Isto supón o primeiro e o máis importante obstáculo, posto que esta falta de sensibilización, tanto cara o risco de perda como do roubo ou mal uso, fai que as medidas de seguridade sexan moi baixas ou ineficaces a todos os niveis. Exemplos ilustrativos disto serían por exemplo:
Que ou ben non se considera primordial a seguridade da información na organización ata que ocorre un incidente relativo á mesma (que compromete información sensible da mesma)-> É entón cando se “visualiza” o impacto do mesmo
Ou que non se comproba a fiabilidade nin a corrección das copias de seguridade efectuadas, etc...
Deseño de aplicacións sen seguridade Outra das cuestión que se sinalou no grupo foi o feito de que a maioría das aplicacións se deseñan sen seguridade, e dicir, que primeiro se pensa nunha solución para unha necesidade e logo se pensa na seguridade desa solución, o que implica que a seguridade sexa un proceso externo ou de desenvolvemento de calquera software.
A seguridade como problema cultural Falouse tamén da seguridade como un problema cultural, posto que o risco non se percibe xa que non se ensina, non se transmite, e en moitos casos aínda non se entende o valor da información, resulta un tanto complicado dado o nivel de abstracción que a sociedade entenda o custo tan elevado que supón protexer os datos. A seguridade depende principalmente do factor humano, que é o causante da meirande parte dos problemas de seguridade, o que nos leva a falar da súa formación e da súa capacitación, manipular datos ou acceder a eles supón ser consciente do nivel de responsabilidade que conleva esa tarefa.
A seguridade na nube (cloud computing) Tamén se dixo que o futuro está na nube, pero esta é unha perspectiva que aínda está por darse (e menos no campo primordial de aplicación desta guía- pyme e micropymes). Non obstante, destácanse as posibilidades e tamén os perigos da mesma (exemplos de fallos no servizo: Amazon, Google...), de maneira que se conclúe que falta aínda un longo percorrido para a súa avaliación e posta a punto.
www.infojc.com
41
Ausencia dun Marco Legal específico En especial, faise fincapé na ausencia dun Marco Legal ao respecto, que regule os aspectos máis espiñentos de dita actividade: aloxamento en servidores foráneos (no estranxeiro) de información sensible do país...
Prioridades Establecer roles/ perfís dinámicos Establecer roles dinámicos posto que os perfiles que se propoñen non son ríxidos. Por xemplo, un xerente non sempre se comporta como un administrador do sistema e un técnico non sempre ten todos os permisos para acceder a información sensible. Polo tanto ten máis sentido que non se fale de perfiles ríxidos senón de roles que son representados por persoas diferentes de cada vez. Ademais, é vital que todos coñezan o perfil de traballo dos demais (en especial, un directivo ou técnico debe coñecer a capacidade, formación e motivacións dos empregados tipo), para así divulgar, capacitar e concienciar axeitadamente, e facer partícipes a todo o espectro produtivo da organización da importancia desa temática (e tratar de vencer desa maneira a natural resistencia ao cambio dos usuarios). É máis, inclusive deben entrever que dita mellora pode redundar neles na súa esfera privada (como particulares).
Simplificar e axilizar Simplificar o acceso é outra das cuestión prioritarias, aínda que con evidente controversia, posto que se ben é necesario simplificar o acceso a información, parece ser que isto diminúe a seguridade: cantas máis claves se poñen máis seguro é o sistema, pero pola contra máis complicado é o acceso. Se suprimimos os controis reducimos a seguridade pero facilitamos o traballo cos datos.
Avaliar riscos (para focalizar esforzos) Avaliación dos riscos, esta parece unha ser unha das claves para facer conscientes os xestores do custo real que ten unha mala xestión en seguridade: establecer o custo real da perda ou roubo da información fai que se poda cuantificar o risco e polo tanto que se poda determinar o alcance do mesmo.
Formación Recoméndase a formación para toda a organización como modo de sensibilizar a tódolos traballadores dos riscos, personalizándoa e adaptándoa segundo o perfil e as necesidades específicas.
Adecuación dos plans de estudio Dada a escasa implantación de materias formativas desta temática (SI) nos plans formativos, incídese na necesidade de adecuar e actualizar os plans de estudos (tanto técnicos coma xerais) para incorporar dita capacitación.
42
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Seguridade por capas É vital establecer niveis de importancia para a información, posto que non toda a información da empresa é susceptible de ser protexida, e polo tanto os custos derivados deste proceso poden verse reducidos significativamente. Cómpre pois, determinar os niveis de seguridade para cada tipo de información co fin de establecer unhas categorías que permitan optimizar os custos da seguridade de cada un dos niveis. Ademais, desta maneira cada perfil terá acceso unicamente á información que precise para a súa labor diaria (en especial para o usuario/ traballador tipo), simplificando a capacitación e a labor de seguridade.
Plan de Continuidade de Negocio Destácase a necesidade de incidir na aplicación de Plans de Continxencia e de Continuidade de Negocio, como unha das vías de asegurar o negocio, e como medio de concienciación sobre os posibles riscos a evitar.
4.2 Grupo Xerentes “Fenda Dixital” Coincídese en salientar a importante fenda nas infraestruturas no ámbito da PEME, que contribúe a socavar dita actividade: aínda non é un servizo universal nin competitivo. Por exemplo, aínda a día de hoxe se estima (segundo o Observatorio para a Sociedade da Información de Galicia- OSIMGA) nun 16 % a demanda de Banda Larga (BL) sen cubrir no sector produtivo. Ademais esta BL é máis cara e de menores prestacións ca noutros lugares, o que dificulta competir en igualdade de condicións nesta economía globalizada. Seguridade “simple, automática e asequible” Como era de esperar (e podendo identificalo coma a interpretación no sector do famoso dito popular das “3 Bs” - bo, bonito e barato), o perfil directivo bota en falta unha maior simplicidade na implantación das prerrogativas de seguridade, así como a inexistencia de ferramentas/ aplicacións integrais automáticas que “traten” a totalidade deste eido . Maior análise do apartado de Seguridade Física Aínda que as medidas que máis se estudan son as de tipo lóxico (control de usuarios por contrasinais no propio equipo, etc.), quizais habería que abundar na análise e mellora das medidas de tipo físico (acceso restrinxido por medidas como portas con contrasinais , videovixilancia...), etc. Compañías de Seguros con pólizas axeitadas a dita problemática
www.infojc.com
43
Tamén se insiste na falta de seguros concretos e adaptados a dita temática, que presenten cláusulas e supostos reais e adaptados é realidade do sector. Adiántase que podería estar motivado pola ausencia dunha cultura/ política de seguridade a nivel sectorial: pois se algo non se mide, non se pode cuantificar (e por extensión, non se pode asegurar). Ademais, cantos máis afiliados a ditos seguros, maior competitividade dos mesmos e mellor relación calidade/ prezo.
