Seguridad de la información: realidad o Utopía[1]
"It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door"
F.T. GRAMPP
"Las únicas organizaciones razonablemente protegidas son aquellas que disponen de personal dedicado a la seguridad de los sistemas, con medios para mantener el nivel de seguridad que hayamos decidido".
ENRIQUE ANTON PEREGRINA
La Seguridad de la Información es uno de los temas de mayor preocupación de las organizaciones en todo el mundo. Los responsables de las áreas de sistemas siempre intentan estar un paso adelante, tomando las precauciones correspondientes con la finalidad de evitar ataques o desastres en los datos de la organización. Sin embargo, muchas veces estos esfuerzos no son correctamente encaminados. Bajo este contexto es bueno recordar lo señalado por Jorge Sendra Mas[2]quien indica lo siguiente:
"La Seguridad de la Información ha experimentado una continua evolución durante la última década, desde un enfoque puramente tecnológico, donde las necesidades se cubren mediante la adquisición de herramientas con el fin de mitigar las últimas vulnerabilidades conocidas, hasta un enfoque dominado por la necesidad de justificar las inversiones en seguridad de la información, como un activo esencial. Este enfoque se basa en una gestión continua de los riesgos sustentados en la optimización de ratios empresariales como es el de coste/beneficio."
Lo que se tiene que tener en cuenta siempre es que no hay nada seguro al 100 %, y que el tema de seguridad es dinámico es decir que no termina, de hecho es un error creer que una vez que se tiene una solución de seguridad ya se alcanzó la máxima protección y para siempre. Lo peor que puede pasar es que una organización crea que está protegida porque tiene un antivirus, un firewall o cualquier otro sistema de seguridad o cualquier tecnología que puede existir y con eso crea que está segura.
La mayoría de expertos señalan que la seguridad no se consigue únicamente con hardware y software, sino con una estrategia integral que involucra políticas y prácticas. Tales políticas llevan a definir roles dentro de la organización. El tema de seguridad debe estar pensado y considerado desde el principio de cualquier proyecto e implantación.
Otra de las ideas que debe de tenerse en cuenta es que no existe una solución de seguridad que sea aplicable a todas las organizaciones. Es decir la solución que se debe de implantar a una universidad es distinta a la que se aplicaría a un banco; y también es distinta la estrategia para proteger a una empresa privada que aquella para brindar protección a la información de la policía o de las fuerzas armadas. En palabras de Julio C. Ardita[3]
"Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco… Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno… Es un manual que llevado a la implementación nunca se realiza… Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra."
A pesar de que muchas personas asocian la idea de protección informática con los hackers, esta es sola una de las amenazas que hay que considerar al momento de diseñar un sistema de seguridad. La seguridad informática o la seguridad de la información tienen muchos frentes. La tecnología es solo un aspecto de la seguridad. La seguridad es un monstruo que tiene muchos tentáculos o aristas que deben de tenerse en cuenta, tal como lo indica Lukas Alarcón[4]
"Actualmente hay varias formas de encarar el tema de la seguridad de la información. Un ejemplo podría tener políticas de seguridad de información cuyo contenido y estructura refleje el ámbito cultural de la propia empresa y su dinámica respecto a su quehacer, una arista mas es la implementación efectiva de las políticas en las que los elementos técnicos que me ayudan en la implementación estén de acuerdo a mis objetivos. Otro punto importante es la adhesión a alguna normativa de seguridad internacional que me ayude con la dirección de generación de políticas y también se encuentra la educación hacia los usuarios finales quienes son los que manipulan la información.
Desde un punto de vista de elementos técnicos existen varias capas de seguridad que me permiten asegurar desde la seguridad perimetral, gateways de seguridad web , de correo, de encriptación, de inspección de datos incluyendo sistemas de archivamiento , de respaldo de datos , gestión de identidad, identificación de vulnerabilidades hasta la protección final de los endpoints con servicios con antivirus, firewalls, encriptadores de discos, sistemas de respaldos de archivos, control de periféricos y control de fuga de información entre algunos elementos a considerar".
Uno de los frentes de la seguridad es la protección física de los computadores, por ejemplo la protección de los servidores en una sala especialmente acondicionada. En este rubro se pueden incluir soluciones de control de acceso para restringir el ingreso de personas no autorizadas a la zona de los equipos de cómputo. Aquí entran a tallar entre otros, los dispositivos biométricos, de lectura de huella digital, de la palma de la mano o del iris del ojo.
