Instituto Politcnico Nacional Unidad Profesional Interdisciplinaria de Ingeniera y Ciencias Sociales y Administrativas Carlo Gilmar Padilla Santana Noviembre,

2013. Ensayo sobre INVERSIN EN SEGURIDAD Introduccin1 Ludwig Von Bertalanffy seal en su famosa Teora General de Sistemas, una teora cientfica para explicar cualquier todo, que el objeto principal de todo sistema era la ciberntica que proviene del griego kybernetes y es referenciado al autogobierno y autoaprendizaje. Lograr que un sistema fuera autodidctico, en sentido general, a travs de la Teora Matemtica de la Informacin propuesta por Shannon, pues todo sistema intercambiaba informacin con el medio, que para efectos prcticos era equivalente a energa y materia, pues ello daba la vitalidad de poder ser a todo el sistema. Cmo se poda transmitir esa informacin? Por medio de tecnologas. Dnde podran existir desviaciones? En ellas mismas. Para evitar la tendente homologacin del medio al sistema a travs de la informacin y su flujo fue necesario elaborar procesos homeostticos, entendindose como SEGURIDAD. Tomo la teora de Bertalanffy por qu considero que es la teora ms completa para explicar cualquier cosa, pues tiene bases epistemolgicas basadas en las dos escuelas ms importantes para el estudio de la sociedad: Vienna y Frankfurt. Entonces mediante esta visin podemos darnos cuenta que sin el proceso de la seguridad no podra haber sistema como tal, volvindose de suma importancia. Y es que estamos acostumbrados a las visiones triviales que engloba el lenguaje cotidiano matizado por las desviaciones, al hablar sobre seguridad informtica inmediatamente pensamos en ordenadores, hackers y dems jerga informtica, pero no somos an capaces de ver ms all del determinismo. Creemos que el hombre es hombre y la mujer es mujer, ignorando que el hombre o la mujer pueden tener ms distinciones, es comn pues representa la visin mayoritaria que tiene esta sociedad. La seguridad informtica va ms all de ordenadores. Y es que antes que hablar de seguridad tcnica, debemos hablar de seguridad fsica, seguridad tica, seguridad personal, en fin, ser ms holsticos en cuanto a esto. Y valla que representa una gran tarea, pues se necesita de un gran trabajo para llevarlo a cabo. No todo es tecnologa, antes de ello, esta la parte humana.

Claves de las Fuentes de Informacin: 1C, 2C.

La seguridad es importante? Vuelvo a hacer nfasis. Si no existieran estos procesos no podra hablarse de un sistema, es necesario para serlo. Es equiparable al cuerpo humano, pues es una estructura que permite relacionarse con el medio de la manera ms ptima posible, y que ante algn problema tiene mecanismos para mitigarlo. Cmo hablar de seguridad? Considerando todo lo que ello implica, no solo la parte de tecnologa. Hablemos de Seguridad Informtica2

Seguridad: Se puede referir como la ausencia de riesgo o tambin a la confianza en algo o alguien. Informtica: La informtica es una ciencia que estudia mtodos, procesos, tcnicas, con el fin de almacenar, procesar y transmitir informacin.
Por lo tanto:

Seguridad informtica: Ausencia de riesgo o confianza en los procesos, tcnicas y mtodos que procesan y transmiten informacin.
Dnde se procesa y transmite informacin? Mejor pregunta sera dnde no. Estamos cotidianamente intercambiando informacin: cuando las nubes estn grises, el medio nos intercambia la informacin de que posiblemente llueva, el noticiero matutino de la radio nos informa sobre noticias relevantes, el profesor de la clase nos comparte conocimientos, y nosotros a la vez regresamos informacin de igual manera. No cesamos de intercambiar y procesar informacin. El pensamiento hace referencia a que no importa la calidad de la informacin, sino que importa la calidad con que se transmite la informacin, dejndola ser, y en causando las maneras. He ah el punto crtico de la seguridad pues se considera en tener certeza de que el proceso de comunicacin entre entes sea ptima y se pueda llevar a cabo, siendo optimistas de que todo intercambio es para bien. Cmo proteger dicho intercambio? La primera idea que me viene a la mente es proteger y aislar el proceso comunicativo, pero es posible?, no lo creo, puesto que el proceso consta de entrada y salida de informacin, ello es su esencia, entonces al protegerlo y aislarlo estara en contradiccin misma. Tenemos que pensar ms a fondo. Se tendran que colocar a los participantes en posiciones estratgicas, caracterizadas por funciones que permitan estableces una relacin pura, con el menor grado de interrupciones y desviaciones, hacindola intima. Es menester enfocarse a la tecnologa? Supongamos que tenemos el mejor antivirus en un ordenador que opera con Windows. Dicho antivirus puede tener ciertos candados que modifiquen ciertos procesos del sistema operativo, puede requerir de un operador capacitado, de trmites como la actualizacin, una mala gestin puede ocasionar problemas, etc. Lo que quiero puntualizar es que la solucin, el antivirus, tiene efectos dentro del sistema operativo,
2

