Sanitización - Seguridad Informática

Sanitización Informática

Sanitización en manejo de información confidencial o sensible es el proceso lógico y/o físico mediante el cual se remueve información considerada sensible o confidencial de un medio ya sea físico o magnético, ya sea con el objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.



Medios Electrónicos

En Medios Digitales la sanitización es el proceso lógico y/o físico mediante el cual se elimina la información de un medio magnético, esto incluye el borrado seguro de los archivos, la destrucción física del medio, esto con el objetivo que no se pueda obtener información del medio.

Proceso Lógico

La sanitación lógica se realiza mediante Borrado Seguro, que comprende un conjunto de técnicas que tienen como objetivo volver imposible la recuperación de la información almacenada en el medio magnético por medios digitales. Estos métodos de borrado comprenden usualmente la sobreescritura de ceros y/o unos a nivel de bit en procesos repetitivos.

Métodos de Borrado


  • Método Gutmann
  • DOD 5220.22-M1
  • Schneier
  • Pfitzner
  • RCMP TSSIT OPS-II
  • GOST R 50739-95
  • VSITR
  • NZSIT 402
  • CSEC ITSG-06
  • NCSC-TG-025
  • AFSSI-5020
  • AR 380-19
  • ISM 6.2.92
  • NAVSO P-5239-26
  • HMG IS5


Proceso físico

Se procede a la destrucción del medio físico más allá de condiciones de posible recuperación. Para cada tipo de medio físico existen técnicas herramientas y maquinarias diseñadas para su destrución. Empresas con altos estándares de seguridad informática como Google, destruyen sus medios magnéticos y el residual es enviado a fábricas de reciclaje.

En material impreso

En el caso que el medio físico sea papel, la sanitarización se lleva a cabo por medio de la destrucción del medio, esto se lleva a cabo por medio de trituración o incineración del medio.

En los casos en los cuales el material impreso debe ser entregado a usuarios sin el nivel de seguridad de necesario para acceder a la información confidencial o sensible se procede a la censura de la información confidencial. En muchos casos al censurar la información confidencial dentro de un documento se obtiene el nivel de sanitarización necesaria en el mismo para que el mismo ya no sea considerado sensible o confidencial.

Afecta

Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
Intrusos: persona que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.


Características: En Medios Digitales la sanitización es el proceso lógico y/o físico mediante el cual se elimina la información de un medio magnético, esto incluye el borrado seguro de los archivos, la destrucción física del medio, esto con el objetivo que no se pueda obtener información del medio.
Proceso físico
Se procede a la destrucción del medio físico más allá de condiciones de posible recuperación. Para cada tipo de medio físico existen técnicas herramientas y maquinarias diseñadas para su destrución. Empresas con altos estándares de seguridad informática como Google, destruyen sus medios magnéticos y el residual es enviado a fábricas de reciclaje.



PLAN DE SEGURIDAD INFORMATICA

El Plan de Seguridad Informática constituye el documento fundamental para el control y la seguridad en la explotación de las tecnologías informáticas de la Facultad. Las medidas que se establecen en el presente Plan de Seguridad Informática son de obligatorio cumplimiento para todo el personal que haga uso de las tecnologías informáticas instaladas en la institución. 

Políticas de Seguridad Informática de los usuarios que hacen uso de las tecnologías informáticas. 


