viernes, 28 de noviembre de 2008

¿Porqué concientizar a los usuarios en la seguridad de su información y privacidad?

¿Porque me tiene que interesar la seguridad informática? ¿Contra quién tengo que resguardarme cuando uso mi computadora? ¿Quién va a querer espiar lo que estoy haciendo? Estas, y otras muchas más, son las preguntas que se hacen los usuarios -no avanzados y no técnicos- a la hora de planteárseles la necesidad de aplicar buenas prácticas de seguridad. Sobre todo hoy en día, que internet juega un papel muy importante en nuestras vidas y nos brinda una gran cantidad de servicios. A continuación, algunos conceptos y consejos.

El 24 de noviembre comenzó la Semana de la seguridad informática, en el marco del Día internacional de la seguridad informática -que se celebra el 30 de noviembre- y se extenderá hasta el 1 de diciembre.
Como actividad de este evento se programaron charlas en varias provincias del país, y Entre Ríos no fue la excepción. Así, el 25 de noviembre se realizó -en el salón del Colegio de ingenieros especialistas de Entre Ríos (Cieer)- la 4º Jornada de seguridad informática -organizada por Cieer-, donde se brindaron dos disertaciones realizadas por especialistas en el tema. Uno de ellos, Fernando Gont, experto en seguridad informática, dialogó con puntoCyT.

Cuando hablamos de seguridad informática, muchos creen que nos referimos a verdaderos especialistas y técnicos que han finalizado una carrera afín que les permita llevar a la práctica este tema. Pero en este artículo nos vamos a centrar en las precauciones que los usuarios deben tener en cuenta para resguardar la privacidad de su información, es decir, su seguridad informática.

Para mantener esa información segura y resguardada de acceso ilegítimo, hay un montón de mecanismos. Pero también hay otro montón más de formas mediante la cual esa información puede ser vulnerada, el tema es cumplir con los objetivos.

Por este motivo nos acercamos a charlar con Fernando Gont, quien con claros términos -y ejemplificando cada uno de ello-, nos explicó esos raros conceptos y nos dio varios consejos para tomar en el uso cotidiano de la PC, y considerando la penetración de internet en nuestras vidas.
Seguramente mas de uno ha pagado sus impuestos mediante Home Banking a través de internet, o chequeado su cuenta, incluso halla realizado inversiones a través de la web, o comprado artículos, o lo que fuera. Estas son algunas de las prácticas habituales de las cuales debemos estar resguardados.

Pero, ¿porque es importante la seguridad informática?
"La informática ha penetrado hacia lugares que uno antes no se habría ni imaginado. Por ello, muchísima información que hace mucho tiempo atrás se mantenía tradicionalmente en papel, hoy se conserva en computadoras. Ejemplo de ello pueden ser: la historia clínica de un paciente en un hospital, la información académica de un alumno, o los datos de una cuenta bancaria, etc.
Si bien la informática en sí ha hecho procesos más eficientes de lo que eran originalmente, también expone esa información, que de alguna manera antes no ocurría. Por ejemplo, si hablamos de la historia clínica de un paciente: años atrás vos a esos datos los tenías en un archivo de papel que estaba dentro de una oficina especial a la que solo se podía ingresar con llave. Entonces, de cierta manera podías argumentar que tenía un cierto nivel de protección.
La cuestión es hoy, que pasa si yo pongo esa información en una computadora y a esa PC la conecto a una red para que se pueda acceder de manera remota. Ahí entra la cuestión de la seguridad. Esto quiere decir que si quiero que ciertas personas tengan un acceso legitimo a esa información, puedan hacerlo. Pero además prevenir que quienes no están autorizados a acceder, no lo hagan. Entonces, este es el juego, que es lo que uno puede implementar para que eso se cumpla y proteger la información sensible”.

¿A que se le considera información sensible?
Información sensible es la información que cada uno de los usuarios considera crítica. Uno piensa que información sensible puede ser lo relacionada con lo militar o gubernamental. Pero a mí me pueden parecer sensibles las comunicaciones que mantengo por correo electrónico. Entonces, quiero hacer uso de esa tecnología, pero a la vez evitar que un tercero acceda a mis mensajes”.

¿A quien le interesa la seguridad informática?
Hay que diferenciar entre lo que es seguridad informática y lo que es seguridad de la información. Cuando hablas de seguridad informática muchas veces te estás refiriendo en particular a la seguridad de la información, pero en lo que tiene que ver con el procesamiento de esa información mediante equipos informáticos.
Entonces, un usuario final necesariamente no está capacitado en el área informática, pero si tiene interés por la seguridad de su información, y necesariamente no le interesa que mecanismos ni que tecnologías están trabajando. Simplemente quiero que no se viole la privacidad de su información. En síntesis, lo que le interesa al usuario final es la seguridad de la información en sí.
Lo mismo sucede con las organizaciones, empresas privadas e instituciones gubernamentales, lo que les debe importar es la seguridad de la información. Después, todas aquellas personas que estamos involucradas con cuestiones técnicas, ahí si estamos trabajando, porque implementamos seguridad informática para lograr seguridad de la información.
Esto no quiere decir que teniendo seguridad informática tengas seguridad de la información, porque por ahí la información es vulnerada donde no intervienen centros de cómputos”.

