Your SlideShare is downloading. ×

Politicas de-seguridad

13,247

Published on

Politicas de-seguridad

Politicas de-seguridad

0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
13,247
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
418
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan Políticas de Seguridad InformáticasPolíticas generales de seguridad¿Qué son las políticas de seguridad informática (PSI)?Una política de seguridad informática es una forma de comunicarse con los usuarios y losgerentes. Las PSI establecen el canal formal de actuación del personal, en relación con losrecursos y servicios informáticos, importantes de la organización.No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legalque involucre sanciones a conductas de los empleados. Es más bien una descripción de los quedeseamos proteger y el por qué de ello.Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos yservicios informáticos críticos de la compañía.Elementos de una política de seguridad informáticaUna PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto,requiere de una disposición por parte de cada uno de los miembros de la empresa para lograruna visión conjunta de lo que se considera importante.Las PSI deben considerar entre otros, los siguientes elementos: • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición. • Objetivos de la política y descripción clara de los elementos involucrados en su definición. • Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. • Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. • Definición de violaciones y de las consecuencias del no cumplimiento de la política. • Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertasdecisiones, transmitir por qué son importantes estos u otros recursos o servicios.De igual forma, las PSI establecen las expectativas de la organización en relación con laseguridad y lo que ella puede esperar de las acciones que la materializan en la compañía.Deben mantener un lenguaje común, libre de tecnicismos y términos legales que impidan unacomprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa.Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, elrango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase desanciones que se puedan imponer. No debe especificar con exactitud qué pasara o cuándo algosucederá; no es una sentencia obligatoria de la ley.Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un procesode actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de laplanta de personal, cambio en la infraestructura computacional, alta rotación de personal,desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros. 1
  • 2. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanEspere lo inesperadoImagine lo que sucedería si: • La información esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada. • Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto costaría esta improductividad? • Los clientes no pudieran enviar órdenes de compra a través de la red durante un prolongado periodo de tiempo.Se espera que los ejecutivos corporativos se interesen cada vez más directamente en laprevención de desastres físicos y espionaje. Implementar una política de seguridad completa leda valor a su empresa. También mejorará la credibilidad y reputación de la empresa yaumentará la confianza de los accionistas principales, lo que le dará a la empresa una ventajaestratégica.¿Cómo desarrollar una política de seguridad? • Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa: • Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco, computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado de la red, servidores de terminales, bridges. • Software: sistemas operativos, programas fuente, programas objeto, programas de diagnóstico, utilerías, programas de comunicaciones. • Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back- up, bases de datos, en tránsito sobre medios de comunicación. • Personas: usuarios, personas para operar los sistemas. • Documentación: sobre programas, hardware, sistemas, procedimientos administrativos locales. • Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran. Estas amenazas son externas o internas: o Amenazas externas: Se originan fuera de la organización y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial. o Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante. Las amenazas internas también incluyen el uso indebido del acceso a Internet por parte de los empleados, así como los problemas que podrían ocasionar los empleados al enviar y revisar el material ofensivo a través de Internet. • Evalué los riesgos: Éste puede ser uno de los componentes más desafiantes del desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad. 2
  • 3. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan • Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Sería ideal la participación de un representante por cada departamento de la compañía. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas. • Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma. • Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. • Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. • Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de su área u organización. • Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la organización, que permita una actualización oportuna de las mismas. Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto los alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas. • Implemente una política en toda la organización: La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. También puede requerir que todos los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política: o Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento. o Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses. o Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía. • Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.Cuatro principios del ciclo vital de la seguridad de la información:Para convencer a los gobiernos de que un enfoque de línea dura no es necesario, todas laspersonas que trabajan con sistemas de información, deben participar activamente en eldesarrollo y uso de las prácticas exitosas de la seguridad. Esto significa en realidad entender yadoptar los cuatro principios básicos del ciclo de vida de seguridad de la información, los cualesse pueden resumir así: 3
  • 4. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan 1. Evaluación de riesgos: Evaluar los riesgos de seguridad de la información y determinar niveles de riesgos aceptables. . 2. Diseño e implementación de la seguridad: Incorporar las políticas, normas, procedimientos y la tecnología de la seguridad como elementos esenciales en el diseño e implementación de todos los sistemas y redes de información. 3. Manejo de la seguridad: Adoptar un enfoque completo para el manejo de la seguridad en todo el ciclo de vida de los sistemas y redes de información. 4. Re-evaluación: Estudiar y re-evaluar la seguridad de los sistemas y redes de información y si es pertinente, modificar las políticas, normas, procedimientos y tecnología.Proposición de una forma de realizar el análisis para llevar a cabo un sistemade seguridad informática Amenazas Consecuencias Ambiente Mecanismos Factor Humano Posibles Base del Análisis del Sistema de Seguridad Programa de Seguridad Controles y Vigilancia Revisión Plan de Acción Procedimientos y Auditoria de Sistemas Normativas de Seguridad Simulación LogfilesTal como puede visualizarse, en el gráfico están todos los elementos que intervienen para elestudio de una política de seguridad.Se comienza realizando una evaluación del factor humano interviniente –teniendo en cuentaque éste es el punto más vulnerable en toda la cadena de seguridad -, de los mecanismos conque se cuentan para llevar a cabo los procesos necesarios ( mecanismos técnicos, físicos ólógicos), luego, el medio ambiente en que se desempeña el sistema, las consecuencias quepuede traer aparejado defectos en la seguridad (pérdidas físicas, pérdidas económicas, en laimagen de la organización, etc.), y cuáles son las amenazas posibles.Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra lospasos a tomar para poder asegurar el umbral de seguridad que se desea.Luego, se pasa al plan de acción, que es cómo se va a llevar a cabo el programa deseguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buendestino.Con el propósito de asegurar el cumplimiento de todo lo anterior, se realizan los controles yla vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurarun marco efectivo, se realizan auditorías a los controles y a los archivos logísticos que se 4
  • 5. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juangeneren en los procesos implementados (de nada vale tener archivos logísticos si nunca se losanalizan o se los analizan cuando ya ha ocurrido un problema).Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventosque atenten contra la seguridad del sistema. Como el proceso de seguridad es un procesodinámico, es necesario realizar revisiones al programa de seguridad, al plan de acción y a losprocedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos tratados en elprimer párrafo y, de esta manera, el proceso se vuelve a repetir.Es claro que el establecimiento de políticas de seguridad es un proceso dinámico sobre el quehay que estar actuando permanentemente, de manera tal que no quede desactualizado; que,cuando se le descubran debilidades, éstas sean subsanadas y, finalmente, que su práctica porlos integrantes de la organización no caiga en desuso.Cumplimiento de las políticas y normativas de seguridadLas empresas necesitan establecer políticas, estándares y procedimientos de seguridad parahacer cumplir la seguridad de la información de forma estructurada. Una evaluación de riesgosle ayudará a identificar y administrar las vulnerabilidades de su entorno., Con base en esteanálisis, usted puede desarrollar un marco de políticas apropiado y empezar a construir unconjunto de políticas adaptadas a su empresa.La norma ISO 17799 es una de las muchas regulaciones y estándares gubernamentales, o delsector, que las empresas están incorporando a sus políticas de seguridad. Su empresa tambiénpuede estar sujeta a normativas de seguridad específicas del sector, tales como HIPAA y GLBA.Estas políticas externas deben cumplirse, además de las propias políticas internas de sucompañía. Una cosa es adoptar una política de seguridad y otra muy diferente es administrarlay cumplirla eficazmente. Actualizar los controles de acceso, y las medidas de autenticación yautorización en todos los niveles de la red es una necesidad imperiosa para una política deseguridad eficaz. La omisión de esta información puede incrementar la exposición a riesgos. Lascompañías pueden contar con políticas de seguridad de la información para proteger los activosimportantes y los datos críticos, pero muy rara vez cuentan con los medios para monitoreareficazmente el cumplimiento de esta política.¿Por qué las políticas de seguridad informática generalmente no consiguenimplantarse?Muchas veces, las organizaciones realizan grandes esfuerzos para definir sus directivas deseguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativoéxito. Según algunos estudios resulta una labor ardua convencer a los altos ejecutivos de lanecesidad de buenas políticas y practicas de seguridad informática.Muchos de los inconvenientes se inician por los tecnicismos informáticos y por la falta de unaestrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos apensamientos como: "más dinero para los juguetes de los ingenieros".Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentrenexpuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometersu información sensible y por ende su imagen corporativa.Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personasrelevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y están deacuerdo con las decisiones tomadas en relación con esos asuntos.En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor ylo peor que podría ocurrir. Una intrusión o una travesura puede convertir a las personas que no 5