  • Los usuarios que hagan uso de las tecnologías informáticasson responsables de la protección de la información que utilicen o creen en el transcurso del desarrollo de sus labores, lo cual incluye: protección de acceso a los locales y a sus microcomputadoras, así como cumplir con lo establecido respecto al tratamiento de la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría y demás regulaciones. 
  •  Los usuarios tendrán acceso sólo a los recursos que necesitan en el cumplimiento de su labor diaria, implementándose mediante la definición del equipamiento, aplicaciones a utilizar mediante los privilegios y derechos de acceso a los activos de información que se le otorgue. 
  • Los jefes de áreas deben garantizar que la seguridad informática sea tratada como un problema institucional normal al ser afrontado y resuelto, siendo los máximos responsables de promover la seguridad informática en su área. 
  •  Se emplearán las tecnologías informáticas y los servicios asociados con fines estrictamente de trabajo. 
  • Se realizarán salvas que permitan identificar y autenticar a los usuarios en correspondencia con el empleo a que están destinadas la información que en ellas se procese, intercambie y reproduzca. 
  •  Todo software traído a la entidad se le aplicará un período de cuarentena que permitan asegurar su funcionamiento seguro. El Responsable de Seguridad Informática supervisará todo chequeo que se realice en aras de proteger la integridad de la información de que se dispone.  Es obligatorio la desinfección de los dispositivos externos antes de su uso en las tecnologías informáticas. 
  •  Se mantendrá actualizada la libreta de control de usuario. En el uso de las tecnologías informáticas de acuerdo a lo que se establece en el Reglamento de Seguridad para las Tecnologías de la Información emitido por el MIC. 
  •  Los jefes de áreas y usuarios que hagan uso de las tecnologías informáticas las protegerán contra posibles hurtos, así como del robo de la información que contengan. 
  •  El movimiento del equipamiento informático debe ser aprobado por el responsable de la seguridad informática, siguiendo los lineamientos establecidos por el sistema de medios básicos contable. 
  •  Sólo podrá operar el servicio de correo electrónico el personal autorizado por la Decana.  Los compañeros que no posean cuentas de correo y necesiten enviar y/o recibir mensajería electrónica deberán contar con la autorización de la Decana. 
  •  En caso de recibirse ficheros anexos a los mensajes se tendrá en cuenta la revisión antivirus y el proceso de cuarentena de ser necesario. 
  • Sólo se accederá a los servicios de Internet desde las microcomputadoras autorizadas para ese fin. 
  • Aun cuando sea posible la conexión a un sitio de correo libre como Yahoo o Hotmail, los usuarios autorizados al uso de INTERNET se abstendrán de hacerlo, así como la difusión a través de las redes públicas de servicios de conversación en tiempo real (chat) por parte del personal de la entidad. Solo será autorizado en algunos casos por la dirección de la entidad en correspondencia a sus intereses y de las normas particulares establecidas para estos servicios y serán objetos de comprobación. 
  •  Utilizar el correo electrónico e Internet según lo establecido en las normas vigentes (Código de Ética). Sistema de Seguridad Informática 
  •  Habilitar y llevar los registros que se indican en el sistema de medidas y aplicar los procedimientos que se incluyen como parte de este Plan de Seguridad Informática. 
  •  Velar porque se apliquen los productos de protección de producción nacional u otros autorizados oficialmente para su uso en el país, debidamente actualizados. 
  •  No transgredir ninguna de las medidas de seguridad establecidas. 
  •  Cumplir las reglas establecidas para el empleo de las contraseñas. 
  •  No introducir ni utilizar en las tecnologías ningún producto ni modificar la configuración de las mismas, sin la correspondiente autorización del responsable de seguridad informática. Apertura y Cierre de los locales El control de acceso y cierre de los locales está establecido que todas las áreas con tecnologías de información al terminar la jornada laboral queden cerradas y debidamente selladas, aquellas donde se maneje información clasificada los trabajadores de estas áreas deberán extremar las medidas de seguridad. Al operar el equipamiento informático y en aras de su preservación se tendrá en cuenta:
  •  Apagarlos completamente antes de conectarlos o desconectarlos de la red eléctrica. 
  •  Deberán quedar apagados al concluir la jornada laboral, salvo que por necesidades de explotación continua del sistema o de comunicaciones tengan que seguir funcionando. 
  • En caso de ocurrencia de tormentas eléctricas severas se apagarán y desconectarán todas las tecnologías informáticas y de comunicaciones, salvo aquellas que por necesidad imperiosa haya que dejar funcionando, en cuyo caso se crearán las condiciones necesarias para su protección. 
  •  Se procederá a desconectar los equipos de la red eléctrica en caso de reparación o instalación eléctrica en la institución. 