Otro punto importante a señalarse es que se puede tener la mejor infraestructura de redes, pero si la puerta del centro de cómputo está abierta, no sirve. A la seguridad física es necesario agregar los sistemas de control de incendios, la seguridad eléctrica, sistemas de UPS, generadores eléctricos, entre otros.
Los ataques a una organización no solo pueden venir desde afuera, sino también desde adentro. Es por ello que según los principales estudios de seguridad se señala que el 70 % de la malversación de información privilegiada viene del interior de la organización. Muchas de las veces los responsables de sistemas se preocupan por los hackers, pero son los propios empleados quienes pueden manipular indebidamente la información.
De acuerdo con un estudio elaborado por el Instituto Ponemon[5](USA), frente a las crecientes amenazas que suponen los virus y la evolución del malware para los sistemas de TI de las empresas, existe un peligro cada vez mayor que hay que tener muy en cuenta: los propios empleados.
"Según el estudio realizado entre más de 3.000 profesionales, seis de cada diez encuestados apunta que ha perdido datos sensibles como resultado de una negligencia por parte de los empleados de la compañía. Además, otro dato destacable de este estudio resalta que tres de cada diez encuestados afirma haber sufrido el robo de datos sensibles por parte de sus propios empleados.
Ante estos datos, desde el Instituto Ponemon apuntan hacia la necesidad de que las empresas tengan especial cuidado con el uso que sus empleados hacen de los sistemas de TI, así como del acceso y utilización de los datos corporativos que pueden consultar y manejar. No en vano, los expertos señalan que los daños que ocasionan los trabajadores a la empresa se han convertido en un aspecto tanto o más preocupante que el que suponen los virus y el malware para los sistemas de TI. De hecho, el 84 por ciento de los profesionales encuestados en distintas empresas de Alemania, Australia, Estados Unidos y Gran Bretaña, confirma haber sufrido algún tipo de virus o intrusión de código malicioso en su red en los últimos 12 meses.
Junto a ello, otro punto en el que el estudio hace especial hincapié es en el hecho de que el 76 por ciento de los empleados puede enviar a través del correo electrónico datos internos fuera de la organización, y que el 70 por ciento puede descargar datos corporativos en un dispositivo USB sin que sea detectado.
Sin embargo, a pesar de los peligros a los que están expuestas las empresas si no se tiene especial cuidado con estos riesgos, el estudio muestra que el 75 por ciento de las empresas dispone de tecnologías antivirus y anti-malware, lo cual ya es un primer paso en esta protección de sus sistemas que, sin duda, y ante la creciente evolución de las amenazas, tanto externas como internas, deberá complementarse con otras soluciones y políticas de seguridad para incrementar su protección".
Pero no solamente lo señalado en el punto anterior puede ser valedero, si no lo contrastamos con lo que indica Christopher Leidigh[6]
"Las personas son realmente el eslabón más débil de cualquier esquema de seguridad. La mayoría de las personas no son cuidadosas a la hora de mantener sus contraseñas y códigos de acceso en secreto. Estos elementos son la base de la mayoría de los sistemas seguros. Todos los sistemas de seguridad se basan en una serie de medidas que se toman para controlar el acceso, verificar identidades y evitar que se divulgue información importante. Por lo general, para que estas medidas sean eficaces, es necesario guardar uno o más "secretos". Si se revelara o robara un secreto, los sistemas que esos secretos protegen podrían verse en riesgo. Puede parecer una afirmación absolutamente obvia, pero los riesgos que afectan a la mayoría de los sistemas son provocados por causas muy básicas. Quizá parezca una tontería dejar una nota con la contraseña de acceso al sistema pegada en el costado del monitor, pero de hecho, muchas personas lo hacen. Otro ejemplo, apenas menos obvio que el anterior, es la tendencia a dejar las contraseñas predeterminadas en algunos dispositivos de la red. Uno de esos dispositivos podría ser una interfaz de gestión de redes conectada a un sistema UPS. En un esquema de seguridad, muchas veces se pasan por alto los sistemas UPS, ya sean pequeños o lo suficientemente grandes para abastecer a 100 servidores. Si se dejan los nombres de usuario y las contraseñas predeterminados en esos dispositivos, es solo cuestión de tiempo que alguien acceda al equipo con solo conocer el tipo de dispositivo y los datos de identificación predeterminados publicados para el producto. ¡Imagínese el colapso de un banco de servidores con protocolos de seguridad infranqueables en cada servidor Web y de correo electrónico debido a un simple ciclo de potencia de un sistema UPS desprotegido!".
No obstante, hay otras personas – además de los empleados – que también tienen las puertas semiabiertas a información valiosa, a quienes se les puede denominar "insiders". Pero los insiders no son solo empleados, sino que cualquiera que tiene alguna información de la organización. En la actualidad muchas organizaciones han abierto sus redes, un insider puede ser un socio de negocios, un cliente o un proveedor. Frente a esto el principal tema de seguridad es proteger la aplicación, y la forma de hacerlo es con una arquitectura corporativa, en lugar de centrarse en soluciones puntuales para cada problema, porque de esta manera quedarían muchos huecos en la seguridad.
Es por ello que muchas organizaciones están prestando una especial atención a la identificación de quienes tienen acceso a la información. Incidiéndose principalmente en los perfiles de los usuarios, estableciéndose quienes tienen acceso a determinados departamentos y quiénes requieren mostrar una identificación para acceder a determinadas áreas. Las políticas de seguridad se tienen que aplicar a toda la organización, para ello debemos de establecer un análisis de riesgo, tal como lo señala Diofanor Rodríguez[7]
"Los problemas de seguridad, en muchas ocasiones son más universales de lo que uno pudiera imaginarse. El problema radica en cómo el profesional de la seguridad logra zanjar el abismo entre la seguridad física y la tecnológica, pues cada vez más nuestras soluciones a problemas de seguridad física afectan la seguridad informática de las compañías. Es importante decir que esto involucra tres factores, que son la pericia técnica, el conocimiento organizacional y la capacidad de comunicación. Si somos muy capaces técnicamente pero nos faltan los otros dos elementos, tenemos una evaluación ineficaz o ineficiente que a la larga significa inefectiva.
Estamos entonces en el campo de la evaluación de riesgos en la seguridad integral, que implica alejarse de elementos de subjetividad y concentrarse en enfoques estadísticos y de gestión adecuados, lo que obliga a crear marcos objetivos de manera tal que puedan ser auditados y ellos generen soluciones a los problemas establecidos en el análisis".
En una red interna el acceso es más abierto, por lo tanto es más fácil atacar un servidor, es por ello que una solución a este tipo de ataques es tratar la red interna como si fuera la Internet. Bajo este esquema se deben de instalar firewalls e IDS, además de separar los diferentes ambientes de una organización: desarrollo, pruebas, producción, etc., y tratar cada ambiente como una red separada conectada con las otras a través de un firewall central. De esta manera, si alguien logra romper la seguridad atacará solo una porción de la red o se llevará solo una parte de la información.
Es importante que las organizaciones se preocupen por revisar los antecedentes al momento de contratar personal. Por que si contratamos a alguien como administrador de sistemas y va a tener acceso a las cintas de respaldo de la información, tengo que asegurarme que esta persona no tenga algo en su pasado que me haga pensar que podría vender la información confidencial a la competencia.
Otro de los componentes de una estrategia de seguridad son las políticas. De acuerdo a los especialistas, una empresa no debería de descuidar el tema de la asignación de roles dentro de la estrategia. Ya que dependiendo del nivel de seguridad al cual uno tiene que llegar, se puede implantar políticas respecto al uso de software en las PC, como normativas para utilizar únicamente software autorizado por el área de sistemas. También se puede tener políticas respecto a la actualización de los antivirus y a la detección de ataques.
Es necesario e imprescindible contar con una buena política de seguridad, pero es igualmente importante comunicar esa política, contando con una campaña de educación al interior de la organización para asegurarse de que todos comprenden las responsabilidades y las consecuencias de violar los códigos de seguridad, en este sentido es bueno rescatar lo acotado por Esmeralda Guindel Sánchez[8]
"Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos".
Además de lo señalado anteriormente, existe una serie de herramientas a disposición de las organizaciones. Es decir dentro de las tecnologías de seguridad están los firewall, los antivirus y los sistemas de detección de ataque o IDS (Intrusión Detection System). En la actualidad los sistemas de detección de ataques son una combinación de hardware y software conectados a un segmento de red con la misión de escuchar todo el tráfico. Permanentemente se compara el contenido con patrones de ataque, y cuando detectan uno generan una alarma y se desencadena una serie de acciones predeterminadas: como cortar el tráfico, bloquear los mensajes que provienen de la dirección IP atacante, etc., tanto es así que la diversidad de acciones que se presentan son múltiples tal como lo señalan Joaquín García Alfaro y Xavier Perramon Tornil[9]
"La gran cantidad de formas de abordar el problema de la detección de ataques e intrusiones ha dado lugar a numerosas y variadas propuestas y soluciones. La mayor parte de estas propuestas basan su capacidad de detección en la recogida de información desde una gran variedad de fuentes de auditoría de sistema, analizando posteriormente estos datos de distintas formas. Algunas consisten en comparar los datos recogidos con grandes bases de datos de firmas de ataques ya conocidos, otros tratan de encontrar problemas relacionados con usuarios autorizados que sobrepasan sus acciones permitidas en el sistema, o incluso mediante el análisis estadístico, buscando patrones que indiquen actividad anormal y que no se hayan tenido en cuenta en los pasos anteriores.
Existen también mecanismos de seguridad que tratan de mejorar el problema de la seguridad de una red desde un punto de vista mucho más activo. Tanto los mecanismos de protección de la información como los mecanismos de prevención y detección tradicionales son utilizados para proteger los recursos de la red, detectando deficiencias en la seguridad y reaccionando más tarde para solventar estos inconvenientes. Como novedad, estos nuevos elementos cambian las reglas del juego, ofreciendo la posibilidad de tomar la iniciativa utilizando técnicas de monitorización para registrar y analizar las acciones de los atacantes para aprender de sus conocimientos.
Por otro lado los elementos de detección que hemos visto trata de unir la capacidad de bloqueo de los mecanismos de prevención con las capacidades de análisis de los sistemas de detección. Conocidos como sistemas de prevención de intrusos, estos nuevos elementos son considerados como la evolución lógica de los sistemas de detección de intrusos tradicionales.
Por último, un caso de especial interés para los sistemas de detección son los ataques distribuidos. Estos ataques no se pueden detectar de forma aislada, sino que es necesario poner en correlación múltiples indicios encontrados en diferentes equipos de una red. Dos de las propuestas más utilizadas para poder construir sistemas capaces de detectar este tipo de ataques son la utilización de nodos dedicados (mediante una arquitectura centralizada o jerárquica) y la utilización de nodos distribuidos (mediante una arquitectura basada en código móvil o mediante la cooperación de nodos mediante un paso de mensajes)."
Asimismo, parte de una estrategia de seguridad son los planes para la recuperación de desastres. Los expertos coinciden en señalar que no solo las personas de sistemas deben de estar involucrados en esta tarea, sino los miembros de todas las áreas de la organización, por eso es importar acotar lo señalado por Enrique Antón Peregrina[10]
"Los desastres informáticos han dejado de ser un problema exclusivo del departamento informático para pasar a involucrar a toda la alta dirección de la compañía. El coste de recuperar una caída de red y de pérdida de información representa un riesgo en la propia continuidad del negocio. Las compañías tienen que ser conscientes de que tienen que estar preparados y asignar una provisión de fondos para respaldar cualquier contingencia que se produzca al respecto. En este artículo se define esta situación y qué papel han de jugar los diferentes agentes de la empresa: desde el propio usuario, al gerente, la compañía o el consultor."
La seguridad es un tema en constante evolución, una lucha entre los intrusos y quienes defienden su información. Los ataques cibernéticos más recientes han utilizado medios más sofisticados. Por ejemplo, los códigos malignos ahora se envían cifrados con distintas llaves para que los IDS no los relacionen con ningún patrón de ataque de su base de datos. Estos ataques son muy difíciles de detectar por que hay que analizar el tráfico en tiempo real, por ello debemos de establecer los lineamientos y acciones que nos permitan de una u otra manera mantenernos alertas, por ello es bueno recoger lo señalado por Enrique Antón Peregrina[11]
"La seguridad en sistemas de información dispone de métodos y técnicas para poder abordar los diferentes problemas ya sea desde el punto de vista de garantizar la continuidad del negocio (no serán los sistemas de información los que causarían un cese en el mismo) hasta el punto de garantizar la protección de la información, haciendo que la información sea accesible únicamente por los usuarios adecuados.
Los mecanismos de seguridad, en particular encargados de velar por la protección del conocimiento, deben estar permanentemente al día. Es imprescindible una vigilancia permanente, de modo que las inversiones realizadas sean optimizadas y exprimido el rendimiento que de ellas se puede obtener.
Su uso debe de ser habitual, no extraordinario. Debe de formar parte de la cultura empresarial, definiendo como parte de las políticas de seguridad de la organización los diferentes niveles de clasificación de la información, así como los niveles de autorización requeridos."
Los avances tecnológicos aquí juegan contra la seguridad, porque las redes de alta velocidad hacen que la identificación sea crítica debiendo de disminuirse la velocidad de la red para poder elevar la protección al máximo.
Mediante otra modalidad de agresión se envían los paquetes fragmentados y espaciados en el tiempo para que se reconstruyan en el servidor vulnerado. Los sistemas de protección han debido adecuarse para ir juntando los pedazos de código, comenzar a reconstruirlos e identificarlos como un ataque antes de que se arme el rompecabezas agresor.
Como podemos ver, la carrera por la seguridad es imparable, y cada día más compleja tecnológicamente. Continuamente surgen nuevas modalidades de ataque; lo importante es que las organizaciones estén alertas frente a los ataques y a las novedades tecnológicas para proteger adecuadamente su información.
Autor:
David Carhuamaca Zereceda
[1] David Carhuamaca Zereceda – Policía Nacional del Perú – Ingeniero en Estadística e Informática. davidcarhuamaca[arroba]yahoo.com dacaze[arroba]gmail.com
[2] Jorge Sendra Mas.- Director del Área de Consultoría de IP Sistemas – La Seguridad TIC, una responsabilidad de todos.- http://www.borrmart.es/articulo_redseguridad.php?id=1141&numero=24
[3] Julio C. Ardita – Director de Cybsec S.A. Security System y ex-Hacker. Entrevista personal realizada el día 15 de enero de 2001 en instalaciones de Cybsec S.A. http://www.cybsec.com
[4] Lukas Alarcon – Websense PreSales Engineer, Experto en Seguridad Informática Aplicada – http://cxo-community.com/articulos/blogs/blogs-seguridad-informatica/3657-lukas-alarcon-websense-5-preguntas-sobre-amenazas-y-riesgos-corporativos.html
[5] Instituto Ponemon de Estados Unidos de América – http://www.ponemon.org/index.php
[6] Christopher Leidigh – Director del área de Investigaciones sobre Comunicaciones y Tecnología de APC – Principios de la Seguridad de Redes – http://cxo-community.com/articulos/blogs/blogs-seguridad-informatica/2135-principios-de-la-seguridad-de-redes-parte-i.html
[7] Diofanor Rodriguez Lozano – Oficial de la Policía Nacional de Colombia en uso de retiro, es Asesor de Vigilancia y Seguridad Privada certificado por la Superintendencia de Seguridad Privada de su país. Especializado en Seguridad Física y de Informática en la Escuela de Comunicaciones Militares, ha cursado múltiples especializaciones y Diplomados en seguridad física, administrativa y de la información, análisis de riesgos, manejo del personal, seguridad de instalaciones y personas, antiterrorismo y otros. Es CPP certificado por ASIS International. – http://cxo-community.com/articulos/blogs/blogs-seguridad-informatica/1870-ipor-qua-necesidad-de-un-ansis-de-riesgos.html
[8] Esmeralda Guindel Sanchez – Calidad y Seguridad de la Información y Auditoria Informática – Universidad Carlos III de Madrid – http://e-archivo.uc3m.es/bitstream/10016/8510/1/proyectoEsmeralda.pdf
[9] Joaquín García Alfaro y Xavier Perramon Tornil – Advanced aspects of network security – Official Master in Free and Open Source Software Technology – Open University of Catalonia – http://ocw.uoc.edu/computer-science-technology-and-multimedia/advanced-aspects-of-network-security/advanced-aspects-of-network-security/P06_M2107_01773.pdf
[10] Enrique Antón Peregrina – Gerente de Soluciones Tecnológicas de Burke – http://estrategiafinanciera.wke.es/noticias_base/actuación-ante-la-recuperación-de-desastres-informáticos
[11] Enrique Antón Peregrina – Gerente de Soluciones Tecnológicas de Burke – Seguridad Informática: Protección de Activos Lógicos – http://pdfs.wke.es/6/6/2/4/pd0000016624.pdf