  • 6. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juanentendieron, en blanco de las políticas o en señuelos de los verdaderos vándalos. Luego, paraque las PSI logren abrirse espacio en el interior de una organización deben integrarse a lasestrategias del negocio, a su misión y visión, con el propósito de que los que toman lasdecisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de lacompañía.De igual forma, las PSI deben ir acompañadas de una visión de negocio que promuevaactividades que involucren a las personas en su hacer diario, donde se identifiquen lasnecesidades y acciones que materializan las políticas. En este contexto, entender laorganización, sus elementos culturales y comportamientos nos debe llevar a reconocer laspautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones yfuncionalidad de la compañía.A continuación, mencionamos algunas recomendaciones para concientizar sobre la seguridadinformática: • Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la atención de sus interlocutores. • Asocie el punto anterior a las estrategias de la organización y a la imagen que se tiene de la organización en el desarrollo de sus actividades. • Articule las estrategias de seguridad informática con el proceso de toma de decisiones y los principios de integridad, confidencialidad y disponibilidad de la información. Muestre una valoración costo-beneficio, ante una falla de seguridad. • Justifique la importancia de la seguridad informática en función de hechos y preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de la organización.Un software de seguridad muy bueno, pero muy difícil de administrarPuede ser difícil obtener información en tiempo real acerca de lo que sucede en su redempresarial. Si ha instalado varios dispositivos de seguridad en la red, usted sabe que senecesita tiempo para ordenar los datos que ingresan con millones de eventos y que encontrarlos problemas más importantes a tiempo para poder actuar es todo un reto. Más aún, necesitaempleados calificados que posean la experiencia necesaria para interpretar dichos datos,independientemente de que se trate de un análisis de tendencias o de simplemente separar unaserie de eventos importantes de los que son irrelevantes.Una situación típica es cuando usted instala los componentes de seguridad por separado y cadauno de ellos viene equipado con su propia consola de administración Usted sabe que el tiempoes vital puesto que los incidentes de seguridad no esperan a que el personal los descubra.Como usted no cuenta con una sola visualización de los eventos en todo el perímetro de la red,sucesos como los intentos de ingresar a su servidor corporativo, o una amenaza combinada quese atraviese en la red, pueden estar sucediendo en sus propias narices.Control de las amenazas combinadasLas amenazas combinadas, como CodeRed y Nimda. Lo que diferencia a éstas de los otrosgusanos de Internet es que utilizan múltiples métodos de ataque o propagación., Aparte deesto, estas amenazas nos han enseñado que es anticuado el enfoque de "para cada amenaza,hay una cura". Para defender a la empresa de las amenazas combinadas, se requiereprotección de toda la red y una capacidad de respuesta en los niveles del gateway, del servidory de los clientes. Generalmente las amenazas combinadas se aprovechan de lasvulnerabilidades conocidas, como los desbordamientos de búfer, las vulnerabilidades de lavalidación de entrada de http, las contraseñas predeterminadas conocidas, entre otras. Todoesto puede atenuarse con los parches existentes de seguridad de aplicaciones y sistemas 6
  • 7. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juanoperativos. ¿Cómo se asegura que todos los sistemas estén actualizados con los últimosparches de seguridad?Las políticas de seguridad informática como base de la administración de laseguridad integral.Las políticas de seguridad informática conforman el conjunto de lineamientos que unaorganización debe seguir para asegurar la confiabilidad de sus sistemas. En razón de loanterior, son parte del engranaje del sistema de seguridad que la organización posee parasalvaguardar sus activos. Las PSI constituyen las alarmas y compromisos compartidos en laorganización, que le permiten actuar proactivamente ante situaciones que comprometan suintegridad. Por tanto, deben constituir un proceso continuo y retroalimentado que observe laconcientización, los métodos de acceso a la información, el monitoreo de cumplimiento y larenovación, aceptación de las directrices y estrategia de implantación, que lleven a unaformulación de directivas institucionales que logren aceptación general.Las políticas por sí mismas no constituyen una garantía para la seguridad de la organización.Ellas deben responder a intereses y necesidades organizacionales basados en la visión denegocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos y areconocer en los mecanismos de seguridad informática factores que facilitan la normalización ymaterialización de los compromisos adquiridos con la organización.La seguridad tiene varios estratos: • El marco jurídico adecuado. • Medidas técnico-administrativas, como la existencia de políticas y procedimientos o la creación de funciones, como administración de la seguridad o auditoría de sistemas de información interna. Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las dos ni existir dependencia jerárquica de una función respecto de otra. En cuanto a la administración de seguridad pueden existir, además, coordinadores en las diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión, la complejidad organizativa o el volumen de la entidad así lo demandan.En todo caso, debe existir una definición de funciones y una separación suficiente de tareas. Notiene sentido que una misma persona autorice una transacción, la introduzca, y revise despuéslos resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude oencubrir cualquier anomalía; por ello deben intervenir funciones / personas diferentes y existircontroles suficientes.La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, elcontrol físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares.La llamada seguridad lógica, como el control de accesos a la información exige la identificacióny autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidadeso de respaldo interno, o de información transmitida por línea. Puede haber cifrado de lainformación por dispositivos físicos o a través de programas, y en casos más críticos existen losdos niveles.RiesgosLa autenticación suele realizarse mediante una contraseña, aún cuando sería más lógico - sibien los costes resultan todavía altos para la mayoría de sistemas - que se pudiera combinarcon características biométricas del usuario para impedir la suplantación. Entre éstas pueden 7
  • 8. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juanestar: la realización de la firma con reconocimiento automático por ordenador, el análisis delfondo de ojo, la huella digital u otras.Al margen de la seguridad, nos parece que el mayor riesgo, aún teniendo un entorno muyseguro, es que la Informática y la Tecnología de la Información en general no cubran lasnecesidades de la entidad; o que no estén alineadas con las finalidades de la organización.Limitándonos a la seguridad propiamente dicha, los riesgos pueden ser múltiples.El primer paso es conocerlos y el segundo es tomar decisiones al respecto; conocerlos y notomar decisiones no tiene sentido y debiera crearnos una situación de desasosiego.Dado que las medidas tienen un costo, a veces, los funcionarios se preguntan cuál es el riesgomáximo que podría soportar su organización. La respuesta no es fácil porque depende de lacriticidad del sector y de la entidad misma, de su dependencia respecto de la información, y delimpacto que su no disponibilidad pudiera tener en la entidad. Si nos basamos en el impactonunca debería aceptarse un riesgo que pudiera llegar a poner en peligro la propia continuidadde la entidad, pero este listón es demasiado alto.Por debajo de ello hay daños de menores consecuencias, siendo los errores y omisiones lacausa más frecuente - normalmente de poco impacto pero frecuencia muy alta - y otros, comopor ejemplo: • el acceso indebido a los datos (a veces a través de redes), • la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"), • los daños por fuego, por agua (del exterior como puede ser una inundación, o por una tubería interior), • la variación no autorizada de programas, su copia indebida, y tantos otros, persiguiendo el propio beneficio o causar un daño, a veces por venganza.Otra figura es la del “hacker”, que intenta acceder a los sistemas sobre todo para demostrar (aveces, para demostrarse a sí mismo/a) qué es capaz de hacer, al superar las barreras deprotección que se hayan establecido. Alguien podría preguntarse por qué no se citan los virus,cuando han tenido tanta incidencia. Afortunadamente, este riesgo es menor en la actualidadcomparando con años atrás. Existe, de todas maneras, un riesgo constante porque de formacontinua aparecen nuevas modalidades, que no son detectadas por los programas antivirushasta que las nuevas versiones los contemplan. Un riesgo adicional es que los virus puedenllegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero esto es realmentedifícil - no nos atrevemos a decir que imposible- por las características y la complejidad de losgrandes equipos y debido a las características de diseño de sus sistemas operativos.En definitiva, las amenazas hechas realidad pueden llegar a afectar en los datos, en laspersonas, en los programas, en los equipos, en la red y algunas veces, simultáneamente envarios de ellos, como puede ser un incendio.Podríamos hacernos una pregunta realmente difícil: ¿qué es lo más crítico que deberíaprotegerse? La respuesta de la mayoría, probablemente, sería que las personas resultan elpunto más crítico y el valor de una vida humana no se puede comparar con las computadoras,las aplicaciones o los datos de cualquier entidad. Ahora bien, por otra parte, podemosdeterminar que los datos son aún más críticos si nos centramos en la continuidad de la entidad.Como consecuencia de cualquier incidencia, se pueden producir unas pérdidas que pueden serno sólo directas (comúnmente que son cubiertas por los seguros) más fácilmente, sino tambiénindirectas, como la no recuperación de deudas al perder los datos, o no poder tomar lasdecisiones adecuadas en el momento oportuno por carecer de información. 8