4.3 Grupo Usuarios Base (ou Tipo) Respecto ás características do cuestionario Estamos a falar dun cuestionario breve (10 minutos), anónimo, cun número reducido de cuestións (36), redactadas de xeito moi sinxelo, concretas e claras, cun baremo claro e definido. Os participantes no grupo de discusión amósanse identificados co modelo de cuestionario proposto e están de acordo coa lonxitude do mesmo, xa que opinan que un empregado pode cumprimentalo en poucos minutos sen que isto afecte ao seu labor profesional cotiá. Os asistentes expoñen diversas dúbidas relativas aos conceptos técnicos incluídos no cuestionario. Ante esta situación, o equipo técnico explícalles que cada concepto técnico irá acompañado da súa definición (acceso a través de hipervínculo ao correspondente glosario, por exemplo), que en función da necesidade que teña cada usuario poderá botar man dela se fora mester, para ampliar a comprensión da pregunta e saír de dúbidas. A análise do cuestionario por parte dos futuros usuarios do mesmo axudou ao equipo de traballo a ter en consideración posibilidades de resposta que non foran observadas anteriormente. Falta de control Os participantes comentan que nalgunhas empresas existe falta de control respecto á seguridade da información. Todos os traballadores son conscientes da importancia de modificar os contrasinais, pero sen embargo recoñecen que adoitan por exemplo anótalos nun post-it á vista de calquera, compártenos cós seus compañeiros por motivos profesionais ou, inclusive, todos os compañeiros teñen o mesmo contrasinal para facilitar as súas labores (polivalencia de cara a suplencia por baixas laborais, vacacións...) Tamén saben que o mais recomendable é gardar os seus datos no servidor da empresa e non nos seus propios equipos, mais por vagancia ou desgana, deixan os datos nos seus equipos conscientes do risco de perda de información valiosa.
44
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Así e todo, os traballadores comentan que mentres que non exista un control por parte da estrutura organizativa da empresa que esixa o cumprimento dos protocolos de seguridade da información, e mentres que o persoal poida eximir responsabilidades ao respecto, non mellorará a concienciación sobre a seguridade da información.
Necesidades de formación Durante o grupo de discusión quedan patentes necesidades de formación aos traballadores en materia de seguridade da información. Descoñécense os perigos de seguridade, como por exemplo os riscos que poden vir por medio do acceso ás redes sociais, ou produto do uso de redes WIFI abertas (sen ningún tipo de seguridade na transmisión), etc. Argumentan que se non se forma e informa sobre os riscos, un non toma conciencia da importancia da información que manexa diariamente no seu posto de traballo. Ademais insístese na ambigüidade do tema: “creo que...”, “a min dixéronme...”, resaltando o feito de que se precisan protocolos e instrucións de traballo sinxelas, claras e asumibles. E xa logo unha vez capacitados, sería cando habería que controlar o axeitado seguimento da seguridade, podendo en último termo esixir responsabilidades polo comportamento de cada un. Por último, e dado o descoñecemento do tema e a falta de recursos existentes neste senso para a súa mellora, apláudese a iniciativa a desenvolver pois é vista como unha mellora global para todos os actores implicados.
4.3 Conclusións grupos En resumo de todo o aportado, enuméranse agora algunhas das recomendacións xerais en función do perfil de usuario escollido Espectro usuario:
Capacitación acorde ás tarefas
Concienciación e responsabilidade: Coñecemento da realización de infraccións e as súas consecuencias e impactos, etc. Logo unha vez sendo conscientes dos riscos e da forma de evitalos, así como da importancia da información como activo principal, pódese esixir un comportamento responsable no manexo da mesma.
www.infojc.com
45
Espectro directivo
Capacitación acorde ás tarefas: Discernir o que pode constituírse como unha ameaza potencial (linguaxe directiva, en forma de cadro de mando integral, para que sexa entendible sen posuír coñecementos informáticos).
Aplicación de Controis de Usuario/ Xestión de acceso, para delimitar a información á que pode acceder cada usuario (antes debe clasificarse e ponderarse a mesma, etc.)
Coñecemento dos posibles perigos aos que se expón a organización, co ánimo de evitalos ou prevelos, ou na súa falta, minimizalos. Por exemplo, que o feito de observar un consumo de ancho de banda excesivo, nun posto de traballo non autorizado e nun horario estraño (fóra da xornada laboral), sexa un indicativo de perigo que o responsable sexa capaz de identificar.
Difusión/ Divulgación: Explicación do porqué das medidas e a súa importancia … Involucrar á todo o persoal
Espectro Técnico
Seguridade por capas: Gradación das medidas de seguridade (en serie)
Medidas razoables, aplicables e entendibles: Para vencer a resistencia ao cambio.
Para abundar no tema, se desexa comprobar o estado xeral da seguridade da información na súa empresa, consulte o seguinte enlace: http://laboratorio.infojc.com:81/ , onde poderá facer unha Autoavaliación, que lle orientará sobre o estado actual da mesma. Así mesmo, tamén dispón doutros recursos de consulta na ferramenta web citada (clasificados segundo áreas), que lle axudarán a acadar unha mellora neste campo. É obvio que queda moito por facer, pero a conxuntura actual indica que é un camiño que non ten volta atrás, e que nos tempos sumamente competitivos nos que vivimos so queda “renovarse ou morrer”, porque xa non vale a opción de quedar atrás.
46
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
www.infojc.com
47
Anexos
5 www.infojc.com
48
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
5.1 Marco legal
O seguinte apartado, realizado con aportacións recompiladas das principais fontes autorizadas (como INTECO, OSI, AEPD, Wikipedia, etc.), ten como obxectivo servir de compendio, modelo e de referencia práctica de cara á xestión eficiente e cumprindo coa lexislación vixente, dos datos “privados” que manipule calquera organización (considerando privado todo aquel dato que non sexa xa de coñecemento público). Aínda que poida parecer que en Internet todo o que se realiza permanece no mundo virtual, na realidade existen un conxunto de leis que regulan o que se pode e non se pode facer. Estas leis non son sempre sinxela de coñecer e de cumprir (aínda que a priori responden ó sentido común), pero pretenden certa equivalencia co mundo real, por exemplo:
Igual que non se pode ler a correspondencia doutra persoa sen o seu consentimento, non se pode ler o seu correo electrónico.
Igual que non se pode entrar nunha casa allea, non se pode acceder aos sistemas informáticos dunha empresa.
En España existen varias normas principais ó respecto, destacando as seguintes: a Lei de Propiedade Intelectual (contra a piratería), a LO 5/2010 (que pena o Hacking), a LOPD (aborda a problemática e lexislación aplicable aos datos de carácter persoal), a LSSI-CE (servizos e comercio), a Lei de Firma Electrónica, etc. Lei de Propiedade Intelectual (LPI): Describe e regula o conxunto de dereitos que pertencen aos autores e outros titulares respecto das obras. Establece por exemplo, que piratear os programas de ordenador (aplicacións e xogos) ou descargar contidos dixitais con copyright (como música ou películas), é delito e prevé multas por elo. Lei Orgánica 5/2010, do 22 de xuño, pola que se modifica la Lei Orgánica 10/1995, do 23 de novembro, do Código Penal: Pena as actividades de Hacking ou intrusión en ordenadores www.infojc.com
Igual que sucede con calquera Lei, o descoñecemento da mesma non exime do seu cumprimento e polo tanto, das súas sancións
49
alleos, coa intención de causar dano o de cometer un delito. Tamén pena o acceso o interceptación de información persoal como correos electrónicos o tráfico de rede. Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD): Define que datos son información que afecte a persoas físicas identificadas ou identificables, e o procedemento a seguir coa súa xestión. Lei de Servizos da Sociedade da Información e Comercio Electrónico (LSSI-CE): Regula o réxime xurídico dos servizos da sociedade de información e o comercio electrónico, e todos os aspectos a ter en conta á hora de realizar transaccións electrónicas. Lei de Firma Electrónica: Regula todos os aspectos referentes ó réxime xurídico,e todos aqueles requisitos que son necesarios para que á hora de realizar comunicacións exista identidade e seguridade. De seguido incídese nas de maior relevancia, explicando a LOPD e a LSSI-CE.
