Entre lo urgente y lo estratégico: la seguridad informática
Por Yailin Orta Rivera, especial para la Mesa Redonda
Fotos de Roberto Garaicoa
¿Se utiliza adecuadamente el equipamiento informático en el país? ¿Existen regulaciones de seguridad informática y es controlado su cumplimiento? ¿Qué impacto pueden tener las violaciones informáticas? Estas y otras interrogantes marcaron el debate de la Mesa Redonda de este viernes, que contó con la presencia de los expertos Gonzalo García, Rafael de la Osa y Amaury del Valle.
En este espacio se coincidió en que la seguridad informática no solo se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta, sino, especialmente, en la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos de la infraestructura o de la información.
Rafael de la Osa insistió en que este es un asunto que no solo atañe a Cuba, sino que es una prioridad de la contemporaneidad. Todo este proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propósito de potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo.
“Pero no se trata de la administración desproporcionada basada en prohibir, sino en orientar el funcionamiento organizativo y funcional, garantizar un comportamiento homogéneo y la corrección de conductas o prácticas que nos hacen vulnerables”.
Para Gonzalo García, antes no había cultura informática, y la nueva realidad nos pone frente a la necesidad no de evitar que las cosas se hagan, sino que se hagan de la manera más segura.
La seguridad informática, como se dijo, no solo concierne a la protección de los equipos, sino de los datos de la entidad, por ello el motivo o el motor para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución o persona que maneja los datos, porque la pérdida o modificación de los datos le puede causar un daño (material o inmaterial).
Amaury del Valle amplió el rango del peligro, “la propia falsificación de perfiles en las redes sociales, o los usuarios anónimos en las redes, o la suplantación de identidades en Internet pueden ser una amenaza en cuestiones de seguridad”.
Por ello nuestro sistema computacional no solo puede verse afectado de manera física, sino también la Información almacenada. El activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Como los controles de acceso, autenticación, encriptación, firewalls, antivirus…
Todo ello sin descuidar la seguridad física, que consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención para que no le ocurra nada al ordenador (incendios, inundaciones, terremotos, instalación eléctrica, entre otros…).
Para lograr una coherencia en los modos de actuación en el país en esta materia, se reconoció que es preciso también patentizar en un cuerpo legal todo lo relativo a esta realidad, el cual recoja las políticas de seguridad establecidas, que deben incluir los elementos referidos a la privacidad, el acceso, la autenticación, el mantenimiento de la red y los sistemas de la organización, la directrices para adquirir tecnología con rasgos de seguridad requeridos y/o deseables, sanciones para quien infrinja la política de seguridad…
Entre las amenazas más frecuentes se tipificaron no solo las que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso, sino hasta las de tipo no informáticas. Muchas son a menudo imprevisibles o inevitables.
Las amenazas pueden ser causadas por usuarios, en algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados. Están también los programas maliciosos destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema.
Los errores de programación además se cuentan entre los peligros que se corren en este terreno, así como se incluyen los intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers…). Tampoco se pueden pasar por alto los siniestros, o los fallos electrónicos o las catástrofes naturales.
Todas estás circunstancias expresan lo oportuna y vital que es la seguridad informática, porque el error más común no puede ser la ausencia de medidas de protección. Enfrentarse a esta realidad, evitando o reduciendo los daños a un nivel aceptable, es posible con lo que se denominga gestión de riesgo, que implica: conocer el peligro, clasificarlo y protegerse de los impactos o daños de la mejor manera posible.
Pero una buena gestión de riesgos no es una tarea única sino un proceso dinámico y permanente que tiene que estar integrado en los procesos (cotidianos) de la estructura institucional, y que debe incluir a todas y todos.
El contenido de este programa es de vital importancia hoy día, hay dos motivos, el primero es que en general los usuarios de las redes cubanas “desconocen” procederes básicos en materia de seguridad informática y el segundo es que la preparación que se recibe a cualquier nivel está centrada en el hardaware y el software, en fin como operar con una PC. Los programas educativos sobre seguridad informática que he visto hasta hoy centran su atención en códigos malignos (casi siempre se le llama virus) y la base legal, es escasamente desarrollado el estudio (al menos en mi ámbito) de procederes básicos, de los problemas relacionados con lo axiológico, entre otras cosas. Nadie se cuestiones como su actuación negligente puede provocar el colapso de una red institucional, o hasta ser un problema para la seguridad nacional, o cómo violar una política puede constituir una afectación a ala justicia social en nuestro país, como puede ser el hecho de que alguien con permisos pueda usar de manera discriminatoria los servicios informáticos de una entidad a partir de sus prerrogativas. O cómo el hecho de utilizar un software instalado de manera ilegal o sin la debida cuarentena informática puede representar un daño irreparable para la información institucional. En fin las aristas son muchas y ya no estamos hablando se seguridad informática circunscrita a las computadoras, sino que estamos hablando de seguridad en infocomunicaciones, porque las interrelaciones que exitsen en las tecnologías de la información y las comunicaciones convierten esta ciencia en algo cuyos límites ya casi no se pueden abarcar. Por algo existe la informática forense y sus técnicas se desarrollan cada día más. Hay que poner a pensar a las personas que desean tener un correo en servidores con Yahoo o Gmail si se han puesto a pensar en los riesgos de du uso, en especial cuando envian información vinculada a su labor por esta vía. Esta temética requiere un tratamiento más profundo para que las personas no vinculadas a la Informática comiencen a percibir el riesgo que tiene no solo para si, sino para la sociedad operar una de estas tecnologías de las infocomunicaciones sin conceptos básicos de seguridad. Valoren ampliar el espectro de esta temática que requiere de mucho por decir aún.
Soy administrador de la Red de la UEB Atención a Productores Cañeros “Roberto Ramírez Del gado” perteneciente a la Empresa Azucarera Granma. Se trató muy bien el tema relacionado con las Violaciones Informáticas, no se si fuera posible que esta mesa redonda la hicieran llegar a los organismos para el estudio y debate de la misma, en realidad hay personas que no ven la mesa redonda por cualquier motivo, pero por su importancia nos puede hacer de mucha ayuda a todos los administradores de Red para que así se entienda mejor el trabajo que nosotros realizamos y tratar de crear una cultura relacionado con este tema.
me uno a la solicitud de JoseLuis ,o de ser posible que se creen las condiciones para bajar todo el programa ,el debate tubo muy actualizado,aspecto este que lo necesito para el desarrollo de algunas de mis funsiones.
Hola me gustaria saber si existe algun enlace donde pudiera descargar integramente esta Mesa Redonda sobre Seguridad Informática, estuve revisando en el canal de Youtube ( http://www.youtube.com/mesaredondacuba ) y no la encuentro.
bien , la seguridad informatica ,es de importancia estrategica, pienso que cada cubano debe tener internet desde un servidor cubano como las cuentas de nauta. y se deben evitar abrir las cuentas de email como: gmail, yohoo, y otros , debemos crear nosotros mimsos nuestro propio ciberspacio.
Me encuentro en la misma situación de Danny, no he podido encontrar el video para poder descargarlo e incluso tengo previsto reproducirlo a todos los trabajadores de mi entidad que esten relacionados con este tema de una u otra manera.
De nada vale protegerse con antivirus si no hay cultura ni educación informáticas en quienes poseen y usan las computadoras. Para trabajar con una computadora hay que primero ser una persona organizada y estar focalizada en lo que quiere hacer con ella. Muchas personas entrar a una PC por gusto, por darse la satisfacción de tener un recurso pero sin saber lo que quieren hacer con ella. Otras copian de cualquiera cualquier cosa para “investigar”, sin saber si la fuente es confiable y “limpia”. Hay mucho “relajo informático” en todos los lugares. Mientras no haya cultura y educación informáticas de nada valdrán los mejores antivirus del mundo. Yo tengo un amigo extranjero que siempre me dice que no tiene absolutamente ningún antivirus en su máquina, pues él sabe, antes de encenderla la fiabilidad de cuanta información el introduce en ella, o de los sitios Web donde entra, o de los correos de internet que utiliza. Tiene un cortafuegos exclusivamente con todo bien identificado de lo que debe o no debe introducirse en su PC, pero no tiene ningún antivirus, que de hecho realentizan la máquina y la alertargan pues “se meten en lo que no les importa”, sobre todo el Kaspersky. Mi consejo: ¡sea organizado, no entre por gusto en su máquina, manténgala bien desfragmentada, saque toda la porquería que no necesita e introduzca en ella información previamente “limpiada”! ¡No juegue con la computadora, pues todos los juegos son fuentes potenciales de virus. Tampoco utilice salvapantallas dinámicos, por las mismas razones, Etc.!