  • 9. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanSabemos que se producen casos similares en gran parte de entidades, pero en general noconocemos a cuáles han afectado (o lo sabemos pero no podemos difundirlo), porque porimagen estos no se hacen públicos y el hecho de que se conozcan muchos más referidos aEstados Unidos y a otros puntos lejanos que respecto de nuestros países no significa queestemos a salvo, sino que nuestro pudor es mayor y los ocultamos siempre que podemos.Los Problemas de la seguridadLos problemas de seguridad que surgen día a día llevan a que las altas gerencias se preguntensi el nivel de Seguridad Informática alcanzado por la estructura existente es el que realmentenecesita la organización.Los “Penetration Test“ y el análisis por medio de herramientas detectoras de vulnerabilidadessólo dan una foto parcial de la realidad de la Seguridad Informática de una organización ,ya queno toman en cuenta la misión de negocio de cada uno de los sistemas, que es la que debedeterminar el grado de criticidad de los riesgos y el nivel de las contramedidas a implementardentro de una ecuación económica equilibrada.Por lo tanto, la única forma de evaluar la Seguridad Informática de una Organización esconocer la misión de sus sistemas y aplicar metodologías de análisis específicas.Análisis proactivo de Riesgos Informáticos:Se revén los riesgos informáticos de tipo Físico, Técnico y Administrativo con respecto a laIntegridad, Disponibilidad y Confidencialidad de la Información que manejan los Sistemas de laEmpresa.El resultado del diagnóstico surge del análisis del estado de los riesgos, de la eficiencia de lascontramedias específicas en funcionamiento y de la criticidad de la misión de cada parte delsistema.Revisión analítica de las Políticas de Seguridad Informática existentes:Se revén los conjuntos de normas y procedimientos implementados para la minimización deriesgos informáticos o, en caso de que no existan de manera formal, de las soluciones deSeguridad Existentes.El resultado del diagnóstico surge del análisis y comprobación de la eficiencia de la Política paraminimizar riesgos en el marco de la problemática informática y necesidades de disponibilidad delos sistemas de la organización.Revisión analítica de los Planes de Contingencia y Continuidad de Negocioexistentes:Se revén los conjuntos de normas y procedimientos de recuperación y mantenimiento deoperatividad mínima o, en caso de que no existan de manera formal, de los mecanismos decontingencia existentes.El resultado del diagnóstico surge del análisis de la eficiencia de los planes en el marco deriesgo y de las necesidades de disponibilidad de los sistemas de la organización.Revisión de Estándares y Mejores Prácticas de Seguridad Informática:Este servicio está pensado para las organizaciones que van a ser auditadas de manera externaen su estructura de Seguridad Informática, ya sea por su Casa Matriz, socios estratégicos,futuros clientes o proveedores o entidades reguladoras. 9
  • 10. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanToda Auditoría Externa está basada en algún estándar internacional o en algún documento demejores prácticas. Este servicio consiste en la revisión del cumplimiento de los parámetrosespecificados por estos documentos con una metodología adecuada antes de la auditoría, loque permite detectar las faltas de cumplimiento y recomendar la forma más eficiente decorregirlas, además de adecuar el resto de los factores a auditar como la documentación y elconocimiento de los procedimientos por parte del personal.La aplicación total o parcial de los Servicios de Evaluación de la Seguridad Informática traerácomo consecuencia una serie de recomendaciones, las cuales no deben ser implementadas decualquier manera sino de acuerdo a un plan estratégico que minimice los riesgos a nivelesaceptables, contenga de forma inmediata los problemas más urgentes y críticos y aproveche almáximo los recursos existentes para mantener una ecuación económica razonable. Esto sólo sepuede realizar con un plan de Reingeniería acotado al estado específico de cada empresa,entendiendo como una de las consecuencias de la Reingeniería a la disminución de costosmanteniendo o aumentando las prestaciones.Desarrollo de un Plan de Reingeniería Acotada:Tiene como objetivo llevar el nivel de Seguridad Informática de la organización a un gradoadecuado a la criticidad de las Unidades de Negocio y de los Sistemas que la conforman.Partiendo de los resultados de los diagnósticos, se comienza conteniendo los problemas máscríticos de manera inmediata. Luego de haber asegurado la parte más crítica de la Seguridad delos Sistemas, se diseñan e implementan las modificaciones de la Política de Seguridad y losPlanes de Contingencia y Continuidad de Negocios. La clave del éxito de esta solución está ensu mantenimiento y reevaluación constante.Capacitación en Seguridad Informática de todo el Personal:La capacitación de todas las capas del personal de una organización (desde la alta gerenciahasta los empleados de base y pasando por los de Tecnología y Sistemas), con cursosadecuados a su forma de interacción con los sistemas informáticos, es la clave para convertir alas personas de parte del problema a parte de la solución de la Seguridad Informática y lograruna minimización de los riesgos por errores, impericias o desconocimientos.Ninguna implementación de Seguridad Informática actual funcionará correctamente sin estaetapa.Esto servicio tiene como objetivo el desarrollo completo del Proyecto de Seguridad Informáticade una organización compuesto por su Política de Seguridad y sus Planes de Contingencia yContinuidad de Negocios.El servicio está compuesto por los siguientes pasos (en caso de que se haya llegado a laReingeniería por medio de los resultados de algunos de los servicios explicados anteriormente,no es necesario volver a implementarlos): • Análisis de riesgos críticos inmediatos y desarrollo de contramedidas de aplicación rápida para acotar la problemática más urgente. • Reanálisis de Riesgos Informáticos Físicos, Técnicos y Administrativos con respecto a la Integridad, Disponibilidad y Confidencialidad de la Información que manejan los Sistemas de la Empresa. • Análisis de las Políticas de Seguridad Informáticas implementadas o, en caso de que no existan de manera formal de las soluciones de Seguridad Existentes. • Análisis de cumplimiento de las normas de Seguridad Informática que debe cumplir la Empresa, ya sea que provengan de su Casa Matriz, de Estándares Internacionales, de Auditorías Externas o entidades reguladoras (por ejemplo: Banco Central). 10
  • 11. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan • Análisis del impacto generado por el personal en la variación de los niveles de Seguridad. • Análisis de los Planes de Contingencia y Continuidad de Negocios existentes. • Desarrollo de un Plan de Reingeniería Acotada para llevar el nivel de Seguridad Informática de la empresa a un valor adecuado a la criticidad de las Unidades de Negocio y los Sistemas que la conforman. • Implementación de la Reingeniería de la Política de Seguridad. • Implementación de la Reingeniería de los Planes de Contingencia y Continuidad de Negocios. • Capacitación al personal. • Implementación de un sistema de Control por oposición de la Seguridad Informática de la organización.Este servicio tiene como objetivo, una vez realizada la reingeniería de la seguridad informáticade la empresa, proveer un control periódico de los distintos componentes tecnológicos yprocedimientos específicos que ante cambios propios del negocio puedan causar desviaciones oamenazas a la seguridad informática.Niveles de trabajo • Confidencialidad • Integridad • Autenticidad • No Repudio • Disponibilidad de los recursos y de la información • Consistencia • Control de Acceso • AuditoríaConfidencialidadConsiste en proteger la información contra la lectura no autorizada explícitamente.Incluye no sólo la protección de la información en su totalidad, sino también las piezasindividuales que pueden ser utilizadas para inferir otros elementos de información confidencial.IntegridadEs necesario proteger la información contra la modificación sin el permiso del dueño. Lainformación a ser protegida incluye no sólo la que está almacenada directamente en lossistemas de cómputo sino que también se deben considerar elementos menos obvios comorespaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Estocomprende cualquier tipo de modificaciones: • Causadas por errores de hardware y/o software. • Causadas de forma intencional. • Causadas de forma accidentalCuando se trabaja con una red, se debe comprobar que los datos no fueron modificadosdurante su transferencia.AutenticidadEn cuanto a telecomunicaciones se refiere, la autenticidad garantiza que quien dice ser "X" esrealmente "X". Es decir, se deben implementar mecanismos para verificar quién está enviandola información.No – repudioNi el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía elmensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.Disponibilidad de los recursos y de la información 11