  •  En caso de fenómenos atmosféricos deberá desconectarse los equipos de la red eléctrica y de conexión. 
  •  Mantener la limpieza de las microcomputadoras y sus accesorios; no limpiar con paños húmedos. Control de Acceso a las Tecnologías Informáticas 
  •  El Jefe de cada área determinará la manera en que utilizará el personal a él subordinado, las tecnologías informáticas, de forma tal que se logre un uso racional de las mismas. 
  •  Los trabajadores que necesiten el uso de las tecnologías informáticas y que por razones objetivas no lo puedan hacer desde sus áreas correspondientes, deberán contar con la autorización de los Jefes de áreas y registrarse en la libreta de control de usuario del área en el que lo efectué. 
  •  Para que una persona externa tenga acceso a las tecnologías informáticas y de comunicaciones será necesario la autorización previa de la decana y/o el responsable de seguridad informática y no se hará sin la presencia de un trabajador del área que se trate. Identificación de usuarios  Se establece identificación de usuarios en todas las microcomputadoras, así como para establecer la conexión a los servicios del correo electrónico e Internet. 
  •  Cada área habilitará el uso del protector de pantalla con contraseña y el bloqueo de cuentas lo que evitará que la información sea vista en momentos de inactividad y la entrada de intrusos. 
  •  Para el trabajo con los servicios de Correo electrónico e Internet, se tendrá en cuenta que no se realice la conexión automática a partir de las aplicaciones empleadas para su gestión. 
  •  Se establecerá identificación de usuarios en las microcomputadoras de cada área en correspondencia al personal que haga uso de las tecnologías informáticas y comunicación. Las contraseñas cumplirán los siguientes requisitos: 
  •  Tendrán un período de vigencia con cuotas mínimas de 1 día y máximas de 90 días de duración, no obstante se permitirá cambiarlas fuera de estos términos de tiempo máximos y mínimos cuando las condiciones así lo exijan y lo cual será avalado por el Responsable de Seguridad Informática. 
  •  Estas poseerán de permitirlo el equipo y/o sistema operativo, de 6 a 8 caracteres alfanuméricos como mínimo, no obvios, con al menos 1 de ellos de caracteres especiales y no se permitirá la duplicidad de las mismas. 
  • La contraseña cambiada con la periodicidad adecuada no se podrá repetir antes de que haya transcurrido un año como mínimo, desde que hubiera dejado de utilizarse. 
  •  No utilizar contraseñas que sean palabras del diccionario (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado). 
  •  No usar contraseñas completamente numéricas con algún significado (teléfono, C.I., fecha de nacimiento, Chapa del automóvil, etc.). • No se compartirán entre usuarios que no sean del área. 
  •  No contendrán patrones repetitivos como por ejemplo: Pazpazpepepepe. 
  •  No contendrán secuencias de caracteres cercanos en el teclado, Ej. Asdfuio. 
  •  Deben ser fáciles de recordar para no verse obligado a escribirlas. 
  •  Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente. 
  •  No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar. 
  •  No teclear la contraseña si hay alguien mirando. Es una norma táctica de buen usuario no mirar el teclado mientras alguien teclea su contraseña. 
  •  No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...". En todos los casos los cambios de contraseñas deben informarse al Responsable de Seguridad Informática. Para ello, el usuario debe escribir la contraseña en un papel que se guardará en un sobre identificado con el nombre del área. Prohibiciones 
  •  Adición de algún equipo a la red, así como la instalación de cualquier tipo de software y de programas en las microcomputadoras sin la autorización del Responsable de Seguridad Informática, garantizando su compatibilización con las medidas de seguridad establecidas por MIC. 
  •  La presencia de carpetas personales que contengan: programas de instalación, videos, películas, seriales y documentos que no estén en correspondencia con la actividad fundamental de la entidad así como música por más de 1GB de capacidad. 
  •  La colocación de páginas o sitios Web desde entidades estatales en servidores extranjeros que ofrezcan estos sitios de manera gratuita. 
  •  Vincular cuentas de correo electrónico de un servidor en el exterior del país con el fin de redireccionar y acceder a los mensajes a través del mismo. 
  •  Cualquier persona natural y jurídica a explotar o monitorear las redes públicas de trasmisión de datos en busca de vulnerabilidades o información sobre los usuarios legales de las mismas. 
  •  Introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para: comprobar, monitorear o transgredir la seguridad, así como información contraria al interés social, la moral y las buenas costumbres. Cualquier problema que sea detectado por los jefes de áreas y usuarios que hagan uso de las tecnologías informáticas y comunicaciones en materia de seguridad informática deberán informar al responsable de seguridad informática de la institución, quien tratará de subsanar lo ocurrido e informará a la decana.


