En los últimos años, la Seguridad de la Información ha ido adquiriendo un mayor peso, debido al avance y mayor dependencia de la Informática y de las Tecnologías de la Información.
Sin embargo, el hecho de depender de sistemas informáticos conlleva riesgos relacionados con la Confidencialidad, Integridad y Disponibilidad principalmente.
Es por esto que debemos concienciarnos sobre la necesidad de que nuestros sistemas se mantengan seguros, ya que si un atacante ataca un sistema crítico con éxito, las consecuencias pueden ser catastróficas.
Debido a esto, es importante mantener una cultura sobre la Seguridad de la Información que involucre a usuarios, Administradores de Sistemas, y cualquier otra parte interesada que guarde relación con los sistemas de información, o con la información contenida en los mismos.
¿Existe actualmente una buena cultura de Seguridad de la Información?
Los resultados indican que la respuesta es no. Veámoslo con el ejemplo que se expone a continuación.
La conocida plataforma de e-commerce “Magento “se vio afectada por una importante vulnerabilidad, explotable mediante la inyección de código malicioso. Poco tiempo después de la publicación de la vulnerabilidad, se desarrolló el parche correspondiente que solventaba el problema.
Sin embargo, se ha podido verificar que son muchas las plataformas online que utilizan Magento, que a mes de Julio aún no han instalado el parche.
La vulnerabilidad permite que un atacante obtenga, modifique o destruya la información almacenada en la Base de Datos del programa.
Esto puede traer consigo implicaciones legales serias, tales como Incumplimiento de la Ley Orgánica de Protección de Datos (LOPD), o incumplimientos relacionados con PCI DSS (normativa aplicable a datos de tarjetas de crédito).
¿Cómo puedo mantener mis sistemas actualizados?
Implementando una cultura de carácter preventivo (detección de debilidades, y solución de los mismos antes de que estos deriven en incidentes graves).
Para ello, como mínimo, es recomendable realizar suscripciones a foros o comunicaciones de los fabricantes de los sistemas, y de webs especializadas en Seguridad de la Información, que avisen de forma regular de los problemas que pudieran afectar a nuestros sistemas, para que nosotros podamos establecer las acciones correspondientes para solventar las deficiencias indicadas.
Este tipo de tareas preventivas consistentes en ser notificados, y plantear una solución de forma rápida, por lo general se realizan en poco tiempo, y cambio, podemos evitar problemas serios que afecten a la operativa, bien por robo de datos, por afectar al funcionamiento de los servicios informáticos utilizados, o bien por un incumplimiento normativo.
José Francisco Lendínez. Dpto de Seguridad TIC