  • 12. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanDe nada sirve la información si se encuentra intacta en el sistema pero los usuarios no puedenacceder a ella. Por tanto, se deben proteger los servicios de cómputo de manera que no sedegraden o dejen de estar disponibles a los usuarios de forma no autorizada. La disponibilidadtambién se entiende como la capacidad de un sistema para recuperarse rápidamente en casode algún problema.ConsistenciaSe trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal maneraque los usuarios no encuentren variantes inesperadas.Control de acceso a los recursosConsiste en controlar quién utiliza el sistema o cualquiera de los recursos que ofrece y cómo lohace.AuditoríaConsiste en contar con los mecanismos para poder determinar qué es lo que sucede en elsistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones.En cuanto a los dos últimos puntos resulta de extrema importancia, cuando se trata de losderechos de los usuarios, diferenciar entre “espiar” y “monitorear” a los mismos. La ética esalgo que todo buen administrador debe conocer y poseer.Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento deelaborar las políticas y procedimientos de una organización para evitar pasar por alto cuestionesimportantes como las que señalan dichos servicios. De esta manera, es posible sentar de formaconcreta y clara los derechos y límites de usuarios y administradores. Sin embargo antes derealizar cualquier acción para lograr garantizar estos servicios, es necesario asegurarnos de quelos usuarios conozcan sus derechos y obligaciones (es decir, las políticas), de tal forma que nose sientan agredidos por los procedimientos organizacionales.Elaboración de un esquema de seguridadA pesar de que se le ha dado más importancia al milenio de lo que debería, la preocupación porlos siniestros causados por la tecnología Y2K creó la necesidad de adoptar planes decontingencia. Aunque los siniestros pueden suceder cualquier día del milenio, es esencial contarcon un plan de contingencia que haga parte esencial de una efectiva estrategia de seguridadpara el departamento de TI.Beneficios de un plan de contingencia para la seguridadLas ventajas de crear y contar con un plan de contingencia abarcan lo tangible e intangible así: • Reducción de los costos por perjuicios si ocurre un siniestro. • Las primas de seguro de bajo costo. • Mayor comunicación y mejores relaciones entre los departamentos. • Una mayor conciencia entre el personal de seguridad sobre la importancia de la seguridad y el valor de la propiedad que se está protegiendo.Etapas clave en la elaboración de planes de contingenciaLas partes involucradas en el desarrollo de un plan de contingencia deben saber escuchar ycomunicarse. Aunque existen algunas etapas importantes de desarrollo, mantener un buen plansignifica repetir continuamente estas etapas, volver a evaluar el plan y revisarlo. 1. Determinación del objetivo: El punto de partida para el desarrollo de un plan de contingencia es determinar un objetivo claro. El departamento de TI y los funcionarios de nivel ejecutivo deben identificar el objetivo operativo en caso de una emergencia en materia de seguridad. Por ejemplo, determinar si el objetivo es proteger cierta información y bienes, es mantener operaciones comerciales o brindar un excelente 12
  • 13. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan servicio al cliente. El objetivo ayudará al departamento de TI a definir un plan estratégico de acción y determinar los recursos que se deben proteger primero. 2. Realización de un inventario completo: Se deben identificar las principales herramientas de TI, los recursos y las tareas necesarias para realizar negocios y atender las funciones críticas establecidas en el objetivo de la elaboración de planes de contingencia. El inventario debe incluir recursos auxiliares como suministros de energía y recursos de respaldo. 3. Análisis de riesgos: Evalúe los perjuicios financieros, técnicos jurídicos y operativos totales que pudieran ocurrir como resultado de una brecha del sistema de seguridad. El riesgo abarcaría perjuicios potenciales a los clientes y compañías. También analice amenazas a la seguridad y los perjuicios que potencialmente podrían ocasionar a varios departamentos y operaciones. El software de administración de riesgos a la seguridad puede ayudar al personal de TI a evaluar el impacto de las amenazas a la seguridad de la compañía. 4. Desarrollo de un plan de acción: Repase los escenarios detallados de "qué pasaría si..." que implican diferentes amenazas a la seguridad y los efectos posibles en las operaciones. Para cada escenario potencial de disminución de riesgos, tenga en cuenta a las personas involucradas, sus responsabilidades, las consideraciones presupuestales, etc. 5. Prevea un "Plan B": Aunque los mejores planes de contingencia encuentran problemas técnicos, trate de anticiparse a estos problemas y crear soluciones alternas. 6. Planeación de las comunicaciones y compras: Los mejores planes son efectivos solo si los empleados tienen en cuenta su importancia y entienden sus mensajes y procesos. Los departamentos de recursos humanos, de aspectos jurídicos y finanzas deben revisar y responder a los planes de contingencia de seguridad en cada etapa de desarrollo.Especificaciones del plan de acciónLos planes de contingencia variarán dependiendo del tipo específico de brechas del sistema deseguridad, como el ataque de virus que podría afectar las operaciones de la compañía demanera diferente a como lo haría una negación de servicio.Debido al rango de amenazas a la seguridad, los planes de contingencia deben ser adaptables.Sin embargo, todos los planes efectivos deben responder por lo siguiente: • Pérdida de la información: Eventualmente las fallas en el fluido eléctrico, los virus, los hackers u otras fuerzas perjudicarán la información importante de una compañía o la hará inaccesible. Prepárese para lo inevitable haciendo copias de seguridad del sistema y de la información. • A fin de garantizar que se realicen copias de seguridad periódicamente, desarrolle una política de seguridad que establezca claramente lo siguiente: o Los medios que utilizará el personal de TI para hacer las copias de seguridad. o Quién realizará las copias de seguridad. o Con qué frecuencia se realizarán las copias de seguridad. o Los sitios de almacenamiento dentro y fuera del local destinados para las copias de seguridad de la información. Los servicios de copia de seguridad en línea se están volviendo más comunes. Sin 13
  • 14. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan embargo, el personal de TI debe investigar exhaustivamente las herramientas de seguridad de la compañía para el almacenamiento y la confiabilidad de las computadoras. • Respaldo del hardware: A las compañías con computadoras y servidores propios les gustaría contar con equipos de respaldo "rápido", que estén disponibles en caso que el servidor principal se dañe. Si el servicio al cliente es la prioridad de la compañía, es sensato tener equipos de respaldo. Las compañías con diferentes objetivos e intereses podrían redistribuir los fondos para destinarlos a equipos de respaldo del hardware a fin de proteger otras prioridades operativas. • Suministros de energía de reserva: Una falla en la energía puede dañar la información y afectar la capacidad de la compañía para prestar los servicios. Una fuente de energía ininterrumpida o UPS es un componente indispensable de todo plan de contingencia. Algunos modelos de UPS pueden suministrar protección contra los picos y fluctuaciones de corriente y la capacidad para calcular automáticamente las necesidades de energía del personal de TI. Los costos de las UPS varían dependiendo del "tiempo de ejecución" del modelo o del tiempo de energía disponible. • Proveedores del servicio y socios comerciales: La seguridad debe ser un aspecto clave que debe ser considerado por todo proveedor de servicio o estar estipulado en el contrato del socio comercial, especialmente cuando las partes involucradas son parte de una VPN o una cadena de suministros en red. El personal de TI debe estipular que todos los socios tienen las mismas herramientas de seguridad. El control de la seguridad debe ser un componente de las negociaciones de un contrato. Como parte de un plan de contingencia, el personal de TI debe evaluar las formas en que la red es vulnerable a las brechas de seguridad de la red de un socio. • Recursos de TI: En el caso de detectar una brecha de seguridad, el personal de TI podría necesitar personal adicional. Establezca relaciones con una agencia temporal de personal antes que ocurra una emergencia. El personal de TI también debe identificar a los consultores expertos de cuya experiencia se puedan beneficiar. También puede ser sensato negociar contratos de asistencia con los distribuidores antes que ocurra una crisis en la seguridad. • Prensa: El personal de TI debe trabajar con el departamento de relaciones públicas a fin de desarrollar una estrategia que solucione las brechas de seguridad. Debe especificarse detalladamente en un plan de contingencia la cantidad de información que debe revelarse (en caso de que se deba revelar) y quién debe comunicar esta información. Los planes también deben hacer asignaciones presupuestales para los costos adicionales del departamento de relaciones públicas. Evalúe si es necesario establecer relaciones con una agencia de relaciones públicas que tenga experiencia en comunicar información relacionada con alta tecnología. • Aprobación de fondos: Las situaciones de emergencia requieren gastos que no están contemplados en el presupuesto. Las partes responsables de elaborar un plan de contingencia deben revisar los estatutos de constitución y el reglamento de la compañía para determinar quien puede declarar cuando una situación es una emergencia y quien tiene autoridad para asignar los recursos de emergencias. En situaciones de emergencia se debe establecer un proceso de rápida asignación de fondos para las emergencias con el fin de evitar procesos demorados de solicitud y aprobación.Creación de un documento y equipo de respuestas a incidentesEl documento de respuesta a incidentes explica de manera resumida el "imperio de la ley" paralos procedimientos de emergencia y trata los siguientes aspectos: • ¿Quién reporta a quién? • ¿Quién es responsable de qué? • ¿En qué circunstancias debería suspenderse un servicio de correo electrónico o un servidor de Internet? 14