LA IMPORTANCIA DEL ENTRENAMIENTO EN SEGURIDAD DE LA INFORMACION



La variedad de los ataques informáticos en los meses recientes pone de manifiesto la necesidad evidente de entrenar al personal de Sistemas y a los usuarios sobre la seguridad de la información. Hemos visto cómo tras descubrirse una vulnerabilidad, casi inmediatamente los atacantes publican el código exploit para aprovechar la vulnerabilidad y acceder a los sistemas afectados.

Las amenazas de phishing, vishing, troyanos, keyloggers, videologgers, entre otras, siguen presentes en las computadoras y en muchas ocasiones suelen engañar al usuario para obtener el acceso a su máquina y robar información personal, corporativa, financiera, propiedad intelectual, mucha de ella confidencial.

Estas actividades fraudulentes cibernéticas siguen sucediendo y aumentando porque han sido un buen negocio para los atacantes. En contraste, muchas organizaciones no actúan al respecto y creen que con tener firewall y antivirus ya están protegidas, dejando de lado el factor humano.

¿Sobre qué temas de seguridad informática ha entrenado al personal de Sistemas? ¿Y a los usuarios?
¿Cuándo fue la última vez que los entrenó?
¿Cuenta con un presupuesto específico para este tipo de entrenamiento?

Educar al personal de Sistemas y a los usuarios en estas cuestiones es ya una necesidad para proteger la información y en ocasiones a la misma gente y demás recursos informáticos.

Entre algunos beneficios de la educación en seguridad informática, podemos citar:
Contar con personal y usuarios sensibilizados y concientes de la seguridad de los sistemas.
Contar con personal y usuarios que conozcan y usen herramientas y técnicas de seguridad.
Identificar con oportunidad actividades sospechosas que puedan poner en riesgo la seguridad de la gente, información, instalaciones y sistemas.
Apoyar las estrategias corporativas en materia de tecnologías de información.
Apoyar las actividades de auditoría de los sistemas.

No subestime el tema. Los atacantes no lo hacen y muchas veces apelan al desconocimiento de los usuarios para engañarlos o burlarlos. Se aprovechan del poco conocimiento que hay en la gente sobre técnicas de ataque y contramedidas de seguridad informática.



COMPLEMENTAR EL USO DE CUENTAS Y PASSWORD CON MECANISMOS DE IDENTIFICACION Y AUTENTICACION


De acuerdo con un estudio de Trusted Strategies y Phoenix Technologies, la mayoría de los ataques informáticos usaron cuentas de usuario y contraseñas robadas. El estudio está basado en los procesos judiciales documentados por el Departamento de Justicia de los EEUU entre marzo de 1999 a febrero de 2006 y apunta que las mayores pérdidas fueron causadas por el acceso no autorizado mediante el uso de cuentas privilegiadas.

Según el informe, una empresa ha perdido en promedio unos 2,400 dólares por cada ataque de virus; el 88% de los ataques denunciados fue por el acceso con contraseñas robadas.

Es de llamar la atención que mientras aumenta el gasto en antivirus y firewall, no ocurre lo mismo con la inversión en sistemas de control de acceso e identificación.

