"Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad.
Cuando algo sucede, nos lamentamos de no haber invertido ms... Ms vale dedicar recursos a la seguridad que convertirse en una estadstica."
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestin es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms negocios. "Si un Hacker quiere gastar cien mil dlares en equipos para descifrar una encriptacin, lo puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podran gastar millones de dlares". La solucin a medias, entonces, sera acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni ms ni menos que un gran avance con respecto a unos aos atrs. Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios.
Polticas de Seguridad de la Informacin
De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. Est lejos de mi intencin (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organizacin para lograr la mayor Seguridad Informtica posible. S est dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si as se pretendiese) un documento con estas caractersticas. El presente es el resultado de la investigacin, pero sobre todo de mi experiencia viendo como muchos documentos son ignorados por contener planes y polticas difciles de lograr, o peor an, de entender. Esto adquiere mayor importancia aun cuando el tema abordado por estas polticas es la Seguridad Informtica. Extensos manuales explicando cmo debe protegerse una computadora o una red con un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Proteccin" = "Aceite de Serpiente" del mundo. He intentado dejar en claro que la Seguridad Informtica no tiene una solucin definitiva aqu y ahora, sino que es y ser (a mi entender) el resultado de la innovacin tecnolgica, a la par del avance tecnolgico, por parte de aquellos que son los responsables de nuestros sistemas. En palabras de Julio C. Ardita: "Una poltica de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a Amrica Latina fue un fiasco... Armar una poltica de procedimientos de seguridad en una empresa est costando entre 150-350 mil dlares y el resultado es ninguno... Es un manual que llevado a la implementacin nunca se realiza... Es muy difcil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las polticas y procedimientos por un lado y la parte fsica por otra." Para continuar, har falta definir algunos conceptos aplicados en la definicin de una PSI: Decisin: eleccin de un curso de accin determinado entre varios posibles. Plan: conjunto de decisiones que definen cursos de accin futuros y los medios para conseguirlos. Consiste en disear un futuro deseado y la bsqueda del modo de conseguirlo. Estrategia: conjunto de decisiones que se toman para determinar polticas, metas y programas. Poltica: definiciones establecidas por la direccin, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas. Meta: objetivo cuantificado a valores predeterminados. Procedimiento: Definicin detallada de pasos a ejecutar para desarrollar una actividad determinada. Norma: forma en que realiza un procedimiento o proceso. Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones. Proyeccin: prediccin del comportamiento futuro, basndose en el pasado sin el agregado de apreciaciones subjetivas. Pronostico: prediccin del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prev influirn en los acontecimientos futuros. Control: capacidad de ejercer o dirigir una influencia sobre una situacin dada o hecho. Es una accin tomada para hacer un hecho conforme a un plan. Riesgo:proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Ahora, "una Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema. La RFC 1244 define Poltica de Seguridad como: "una declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requerirn." La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una poltica de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." y debe: Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave. Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lpiz. Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas. Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el porqu de ello.
Evaluacin de Riesgos
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado. Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto. La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presuponer algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto (1): "Qu puede ir mal?" "Con qu frecuencia puede ocurrir?" "Cules seran sus consecuencias?" "Qu fiabilidad tienen las respuestas a las tres primeras preguntas?" "Se est preparado para abrir las puertas del negocio sin sistemas, por un da, una semana, cuanto tiempo?" "Cul es el costo de una hora sin procesar, un da, una semana...?" "Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?" "Se tiene forma de detectar a un empleado deshonesto en el sistema?" "Se tiene control sobre las operaciones de los distintos sistemas?" "Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?" "A que se llama informacin confidencial y/o sensitiva?" "La informacin confidencial y sensitiva permanece as en los sistemas?" "La seguridad actual cubre los tipos de ataques existentes y est preparada para adecuarse a los avances tecnolgicos esperados?" "A quien se le permite usar que recurso?" "Quin es el propietario del recurso? y quin es el usuario con mayores privilegios sobre ese recurso?" "Cules sern los privilegios y responsabilidades del Administrador vs. la del usuario?" "Cmo se actuar si la seguridad es violada?" Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen del tipo:
Tipo de Riesgo Factor Robo de hardware Alto Robo de informacin Alto Vandalismo Medio Fallas en los equipos Medio Virus Informticos Medio Equivocaciones Medio Accesos no autorizados Medio Fraude Bajo Fuego Muy Bajo Terremotos Muy Bajo
Segn esta tabla habr que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios segn el factor de riesgo representado.