  • 15. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan • ¿Cuáles son los procedimientos para la comunicación y alerta de emergencias?Un equipo de respuesta a incidentes realiza muchas de las acciones explicadas en el documentode respuesta a incidentes. Este equipo tiene papeles asignados previamente. En caso deidentificar una brecha de seguridad, los integrantes del equipo están familiarizados con susresponsabilidades. Los siguientes son los aspectos clave que se deben tener en cuenta cuandose conforma un equipo de respuestas a incidentes: • ¿Están representados los integrantes de los diferentes departamentos? • ¿En qué condiciones actuarían los integrantes del equipo? • ¿Cuál es la cadena de mando? • ¿Qué grado de autonomía tienen los integrantes para la toma de decisiones?Medidas de seguridadLos planes de contingencia no son únicamente estratégicos. Mientras que los planes solucionanprincipalmente escenarios hipotéticos, también necesitan que el personal de TI tome algunasmedidas en tiempo real. • Seguro: En caso de una brecha de seguridad, el seguro cibernético puede ayudar a cubrir los costos debido a la pérdida de información, interrupción de las empresas, gastos en relaciones públicas, demandas de terceros como consecuencia de la negligencia en seguridad, etc. Las primas de seguro varían dependiendo del tamaño y naturaleza de los negocios en línea de la compañía. Las compañías de seguros casi siempre realizan auditorias de seguridad antes de dar cubrimiento a los solicitantes. Los planes de contingencia pueden ayudar a disminuir los costos de las primas de seguro. • Aplicaciones de la seguridad: Los antivirus, la detección de intrusos y el software para el filtrado de contenidos de Internet y del correo electrónico pueden ayudar a proteger la red contra una variedad de amenazas a la seguridad como las siguientes: o Ataques de piratas o Ataques de virus o Negación de servicio o Intrusión de códigos móviles maliciosos o Fugas de información confidencial o Correo electrónico y contenidos calumniosos de los sitios webPlanes de contingencia específicosTodas las etapas de análisis e implementación de un plan de contingencia deben respaldar elobjetivo del plan. Debido a la variedad de brechas de seguridad, los planes de contingenciadeberán ser adaptados a los diferentes escenarios. Sin embargo, el personal de TI debe planearalgunas constantes como el suministro de energía, los respaldos de la información, los recursosadicionales del personal de TI, etc. Los costos para el desarrollo e implementación de un plande contingencia completo pueden ser significativos, aunque siempre serán mayores los costosde tiempo de inactividad de la compañía y detrimento a la reputación debido a las brechas deseguridad. 15
  • 16. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan DOCUMENTACIÓN ADJUNTAISO 17799: La nueva norma técnica global de seguridadIntroducciónLos gerentes de seguridad de la información han esperado mucho tiempo a que alguien tomarael liderazgo para producir un conjunto de normas de seguridad de la información que estuvierasujeto a auditoría y fuera reconocido globalmente. Se cree que un código de normas de laseguridad apoyaría los esfuerzos de los gerentes de tecnología de la información en el sentidoque facilitaría la toma de decisión de compra, incrementaría la cooperación entre los múltiplesdepartamentos por ser la seguridad el interés común y ayudaría a consolidar la seguridad comoprioridad empresarial.Desde su publicación por parte de la Organización Internacional de Normas en diciembre de 2000, ISO17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas deseguridad de la información".El origen de ISO 17799Durante más de un siglo, el Instituto Británico de Normas Técnicas (BSI) y la Organización Internacionalde Normas Técnicas (ISO) han brindado parámetros globales a las normas técnicas de operación,fabricación y desempeño. Solo faltaba que BSI e ISO propusieran una norma técnica para la seguridadde la información.Finalmente en 1995, el BSI publicó la primera norma técnica de seguridad, BS 7799, la cual fueredactada con el fin de abarcar los asuntos de seguridad relacionados con el e-commerce. En 1995,problemas como el Y2K y el la Unidad Monetaria Europea (EMU por su sigla en inglés) prevalecieronsobre otros. Para empeorar las cosas, la norma BS 7799 se consideraba inflexible y no tuvo granacogida. No se presentó la norma técnica en un momento oportuno y los problemas de seguridad nodespertaron mucho interés en ese entonces.Cuatro años después en mayo de 1999, el BSI intentó de nuevo publicar su segunda versión de la normaBS 7799, la que fue una revisión más amplia de la primera publicación. Esta edición sufrió muchosmejoramientos y perfeccionamientos desde la versión de 1995. En este momento la ISO se percató deestos cambios y comenzó a trabajar en la revisión de la norma técnica BS 7799.En diciembre de 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y publicó laprimera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma época, seadoptó un medio formal de acreditación y certificación para cumplir con la norma técnica. Los problemasY2K y EMU y otros similares se habían solucionado o reducido a 2000 y la calidad total de la normatécnica había mejorado considerablemente. La adopción por parte de ISO de la Parte 1 - los criterios dela norma técnica - de BS 7799 recibió gran aceptación por parte del sector internacional y fue en estemomento que un grupo de normas técnicas de seguridad tuvo amplio reconocimiento.Marco de las recomendacionesLa norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la implementación. ISO17799 hoy en día es una compilación de recomendaciones para las prácticas exitosas de seguridad quetoda organización puede aplicar independientemente de su tamaño o sector. La norma técnica fueredactada intencionalmente para que fuera flexible y nunca indujo a las personas que la cumplían paraque prefirieran una solución de seguridad específica. Las recomendaciones de la norma técnica ISO17799 son neutrales en cuanto a la tecnología y no ayudan a evaluar y entender las medidas deseguridad existentes. Así, la norma discute la necesidad de contar con cortafuegos, pero no profundizasobre los tres tipos de cortafuegos y cómo se utilizan, lo que conlleva a que algunos detractores de lanorma digan que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real.La flexibilidad e imprecisión de ISO 177999 es intencional por cuanto es difícil contar con una norma quefuncione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarsecon el cambiante mundo de la tecnología. ISO 177999 simplemente ofrece un conjunto de reglas a unsector donde no existían. 16
  • 17. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanLas diez áreas de control de ISO 17799: • Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. • Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. • Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. • Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes. • Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales. • Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son: 1. Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. 2. Minimizar el riesgo de falla de los sistemas. 3. Proteger la integridad del software y la información. 4. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. 5. Garantizar la protección de la información en las redes y de la infraestructura de soporte. 6. Evitar daños a los recursos de información e interrupciones en las actividades de la compañía. 7. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones. • Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para proteger contra los abusos internos e intrusos externos. • Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso. • Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre. • Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos, como la Directiva de la Unión Europea que concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLBA por su sigla en inglés). Esta sección también requiere una revisión a las políticas de seguridad, al cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de auditoría del sistema a fin de garantizar que las empresas obtengan el máximo beneficio. 17
  • 18. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanBeneficios de la norma técnica ISO 17799Una empresa certificada con la norma técnica ISO 17799 puede ganar frente a los competidores nocertificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es unaspecto importante, por lo general optará por la empresa certificada. Además una empresa certificadatendrá en cuenta lo siguiente: • Mayor seguridad en la empresa. • Planeación y manejo de la seguridad más efectivos. • Alianzas comerciales y e-commerce más seguras. • Mayor confianza en el cliente. • Auditorías de seguridad más precisas y confiables. • Menor Responsabilidad civilLa norma técnica ISO 17799Actualmente ISO está revisando la norma técnica 17799 para que se adapte mejor a su amplio público.ISO 17799 es la primera norma técnica y se harán y ampliarán sus recomendaciones y sugerenciasbásicas en la medida en que sea necesario. Por ahora, ISO 17799 es la norma técnica a seguir.Si su organización no ha adoptado un programa de protección definido de la información, ISO 17799puede servir de parámetro para que lo defina. Incluso si decide no ser certificado, ISO 17799 le serviráde guía para configurar la política de seguridad de su empresa. En todo caso, tenga en cuenta que ISO17799 es un buen esquema de seguridad que su empresa puede adoptar. No obstante, usted puededescubrir que la certificación ofrece más beneficios. 18
  • 19. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanCumplimiento de las políticas de seguridad para estaciones de trabajo móviles yremotasIntroducciónPara el año 2010, la firma de investigación, Gartner Inc., pronostica que el 80% de los procesoscomerciales importantes requerirá el intercambio de información en tiempo real de lostrabajadores móviles. Igualmente, la más reciente edición del Informe sobre las amenazas a laseguridad de Internet de Symantec (Symantec ) reveló que hasta un 80% de lasvulnerabilidades descubiertas en el primer semestre de 2003 proviene de estaciones de trabajosusceptibles a ataques que se pueden ejecutar remotamente. Como lo señaló el informe:“Puesto que el acceso global es un mandato en el entorno empresarial actual, las compañíashan creado numerosas aplicaciones para Internet.Para los administradores de TI que están en el actual entorno comercial de rápida evolución, se trata deun desafío formidable y a menudo desconcertante: ¿Cómo verificar la protección de las estaciones detrabajo móviles antes de conectarlos a las redes empresariales?Ignore los riesgos de seguridad por su cuenta y riesgoComo sabemos, la empresa en tiempo real hoy en día es cada vez más móvil. Sin embargo, en laprecipitada carrera a la movilidad, muchas compañías ignoran la necesidad de proteger de maneraadecuada su fuerza laboral. Gartner resume acertadamente la situación: “Los appliances móviles puedenser pequeños, pero los problemas relacionados con su seguridad no radican en el hecho de que existenmuchos appliances, sino que las empresas tienden a no aplicar medidas rigurosas de seguridad y deadministración”.Estos son algunos problemas de seguridad que afrontan las empresas móviles: susceptibilidad a losgusanos y virus más complejos y conocidos en el sector de seguridad como "amenazas combinadas",que se están convirtiendo en el ataque preferido de los atacantes de Internet. Dichas amenazas confrecuencia aprovechan diferentes fallas para aumentar la oportunidad de infectar un sistema informático.El número de ataques que pueden clasificarse como amenazas combinadas en el primer trimestre de2003 aumentó un 20% con respecto al anterior semestre, según el Informe sobre las amenazas a laseguridad en Internet .Estas noticias son