Los gobiernos y organizaciones del mundo que tienen acceso a servicios mediante la red de redes son un foco latente de atención por los atacantes cibernéticos denominados hackers. En algunos casos, la curiosidad hace que éstos hackers se infiltren en redes organizativas para corromper sus reglas de seguridad y demostrar a éstas lo vulnerables que pueden ser. En otros casos, como lo son bancos y otras entidades financieras, son foco a aquellos ladrones cibernéticos que se encargan de sustraer dinero de las cuentas seleccionadas, por lo regular con grandes cantidades de dinero, para hacer uso de el en viajes, casinos, moda, autos y otros entretenimientos. Otros casos de ataques son los que recientemente se han escuchado en la Internet, que es el caso de la infiltración a archivos privados de celebridades.
En fin, si comenzamos a hacer una remembranza sobre los ataques que sufren los usuarios de los servicios de la Internet, no acabaríamos el listado. Diariamente sufren ataques los sitios web de todo el mundo. Kazpersky Labs muestra en sus publicaciones un mapa mundial que muestra los ataques en tiempo real que sufren todos los países que cuentan con servicios de la Internet.
Pero ¿cómo podemos tratar el tema de la seguridad en una organización?
Mediante el establecimiento de reglas estrictas de los servicios relacionados con el uso de la Internet que, por lo regular, son la puerta para lo ciberataques.
La criptografía es la ciencia encargada del establecimiento de modelos de seguridad en el manejo de los paquetes de datos en el proceso de transferencia de información entre clientes de la red. El uso de algoritmos matemáticos establece las reglas de los métodos y , una vez que son analizados por el Instituto de Ingenieros en Electricidad y Electrónica (IEEE) entoces, se establecen como estándares que pueden ser utilizados por las distintas arquitecturas de redes de telecomunicaciones. Algunos modelos simétricos de criptografía son AES, DES, 3DES, Diffie Hellman, TLS, Blowfish, IDEA, RC4, RC6.
La seguridad en una organización se lleva a cabo mediante auditorías de seguridad en la red y el manejo de cuentas de usuario, replicación de información y formas de acceso a la información desde distintos medios de conexión mejor conocidas como ethical hacking.
Pero no debemos confundir el principio del ethical hacking con el hacking tradicional. La diferencia entre estos dos conceptos consiste en que el kacking tradicional ejecuta técnicas de criptoanálisis para infiltrar en las redes y obtener la información para los fines antes mencionados y el ethical hacing consiste en la auditorías de seguridad expuesta en el párrafo anterior.
Una vez que se realiza el análisis de seguridad en la red, se genera un reporte que, mediante la implementación de las Normas ISO 27001 que va enfocada un modelo de seguridad mediante SGSI que pueda generar manuales de Gestión de Riesgos Informáticos y 22301 que va enfocada a la metodología que debe realizar una empresa a partir de un ciberataque.
En publicaciones posteriores, complementaremos los fundamentos de las Normas ISO 27001 y 22301, como realizar una auditoría del tipo ethical hacking y cuales son las etapas de ataque de un hacker.
Comentarios
Publicar un comentario