Estrategia de Seguridad
Para establecer una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores. En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva (1). La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia. La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible. Con respecto a la postura que puede adoptarse ante los recursos compartidos: Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa est prohibida. Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn. Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no. Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones que atentan contra los sistemas informticos los expertos se inclinan por recomendar la primera poltica mencionada.
Implementacin de una Poltica de Seguridad
La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria. Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente. Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen. Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin. Una PSI informtica deber abarcar: Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organizacin. Responsabilidades de los usuarios con respecto a la informacin que generan y a la que tienen acceso. Requerimientos mnimos para la configuracin de la seguridad de los sistemas al alcance de la poltica. Definicin de violaciones y las consecuencias del no cumplimiento de la poltica. Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley. Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porque de las decisiones tomadas. Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc. Una proposicin de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:
Grfico 9.2 - Fuente: Manual de Seguridad en Redes.
Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias. Luego de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo. Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditora a los archivos Logs de estos controles. Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en primera instancia. Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle. Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayora de los casos, un menor grado de seguridad. "Construya la seguridad desde el principio. La mxima de que es ms caro aadir despus de la implementacin es cierta." Julio C. Ardita menciona: "Muchas veces nos llaman cuando est todo listo, faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos que la seguridad es imposible de implementar. ltimamente nos llaman en el diseo y nosotros los orientamos y proponemos las soluciones que se pueden adoptar (...)"
Queda claro que este proceso es dinmico y continuo, sobre el que hay que adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad descubierta, con el fin de que estas polticas no caigan en desuso.
Auditora y Control
Se considera que la Auditora son los "ojos y odos" de la direccin, que generalmente no puede, no sabe o no debe realizar las verificaciones y evaluaciones. La Auditora consiste en contar con los mecanismos para poder determinar qu es lo que sucede en el sistema, qu es lo que hace cada uno y cuando lo hace. En cuanto al objetivo del Control es contrastar el resultado final obtenido contra el deseado a fin de incorporar las correcciones necesarias para alcanzarlo, o bien verificar la efectividad de lo obtenido.
Plan de Contingencia
Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperacin de desastres "para cuando falle el sistema", no "por si falla el sistema" (1). Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperacin de desastres, el cual tendr como objetivo, restaurar el servicio de cmputo en forma rpida, eficiente y con el menor costo y prdidas posibles. Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de Contingencias lo ms completo y global posible. Un Plan de Contingencia de Seguridad Informtica consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas. Se entiende por Recuperacin, "tanto la capacidad de seguir trabajando en un plazo mnimo despus de que se haya producido el problema, como la posibilidad de volver a la situacin anterior al mismo, habiendo reemplazado o recuperado el mximo posible de los recursos e informacin" (1). Se dice que el Plan de Contingencias es el encargado de sostener el modelo de Seguridad Informtica planteado y de levantarlo cuando se vea afectado. La recuperacin de la informacin se basa en el uso de una poltica de copias de seguridad (Backup) adecuada.
Equipos de Respuesta a Incidentes
Es aconsejable formar un equipo de respuesta a incidentes. Este equipo debe estar implicado en los trabajos proactivos del profesional de la seguridad. Entre stos se incluyen: El desarrollo de instrucciones para controlar incidentes. Creacin del sector o determinacin del responsable: usualmente la designacin del Administrador de seguridad. La identificacin de las herramientas de software para responder a incidentes y eventos. La investigacin y desarrollo de otras herramientas de Seguridad Informtica. La realizacin de actividades formativas y de motivacin. La realizacin de investigaciones acerca de virus. La ejecucin de estudios relativos a ataques al sistema. Estos trabajos proporcionarn los conocimientos que la organizacin puede utilizar y la informacin que hay que distribuir antes y durante los incidentes. Una vez que el Administrador de seguridad y el equipo de respuesta a incidentes han realizado estas funciones proactivas, el Administrador debe delegar la responsabilidad del control de incidentes al equipo de respuesta. Esto no significa que el Administrador no deba seguir implicado o formar parte del equipo, sino que no tenga que estar siempre disponible, necesariamente, y que el equipo debe ser capaz de controlar los incidentes por s mismo. El equipo ser el responsable de responder a incidentes como virus, gusanos o cualquier otro cdigo daino, invasin, engaos, y ataques del personal interno. El equipo tambin debe participar en el anlisis de cualquier evento inusual que pueda estar implicado en la seguridad de los equipos o de la red.
Backups / Copias de Seguridad
El Backup de archivos permite tener disponible e ntegra la informacin para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la informacin al estado anterior al desastre. Como siempre, ser necesario realizar un anlisis Costo/Beneficio para determinar qu informacin ser almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realizacin, las estaciones de trabajo que cubrir el backup, etc.
Para una correcta realizacin y seguridad de backups se debern tener en cuenta estos puntos: 1. Se debe de contar con un procedimiento de respaldo de los sistemas operativos y de la informacin de los usuarios, para poder reinstalar fcilmente en caso de sufrir un accidente. 2. Se debe determinar el medio y las herramientas correctas para realizar las copias, basndose en anlisis de espacios, tiempos de lectura/escritura, tipo de backup a realizar, etc. 3. El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la informacin primaria. De este modo se evita la prdida si el desastre alcanza todo el edificio o local. 4. Se debe verificar, peridicamente, la integridad de los respaldos que se estn almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que estn incompletos, daados, mal almacenados, etc. 5. Se debe de contar con un procedimiento para garantizar la integridad fsica de los respaldos, en previsin de robo o destruccin. 6. Se debe contar con una poltica para garantizar la privacidad de la informacin que se respalda en medios de almacenamiento secundarios. Por ejemplo, la informacin se debe encriptar antes de respaldarse. 7. Se debe de contar con un procedimiento para borrar fsicamente la informacin de los medios de almacenamiento, antes de desecharlos. 8. Mantener equipos de hardware, de caractersticas similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres fsicos. Puede optarse por: Modalidad Externa: otra organizacin tiene los equipos similares que brindan la seguridad de poder procesar la informacin, al ocurrir una contingencia, mientras se busca una solucin definitiva al siniestro producido. Modalidad Interna: se tiene ms de un local, en donde uno es espejo del otro en cuanto a equipamiento, caractersticas tcnicas y capacidades fsicas. Ambos son susceptibles de ser usados como equipos de emergencia. Se debe asegurar reproducir toda la informacin necesaria para la posterior recuperacin sin pasos secundarios. Por ejemplo, existe informacin que es funcin de otra (checksums). Si slo se almacenara la informacin principal, sin sus checksums, esto puede derivar en la inutilizacin de la misma cuando se recupere el backup.
Pruebas y Evaluacin de Resultados
El ltimo elemento de las estrategias de seguridad, las pruebas y el estudio de sus resultados, se lleva a cabo despus de que se han puesto en marcha las estrategias reactiva y proactiva. La realizacin de ataques simulados (Ethical Hacking) en sistemas de pruebas o en laboratorios permiten evaluar los lugares en los que hay puntos vulnerables y ajustar las directivas y los controles de seguridad en consecuencia. Estas pruebas no se deben llevar a cabo en los sistemas de produccin real, ya que el resultado puede ser desastroso. La carencia de laboratorios y equipos de pruebas a causa de restricciones presupuestarias puede imposibilitar la realizacin de ataques simulados. Para asegurar los fondos necesarios para las pruebas, es importante que los directivos sean conscientes de los riesgos y consecuencias de los ataques, as como de las medidas de seguridad que se pueden adoptar para proteger al sistema, incluidos los procedimientos de las pruebas. Si es posible, se deben probar fsicamente y documentar todos los casos de ataque para determinar las mejores directivas y controles de seguridad posibles que se van a implementar. Determinados ataques, por ejemplo desastres naturales como inundaciones y rayos, no se pueden probar, aunque una simulacin servir de gran ayuda. Por ejemplo, se puede simular un incendio en la sala de servidores en el que todos los servidores hayan resultado daados y hayan quedado inutilizables. Este caso puede ser til para probar la respuesta de los Administradores y del personal de seguridad, y para determinar el tiempo que se tardar en volver a poner la organizacin en funcionamiento. La realizacin de pruebas y de ajustes en las directivas y controles de seguridad en funcin de los resultados de las pruebas es un proceso iterativo de aprendizaje. Nunca termina, ya que debe evaluarse y revisarse de forma peridica para poder implementar mejoras.
La Poltica de Seguridad
Despus de nueve captulos de detalles tcnicos, legales, administrativos y humanos ha llegado la hora esperada por m y espero por el lector. Las pginas que siguen tienen la intencin de ofrecer un acercamiento a una metodologa sistemtica en la importante tarea de administrar la Seguridad Informtica. Como ya se ha mencionado, los fundamentos aqu expuestos NO deben ser tomados puntualmente en cada organizacin tratada. Debern ser adaptados a la necesidad, requisitos y limitaciones de cada organizacin (o usuario individual) y, posteriormente requerir actualizaciones peridicas asegurando el dinamismo sistemtico ya mencionado.
Nivel Fsico
El primer factor considerado, y el ms evidente debe ser asegurar el sustrato fsico del objeto a proteger. Es preciso establecer un permetro de seguridad a proteger, y esta proteccin debe adecuarse a la importancia de lo protegido. La defensa contra agentes nocivos conlleva tanto medidas proactivas (limitar el acceso) como normativas de contingencia (que hacer en caso de incendio) o medidas de recuperacin (realizar copias de seguridad). El grado de seguridad solicitado establecer las necesidades: desde el evitar el caf y el tabaco en las proximidades de equipos electrnicos, hasta el establecimiento de controles de acceso a la sala de equipos. Lo ms importante es recordar que quien tiene acceso fsico a un equipo tiene control absoluto del mismo. Por ello slo deberan accederlo aquellas personas que sea estrictamente necesario.
Amenaza no Intencionada (Desastre Natural) El siguiente ejemplo ilustra una posible situacin: Una organizacin no cuenta con sistemas de deteccin y proteccin de incendios en la sala de servidores. El Administrador del sistema deja unos papeles sobre el aire acondicionado de la sala. Durante la noche el acondicionador se calienta y se inicia un incendio que arrasa con la sala de servidores y un par de despachos contiguos. Directivas: 1. Predecir Ataque/Riesgo: Incendio 2. Amenaza: Desastre natural. Incendio 3. Ataque: No existe. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de equipos e informacin. b. Determinar y minimizar vulnerabilidades: proteccin contra incendios. c. Evaluar planes de contingencia: backup de la informacin. 5. Estrategia Reactiva: a. Evaluar daos: perdida de hardware e informacin. b. Determinar su origen y repararlos: bloqueo del aire acondicionado. c. Documentar y aprender d. Implementar plan de contingencia: recuperar backups. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Nivel Humano
El Usuario Estas son algunos de las consideraciones que se deberan tener en cuenta para la proteccin de la informacin: 1. Quizs el usuario contempla todas las noticias de seguridad con escepticismo, piensan que los Administradores son paranoicos y se aprovechan de las contadas situaciones dadas. Quizs tengan razn, pero se debe recordar que el mundo virtual no es ms que una pequea muestra del mundo fsico, con el agregado que es el campo ideal de impunidad y anonimicidad. 2. Generalmente se considera que la propia mquina es poco importante para que un atacante la tenga en cuenta. Se debera recordar que este atacante no sabe quin est del otro lado del monitor, por lo que cualquier objetivo (en principio) es tan importante (o no) como cualquier otro. Ejemplo: Se instal un Firewall personal en dos usuarios normales de Internet, utilizando modems y Windows 98 como sistema operativo. Los resultados obtenidos en los archivos de Logs de estos usuarios fueron los siguientes: Usuario 1 ubicado en Paran (Entre Ros-Argentina): 49 scaneos de puertos y 14 intentos de instalacin de troyanos en 10 das. Usuario 2 ubicado en Buenos Aires (Argentina): 28 scaneos de puertos en 8 das. La pregunta ya no es ser atacado?; a cambiando a cundo ser atacado?. 3. Generalmente se sobrevalora la capacidad de un atacante. Al contrario de la creencia popular no se necesita ser un Gur para ingresar en una computadora y generalmente quienes lo hace son Script-Kiddies en busca de "diversin". De hecho un Gur siempre tendr "mejores cosas que hacer". 4. Convencerse de que TODOS los programas existentes tienen vulnerabilidades conocidas y desconocidas es muy bueno. Esta idea permite no sobrevalorar la seguridad de su sistema. Ejemplo: Un usuario dice a otro: "Yo utilizo Linux porque es ms seguro que Windows". Esto es una falacia disfrazada: el usuario debera decir que Linux puede ser ms seguro que Windows. De hecho cualquier sistema bien configurado puede ser ms seguro que uno que no lo est. 5. La Regla de Oro que todo usuario debe tomar como obligacin (y su responsabilidad) es tomar la seguridad de su computadora en serio. Recordar que el eslabn ms dbil de una cadena equivale a la resistencia de la misma es muy bueno en este momento. Ningn usuario inocente estar contento si su nombre aparece en la lista de posibles intrusos en una red, nada ms que porque alguien decidi utilizarlo para tales fines. Tampoco es bueno ser acusado de expandir un virus por el simple hecho de enviar mails sin comprobarlos anteriormente. Los procedimientos simples mencionados pueden evitar grandes dolores de cabezas.
Amenaza no Intencionado (Empleado) El siguiente ejemplo ilustra una posible situacin de contingencia y el procedimiento a tener en cuenta: Un empleado, no desea perder la informacin que ha guardado en su disco rgido, as que la copia (el disco completo) a su carpeta particular del servidor, que resulta ser tambin el servidor principal de aplicaciones de la organizacin. No se han definido cuotas de disco para las carpetas particulares de los usuarios que hay en el servidor. El disco rgido del usuario tiene 6 GB de informacin y el servidor tiene 6,5 GB de espacio libre. El servidor de aplicaciones deja de responder a las actualizaciones y peticiones porque se ha quedado sin espacio en el disco. El resultado es que se deniega a los usuarios los servicios del servidor de aplicaciones y la productividad se interrumpe. A continuacin, se explica la metodologa que se debera haber adoptado antes de que el usuario decida realizar su copia de seguridad:
Directivas: 1. Predecir Ataque/Riesgo: Negacin de servicios por abuso de recursos. 2. Amenaza: No existe. Empleado sin malas intenciones. 3. Ataque: No existe motivo ni herramienta, solo el desconocimiento por parte del usuario. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de productividad por espacio de disco/memoria agotados. b. Determinar y minimizar vulnerabilidades: implementar cuotas de discos. c. Evaluar planes de contingencia: servidor backup. d. Capacitar el usuario. 5. Estrategia Reactiva: a. Evaluar daos: prdida de produccin. b. Determinar su origen y repararlos: hacer espacio en el disco. c. Documentar y aprender: implementar plan de contingencia. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Amenaza Malintencionada (Insider) Una empresa competidora ofrece a un usuario cierta suma de dinero para obtener el diseo del ltimo producto desarrollado por su empresa. Como este usuario carece de los permisos necesarios para obtener el diseo se hace pasar como un Administrador, y usando ingeniera social, consigue el nombre de usuario y password de un usuario con los permisos que l necesita. La poltica de seguridad asociada a este evento debera haber contemplado:
Directivas: 1. Predecir Ataque/Riesgo: Robo de informacin mediante el uso de ingeniera social. 2. Amenaza: Insider. 3. Ataque: Ingeniera social. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de productividad y/o beneficios. b. Determinar y minimizar vulnerabilidades: concientizacin de los usuarios. c. Evaluar planes de contingencia. 5. Estrategia Reactiva: a. Evaluar daos: prdida de beneficios e informacin. b. Determinar su origen: revelacin de login y password por parte el usuario. c. Reparacin de daos: implementar entrenamiento de los usuarios. d. Documentar y aprender. e. Implementar plan de contingencia. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza No Intencionada Un virus ingresa a la empresa mediante un mail enviado a un empleado, y comienza a expandirse dentro de la misma tomando como base la libreta de direcciones de los usuarios:
Directivas: 1. Predecir Ataque/Riesgo: Negacin de servicio del servidor de correo electrnico por gran la cantidad de mensajes enviados/recibidos. 2. Amenaza: Virus. 3. Ataque: Virus de correo electrnico. 4. Estrategia Proactiva: a. Predecir posibles daos: prdida de productividad por negacin de servicio. b. Determinar y minimizar vulnerabilidades: actualizacin de antivirus y concientizacin de usuarios en el manejo del correo electrnico. c. Evaluar planes de contingencia: evaluar la importancia de un servidor backup. Antivirus. 5. Estrategia Reactiva: a. Evaluar daos: prdida de produccin. b. Determinar su origen: cada del servidor por overflow de mensajes. c. Reparacin de daos: implementar el servidor backup. Eliminacin del virus causante del problema. d. Documentar y aprender. e. Implementar plan de contingencia: servidor backup. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza Malintencionada (Out-Sider) Una persona ingresa al sistema de la empresa, con intenciones de recopilar informacin para su posterior venta:
Directivas: 1. Predecir Ataque/Riesgo: Ingreso al sistema por vulnerabilidades en los sistemas o poltica de claves ineficiente. 2. Amenaza: Outsider recopilando informacin significativa. 3. Ataque: Ingreso al sistema. 4. Estrategia Proactiva: a. Predecir posibles daos: Robo y venta de informacin. Dao a la imagen de la empresa. b. Determinar y minimizar vulnerabilidades: actualizacin de sistemas vulnerables. Concientizacin a los usuarios en el manejo de contraseas fuertes. c. Evaluar planes de contingencia: implementacin de servidor backup para casos de dao de la informacin. Recuperacin de imagen. Evaluar formas de minimizar el dao por la informacin robada. 5. Estrategia Reactiva: a. Evaluar daos: informacin susceptible robada. b. Determinar su origen: ingreso al sistema. c. Reparacin de daos. d. Documentar y aprender. e. Implementar plan de contingencia: servidor backup. 6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.