especialmente preocupantes para los clientes que periódicamente viajan fuera delfirewall perimétrico y se conectan a la red. ¿Por qué? Porque las amenazas combinadas como Nimda,Código Rojo, SQL Slammer y Blaster tomaron específicamente como objetivo los equipos portátiles queestán fuera del firewall para obtener acceso no autorizado a la red empresarial durante una conexión alproveedor de acceso a Internet (ISP). Los usuarios de equipos portátiles también pueden convertirse envíctimas involuntarias o “zombis” y son utilizados para los ataques de negación distribuida de servicio oataques más sofisticados.Para ayudar a proteger a los usuarios móviles de las amenazas combinadas al igual que de recientesgusanos emisores de correo electrónico masivo como MyDoom y Netsky, es esencial que las empresasadopten y difundan políticas de seguridad con información explícita para que regulen el uso de losappliances móviles. Desafortunadamente, muchas compañías no tienen estas políticas o tienen políticasque son difíciles de entender, vagas, incompatibles con las políticas de otras compañías, difíciles deimplementar o imposibles de cumplir. Las empresas en tiempo real no pueden permitirse que persistaneste tipo de deficiencias por razones obvias: la informática móvil introduce riesgos significativos. Enefecto, Gartner ha identificado cinco grandes áreas de riesgo relacionadas con la informática móvil. • Riesgos sociales: Los procesos móviles pueden cambiar el comportamiento informático del personal. • Riesgos técnicos: Están relacionados con tecnologías de rápida evolución y que no han sido probadas. • Riesgos jurídicos: Relacionados con la la privacidad y protección de la información. • Riesgos de integración: Hacen referencia a los sistemas de legado. 19
  • 20. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juan • Riesgos financieros: Provienen de los hechos inesperados que pueden debilitar los modelos de retorno de la inversión.Además, como muchos administradores saben, el surgimiento de la informática móvil tomó a muchosdepartamentos de TI por sorpresa. Como consequencia, fueron empleados individuales y grupos detrabajo, en lugar de los departamentos deTI u otros canales apropiados, quienes introdujeron muchos delos equipos en las organizaciones. El resultado de esta introducción “clandestina” fue que el equipo móvilno pasó por el proceso normal de análisis de sus capacidades y limitaciones antes de ser implementado.Así, los esfuerzos por proteger miles de appliances se realizaron a última hora o no fueron losuficientemente rigurosos.Por eso es muy importante que se implementen políticas explícitas para que los usuarios puedan impedirel ingreso de códigos maliciosos a la red empresarial. Para conocer un método detallado del diseño deuna política general de seguridad, consulte el manual de Symantec en la dirección “La seguridadelectrónica empieza con sólidas políticas de seguridad.”A nivel práctico, se recomienda que toda política de seguridad exija el uso de una solución de seguridadpara estaciones de trabajo que integren las tecnologías de antivirus, firewall y de detección de intrusos.La tecnología de firewall para estaciones de trabajo debe dar órdenes automáticamente a los motores dedetección de intrusos y exploración antivirus para que busquen todos los archivos que entran y salen. Sise detecta una amenaza, el motor de detección de intrusos o antivirus puede entonces dar órdenes alfirewall para que incremente las medidas de seguridad y bloquee la amenaza.A nivel del personal, tenga en cuenta que traducir las políticas de seguridad de la información enprocedimientos manejables y cotidianos no es una tarea fácil. También es recomendable que ustedtrabaje estrechamente con todos los trabajadores móviles que se verán afectados por estas normas.Como ha escrito Stuart Broderick de Symantec: “Muchas organizaciones han descubierto que el personalque no participa en el desarrollo del proceso, no tiene ‘sentido de pertenencia’en el proceso y cree quesus conocimientos sobre el funcionamiento de los sistemas son inútiles. … Por lo tanto, dicho personaltiende a ignorar el proceso y adoptar una actitud de ‘yo sé mucho más’ o de ‘siempre lo hemos hechoasí’.Avances de la segunda parte: Iniciativas de cumplimiento de políticas para estaciones de trabajo¿Qué más pueden hacer las empresas para garantizar que el número creciente de sus trabajadoresmóviles estén cumpliendo con las políticas de seguridad? Uno de los desarrollos recientes másimportantes en esta área son las iniciativas de cumplimiento para estaciones de trabajo, que estándiseñadas para promover el cumplimiento de políticas de seguridad para las estaciones de trabajomóviles y remotas. Tales iniciativas reconocen que la creciente variedad de métodos utilizados por losempleados para acceder a las redes, produce un nuevo nivel de riesgo para la seguridad corporativa.Por lo tanto, las iniciativas de cumplimiento de políticas para estaciones de trabajo permiten a losadministradores de TI verificar la seguridad de estos equipos antes de conectarlos a la red.Los administradores pueden establecer políticas de control de admisión que incluyan la política deseguridad para las estaciones de trabajo que intentan agregarse a la red. A los equipos que no cumplencon las políticas, por ejemplo, que tienen deficiencias a nivel de parches para el sistema operativo o en elestado del antivirus, se les pueden negar el acceso, pueden ser puestos en cuarentena o enviados a unsitio aislado para recibir acciones correctivas, mientras que los equipos que cumplen con las políticas dela empresa, tendrán acceso a la red.Lo importante es que las iniciativas de cumplimiento de políticas para las estaciones de trabajo ayuden aimpedir que los usuarios móviles y remotos se conviertan en el eslabón más débil del entorno de lasredes empresariales. Las empresas pueden esperar mayores desarrollos en esta área durante el año2004.ConclusionesUna política eficaz de seguridad de la información corporativa es esencial para el buen funcionamientode las empresas móviles. El cumplimiento de estas políticas es muy importante hoy más que nuncapuesto que las amenazas a la seguridad continúan multiplicándose en número y complejidad. El númerocreciente de empresas móviles que intentan crear políticas de seguridad rigurosas deberían explorar lasnuevas iniciativas de cumplimiento para estaciones de trabajo. Estas iniciativas pueden ayudar agarantizar la protección de los usuarios remotos y de las estaciones de trabajo sin poner en peligro lasredes empresariales. 20
  • 21. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanSoporte Ejecutivo y Seguridad de TIAutora: Linda McCarthyConsultora Ejecutiva de Seguridad, Gerencia de TecnologíaSymantec CorporationIntroducciónImagine que hace seis meses finalmente llegó a ocupar el cargo de Gerente de Información(CIO) de una compañía importante. Como buen gerente de información, destaca la importanciade la seguridad una y otra vez a sus gerentes senior. De hecho, usted ha manifestadoclaramente que la red debe ser segura y basta. No se admiten preguntas.Imagine la sorpresa que se llevaría un lunes por la mañana si viera a su compañía en los titulares de lasnoticias y no por sus sorprendentes resultados trimestrales, sino por la historia detallada que relata elataque de un hacker a su red empresarial. El hacker robó información patentada y la publicó en Internetpara que el mundo lo supiera. Se trata de una noticia de primera página; se pregunta si usted saldrá enCNN y si esto afectará al precio de las acciones. ¿Qué dirán los accionistas?Con el transcurso de las semanas, el personal de soporte intenta mantener el control.Desafortunadamente, existen tantos riesgos de seguridad en la red que la labor parece casi insuperable.El grupo clandestino de hackers aparentemente lo sabe y parece estar usando su red para realizarprácticas de ataque. Los ataques persisten—no una o dos veces, sino constantemente.¿Cómo sucedió esto? Usted le dijo a su personal senior que la seguridad es un asunto importante y quedebe ser una prioridad. ¿Fue que no le oyeron? ¿Cómo pudieron permitir que intrusos electrónicoshurtaran los secretos de la compañía? Peor aún, los ataques continuos dañan la reputación de suempresa, una reputación por la que usted ha luchado incansablemente. Como gerente de información,su reputación tampoco sale bien librada. Se trata de la red de su empresa y usted es el centro deatención.¿Le parece imposible? ¿Improbable? Esta situación podría ser inventada, pero es real y la experimentancon frecuencia los nuevos gerentes de información. Los candidatos que aspiran al cargo rara vez tienenpleno conocimiento de la configuración y estado de la red. Antes de aceptar el cargo, pocos candidatospreguntan si la red fue sometida recientemente a una auditoría de seguridad y la aprobó. Incluso a muypocos candidatos se les entrega un resumen ejecutivo que muestre el nivel de riesgo o se acostumbranrealmente a la seguridad que existe en los niveles inferiores de la organización jerárquica.En las grandes compañías, los niveles de gestión usualmente separan a los gerentes operativos de losejecutivos. Por lo tanto, la comunicación se ve afectada. No llega la información que proviene de losdirectivos e igualmente las comunicaciones que van en forma ascendente pueden ser fácilmente malempleadas o modificadas.Obviamente ningún ejecutivo, gerente o supervisor realmente cree que su red será la zona de hackeoque aparecerá en la próxima edición semanal del programa de televisión 60 Minutos. Sin embargo, amenos que usted sepa lo que está realmente sucediendo con la seguridad en los niveles inferiores de laorganización jerárquica, su compañía podría estar en peligro. Asegúrese de que los ejecutivos de suempresa no impartan órdenes irreales desde arriba. Mantener abiertas las líneas de comunicación en elnivel más alto de la jerarquía es uno de los aspectos más importantes para garantizar la seguridad de lared. Tenga en cuenta lo siguiente…Compromiso ejecutivoLa Sra. Smith, gerente y fundadora de Internet Software Design (ISD), convirtió su empresa en un éxitode la noche a la mañana a partir de una idea improvisada. Esta empresa que aparece en la revistaFortune 500, y de última tecnología en Silicon Valley sobrepasó las expectativas y le cerró las puertas ala competencia.. En el negocio de diseño de software para Internet, la compañía hizo de la seguridadinformática una prioridad. La Sra. Smith continuamente resaltaba su compromiso con la seguridadinformática ante el equipo ejecutivo de administración. Fue famosa por su estilo sincero y siempreobtenía lo que se proponía, bueno casi siempre.Como muchos altos ejecutivos (CEO) que imparten ordenes y esperan que se cumplan, la Sra. Smithasumió que la red de su empresa mundial era segura, hasta que un día un hacker irrumpió en la redfinanciera de la compañía. Sin ser detectado por el personal de soporte, el hacker transfirió toda lainformación financiera de la empresa a otro sistema en Internet. Cuando se hizo la transferencia, el 21