La ingeniería social como práctica para vulnerar humanos
“La ingeniería social se denomina al proceso mediante el cual logras un objetivo vulnerando la condición humana. Es decir, puedo tener varios mecanismos técnicos para obtener tu clave cuando accedes a tu correo electrónico. Supongamos que desde mi maquina ingreso a la tuya para obtener tus claves. Eso sería acceso a la información de manera técnica.
Otro método que puedo aplicar seria falsificar un mensaje de correo electrónico y enviártelo presumiendo que soy soporte técnico de quien te brinda servicio de correo electrónico a vos, diciéndote que tuvimos graves problema en la base de datos y es necesario que nos reportes tu usuario y contraseña. Entonces eso sería el uso de ingeniería social, donde mediante algo técnico se intenta explotar vulnerabilidades de características humanas”.

¿De qué forma educamos a los usuarios?
“Una forma de instruir a los usuarios es concientizarlos en cuál sería el impacto negativo que podría tener un ataque informático. Ejemplificándolo, si le decís a un usuario: “elegí una contraseña que sea difícil”, es mucho más complicado que el usuario tome tu consejo.
Ahora, si la advertencia o el consejo vienen por el lado de decir, “bueno, estas usando tu correo para un montón de actividades que son importantes, entonces, toma conciencia que hay un montón de gente que puede estar intentando vulnerar la privacidad de tu correo electrónico”.
De esta forma, podríamos ser más específicos y decir: “una de las maneras mediante la cual se intenta vulnerar una contraseña de correo electrónico, es probar palabras o combinaciones de palabras y números que puedan tener cierta relación con lo que es tu persona, fecha de nacimiento, numero de documento o lo que fuera”.
Entonces, hay que concientizar al usuario y decirle que puede haber gente que va a estar probando esas cosas y que tome conciencia y no elija ese tipo de contraseñas, porque de esa forma estará facilitando la tarea de un atacante para acceder a su cuenta.
De la misma manera sucede con lo que es el acceso a internet. Es decir, explicarles a los usuarios que la misma computadora que utilizan para ingresar al Home Banking –desde la cual manejan dinero-, no la utilicen para descargar cualquier programa que encuentren dando vuelta por internet. Hay que tener en cuenta que el software descargado puedo haber sido vulnerado y de esta forma le facilitamos el acceso a nuestra PC a cualquier atacante y perder dinero.
Con la concientización del usuario se tiene que intentar explicar y dejar claro cuáles son las consecuencias. Si uno focaliza desde lo que serian las cuestiones técnicas, el usuario las entiende, pero no es lo suficientemente consciente de cuáles son las implicancias negativas. Y como todas esas precauciones que uno intenta inculcarle al usuario, requieren de un esfuerzo extra, a menos de que el usuario sea consciente de cuál es el motivo y el beneficio que tiene por cumplir con ese consejo, no lo va a cumplir”.

Algunos consejos o tips
“Como consejo básico, el primero seria no usar el mismo sistema para las actividades relacionadas con servicios. Es decir, cuidar el sistema y no bajar indiscriminadamente software de cualquier lado e instalarlo en esa computadora.
En el caso de las personas que usan un único equipo para todo, yo recomendaría tener varias cuentas distintas para las actividades que uno realiza, en particular en los sistemas de Windows, no utilizar para las actividades cotidianas las cuentas de administrador. Por defecto, cuando instalas una versión de Windows siempre te crea una única cuenta con privilegios de administrador, y la gente utiliza esa cuenta para todo. Lo cual es incorrecto. Uno debería reservar esa cuenta para aquellas actividades que necesariamente precisan ese privilegio. Entonces usarla nada más para cuando tengas que instalar un software en particular y para todo lo que es navegación por internet, hacerlo con la cuenta no privilegiada. De esta forma, cuando abras un documento afectado con un virus o que ejecutes un archivo que no debías ejecutar, el daño que ese código malicioso va a poder perpetrar en el sistema va a estar -en teoría- limitado a esa cuenta que estas usando, caso contrario ese código va a tener acceso completo al sistema y entonces va a hacer lo que quiere. Es como estar expuesto todo el tiempo.

Fijarse el orígen a la hora de instalar software. No simplemente conectarse a internet y bajar cosas de cualquier lado.

Es bastante conveniente tener instalado en nuestro sistema software de seguridad, como antivirus, firewalls y spyware, etc. Hay que aclarar que esto es nada más un elemento tendiente a ayudar a que el sistema sea más seguro. Si alguien cree que por tener un antivirus y un firewall instalado, es inmune a todo tipos de amenazas, esta terriblemente equivocada, Si no hay cuidado de la forma que manejas tu información y tu equipo, no va a haber mecanismo alguno que mitigue las amenazas”.

Visto en http://cyt.aimdigital.com.ar/ver_suple.php?id=3558

No hay comentarios: