Cada vez más, los problemas relacionados con la seguridad de la información se están gestando en el mundo de TI. De hecho, la World Wide Web se ha convertido en una plataforma global para el intercambio y el almacenamiento de información, y la palabra Internet es familiar para todos. En el mundo moderno, es difícil encontrar una empresa que no use las tecnologías de Internet: todo tipo de aplicaciones, dispositivos, dispositivos IOT; todo esto está en riesgo. Por lo tanto, hablaremos sobre los conceptos básicos de seguridad de la información, a saber, el control de acceso.
Me gustaría discutir algunos aspectos aparentemente obvios de la seguridad de la información. Irónicamente, muchos subestiman la importancia de la seguridad o consideran que sus medidas son suficientes. Vale la pena recordar
el efecto Dunning-Krueger, cuya esencia es que las personas con bajas calificaciones en alguna área hacen conclusiones erróneas. De ahí las decisiones fallidas en los negocios que no son capaces de realizar.
Seguridad de la información: esta es un área en la que no está permitido asumir nada y actuar según el principio de "aunque solo sea por la especie". La seguridad de la información debe ser el objetivo final, una palanca en el negocio que minimice las pérdidas y los gastos, y proteja sus datos. El mayor peligro para la empresa es el factor humano. De hecho, gracias a la manipulación inteligente de un empleado, un atacante puede comprometer su sistema. Desafortunadamente, existe la idea errónea de que si tiene una protección técnica sólida (todo tipo de IDS, sistemas antifraude, antivirus, DLP, firewalls), entonces su negocio está seguro, pero esto no es así. Nuestra psicología es predecible, y en la mayoría de los casos, nuestros impulsos son provocados por el miedo y las acciones precipitadas. Tomemos, por ejemplo, ataques banales por correo: el empleado recibió una carta que indica que algún sistema donde está registrado está comprometido. Esta noticia ciertamente lo asustará, y con mayor probabilidad seguirá el enlace, dando sus datos a los atacantes. Por lo tanto, es importante configurar el acceso correctamente y mejorar las habilidades de los empleados en seguridad de la información. Toda una "ciencia" está dedicada a este tema: ingeniería social, pero sobre esto la próxima vez, y hoy hablaremos sobre la organización del control de acceso.
Cualquier tarea se ve mejor desde un ángulo diferente, esto también se aplica al control de acceso: la instalación de antivirus y otros medios de protección no es suficiente. Del razonamiento lógico, como opción, surge la siguiente fórmula:
Un buen sistema de control de acceso = medidas administrativas + medidas técnicas + protección física.¿Qué se incluye en las medidas administrativas? ¡Sí, todo es muy simple! Esta es la organización correcta de la documentación en el sistema de gestión de seguridad de la información. Una buena política de seguridad, metodologías de evaluación de riesgos, auditorías internas, procedimientos, capacitación del personal: todo esto contribuye a la organización adecuada de la seguridad en los negocios.
En la Política de seguridad, es más importante reflejar los objetivos de la empresa y el alcance (qué unidades cubre esta política), y también tener en cuenta los requisitos de la empresa, los socios y los clientes. La empresa debe identificar los activos de información, y aquellos activos que requieren un manejo más cuidadoso deben clasificarse por importancia y valor. Para determinar quién tiene acceso a los activos y es responsable de la implementación de las medidas de seguridad de la información, puede usar la tabla de roles (la tabla indica los roles y quién es responsable de lo que se asigna). Otra etapa importante es la capacitación: invite a especialistas o contrate a quienes le contarán a sus empleados sobre las reglas de seguridad de la red (por ejemplo: qué es el phishing, cómo reconocerlo, cómo descifrar a un ingeniero social y qué sitio es seguro). Estos son aspectos muy importantes, porque es el factor humano el vínculo más vulnerable. Las auditorías internas lo ayudarán a identificar las deficiencias de su sistema de gestión de seguridad de la información, determinar qué departamentos son vulnerables y qué departamentos necesitan capacitación avanzada, y comprender si se cumplen los requisitos especificados en la Política. Es importante elegir un auditor competente que verifique cuidadosamente el estado de su sistema para cumplir con las reglas. Gracias a la metodología de evaluación de riesgos, puede calcular la probabilidad de ciertas amenazas, así como detectar las existentes y elegir acciones adicionales con respecto a los riesgos.