5.1.1 Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD) Definición É a lei que ten por obxecto garantir e protexer, no que concirne ó tratamento dos datos persoais, ás liberdades públicas e aos dereitos fundamentais das persoas físicas (especialmente da súa honra, intimidade e privacidade persoal e familiar). Obxectivo O seu principal obxectivo é regular o tratamento dos datos e ficheiros de carácter persoal (operacións e procedementos técnicos de carácter persoal que permitan a recollida, gravación, conservación, modificación, bloqueo e cancelación; así como cesións que se deriven de comunicacións ou consultas), independentemente do soporte no cal sexan tratados. Afecta aos dereitos dos cidadáns sobre eles, e as obrigas daqueles que os crean ou tratan. Desenvolvemento Defínese por ficheiro de datos persoais a todo conxunto organizado de datos de carácter persoal, calquera que sexa a súa forma, creación, organización e acceso. Entre as súas novidades máis importantes destaca o aumento do ámbito de aplicación da lei aos ficheiros e tratamentos non automatizados ou en soporte papel. ¿A qué está obrigado por crear ditos ficheiros? “Grosso modo”:
Inscribilos no Rexistro Xeral de Protección de datos
Informar e obter consentimento respecto do tratamento
50
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Adoptar medidas establecidas no Novo Regulamento de Protección de Datos 1720/07
Gardar o segredo dos mesmos (privacidade e confidencialidade)
Informar aos titulares dos datos do exercicio dos dereitos de Acceso, Rectificación, Cancelación e Oposición (ARCO)
Dereitos e Deberes de la LOPD Deber de información: Os interesados deberán de ser informados de modo preciso, previo e inequívoco da seguinte información
Que existe un ficheiro ou proceso de tratamento de datos.
Cal é a finalidade da recollida dos datos: Isto quere dicir que se manifeste con absoluta sinceridade a finalidade lexítima coa que se recolleron eses datos.
Obrigatoriedade ou voluntariedade das preguntas efectuadas.
Consecuencias da obtención ou da negativa a subministrar a información.
Posibilidade de exercitar os dereitos de acceso, rectificación, cancelación e oposición (ARCO)
Identidade e dirección do responsable do tratamento.
Para o caso de que os datos foran recompilados doutras fontes distintas ó titular dos datos, é necesario informar de forma expresa, precisa e inequívoca ó titular no prazo de tres meses. Consentimento: O principio de consentimento vai da man do principio de información; de maneira que o interesado, cando estea ben informado, está en condicións de emitir consentimento. A LOPD di que o consentimento debe ser libre, especifico, informado e inequívoco. Así, o consentimento consiste en toda manifestación de vontade libre, inequívoca, específica, na que o interesado consinta o tratamento dos datos que lle concirnen. A LOPD di que o consentimento ten que ser "libre, específico, informado e inequívoco", pero en ningún momento fala de que teña que ser expreso (Ex.: o que outorgamos a través da nosa rúbrica). Ademais, existe outra clase de consentimento, o “tácito”: que consiste en que o consentimento entendese concedido por parte do interesado, sen necesidade de realizar ningún tipo de asentimento. O importante aquí é que o interesado tivo a oportunidade de opoñerse ó tratamento dos seus datos e non o fixo. No caso de certos datos protexidos, o principio de consentimento refórzase:
Se se tratan datos protexidos referentes á ideoloxía, relixión, crenzas e afiliación sindical o consentimento ademais debe ser expreso e escrito.
www.infojc.com
51
Ao tratar datos especialmente protexidos de saúde, vida sexual ou orixe racial, o consentimento debe ser só expreso.
Os Dereitos ARCO: (acceso, rectificación, cancelación, oposición): unha característica común destes dereitos é que son gratuítos e persoais (intransferibles), é dicir, soamente os pode exercer o interesado acreditando a súa identidade. Ademais exércense directamente ante o responsable (non ante o encargado) acreditando a propia identidade. A solicitude destes dereitos deberá conter o nome do interesado e fotocopia do DNI. Estes dereitos teñen uns prazos moi breves, o cal os converte nun mecanismo rápido e efectivo. Pódese facer unha breve definición de cada un deles :
O responsable do ficheiro está obrigado a garantir os dereitos de acceso, cancelación e oposición
Dereito de Acceso: Consiste no dereito do interesado en coñecer se os seus propios datos están sendo obxecto de tratamento. O interesado pode optar polos seguintes sistemas: visualización en pantalla, escrito, copia, fotocopia ou telecopia, correo electrónico ou calquera outro sistema que sexa adecuado á implantación do ficheiro. O responsable resolverá no prazo de 1 mes a contar do envío da solicitude.
Dereito de Rectificación e Cancelación: Consiste no dereito a que se modifiquen datos erróneos ou inexactos. A solicitude deberá ir acompañada de documentación xustificativa. O responsable debe resolver nun prazo máximo de 10 días a contar dende a recepción.
Dereito de oposición: Consiste en excluír datos persoais de ficheiros e tratamentos. O responsable resolverá nun prazo máximo de 10 días a contar dende a recepción da solicitude.
Por outra parte calquera persoa poderá coñecer, recompilando a tal fin a información oportuna do Rexistro Xeral de Protección de Datos, a existencia de tratamentos de carácter persoal, as súas finalidades e a identidade do responsable do tratamento. A consulta é pública e gratuíta. Tutela destes dereitos O responsable do ficheiro está obrigado a garantir o exercicio dos dereitos de Acceso, Rectificación, Cancelación e Oposición dunha maneira gratuíta. Se os interesados consideran que as actuacións dos responsables son contrarias á LOPD, poden reclamar ante a Axencia de Protección de Datos. Na LOPD deixase ben claro que estes dereitos son persoais, aínda que deixase unha vía aberta para que sexan exercitados por medio de representante legal no caso de minoría de idade ou ben incapacidade legal.
So cando o interesado está ben informado, é apto para emitir consentimento
Outras características que deben cumprir:
52
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Deber de segredo: O "deber de segredo" obriga ó responsable do ficheiro e quen interveña en calquera fase de tratamento dos datos a gardar segredo profesional, e tal obriga existe aínda despois de rematar o vínculo existente.
Período de conservación: Os datos deben de conservarse durante os prazos previstos nas leis aplicables. No caso de datos relativos a altas, baixas e variacións dos traballadores, documentos de cotización polo empresario, así como recibos xustificativos do pago de salarios polo empresario, o prazo de conservación é de 5 anos (RD 84/1996, do 26 de xaneiro). Mantense un prazo de prescrición para as posibles responsabilidades que poidan xurdir do tratamento previo dos datos.
Niveis dos datos A lei establece tres niveis de medidas de seguridade (básico, medio, alto), os cales deberán ser implantados dependendo dos distintos datos persoais incluídos no ficheiro (saúde, ideoloxía, relixión, crenzas...). Tipo de datos
Nivel básico: É calquera conxunto de datos que se refiren a unha persoa identificada ou identificable: nome, apelidos, teléfono,...
Nivel medio: Refírese a datos relativos á comisión de infraccións administrativas ou penais, Facenda Pública, servizos financeiros e aos servizos de solvencia e crédito.
Nivel alto: Inclúe datos de ideoloxía, relixión, crenzas, orixe racial, saúde ou vida sexual, así como os recompilados para fin policiais (sen consentimento das persoas afectadas).
O habitual no caso de PEMEs é ter unha administración de empregados, cuxa nómina pode incluír datos de carácter persoal de nivel alto: por exemplo o tipo de contrato adscrito (o cal reflicte posibles discapacidades do propio empregado). Ademais recompílase información para Facenda de posibles discapacidade de persoas que están a cargo dos empregados, etc. Se dito ficheiro está en man dun terceiro, non exime da obriga de notificalo á AEPD. Se a xestión do ficheiro é realizada por este (xestorías...), débese facer constar quen se fai cargo do tratamento dos datos. Na maioría de PEMEs, os outros ficheiros de datos persoais só teñen datos de nivel básico. Aínda que tamén deben ser declarados ante a Axencia Española de Protección de Datos, o seu nivel de protección é máis sinxelo de cumprir. Medidas de Seguridade La LOPD establece a obriga de adoptar as medidas de índole técnica e organizativas necesarias que garantan a seguridade dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou
www.infojc.com
53
acceso non autorizado. Tratase de garantir a seguridade dos ficheiros, os centros de tratamento, locais, equipos, sistemas, programas e das persoas que interveñan no tratamento de datos de carácter persoal. As Medidas de Seguridade veñen reguladas no título VIII do Regulamento de desenvolvemento da LOPD Real Decreto 1720/2007, do 21 de decembro (artigos 79 a 114). Este Regulamento de desenvolvemento da LOPD clasifica as Medidas de Seguridade atendendo a dous criterios:
Segundo os niveis de seguridade: de nivel básico, medio e alto.
Segundo a aplicación das Medidas de Seguridade a ficheiros e tratamentos automatizados ou non automatizados.
Órgano de control O órgano de control do cumprimento da normativa de protección de datos dentro do territorio español, con carácter xeral é a Axencia Española de Protección de Datos (AEPD), existindo outras Axencias de Protección de Datos de carácter autonómico nas Comunidades Autónomas de Madrid, Cataluña e e no País Vasco. Sancións As sancións teñen unha elevada contía, sendo España o país da Unión Europea que ten as sancións máis altas en materia de protección de datos (e tamén as máis polémicas- debido á ambigüidade de certos artigos, que se prestan a interpretacións subxectivas). Ditas sancións dependen da infracción cometida e divídense en: Sancións leves, van dende 60,01 a 6.101,21 €
Sancións graves, van dende 6.101,21 a 30.506,05 €
Sancións moi graves, van dende 30.506,05 a 60.012,10 €
Pese ó elevado importe das sancións, existen moitas empresas en España que aínda non se axustaron á LOPD, ou o fixeron de forma parcial (pero non revisan de forma periódica a súa actualización); polo que resulta esencial o mantemento e revisión da mesma. No sector público, a citada Lei regula igualmente o uso e manexo da información e os ficheiros con datos de carácter persoal empregados por todas as administracións públicas.
54
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Se desexa maior información sobre o tema, consulte o documento correspondente na sección de “Documentación”, ou pique no seguinte enlace: https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURI DAD_2010.pdf
5.1.2 LISSI- CE Dita Lei ten por obxecto (de maneira moi resumida), a regulación do réxime xurídico dos servizos da sociedade da información e da contratación por vía electrónica no referente a:
As obrigas dos prestadores de servizos. incluídos os que actúen como intermediarios na transmisión de contidos polas redes de telecomunicacións
As comunicacións comerciais por vía electrónica
A información previa e posterior á celebración de contratos electrónicos
As condicións relativas á súa validez e eficacia
O réxime sancionador aplicable aos prestadores de servizos da sociedade da información.
Defínese “servizos da sociedade da información” como: "Todo servizo prestado normalmente a título oneroso, a distancia, por vía electrónica e a petición individual do destinatario. O concepto de servizo da sociedade da información comprende tamén aos servizos non remunerados polos seus destinatarios, na medida na que constitúan unha actividade económica para o prestador de servizos." Destácanse os seguintes (sempre que representen unha actividade económica):
A contratación de bens ou servizos por vía electrónica.
A organización e xestión de poxas por medios electrónicos ou de mercados e centros comerciais virtuais.
A xestión de compras na rede por grupos de persoas.
O envío de comunicacións comerciais.
O subministro de información por vía telemática.
O vídeo baixo demanda, como servizo no que o usuario pode seleccionar a través da rede, tanto o programa desexado como o momento do seu subministro e recepción (en xeral, a distribución de contidos previa petición individual).
www.infojc.com
55
Non terán en cambio a consideración de servizos da sociedade da información, os que non reúnan as características sinaladas no primeiro parágrafo deste apartado, e en particular os seguintes:
Os servizos prestados por medio de telefonía vocal, Fax ou Télex.
O intercambio de información por medio de correo electrónico ou outro medio de comunicación electrónica equivalente para fin alleos á actividade económica de quen o emprega.
Os servizos de radiodifusión televisiva (incluídos os servizos de vídeo á carta), contemplados no artigo 3.a) da Lei 25/1994, do 12 de xullo, pola que se incorpora ó ordenamento xurídico español a Directiva 89/552/CEE, do Consello, de 3 de Outubro.
Os servizos de radiodifusión sonora, o teletexto televisivo e outros servizos equivalentes, como as guías electrónicas de programas ofrecidas a través das plataformas televisivas.
Sancións e órgano executor http://www.mityc.es/dgdsi/lssi/Documents/ltriptico.pdf As sancións serán impostas pola xa mencionada AEPD, e teñen unha elevada contía. Dependerán de factores como: a infracción cometida, a reincidencia, etc. Divídense en:
Sancións leves van ata 30.000 €
Sancións graves van dende 30.001 a 150.000 €
Sancións moi graves van dende 150.001 a 600.000 €
Se desexa maior información sobre o tema, consulte o documento correspondente na sección de “Documentación”, ou no enlace do título.
56
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
5.2 Glosario Activos de información Tamén chamada “Información Sensible”. En relación coa seguridade da información, refírese a calquera información ou sistema relacionado co tratamento da mesma que teña valor para a organización. Poden ser procesos de negocio, datos, aplicacións, equipos informáticos, persoal, soportes de información, redes, equipamento auxiliar ou instalacións Adware Tipo de software que ofrece publicidade mentres está funcionando. Aínda que se asocia ao malware, non ten que selo forzosamente, xa que adoita ser un medio lexitimo usado por desenvolvedores de sofware que o implantan nos seus programas, xeralmente nas versións shareware, facéndoo desaparecer no momento en que adquirimos a versión completa do programa. Convértese en malware no momento en que comeza a recopilar información sobre o ordenador onde se atopa instalado Análise de riscos Proceso que comprende a identificación de activos informáticos, as vulnerabilidades e ameazas aos que se atopan expostos así como a súa probabilidade de ocorrencia e impacto das mesmas, co fin de determinar os controis adecuados para aceptar, diminuír, transferir ou evitar a ocorrencia do risco Auditoría de seguridade É o estudo que comprende a análise e xestión de sistemas levado a cabo por profesionais en Tecnoloxías da información para identificar, enumerar e posteriormente describir as diversas vulnerabilidades que puidesen presentarse nunha revisión exhaustiva das estacións de traballo, redes de comunicacións, servidores ou aplicacións Backdoor Tamén denominada “porta traseira”, é calquera punto débil dun sistema (ou programa) mediante o cal unha persoa non autorizada pode acceder a el. Poden ser motivados por erros ou creados á mantenta polos propios autores, pero ao ser descubertas por terceiros, poden ser utilizadas con fins ilícitos. Doutra banda, tamén se consideran portas traseiras aos programas que, unha vez instalados no ordenador da vítima, dan o control deste de forma remota ao atacante. Polo tanto aínda que non son especificamente virus, poden chegar a ser un tipo de malware que funciona como ferramenta de control remoto. Contan cunha codificación propia e usan calquera servizo de Internet para executarse: correo, mensaxería instantánea, HTTP, FTP, TELNET ou Chat, entre outros.
www.infojc.com
57
Backup Tamén denominado “Copia de seguridade”, é o proceso polo cal se realizan copias adicionais que se poidan empregar para restaurar o orixinal logo dunha eventual perda de datos (recoméndase almacenalas nun lugar distinto do habitual, para evitar a posible destrución simultánea co orixinal). CCTV Circuíto Pechado de Televisión. É o uso de videocámaras para transmitir o sinal cara un centro de seguimento de imaxes. Cifrado É o resultado de escribir en clave ou en cifra. Cloud Computing Tamén coñecida como “Computación na nube”, é a filosofía pola cal as aplicacións e servizos non se atopan aloxados fisicamente no equipo, senón que o usuario pode acceder aos mesmos a través de Internet dende calquera lugar. Posibles Contras: a seguridade (alóxanse os contidos en servidores de terceiros), necesidade de disposición de conexión á rede, etc. Control de Usuarios Referente á Xestión de Acceso, enfocada na figura do usuario. Cracking Conduta que consiste en acceder a sistemas informáticos de forma non autorizada, do mesmo xeito que no Hacking, pero neste caso cunha finalidade clara: menoscabar a integridade, dispoñibilidade e acceso á información no devandito sistema. O desenvolvemento desta actividade implica que se está cometendo un delito, por estar violándose a intimidade do afectado, a confidencialidade da información, por causar danos, cambios e/ou destrución de información. Criptograma Coñécese como criptograma a aquela mensaxe, documento ou información que se atopa cifrada mediante calquera sistema e xa que logo resulta inintelixible ata que non é descifrada e convertida de novo nun texto en plano. Dispositivo portátil Adoita facerse referencia con esta denominación aos dispositivos empregados nun ambiente de mobilidade, como Smartphones, PDAs (o exemplo máis coñecido son as Blackberry, precursor dos
58
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Smartphones, onde se pode acceder ó E-mail dende o móbil), Tabletas (iPad, Samsung Galaxy Tab), cada vez máis presentes e que permiten acceder á información dende localizacións externas á organización. DLP Tamén coñecido como Data Leak Prevention, son as medidas de seguridade que tratan de evitar que a información confidencial ou valiosa sexa copiada ou trasladada fora da contorna de seguridade. Ó centrarse na localización, clasificación e seguimento da información en repouso, en uso e en movemento, esta solución pode ser moi útil para axudar a unha empresa a ter unha idea da información que ten e para deter as fugas de información actuais ou previr as futuras. DMZ DeMilizarized Zone ou “Área desmilitarizada”, é a área intermedia (como unha terra de ninguén), que serve de zona de colchón ou corentena para o control das posibles intrusións na organización. Nela adoitan situarse os servidores de acceso a Internet da organización, pertence á rede da organización pero atópase illada da mesma para atallar posibles infeccións e previr así o contaxio do resto de compoñentes. DNS Domain Name Server ou Servidor de Nomes de Dominio, é un sistema que almacena a información de nomes de dominio e a súa correspondente dirección IP, sendo capaz de traducir os nomes ou alias de dominios á súa dirección IP correspondente. Grazas a estes servidores é posible escribir no navegador un dominio e poder acceder ó sitio que queiramos, cando en realidade, a verdadeira dirección da páxina non é máis que un número (dirección IP). Encriptación Técnica que consiste en cifrar unha mensaxe, coñecido como texto en claro, converténdoo nunha mensaxe cifrada ou criptograma, que resulta irrecoñecible e ilexible para todo aquel que non coñeza o sistema mediante o cal foi cifrado, facendo indescifrable o contido da información para quen non coñeza a forma de descifrar o criptograma. Enxeñería social Táctica de distribución de contidos ou aplicacións ilexítimas (troianos, malware, virus, etc.) baseada na confianza en quen entrega o programa á vítima ou na falta de cautela da mesma. Unha vez convencida e enganada, é a propia vítima a que insire e executa o contido perxudicial no seu equipo. Forza bruta Procedemento de cracking empregado para obter as claves ou códigos necesarios para acceder a un Equipo, Sistema, Sitio Web, etc., consistente en empregar ben combinacións aleatorias ben listados de palabras, así como o método de proba e erro, ata alcanzar unha combinación correcta. Para obtelos faise uso de dicionarios de palabras www.infojc.com
59
Freeware Programa informático cuxa distribución faise libremente sen custo algún FTP File Transfer Protocol ou Protocolo de Transferencia de Arquivos, é un protocolo moi estendido para transferir ou descargar ficheiros de servidores remotos. Hardware Todos os compoñentes físicos do ordenador, incluíndo os seus periféricos. Son, entre outros: a placa base, os discos duros, as unidades de soportes extraíbles (disquetes, CDs, Blu-ray, etc.). HTTP Hypertext Transfer Protocol ou Protocolo de Transferencia de Hipertexto, é o protocolo empregado en cada transacción da World Wide Web. É un protocolo que segue o esquema petición/resposta entre un cliente e un servidor. O cliente que efectúa a petición (por exemplo, un navegador web) é o "User agent". A información transmitida chamada recurso é identificada mediante un localizador uniforme de recursos (URL). HTTPS Hypertext Transfer Protocol Secure ou Protocolo de Transferencia de Hipertexto Seguro, é un protocolo de rede baseado no protocolo HTTP, destinado á transferencia segura de datos de hipertexto. Dito noutras palabras, é a versión segura de HTTP. É empregado principalmente por entidades bancarias, tendas en liña, e calquera tipo de servizo que requira o envío de datos persoais ou contrasinais. IDS Intrussion Detection System ou Sistema de detección de Intrusión, que detecta os posibles intentos de acceso non autorizados. Intrusión Acceso non autorizado á rede interna (LAN) dunha organización IPS Intrussion Prevention System ou Sistema de prevención de Intrusión, que detecta as posibilidades de intrusión e que pode tamén efectuar cambios na seguridade para bloquealos, rastrexalos e localizalos.