Claves de las Fuentes de Informacin: 2C, 3C.

pero tambin con el personal que lo usa, quien lo contrata, quien lo cre, quien lo instal, quien lo gestiona. No est limitado solo a la tecnologa, sino tambin al mbito humano, natural, y por su puesto econmico. Imaginemos que tenemos una empresa, y queremos evitar riesgos considerables en las bases de datos de los ordenadores. De qu nos tenemos que preocupar? De ataques informticos, de las personas que gestionan dichos ataques, de ver quin ofrece una solucin tcnica, ver quin la gestiona, ver los costos de solucin y que no afecten, adems de preocuparse por las acciones de todos los empleados pues pueden tambin llevar a cabo actos intencionados o no, as como tambin preocuparnos de desastres naturales pues nadie est exento de ello. Es menos determinista de lo que realmente parece. Nosotros como Ing. Informticos tenemos la oportunidad de prepararnos de la mejor manera para no solo proporcionar una solucin de seguridad tcnica, tambin para proponer medidas de seguridad al mayor nmero de riesgos, contenidas en un solo plan; es decir, adoptar una visin realmente holstica. Riesgos Humanos3 Para que nuestra solucin tcnica sea efectiva debe haber antes un lineamiento tico para todos aquellos involucrados. Podemos programar alguna gran aplicacin, pero si es demasiada compleja para operarse, o requiere de muchos recursos, termina siendo poco factible. Cules son los riesgos humanos? Tratemos de considerar los ms importantes. Pensando empresarialmente dentro de nuestra organizacin puede haber personas que incitadas por motivos particulares puedan infiltrarse secretamente y ocasionar prdida de la confidencialidad de la informacin que se quiere proteger. Puede haber personas que programan virus y los mandan con el mismo fin, Qu propsito tienen? No solo hay que ver posibles riesgos de afuera, tambin de adentro. Riesgos Naturales4 Nadie est exento de la naturaleza. Los desastres naturales ocurren sin distincin en forma de lluvias, tornados, inundaciones, terremotos, incendios. Y debe tomarse en cuenta todo ello as como tambin la muerte. Si cierto ejecutivo es gestor principal de los sistemas de seguridad y solo l sabe las claves para accionarlo Qu ocurre si muere? Seran prdidas muy grandes en volver a implementar otro sistema. Riesgos Tcnicos5 Habr gente interesada en obtener los datos de una organizacin para fines particulares, y lo llevan a cabo generalmente por ataques de piratas informticos. Adems se debe tener en cuenta los riesgos ms usuales como: cadas del sistema, filtrado de contenido, rendimiento,

3 4

Claves de las Fuentes de Informacin: 3C. Claves de las Fuentes de Informacin: 3C. 5 Claves de las Fuentes de Informacin: 3C, 4C.

incumplimiento de polticas, problemas con parches, virus, problemas de compatibilidad, desorganizacin de sistemas de archivos, y datos corruptos. Los sistemas de seguridad tcnica deben ir orientados e evitar riesgos provocados por: 1. Fraudes cometidos mediante manipulacin de computadoras: a) Manipulacin de los datos de entrada. b) Manipulacin de programas. c) Manipulacin de datos de salida. d) Fraude efectuado por manipulacin informtica. 2. Falsificaciones informticas a) Utilizando sistemas informticos como objetos. b) Utilizando sistemas informticos como instrumentos. 3. Daos o modificaciones de programas computarizados. a) Sabotaje informtico. b) Virus. c) Gusanos. d) Bomba lgica o cronolgica. e) Acceso no autorizado a sistemas o servicios. f) Piratas informticos o hackers. g) Reproduccin no autorizada de programas informticos con proteccin legal. Riesgos Econmicos6 Es un factor importante para quien provee servicios de seguridad informtica, ya que siempre se busca una optimizacin en los recursos econmicos por lo que se debe ofrecer un producto con nmeros negros. (Ganancia) Frecuentemente se hace uso del ROI Return of Investment, ROSI Retorno de la Inversin en Seguridad Informtica, Exposicin de riesgo, SLE Single Loss Expossure, ARO Annual Rate ocurrency. (Razones financieras)

ROI= Ganancias esperadas Inversin ROSI= % Riesgo Mitigado Costo de Solucin Exposicin de Riesgo= SLE * ARO SLE: Costo proyectado de un incidente de seguridad ARO: Estimado valor anual de ocurrencia
Y aqu el problema es que las empresas le dedican poco a la estimacin de los incidentes ocurridos, pues se dedican a lo urgente, es decir, a arreglar las fallas dificultando que se hagan estudios estimados de las prdidas debido a incidentes, que contribuyan a quienes realizan el producto y lo comercializan a plantear con base a esas razones financieras una mejor postura. Problemas Reales sobre Seguridad Informtica: Caso Assange, Snowden, y Manning7
6

Claves de las Fuentes de Informacin: 1C, 5C.

Y es que para ejemplificar bien los problemas con respecto a seguridad de informacin tenemos a estos tres muchachos. Assange presunto programador que logr infiltrarse a informacin confidencial del gobierno estadounidense por ejemplo, se habla aqu de un agente externo que logr entrar a informacin intima. Y en el caso de Manning, que estando dentro de la CIA filtraba informacin a Assange y Wikileads. Snowden el consultor de tecnologa de Agencia de Seguridad Nacional quien revel datos sobre espionaje secreto. Qu nos deja de aprendizaje? Que puede haber personas ajenas a nuestra organizacin que nos ataquen, as como puede haber personas dentro que sirvan a sus intereses. Inversin en Seguridad8 Vayamos a los datos duros, en su mayora recopilados de portales de noticias como Help Net Security, El pas, y el estudio "Under Cyber Attack", autor: EY Ernst & Young, Octubre 2013. En Espaa, de una encuesta de empresas: 91.46% tienen un sistema de seguridad. 60% sufren de ataques informticos 60% invierten ms de 1000 euros al ao en seguridad. 40% aumentan presupuesto de seguridad al ao. 22% tiene sistemas de seguridad en dispositivos mviles.

En tendencias mundiales: Las prioridades en seguridad cambian, se preocupan ms por el siguiente orden: proteccin en la nube, en datos, en documentos, en la comunicacin, y en sistemas mviles. 54% de las empresas sufren ataques de piratas informticos. Se estiman 6.3 millones de dlares por prdidas diarias, en general, debido a problemas de seguridad informtica. 93% de las empresas aumenta su presupuesto en la inversin en seguridad. Se nota que a ms inversin en seguridad, surgen ms fallas e incidentes, se estima un crecimiento de 5%. 65% de las empresas asigna un presupuesto insuficiente. 20% no cree que la seguridad sea factor fundamental. 31% considera de mxima importancia la inversin en seguridad. Se estima un crecimiento de 6% anual en la inversin en este tema. Hay un consenso en que existe una falta de talento capacitado para esta rea. 76% realiza autoevaluaciones constantes de sus sistemas. 70% consideran que las polticas son el factor esencial. 35% asignan un lugar ejecutivo a un profesional que gestione la seguridad.

7 8

Claves de las Fuentes de Informacin: 6C Claves de las Fuentes de Informacin: 5C, 6C, 7C, 8C, 9C, 10C.

68% considera que sus sistemas cumplen funciones parcialmente.

En Mxico: 1 de cada 10 empresas sufren ataques de piratas informticos. Se asigna menos de 1% de ingresos a seguridad. En 90% de los casos haba un empleado involucrado. 1 de cada 100 delitos se castigan. 20% de las empresas asignan un puesto para gestin de seguridad. La distribucin del presupuesto es: proteccin de red, proteger datos de clientes, seguridad en aplicaciones y capacitacin. Los casos ms frecuentes que hay son: virus, instalacin de software no autorizado, accesos no autorizados a la web, prdida de informacin, negacin del servicio, fuga de informacin, y fraude. 22% de las empresas cuenta con un equipo de atencin a incidentes 22% de las empresas no denuncia los delitos Mecanismos ms usados son: antivirus, contraseas, firewalls, cifrado de datos, filtro de paquetes, y firmas digitales.

Se intent con los puntos anteriores ver una visin de nuestra nacin, otra nacin aparte, y las tendencias mundiales; y es posible ver que todas van enfocadas a darle un mayor peso a la seguridad, de acuerdo a sus posibilidades, teniendo en cuenta siempre que se necesita ganar, y cohibindose en la inversin, pues existe el lema sobre considerar a la seguridad como un mal necesario. Qu nos queda por decir? Es necesario fijar en una posicin de mayor importancia a la seguridad, no solo en la empresa, tambin considerarlo en las actividades cotidianas, pues estamos a la orden del da en ser vctimas de algn delito. Las tendencias de seguridad se van moviendo, hoy en da van hacia la proteccin en la nube y dispositivos mviles. En Mxico hace falta invertir ms en tener personal capacitado y talentoso que ofrezca sistemas generales de seguridad enfocados a la seguridad informtica. Hace falta una gestin que proponga un anlisis de las polticas pblicas mundiales, con el fin de estandarizar un reglamento que beneficie a todos. Y por los datos presentados se cree que con el paso del tiempo la inversin en seguridad crecer y se volver pilar en la empresa, y en lo individual, por significar la base primordial que defiende todos los procesos esenciales, y no ser posible hablar de accin sin seguridad. He aqu un punto importante para quienes estudiamos informtica, pues es una oportunidad que tenemos para idear nuevos modelos de seguridad, as como proponer polticas y estructuras empresariales con respecto a este tema, aprovechando el auge que tendr en los prximos aos. Qu proponer como desarrollo nacional? Difundir los peligros de una seguridad psima, y concientizar de qu es esencial para todo, entonces as elaborar un plan de creacin de talento con participacin de la academia, el gobierno, y las empresas; de modo que ese talento este 6

enfocado a las nuevas tendencias, y que tenga una visin holstica sobre la seguridad. No sera mala idea pedir asesora extranjera para cubrir lo urgente, pensando en largo plazo en ser una nacin caracterizada por exportar talento en seguridad. Para ello debera asignarse un presupuesto del Producto Interno Bruto a la parte de Desarrollo Tecnolgico, y debera aumentarse la inversin dentro de las empresas. El marco de estas propuestas estar a cargo de una poltica pblica que contribuya a ello, por qu es ah donde se define lo bueno y lo malo. Deber ser una poltica flexible, y consensada, pero sobre todo efectiva para evitar las desviaciones y aumento de delitos. Aun as tambin se debe considerar la seguridad individual, por qu nadie est exento de algn incidente pues existen casos documentados de fraudes, estafas, robos de identidad, entre otros. Conclusiones La seguridad es la base del intercambio de informacin. Por lo tanto es esencial. Hace falta una visin holstica sobre los sistemas de seguridad. La parte ms controlada de un sistema de seguridad es la parte tcnica, por ser menos relativa que la parte humana. Las empresas no son conscientes totalmente de la importancia de la seguridad. Hace falta una concientizacin. Para quien ofrece servicios debe tomar en cuenta que la solucin a la seguridad no solo debe cumplir con evitar y arreglar los desperfectos, tambin debe considerar el factor econmico. Hace falta un consenso para elaborar polticas mundiales sobre la seguridad. Hace falta la inversin en la capacitacin de talento. Las polticas de castigo ante delitos deben volverse efectivas. Las tendencias de seguridad se orientan de acuerdo a las tecnologas emergentes. Lo ms usado son los antivirus como sistemas de seguridad, por lo que puede significar la oportunidad para innovar nuevos sistemas de antivirus ms eficaces. Es necesario asignar ms presupuesto a la inversin, y as es como se ve. La importancia sobre este tema va creciendo mundialmente, as como los ataques por terceros. La unin entre empresa, academia y gobierno para el desarrollo de talento sera muy buena. No puede haber sistema de seguridad eficaz sin una poltica que le d un contorno fuerte de accin. El objetivo del sistema es hacer que el proceso de comunicacin sea lo ms ptimo posible.

Fuentes de Informacin
# 1C

Direccin http://www.bsecure.com.mx/featured/adrianpalma/ http://www.bsecure.com.mx/featured/seguridad-itinvertir-o-convencer-para-invertir-he-ahi-el-dilema-2de-3/ http://www.bsecure.com.mx/enlinea/invertir-mas-enprofesionales-menos-en-tecnologia/ http://www.bsecure.com.mx/featured/justificar-lainversion-en-seguridad-la-principal-barrera-para-el-cio/ http://www.elnuevodiario.com.ni/economia/301419invertir-seguridad-informatica-no-remediar-danos http://www.infochannel.com.mx/aumenta-la-inversionen-seguridad-informatica-en-mexico-idc http://www.elpais.com.uy/economia-ymercado/desafio-invertir-seguridad-informaticaanadir.html http://www.channelbiz.es/2013/11/21/seguridadempresas-espanolas-saben-como-invertir-su-dinero/ http://revistafortuna.com.mx/contenido/2010/07/15/s eguridad-informatica-inversion-para-el-futuro/ http://elempresario.mx/actualidad/necesaria-culturainversion-seguridad-trend-micro

Autor Adrin Palma Adrin Palma Carlos Fernndez de Lara Cynthia Martnez Alma Vidaurre Arias Maricela de la Cruz Luis Custodio Brbara Bcares Nydia Egremy Maricela Delgado

Consulta 18/Nov/201 3 18/Nov/201 3 18/Nov/201 3 18/Nov/201 3 18/Nov/201 3 18/Nov/201 3 18/Nov/201 3 21/Nov/201 3 21/Nov/201 3 21/Nov/201 3

2C

3C 4C 5C 6C

7C

8C 9C 10C