De acuerdo con el tipo de compañía, son las gubernamentales, empresas de venta al menudeo y de tecnología las mas atacadas, seguidas por empresas de salud y educación.

El estudio destaca que en su mayoría, los ataques fueron perpetrados desde la computadora del atacante, usando cuentas y contraseñas robadas y siguiendo los procedimientos normales de acceso a los sistemas. Sólo un 5% de los atacantes usaron recursos informáticos de la empresa atacada. El 57% de los atacantes no tenían relación con la víctima, el 22% eran antiguos empleados de la compañía y el 14% eran empleados en el momento del ataque. Sólo el 7% mantenían una relación de tipo cliente o proveedor.

El estudio concluye que los ataques a la red podrían haber sido prevenidas en 84% de los casos si la organización hubiera implementado mecanismos de identificación y autenticación como complemento a las protecciones de cuentas y passwords de los usuarios, lo que significa que requerir la cuenta de acceso y la password para acceder a la red y a la información ya no deben seguir siendo considerados como la única protección de los sistemas y de la red.

BORRAR INFORMACION DE FORMA SEGURA





De acuerdo con un Informe de BT, la Universidad de Glamorgan en Gales y la Universidad Edith Cowan de Australia, a pesar del aumento en la madurez y conciencia sobre la seguridad de la información, las organizaciones todavía no modifican sus procedimientos para asegurarse que la información sea borrada de forma efectiva, antes de que los discos duros sean desechados.

Para el estudio se obtuvieron más de 300 discos duros de computadoras del Reino Unido, Australia, Norteamérica y Alemania, comprados en subastas de computadoras, ferias o en línea. En estos discos se encontró información como nóminas, números telefónicos de celulares, copias de facturas, nombres y fotos de empleados, direcciones IP, información de la red, archivos ilícitos de audio y de video, y detalles financieros incluyendo cuentas bancarias y de tarjetas de crédito.

La investigación reveló que, en una importante proporción de los discos que fueron examinados, la información no había sido quitada con eficacia, y por consiguiente, tanto las organizaciones como los individuos quedaron expuestos a una serie de potenciales crímenes. Estas organizaciones también habrían fallado en satisfacer sus propias obligaciones estatutarias, reguladoras y legales.

La sanitización es el proceso para borrar la información confidencial con el aseguramiento de que los datos no podrán ser recuperados ni reconstruídos. Este proceso es crítico cuando el medio de almacenamiento de los datos es transferido, se hace obsoleto, ya no es usado o ya no es requerido por un sistema de información.

Dicho proceso debe ser definido por las organizaciones para proteger su información de acceso no autorizado y de ser usada con objetivos malintencionados, para lo cual es conveniente realizar una evaluación de riesgos que balancee las necesidades y riesgos de negocio para la confidencialidad y seguridad de la información.

Algunos métodos de sanitización son:
Destruir el medio de almacenamiento. Algunas técnicas pueden ser la desintegración, incineración, pulverización y la fundición del medio. Para CDs o DVDs puede usarse una trituradora. Para los diskettes, CDs y DVDs pueden usarse una trituradora. Los discos duros pueden ser abiertos e incinerados.
Borrar la información. Se borra la información y se usa algún procedimiento que evite su recuperación. Algunas técnicas pueden ser la sobre-escritura de información y el degaussing. Para la sobre-escribir la información en el medio, se recomienda hacer como mínimo siete sobreescrituras y apoyarse con herramientas de hardware y software especializadas. El degaussing es una técnica que expone el medio a un campo magnético alterando la forma en cómo se encuentran escritos los datos haciéndolos inaccesibles. El degaussing puede ser efectivo para medios magnéticos de gran capacidad aunque no puede usarse en el caso de CDs o DVDs, que no son medios magnéticos.

Los procesos de sanitización deben ser ejecutados por profesionales autorizados y en un lugar apropiado.

Es importante considerar que en el caso de que la información no se pueda borrar la información, es mejor destruirla para evitar que caiga en manos no autorizadas.











Comentarios

Publicar un comentario

Entradas populares