60
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
LAN Local Area Network ou Rede de Área Local, constitúe unha rede informática de pequena amplitude xeográfica que adoita limitarse a espazos similares a unha oficina, unha vivenda ou un edificio. Unha Rede de Área Local serve para interconectar distintos equipos e máquinas (ordenadores, impresoras, servidores, discos duros externos, etc.). O concepto Rede de Área Local inclúe tanto ás máquinas (Hardware) como os programas necesarios para interconectalos (Software). Hoxe en día pódense atopar redes de área local con cables e sen cables, as coñecidas como WLAN. As primeiras funcionan a través do Protocolo Ethernet, IEE 802.3 e as segundas mediante o Protocolo IEEE 802.11 WiFi. LSSI Lei de Servizos á Sociedade da Información, creada coa finalidade de garantir os dereitos dos cidadáns na Sociedade da Información. Así, entre os seus obxectivos está a eliminación das barreiras que limitan o uso das Tecnoloxías da Información. Está normativa regula diferentes ámbitos relativos á firma electrónica, ás telecomunicacións, á protección de datos, aos nomes de dominio, á seguridade en Internet, á propiedade intelectual, aos servizos de radio dixital por satélite e de televisión dixital, entre outros. A súa creación introduce novas medidas de impulso da Sociedade da Información co obxecto de fomentar o uso das tecnoloxías pero, sobre todo, procura facer valer os dereitos dos cidadáns e proporcionar unha maior seguridade na utilización dos medios de telecomunicación evitando que os dereitos fundamentais destes poidan ser vulnerados. LOPD Lei Orgánica de Protección de Datos, que ten por obxecto garantir e protexer, no que concirne ao tratamento dos datos persoais, as liberdades públicas e os dereitos fundamentais das persoas físicas e especialmente do seu honor, intimidade e privacidade persoal e familiar. O seu obxectivo principal é regular o tratamento dos datos e ficheiros de carácter persoal (independentemente do soporte no cal sexan tratados) os dereitos dos cidadáns sobre eles e as obrigas daqueles que os crean ou tratan. Malware Palabra que nace da unión dos termos software e malintencionado “malicious software”. Dentro desta definición ten cabida un amplo rango de programas maliciosos: virus, vermes, troianos, backdoors, spyware, etc. A nota común a todos estes programas é o seu carácter daniño ou lesivo. Mensaxería Instantánea www.infojc.com
61
Coñecida tamén en inglés como IM (Instant Messaging) é unha forma de comunicación en tempo real entre dúas ou máis persoas baseada en texto . O texto é enviado a través de dispositivos conectados a unha rede (como Internet). Páxina Web Documento electrónico que contén información e que se atopa dispoñible en Internet. A información que se pode atopar nunha páxina web é diversa: imaxes, textos, vídeos, música, etc. Pen drive Dispositivo de tamaño reducido, portátil (que se conecta ao equipo só cando se necesita e que logo se extrae), e que consiste basicamente nun tipo de memoria flash de alta capacidade que é empregada para almacenar información de xeito rápido e sinxelo. Actualmente é un dos principais medios para o roubo de información. Plan de Continuidade de Negocio Tamén chamado “Plan de recuperación ante desastres”. Plan de continxencia É un instrumento de xestión que contén as medidas técnicas, humanas e organizativas necesarias para garantir a continuidade do negocio e as operacións dunha compañía ante unha incidencia. Es un caso particular de plan de continuidade do negocio aplicado ao departamento de informática ou tecnoloxías, e segue o modelo PDCA (Ciclo de Deming: Plan/DO/Check/Act). Plan de recuperación ante desastres “Grosso modo”, metodoloxía práctica “global” sobre como unha organización debe recuperar e restaurar as súas funcións críticas parcial ou totalmente interrompidas dentro dun tempo predeterminado logo dunha interrupción ou desastre. Política de Acceso Metodoloxía de acceso seguida por una organización para garantir a seguridade dos procesos. Proxy Programa encargado de centralizar o tráfico entre Internet e unha rede privada, de maneira que se evite que cada unha das máquinas da rede privada teña que dispoñer necesariamente dunha conexión directa á Rede. Ó mesmo tempo, contén mecanismos de seguridade (firewall ou barreira) que impiden accesos non autorizados dende o exterior cara á rede privada.
62
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
QWERTY É a distribución (ou ordenamento) máis común dos carácteres no teclado. Foi deseñado e patentado por Christopher Sholes en 1868 e vendido a Remington en 1873 . O seu nome provén das primeiras seis letras da fila superior de teclas. Redes sociais Estruturas sociais compostas por grupos de persoas, las cales están conectadas por un ou varios tipos de relacións, tales como amizade, parentesco, intereses comúns ou que comparten coñecementos. Seguridade da Información Todas aquelas medidas preventivas e reactivas das persoas, das organizacións e dos sistema tecnolóxicos que permitan resgardar e protexer a información, procurando manter a confidencialidade, a autenticidade e a integridade da mesma (así como o non repudio/proba de quén e cando a recibe/envía). Seguridade física É a que se refire ás barreiras físicas e mecanismos de control na contorna dun sistema informático, para protexer ó hardware de ameazas. Os mecanismos de seguridade física deben resgardar de ameazas producidas tanto polo home como pola natureza. Basicamente, as ameazas físicas que poden poñer en risco un sistema informático son:
Desastres naturais, incendios accidentais, humidade e inundacións.
Ameazas ocasionadas involuntariamente por persoas.
Accións hostís deliberadas como roubo, fraude ou sabotaxe.
Son exemplos de mecanismos ou accións de seguridade física:
Pechar con chave o centro de datos.
Ter extintores ante eventuais incendios.
Instalación de cámaras de seguridade.
Garda humana presencial.
Control permanente do sistema eléctrico, de ventilación, etc.
Inhabilitación de portos USB (que eliminan a posibilidade de extraer información a través dos mesmos)
www.infojc.com
63
Seguridade lóxica Conxunto de medidas de seguridade e ferramentas informáticas de control de acceso aos sistemas informáticos. Fai referencia á aplicación de mecanismos e barreiras para manter o resgardo e a integridade da información dentro dun sistema informático. A seguridade lóxica compleméntase coa seguridade física. A seguridade lóxica dun sistema informático inclúe:
Restrinxir o acceso a programas e arquivos mediante claves ou cifrado.
Limitar adecuadamente as capacidades de cada usuario do sistema informático. É dicir, entregarlle a cada usuario so os privilexios que require para o desempeño da súa función.
Asegurarse que os arquivos e programas que se empregan son os correctos e se empregan correctamente. Por exemplo, o mal uso dunha aplicación pode ocasionar buratos na seguridade dun sistema informático.
Control dos fluxos de entrada/saída da información. Isto inclúe que unha determinada información chegue soamente ó destino que se espera que chegue e que a información chegue tal cal se emitiu.
Seguridade perimetral O perímetro dunha empresa é a barreira ou protección que existe entre a rede interna da mesma (LAN) e a do exterior (WAN) e que, debido ó incremento e diversificación de vías de comunicación, faise cada vez máis extenso e difuso (o que aumenta a súa exposición a perigos). A Seguridade Perimetral é a que se encarga da defensa deste perímetro. Servidor de Backup Servidor que se encarga de realizar de xeito automático e periódico (segundo a súa configuración) as copias de seguridade dunha organización (coa instalación dun software que realice dita solución), podendo ademais verificalas e incrementalas (copiar a parte da información que é nova con respecto a anterior copia de seguridade existente da mesma, para evitar copias innecesarias). Servidor de Comunicacións Servidor que se encarga de xestionar a seguridade dos principais medios de comunicación dunha organización, como poden ser o correo electrónico, DNS, etc., mediante a implantación de devasas, routers, DMZ, etc. Servidor de Datos Servidor especificamente configurado para centralizar os datos dunha organización e de todas as estacións de traballo en rede.
64
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Shareware Programa informático cuxa distribución previa faise a modo de proba sen custo algún. Examinado o software durante un período de avaliación (polo xeral, de un a dous meses) será requirido ó usuario o pago do programa para poder seguir empregándoo. Smartphone Teléfono intelixente (en Galego) é un termo comercial para denominar a un teléfono móbil que ofrece máis funcións do común. Case todos soportan un cliente de correo electrónico coa funcionalidade completa dun organizador persoal, permiten a instalación de programas para incrementar o procesamento de datos e a conectividade, etc. Estas aplicacións poden ser desenvolvidas polo fabricante do dispositivo, polo operador ou por un terceiro. Software Considérase software a todas aquelas partes intanxibles que forman un sistema informático. Trátase dos programas, aplicacións e sistemas operativos que fan posible o uso do equipo. Cada programa ou aplicación de software pode definirse como a serie de instrucións dirixidas ó ordenador para que execute diversas accións. SPAM Denomínase así a todo correo non desexado (ou “basura”) recibido polo destinatario, procedente dun envío automatizado e masivo por parte do emisor. O spam asóciase xeralmente ó correo electrónico persoal, pero non só afecta aos correos electrónicos persoais, senón tamén a Foros, Blogs e Grupos de novas. SSL Secure Socket Layer, protocolo seguro que proporciona comunicacións seguras a través de Internet. O seu uso proporciona seguridade sobre a autenticación e privacidade da información entre extremos (emisor/receptor), mediante o uso de criptografía SXSI Sistema de Xestión de Seguridade da Información, mediante o cal unha organización coñece os riscos aos que está sometida a súa información e os xestiona mediante unha sistemática definida, documentada e coñecida por todos, que se revisa e mellora constantemente (adoita tomarse como referencia a norma ISO 27001) TCP/IP Transfer Control Protocol / Internet Protocol ou Protocolo de control de transmisión/Protocolo de Internet, é o nome que recibe o conxunto de protocolos sobre os cales funciona Internet. Permite a www.infojc.com
65
comunicación entre os millóns de equipos informáticos conectados á devandita rede. O protocolo IP é o encargado de transferir os paquetes de datos ata o seu destino adecuado e o protocolo TCP ocúpase de garantir que a transferencia se leve a cabo de maneira correcta e fiable. Telnet Protocolo de comunicacións destinado á conexión de terminais remotos. Só permite o acceso en formato terminal e foi unha ferramenta amplamente empregada para arranxar fallos a distancia ou para acceder a calquera tipo de servizo a distancia. Actualmente atópase practicamente en desuso. Troiano Este tipo de “malware” carente da capacidade de autoduplicación require do uso da enxeñería social para o seu correcto funcionamento. Xa sexa pola, a vítima instala un 'software' aparentemente inocuo no seu ordenador. Ao executarse o software non se evidencian sinais dun mal funcionamento; con todo, mentres o usuario realiza tarefas habituais no seu ordenador, o programa abre diversos portos de comunicacións do equipo da vítima que permiten o control absoluto de forma remota. USB O Universal Serial Bus (bus universal en serie) ou tamén coñecido como Condutor Universal en Serie (CUS), abreviado xeralmente USB, é un porto que serve para conectar periféricos a un equipo. Foi creado en 1996 por sete empresas (que actualmente forman o consello directivo): IBM, Intel, Northern Telecom, Compaq, Microsoft, Digital Equipement Corporation e NEC. Virtualización Consiste en dividir os recursos totais dunha máquina para crear outra a partir dos mesmos (sempre sobre o mesmo hardware), podendo empregar tanto a máquina principal coma as virtuais simultaneamente (en función da capacidade dispoñible da máquina principal). Vantaxes:
Optimización de capacidades: ao poder operarse á vez obtense unha maior eficiencia enerxética e incremento da produtividade.
Maior seguridade: poden eliminarse sen risco de contaxio ó resto do dispositivo, sendo fácil a reinstalación e/ou recuperación.
VPN Virtual Private Network ou Rede privada virtual, que permite a comunicación segura e confidencial entre distintas sedes ou puntos dunha organización (non deixa de ser un modo de protexer o medio/canle de transmisión da mensaxe)
66
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
WAN Wide Area Network ou Redes de Área Ampla, son redes amplas que cobren grandes distancias, coma países ou ata continentes. Algunhas delas pertencen a empresas ou entidades que as crean para o seu uso particular ou restrinxido, mentres que outras son en principio de libre acceso, como sería o caso da propia Internet. WiFi Abreviatura de “Wireless Fidelity”. É o nome “comercial” con que se coñece ó estándar 802.11 de transmisión sen cables. WLAN Wireless Local Area Network ou Rede de Área Local sen fíos, constitúe un sistema de comunicación de datos que emprega tecnoloxía de radiofrecuencia e permite aos usuarios comunicarse cunha rede local (LAN) ou Internet sen estar fisicamente conectado. Co paso do tempo abranguen maior importancia no mercado dos fogares e tamén nos espazos de traballo, dado que son moito máis flexibles e cómodas que as súas análogas con fíos. WWW Ou World Wide Web, é un sistema de distribución de información baseado en hipertexto ou hipermedios enlazados e accesibles a través de Internet . Cun navegador web, un usuario visualiza sitios web compostos de páxinas web e navega a través delas empregando hiperenlaces. Xestión de Acceso Dentro dunha política global de seguridade por capas (estratificar a información segundo niveis), imponse regular o acceso á mesma segundo necesidade (só á parte que sexa precisa para o desempeño diario), quedando ademais constancia de devandito acceso (trazabilidade) para futuras comprobacións que fosen necesarias.
www.infojc.com
67
5.3 Formación Curso Fundamentos da Seguridade da Información Este curso consta de seis módulos, cada un dos cales se corresponde cunha fase do plan de continuidade de negocio. Non ten unha duración determinada, xa que está pensado para que cada usuario adapte o contido a seu plan de aprendizaxe. Supón un primeiro achegamento os alicerces da seguridade da información, e polo tanto, é un primeiro paso nun mundo no que, conforme pasan os anos e o incrementarse a tecnoloxía, estase a volver sumamente importante o coidado da información para as organizacións, a sociedade e as persoas. O obxectivo principal do curso e facilitar a comprensión dos fundamentos da seguridade da información en sistemas informáticos. Para iso se deseñou unha metodoloxía dinámica a modo de desafío, que invita ao alumno a asumir o protagonismo do seu propio aprendizaxe, a través do desenvolvemento dun proxecto para deseñar un plan integral de seguridade da información. Todos os sistemas destinados a garantir a seguridade da información, non importa o sofisticados que sexan os seus mecanismos, están permanentemente expostos a sufrir un erro ou unha alteración maliciosa intencionada. Como estes eventos é case imposible evitalos por completo, de maneira queo encargado da seguridade (ou calquera que teña baixo a súa responsabilidade información sensible), debe seguir estratexias de continxencia para enfrontar os imprevistos:
Estratexias de prevención para minimizar a posibilidade de que se produza algún fallo.
Estratexias de detección oportuna cando o erro acontece.
Estratexias de corrección para asegurar o máis rápido regreso á normalidade dos sistemas.
Estas estratexias deben estar contempladas nun plan integral de seguridade da información, que implique a todo os axentes que están en contacto coa información. Compre ter en conta ademais, que a maioría dos imprevistos soen acontecer coma consecuencia dunha neglixencia dos usuarios menos preparados, polo que a formación permanente debe formar parte das estratexias para minimizar estes riscos. Contidos do curso Plan integral de seguridade da información: É o documento que detalla todo o proceso de detección de riscos e implantación de accións para previr e minimizar os efectos dunha serie de continxencias probables na información sensible da empresa, co obxectivo último de garantir a continuidade do negocio. Consta dunha serie de fases ou etapas de desenvolvemento: Fases do plan:
68
Deseño e Política de seguridade.