Por hardware, atribuimos varios software y hardware, servicios de seguridad de la información. Pueden ser sistemas de contraseña, cortafuegos, escáneres de seguridad, protocolos seguros, sistemas operativos, etc. Extremadamente cuidado necesita estar con sistemas de contraseña. Como siempre están bajo el escrutinio de los atacantes, corren el mayor riesgo. Al comunicarme con una gran cantidad de personas, me di cuenta de lo fácil y negligente que es proteger con contraseña (crean contraseñas simples, las almacenan en lugares accesibles), sin darme cuenta de que un atacante puede descifrarlas fácilmente. Por ejemplo, tome un tipo de ataque como la fuerza bruta (que significa contraseñas de fuerza bruta). Suponga que realmente no fantaseó con su contraseña y tomó un pirata informático común, mientras tanto, conociendo su correo, utilizando varios diccionarios encontrará una coincidencia y comprometerá su sistema. ¡Todo es simple! También vale la pena recordar y recordar a los empleados sobre correos electrónicos de phishing: no abra enlaces e ingrese una contraseña, respire y descifre.
Bueno, el tercero es la protección física: cerraduras, protección especial, cámaras de video, sistemas de acceso, etc.
También quiero centrarme en tres métodos de control de acceso. Si su trabajo está conectado con datos confidenciales e información confidencial, secretos de estado, entonces debe prestar atención al método de control de acceso obligatorio. La peculiaridad de este método radica en su jerarquía, ya que a los empleados y objetos (archivos, documentos, etc.) se les asigna un cierto nivel jerárquico de seguridad. El nivel de seguridad de un objeto caracteriza su valor y, de acuerdo con el nivel, se le asigna una etiqueta de seguridad.
El nivel de seguridad caracteriza el grado de confianza en el empleado, así como su responsabilidad por esta información. El sistema operativo asigna ciertos atributos al empleado, gracias a los cuales el empleado tiene acceso dentro del marco de sus poderes oficiales. Considere el siguiente ejemplo, supongamos que tenemos varios niveles de acceso:
- Información de alto secreto (acceso denegado);
- Información secreta;
- Información de acceso restringido;
- Información de acceso libre.
También tenemos usuarios que tienen diferentes niveles de acceso a la información anterior:
- Usuario 1: trabaja con información clasificada;
- Usuario 2: trabaja con información de acceso limitado;
- Usuario 3: trabaja con información de acceso libre.
Imaginemos la estructura de nuestro sistema en la forma del siguiente diagrama, donde RW - permisos de lectura y escritura, R - permisos de lectura, W - permisos de escritura:
Del diagrama se deduce que:
El usuario 1 tiene el derecho de leer y escribir objetos destinados a trabajar con información clasificada, así como el derecho de leer objetos con información limitada y gratuita.
El usuario 2 tiene el derecho de leer y escribir objetos que pertenecen a la información de acceso restringido, y también tiene el derecho de leer objetos con información de acceso libre y el derecho de escribir objetos con información secreta.
Usuario 3: tiene los derechos de leer y escribir objetos con información de acceso libre, así como el derecho de escribir objetos con acceso limitado e información secreta.
Pero a todos los usuarios se les niega el acceso a objetos con información de alto secreto.
El método más simple se considera discrecional, que se considera bastante común. La esencia del acceso es simple: el propietario del objeto decide a quién otorgar acceso y de qué forma (lectura, escritura, etc.). El método se puede implementar utilizando listas de acceso o una matriz de acceso, pero debe tener en cuenta que un empleado con ciertos derechos puede transferir su objeto a otro para su uso sin notificárselo. Por lo tanto, si está trabajando con información importante, debe tener cuidado con este método.
A continuación, hablemos sobre el método de control de acceso basado en roles. La esencia de este método es simple: entre los usuarios del sistema y sus privilegios aparecen entidades intermedias, que se denominan roles. El método supone que para cada usuario se pueden asignar varios roles, proporcionando acceso a la información necesaria. Este método elimina el abuso de derechos, ya que implementa el principio de privilegio mínimo.
Proporciona solo ese nivel de acceso a un empleado que cae dentro de su área de responsabilidad. Además, este método implementa el principio de separación de funciones, lo que simplifica la gestión de los activos de información. La desventaja de este método es que es difícil de implementar cuando hay una gran cantidad de usuarios y roles, ya que es costoso.
Existen otros métodos, pero hablamos de la mayoría de las claves. Todos los métodos anteriores para organizar el acceso son un paso importante en la seguridad de su empresa y, por lo tanto, vale la pena prestarles mucha atención.