  • 22. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juanhacker envió un mensaje electrónico sobre el estado financiero de la Sra. Smith (incluyendo lasganancias esperadas) a los inversionistas Fishman & McDonald.Afortunadamente para la Sra. Smith y su compañía, un gerente de la firma de valores informóinmediatamente sobre el contenido del correo electrónico a Charles Winifred, gerente financiero de laSra. Smith. Este informe fue el primer indicio que tuvo Charles de una violación a la seguridad de la redque lo dejó con muchas preguntas sin respuesta. Charles deseaba saber cómo había sido penetrado elsistema. Quería saber por qué su equipo de soporte no había detectado el acceso no autorizado a lainformación. Y por supuesto, deseaba saber quién era el responsable del hurto y divulgación de lainformación. Básicamente, quería respuestas y las quería ya.Charles había asumido que la red de finanzas era segura. Después de todo, ¿no era para eso que lespagaban a los administradores de sistemas? ¿Cómo podían ser tan negligentes? Y ¿por qué no sepercataron de la violación a la seguridad antes de que se revelara la información por Internet?Sin embargo, Charles pasó por alto un importante concepto en contabilidad. En última instancia lagerencia es responsable de la confiabilidad e integridad de la información de las redes corporativas, nolos administradores de sistemas. En particular, los gerentes ejecutivos son los responsables ante losauditores y accionistas. Si se publican las ganancias esperadas de la compañía en Internet, auditores,accionistas y periodistas perseguirán a los altos ejecutivos, no a los administradores de sistemas.Para ilustrar mejor las funciones de la gerencia en relación con la seguridad informática, analicemos loshechos antes y después de divulgarse la información financiera de ISD.Día 1: sistemas desprotegidosPor solicitud de Charles, se llamó inmediatamente a Martin Patterson, experto de seguridad interna deISD, para que realizara una auditoría de seguridad. Martin era uno de los cinco miembros del equipo deseguridad de ISD y podría decirse que el mejor gurú en seguridad de la empresa. Tomaba en serio todaviolación a la seguridad y siempre daba máxima prioridad en su agenda de trabajo a respuesta aincidentes. Básicamente, Martin dejaba de hacer lo que estaba haciendo y se ponía al frente de todos losincidentes de seguridad con la ferocidad de un pitbull.Martin comenzó su auditoría realizando pruebas a la información de los sistemas financieros y a lasvulnerabilidades de seguridad en la red. Martin tardó menos de una hora en obtener resultados, queresultaron sorprendentes. Para una compañía que decía estar tan comprometida con la seguridad, larealidad era sorprendente.Martin encontró que los sistemas corporativos fueron instalados ciertamente tal como venían sinconfigurar la seguridad. Los sistemas de misión crítica estaban identificados incorrectamente ydesprotegidos, lo que ponía a toda la red en una zona de alto riesgo. Además, la red tenía demasiadosagujeros de seguridad que hubiera podido ser el blanco de ataques al final de un día agitado de trabajo.¡Y estos sistemas eran los que guardaban la información financiera más confidencial de la compañía!Como diría Martin, los sistemas estaban abiertos y no tenían instalados mecanismos de auditoría ymonitoreo. Había fácil acceso a ellos y la oportunidad de ser descubiertos era casi ninguna. Cualquierpersona con pocos conocimientos de seguridad podría hacer su agosto en la red.Charles también le pidió a Martin que averiguara dónde se había originado el mensaje electrónico quecontenía las utilidades esperadas. Después de evaluar los sistemas, Martin intentó rastrear el mensajeelectrónico. Se imaginaba que su esfuerzo sería en vano y así fue. Martin fracasó en su intento porseguir al hacker hasta su origen.Aunque los gerentes financieros dudarían en creer que un mensaje electrónico podría ser imposible derastrear, no me sorprendieron los resultados que obtuvo Martin. Es muy fácil falsear un Sendmail y hacerparecer que un mensaje electrónico es originado por otra persona. Mi hermana Laura de 13 años podríahacerlo sin problema.En cualquier caso, el correo electrónico falseado es casi siempre un callejón sin salida en la búsquedade un hacker. Cuando usted lo logra, simplemente califica la creatividad del hacker por inventar nombresde dominio y eso es todo. Esto fue lo que hizo Martin.Martin terminó la auditoría y resumió sus hallazgos en un informe de gerencia confidencial. Luego sepreparó para lo más difícil: entregar el informe a la gerencia. Menos mal que ya pasó a la historia cuandoliteralmente les disparaban a los mensajeros por dar malas noticias. Sin embargo, se pueden tomar 22
  • 23. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juandiferentes actitudes. Entregar un informe de seguridad de alto riesgo puede producir indiferencia orelegamiento, al igual que una felicitación. Afortunadamente para Martin, Charles era el tipo de personaque daba refuerzo positivo.Aunque Charles valoraba el exhaustivo trabajo de Martin, estaba absolutamente horrorizado con losresultados. Charles en verdad creía que todos los sistemas de la red eran seguros y era lo que todo elpersonal de la gerencia ejecutiva había asumido. Sin embargo, la auditoría mostraba con qué facilidad sepodría cambiar, hurtar o destruir la información sin dejar rastros de evidencia para seguir al intruso.Charles le agradeció a Martin el haberle entregado esta información (¡Martin debía lucirse esta vez!) einmediatamente ordenó al siguiente nivel de administración resolver los problemas.Después de un año: el acceso no autorizado continúaAl año siguiente, hubo penetraciones exitosas a la intranet de ISD (es decir exitosas para el hacker). Loúnico bueno fue que Charles recibió la noticia del gerente de auditoría interna de ISD y no de CNN.Mantener los ataques a la red lejos de los titulares de prensa es el principal objetivo de los gerentesfinancieros y es mucho más difícil de lo que parece. Muchos hackers hoy en día consideran importanteinformar ellos mismos sobre sus ataques a las agencias de noticias. Los hackers saben que el dañoincidental generado por una mala propaganda es por lo general peor que el perjuicio ocasionado por elataque mismo. En otros casos, el objetivo del ataque cuando se hace público es avergonzar. Charles sesintió afortunado de que el bochornoso problema de seguridad al menos se mantuviera relativamenteprivado.Afortunado o no, Charles aún estaba atravesando una situación difícil. Sentía ira e incluso estabasorprendido de que su red fuera vulnerable todavía. ¿No le había ordenado al personal resolver elproblema el año pasado? ¿Nadie hizo lo que ordenó? En ese momento, Charles estaba buscando a losresponsables. Y no quiero decir que deseaba aumentar el número de responsables, sino enviarlos a laguillotina.Después, Charles se reunió con el gerente de información y el director de auditoría interna de la empresapara hablar sobre los riesgos de seguridad. Decidieron que era el momento de contratar a un auditorexterno para ello. Ahí es cuando llego yo.Cuando entro en escena, ya tengo suficiente información de la anterior auditoría. ¡Qué ventaja!Generalmente un auditor gasta mucho tiempo entrevistando al personal, viendo diagramas de red ybuscando información que le indique cuáles sistemas pueden ser vulnerables.Yo sabía cuáles sistemas eran vulnerables el año anterior, lo que parecía ser un buen comienzo pararealizar las pruebas por varias razones. En primer lugar y lo más importante es que utilicé este métodoporque podía crear información estadística a partir de hechos concretos. A los ejecutivos les encantanlas estadísticas. Me gusta mucho presentar toda la información en diagramas o gráficos circularesporque sé que presentar la información en este formato a los gerentes ejecutivos la hace másinteresante.La mayoría de ejecutivos con los que trabajo son muy inteligentes, aunque también demasiadainformación pasa por sus manos, más de la que esperan y necesitan; información precisa y comprensibleque expresa la idea principal en una página o menos. Para ello, el informe del resumen ejecutivo debeser coherente a primer vista. Al respecto, he visto informes de auditoría de seguridad muy confusos.Escribir un informe rápidamente, mal redactado y mal estructurado al más alto nivel ejecutivo no sólo esinútil, sino que también invalida la utilidad del trabajo realizado para producir la auditoría. Puesto que elcontrol de riesgos y la aprobación de los fondos van de la mano, es crucial que los altos ejecutivosentiendan los riesgos y posibles consecuencias. Por esta razón, los informes de la gerencia ejecutivadeben ser cortos (idealmente de una página y nunca más de dos), fáciles de leer y entender.Para mí era fácil transferir los resultados de esta auditoría a la gerencia. Incluso observé la gráfica antesde realizar la auditoría. Comparé las vulnerabilidades del año pasado con los porcentajes de este año.¡Fue buenísimo! Tuve esto en cuenta y comencé la auditoría.Empecé leyendo el informe de auditoría que tenía los resultados de Martín de hace un año. Me resultódifícil leer el informe. Hacía referencia a todos los riesgos, pero técnicamente carecían de lógica. Si lagerencia recibiera un informe como éste, no sabría por donde empezar. Sacar la información real delinforme me llevó más tiempo del planeado. 23