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Recoller información e análises de riscos.
Medidas preventivas.
Plan de recuperación.
Implantación do plan.
Mantemento do plan.
Presentación Este curso xurde cunha vocación práctica e dinamizadora, e ten como punto de partida o proxecto de elaboración dun plan integral de seguridade da información para a súa empresa. O curso é unha guía de cómo deseñar un plan de seguridade, e axustalo as características do seu negocio. Ao longo dos diferentes pasos do proceso irá aprendendo os conceptos fundamentais da seguridade da información dende un enfoque xeral e práctico, aplicándoos sobre o modelo das súas necesidades. Compre ter claro que o obxectivo deste curso non é convertelo nun técnico experto, senón facilitarlle a comprensión de tódolos elementos que configuran a seguridade dos datos na súa empresa. Finalmente, pode precisar de soporte técnico para implantar un plan de seguridade, pero a nivel usuario, será capaz de entender as implicacións de cada decisión que tome ao respecto. Plan Integral de Seguridade Un plan integral de seguridade da información (PIS) representa unha visión real do grao de seguridade das empresas e establece medidas correctivas a curto, medio e longo prazo segundo o ámbito da empresa. O PIS afronta problemas técnicos, normativos, e organizativos, co fin de acadar e asegurar os obxectivos corporativos. Así, trátanse aspectos tales como: a seguridade organizativa, a xestión dos incidentes ou o cumprimento da lei de datos. Seguridade organizativa:
Política de seguridade
Aspectos da seguridade organizativa
Control e clasificación dos activos
Xestión dos incidentes na seguridade da información:
Seguridade dos recursos humanos
www.infojc.com
69
Xestión da continuidade empresarial
Seguridade lóxica
Control de acceso
Adquisición de sistemas, desenvolvemento e mantemento:
Comunicacións e xestión de operacións
Seguridade física
Seguridade física e ambiental
Seguridade legal
Cumprimento da lei
Beneficios e vantaxes Os beneficios dun plan integral de seguridade da información so:
Acadar un maior coñecemento da nosa empresa
Minimizar o custe económico dun erro na xestión da información.
Garantir a viabilidade da organización (a continuidade do negocio)
Contra isto, como é obvio, hai que contrapoñer o:
Custo propio do plan: aínda que, o longo do proceso, os beneficios van aflorando, e compensan de sobra a inversión realizada
Identificar os requisitos organizativos necesarios para a seguridade dos sistemas de información: esixe un esforzo previo importante, pero grazas a el comprendemos mellor moitos dos mecanismos internos de xestión, e finalmente acadamos non so unha visión real da seguridade (as medidas e debilidades existentes), senón que tamén melloramos na nosa comprensión do negocio.
70
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
5.4 Recursos web De seguido, unha pequena escolma de recursos web para visitar e ampliar a información: son só unha ínfima parte de todo o que hai na rede (este último medio representa unha opción asequible e actualizada para quen desexe mellorar os seus coñecementos sobre dita materia) INTECO http://www.youtube.com/user/intecocert INTECO ten encomendadas a través do Plan Avanza as misións de sentar as bases de coordinación de distintas iniciativas públicas ao redor da seguridade informática, impulsar a investigación aplicada e a formación especializada no ámbito da seguridade no uso das TIC, e converterse no Centro de Referencia en Seguridade Informática a nivel nacional. Un dos mellores recursos na rede para aprender sobre seguridade da información. INTYPEDIA http://www.intypedia.com/ Serie de recursos multimedia, que de xeito ameno e intuitivo exemplifican e resolven casos típicos. FERRAMENTAS DE SEGURIDADE http://technet.microsoft.com/es-es/security/cc297183 Avalíe as vulnerabilidades e fortalezas da súa seguridade con estas ferramentas e tecnoloxías de Microsoft : mellore o proceso de administración de seguridade mediante MBSA, ou obteña axuda para avaliar as debilidades presentes na contorna de seguridade de TI da súa organización... Obterá unha lista priorizada de problemas, e orientación específica para axudar a minimizar os riscos de seguridade. PLAN DE CONTINXENCIAS http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.HTM O Instituto Nacional de Estatística e Informática (INEI), considera que a información é o patrimonio principal de toda Institución, polo que se deben aplicar medidas de seguridade para protexela e estar preparados para afrontar continxencias e desastres de diversos tipos. Páxina con un completo exemplo de cómo deseñar e implantar un plan de continxencias e seguridade da información. SEGU-INFO http://www.segu-info.com.ar/ Segu-Info é unha páxina web temática que brinda información libre e gratuíta sobre a Seguridade da Información. KIOSKEA http://es.kioskea.net/faq/4996-como-proteger-la-informacion-de-su-empresa A perda da información almacenada nun computador pode ter graves consecuencias para a empresa. Breve, pero clara e concreta explicación de cómo protexer a información nunha pequena empresa.
www.infojc.com
71
Bibliografía
72
6
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Bibliografía
Observatorio para a Sociedade da Información e a Modernización de Galicia (OSIMGA) Estado_Sociedade _Información _de Galicia_novembro, marzo 2010. Sistema_Indicadores_Sociedade_información_Galicia, noviembre 2010. Secretaría Xeral de Innovación e Modernización Tecnolóxica Plan Banda Larga Galicia 2010- 2014 Informe Ejecutivo Estado Banda Larga Galicia, 2009 Comisión para o mercado das Telecomunicacións (CMT), Informe sobre estado Banda Larga en España 2010
Statistical Office of the European Communities (EUROSTAT)
Iniciativas de Modernización e Innovación Tecnológica (iMiT)
Instituto Nacional de Estatística (INE), Informe TICs España 2010
Fundación para o desenvolvemento das telecomunicacións (FUNDETEC), Sociedade da Información en España (SIE) 2010 Instituto Nacional das Tecnoloxías de la Comunicación (INTECO) Estudio sobre o estado da pyme española ante os riscos e a implantación dos plans de continuidade de negocio, 2010 Estudio sobre a seguridade e a e-confianza nas pequenas e microempresas españolas, 2009 Guía práctica para Pymes, Cómo implantar un plan de continuidade de negocio, 2010 Observatorio Nacional de las Telecomunicacións e a Sociedade da Información (ONTSI), Indicadores Sociedade da Información en España 2010.
Ministerio de Tecnoloxía e Comunicacións de España (MITYC), Informe TICs pymes 2010.
Axencia Europea de Seguridade de las Redes y de la Información (ENISA)
www.infojc.com
73
Panda Security, 2º Barómetro Internacional sobre Seguridade en Pymes 2010
Symantec Labs, Informe sobre estado del Plan de Continuidade de Pymes 2010.
GMV, ENISA, Risk Management Pelot for SMEs and Micro Enterprises in Spain (05-01-2009)
Verizon, Informe sobre investigacións de fallas na seguridade dos datos 2010
Cisco, “Fuga de datos a nivel mundial: El elevado costo de las ameazas internas” 2008
Observatorio Nacional para las Tecnoloxías e a Sociedade da Información (ONTSI), Indicadores de Seguimento da Sociedade da Información (SIE) 2010 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n http://www.monografias.com/trabajos61/seguridad-informacion-auditoria-sistemas/seguridadinformacion-auditoria-sistemas.shtml): http://www.segu-info.com.ar/logica/seguridadlogica.htm
74
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
www.infojc.com
75
www.infojc.com
76
Guía de boas prácticas: “A seguridade da información nas pemes galegas”