  • 24. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanDespués de cavilar sobre el informe de Martin, supe en qué situación estaban los sistemas de alto riesgode la red financiera. Primero realicé un rastreo de información en estos sistemas. Luego, saqué unacopia del mapa de contraseñas y comencé a ejecutar Crack en las contraseñas. Me gusta comenzar pordescifrar las contraseñas al principio de mi auditoría únicamente para ver cuantas puedo adivinarrápidamente. Este mapa de contraseñas era grande: tenía 520 usuarios. Con seguridad podría obtenerunas cuantas contraseñas y así fue. Cuando estaba revisando el archivo crack.out, éste mostró 10contraseñas adivinadas de buenas a primeras. Había imaginado algo parecido. Dejé la revisión de losresultados adicionales de Crack para más adelante y dediqué mi auditoría a los sistemas de alto riesgo.El administrador de sistemas me dio acceso a todos los sistemas. Cuando hago una auditoría, prefieroentrar al sistema para probar la seguridad antes de ingresar desde la red. La primera vez que comencéla auditoría, me encantó intentar entrar primero desde la red (prueba de penetración) porque eraemocionante y me ayudaba a consolidar mis destrezas de penetración. Cuando fui más eficiente en laauditoría, descubrí que podía cubrir más territorio de manera más rápida y más efectiva si le solicitaba aldueño del sistema que me diera su cuenta de ingreso. Luego, entraba al sistema para buscar lasvulnerabilidades de seguridad. Con este propósito, algunas veces no realizo la prueba de penetración.Primero, busco información en los sistemas desde la Red (sólamente para ver cuánta información puedoobtener). Luego, pruebo las contraseñas inseguras. Después, ingreso y realizo pruebas en busca de lasvulnerabilidades y errores de configuración. La última prueba de auditoría que realizo es la depenetración desde afuera (sólo cuando es necesario).Creo que no siempre se necesita la prueba de penetración. Por ejemplo, cuando un sistema tiene unaversión antigua de Sendmail. Se sabe muy bien que se puede penetrar un sistema como éste. ¿Para quédesperdiciar tiempo en probar que el agua moja?En algunos casos, realizo una prueba de penetración en sistemas que se sabe son vulnerables paramostrar la evidencia a la gerencia; en otros casos, no es necesario. Todo depende del alcance de laauditoría, las prioridades de los clientes y las expectativas de la gerencia.En esta auditoría, no era necesario realizar una prueba de penetración. La gerencia sabía que la redpodía ser penetrada. (Yo estaba allí porque ¡los hackers también lo sabían!) El verdadero problema deesta auditoría era por qué la red era todavía vulnerable. Sabiendo esto, decidí desechar la prueba depenetración y continuar.Procedí a verificar el sistema financiero más crítico. Estaba abierto de par en par y no tenía parches deseguridad. Llegué a la raíz aprovechando un error de seguridad muy antiguo. Fue fácil ver que estossistemas habían sido instalados sin configurar. Era evidente que no se había configurado seguridadadicional. Probé un segundo sistema, luego un tercero y cuarto. Sucedió lo mismo. Hasta el momentopodía decir que absolutamente nada había cambiado desde que se realizó la última auditoría deseguridad. Aparentemente, el personal operativo (de nivel inferior en la organización jerárquica) no habíasolucionado los problemas.La pregunta de $64.000, era por supuesto ¿por qué no? Ciertamente los problemas de seguridad en ISDdeberían haberse resuelto. La gerencia operativa no oyó el mensaje que dio Charles desde arriba odecidieron no oírlo.La respuesta parecía ser que cuando Charles le dijo a sus subalternos: “Arreglen los problemas deseguridad ahora”, él creyó que el asunto estaba solucionado. Nunca verificó que se ejecutara la orden.De todas maneras, los problemas no fueron solucionados y Charles no obtuvo los resultados esperados.A propósito de resultados, me di cuenta en ese momento que yo todavía estaba ejecutando Crack.Cuando me preguntaba cuántas contraseñas más Crack iba a revelar, revisé de nuevo el archivocrack.out. ¡Era increíble! Se habían descifrado cien contraseñas más. Más sorprendente aún era que¡Crack no había terminado! Todavía estaba golpeando tratando de adivinar las contraseñas. Era obvioque a los usuarios nunca se les había enseñado a escoger contraseñas seguras. Era también evidenteque el administrador de sistemas nunca se había preocupado por revisar las contraseñas inseguras.Me da rabia cuando los administradores de sistemas no capacitan a los usuarios. Con mucha frecuencia,los sistemas están instalados y se les asignan cuentas a los usuarios sin siquiera enseñarles laimportancia de seleccionar y cambiar las contraseñas. También es bastante común que losadministradores de sistemas no hagan pruebas a las contraseñas. Algunas veces, realmente no tienentiempo para hacerlo, aunque otras veces simplemente no saben cómo hacerlo y les da miedo overgüenza preguntar. 24
  • 25. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, JuanAdemás, las contraseñas inseguras habían sido reportadas como un problema en el informe de auditoríadel año anterior. Y, a diferencia de algunos otros problemas reportados, se hubieran podido solucionarcon un esfuerzo mínimo. Supongo que nadie pensó que esto hacía parte de sus funciones.Es una lástima que el informe de auditoría del año pasado no especificara el número de contraseñasinseguras que se encontraron. Me cuesta trabajo creer que hubiera podido ser peor que este año.Cuando Crack terminó su trabajo, había descifrado un total de 190 contraseñas en un sistema de tansolo 520 usuarios. Casi todos los usuarios estaban usando una contraseña insegura. En esa proporción,parece inútil usar contraseñas. ¿Por qué no transmitimos las contraseñas en Radio Pública Nacionalpara recordárselas a los empleados que hayan olvidado su nombre compuesto o fecha de nacimiento?Como era de esperarse las contraseñas inseguras eran sólo la punta del iceberg del problema deseguridad que enfrentaba la red de ISD. Sin embargo, todos los problemas principales parecíancentrarse en un área: riesgos de seguridad producidos por el hombre. Para llegar al meollo de estosproblemas, comencé a entrevistar a los trabajadores.Para hallar dónde fallaba la comunicación, comencé por el alto nivel de la gerencia hacia abajo. Por elcamino hice algunos descubrimientos esclarecedores: • El equipo ejecutivo de gerencia nunca solicitó o recibió un informe sobre el estado de los cambios realizados para mejorar la seguridad de la red. • Los gerentes ejecutivos simplemente asumieron que se solucionarían los problemas de seguridad porque lo ordenaron. • El departamento de administración de sistemas tenía menos personal del necesario y no tenía tiempo para reparar los sistemas. • Los administradores de sistemas trabajaban horas extras para instalar nuevos usuarios y conectar los sistemas de la compañía a Internet. Aunque quisieran solucionar los problemas, simplemente no tenían tiempo para sortearlos. • Los administradores de sistemas tampoco sabían cómo solucionar los problemas de seguridad. Pidieron ayuda a la gerencia, pero este tipo de capacitación no estaba considerado en el presupuesto de manera que la solicitud fue pospuesta para estudiarla más adelante. • Los gerentes operativos también solicitaron más recursos de personal para proteger la red. Claro que esto tampoco se había contemplado en ese momento en el presupuesto. Una vez más se decidió posponer el adoptar medidas determinantes para analizarlas detenidamente.Después de un año, no se había aprobado contratar nuevo personal. Por su parte, los gerentesoperativos pospusieron la decisión de solucionar los problemas de seguridad hasta que se aprobara lacontratación de más personal. En conclusión nadie hizo nada sino esperar.Es increíble todo lo que se sabe cuando se habla con el personal. Lo malo de todo esto es que losgerentes operativos sabían que sus sistemas no eran seguros. Sin embargo, la alta gerencia parecíaincompetente. Es por eso que la alta gerencia no solicitó a nadie que informara sobre la solución de losproblemas. La gerencia operativa sabía que no había solución y no tomaron la iniciativa para informarlo.Por consiguiente, la gerencia fue incompetente y honestamente pensó que ya había solucionado elasunto y siguió como si nada hubiera pasado.Lo que sucedió en este caso no es del todo poco común. Como la mayoría de compañías, ISD se estabareduciendo. Por esa razón, las solicitudes de crear más puestos de trabajo eran automáticamenterechazadas. Los gerentes operativos quizás tampoco explicaron claramente por qué el aumento depersonal era absolutamente necesario o posiblemente hubiera sido una de tantas solicitudes. Estoyseguro que usted sabe que cuando se presentan luchas internas por ocupar cargos limitados, cadacargo de responsabilidad solicitado se vuelve de repente absolutamente indispensable.También es posible que el gerente operativo que solicitaba más personal tuviera razones para hacerlo,aunque el razonamiento se volviera confuso cuando pasara por los cuatro niveles de gestión desde queel gerente hiciera la solicitud hasta que el ejecutivo autorizara la asignación de los fondos. Sin duda la 25
  • 26. Seguridad Informática Políticas de Seguridad Amendolia, Diego; Cendagorta, Juansolicitud de recursos hubiera sido aprobada si el gerente de información hubiera recibido una solicitudque dijera: “Esta asignación de recursos es necesaria para reparar las vulnerabilidades de la seguridadporque la red entera está en peligro. Hasta que no se ocupe la vacante, la información puede serfácilmente robada, modificada y destruida”.Resumen: tome medidas¿Cómo puede la red financiera de una de las compañías de la revista Fortune 500 ser tan vulnerable alos ataques? Por su mala administración, falta de capacitación, falta de comunicación y una estructuracomplicada para el flujo de la información (demasiados niveles de gestión).Aunque los ejecutivos de la Sra. Smith claramente manifestaron la importancia de la seguridad, nuncatomaron medidas que garantizaban la existencia de la seguridad. No basta decirle al personal “solucionelos problemas”. Los gerentes deben tomar medidas de seguridad. Los gerentes deben por lo menossolicitar evidencia clara por escrito de que los problemas de seguridad se han solucionado. En este caso,dicho informe le habría permitido a la gerencia saber que no se estaban resolviendo los problemasporque no se habían aprobado los recursos para contratar más personal.En muchos casos, la seguridad está sujeta a los recursos, aunque la importancia de la información quese intenta proteger determina básicamente la suma de dinero que se debe asignar para protegerla. Confrecuencia los sistemas están en peligro todos los trimestres simplemente porque nadie piensa enasignar un presupuesto a la seguridad hasta que ocurre un ataque.En este contexto, la Sra. Smith tuvo mucha suerte. La información de la empresa podría haber sidodestruida y los sistemas incapacitados por varios días. La Sra. Smith también tuvo suerte de que elataque se hubiera mantenido en secreto. Este no es el tipo de titular periodístico que un gerente generalquisiera ver en CNN. La secuela que deja la mala propaganda podría ser peor que el daño causado porel ataque mismo.Con frecuencia me piden hablar con los ejecutivos sobre la seguridad en Internet e intranet. Cuando lohago, generalmente me refiero al caso de ISD. Yo misma me repito: “Sí, realmente sucedió yprobablemente sucederá otra vez.” Para resumir el problema, también señalo: “ISD era una empresa quetenía ganancias anuales de mil millones de dólares. Si esto pudo sucederle a esta compañía, ¿por quécree que su red es inmune? ¿Sabe cuál es la seguridad de su red? ¿Cuándo fue la última vez querecibió un resumen ejecutivo de seguridad?” En este momento, muchas personas de la audiencia estánpreocupadas.Para que esté tranquilo, trate de evitar problemas irremediables después de estos que ocurran. Encambio, tome medidas de seguridad. 26

×