1. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Políticas de Seguridad Informáticas
Políticas generales de seguridad
¿Qué son las políticas de seguridad informática (PSI)?
Una política de seguridad informática es una forma de comunicarse con los usuarios y los
gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los
recursos y servicios informáticos, importantes de la organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal
que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que
deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informáticos críticos de la compañía.
Elementos de una política de seguridad informática
Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto,
requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr
una visión conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos:
• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Es una invitación de la organización a cada uno de sus miembros a reconocer la
información como uno de sus principales activos así como, un motor de intercambio y
desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
• Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos a todos los
niveles de la organización.
• Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija
el alcance de la política.
• Definición de violaciones y de las consecuencias del no cumplimiento de la política.
• Responsabilidades de los usuarios con respecto a la información a la que ella tiene
acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas
decisiones, transmitir por qué son importantes estos u otros recursos o servicios.
De igual forma, las PSI establecen las expectativas de la organización en relación con la
seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía.
Deben mantener un lenguaje común, libre de tecnicismos y términos legales que impidan una
comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el
rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de
sanciones que se puedan imponer. No debe especificar con exactitud qué pasara o cuándo algo
sucederá; no es una sentencia obligatoria de la ley.
Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso
de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la
planta de personal, cambio en la infraestructura computacional, alta rotación de personal,
desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.
1
2. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Espere lo inesperado
Imagine lo que sucedería si:
• La información esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o
borrada.
• Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto
costaría esta improductividad?
• Los clientes no pudieran enviar órdenes de compra a través de la red durante un
prolongado periodo de tiempo.
Se espera que los ejecutivos corporativos se interesen cada vez más directamente en la
prevención de desastres físicos y espionaje. Implementar una política de seguridad completa le
da valor a su empresa. También mejorará la credibilidad y reputación de la empresa y
aumentará la confianza de los accionistas principales, lo que le dará a la empresa una ventaja
estratégica.
¿Cómo desarrollar una política de seguridad?
• Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos
de forma que permitan la prosperidad de la empresa:
• Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de
disco, computadoras personales, tarjetas, router, impresoras, líneas de
comunicación, cableado de la red, servidores de terminales, bridges.
• Software: sistemas operativos, programas fuente, programas objeto, programas
de diagnóstico, utilerías, programas de comunicaciones.
• Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-
up, bases de datos, en tránsito sobre medios de comunicación.
• Personas: usuarios, personas para operar los sistemas.
• Documentación: sobre programas, hardware, sistemas, procedimientos
administrativos locales.
• Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de
seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que
tendrían si ocurrieran. Estas amenazas son externas o internas:
o Amenazas externas: Se originan fuera de la organización y son los virus,
gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones
de ex-empleados o espionaje industrial.
o Amenazas internas: Son las amenazas que provienen del interior de la
empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso
y perspicacia para saber donde reside la información sensible e importante. Las
amenazas internas también incluyen el uso indebido del acceso a Internet por
parte de los empleados, así como los problemas que podrían ocasionar los
empleados al enviar y revisar el material ofensivo a través de Internet.
• Evalué los riesgos: Éste puede ser uno de los componentes más desafiantes del
desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran
ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El
costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la
privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de
la confianza de los inversionistas y los costos asociados con las soluciones para las
violaciones a la seguridad.
2
3. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
• Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a
identificar las amenazas potenciales en todas las áreas de la empresa. Sería ideal la
participación de un representante por cada departamento de la compañía. Los
principales integrantes del equipo serían el administrador de redes, un asesor jurídico,
un ejecutivo superior y representantes de los departamentos de Recursos Humanos y
Relaciones Públicas.
• Establezca políticas de seguridad: Cree una política que apunte a los documentos
asociados; parámetros y procedimientos, normas, así como los contratos de empleados.
Estos documentos deben tener información específica relacionada con las plataformas
informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la
estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil
cambiar los documentos subyacentes que la política en sí misma.
• Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y las definiciones de
violaciones a la PSI.
• Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios
y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
• Recuerde que es necesario identificar quién tiene la autoridad para tomar
decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la
funcionalidad de su área u organización.
• Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la
organización, que permita una actualización oportuna de las mismas.
Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto los
alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos
entendidos en el momento de establecer los mecanismos de seguridad que respondan a
las PSI trazadas.
• Implemente una política en toda la organización: La política que se escoja debe
establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién
es el propietario de los sistemas y datos específicos. También puede requerir que todos
los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas
son las tres partes esenciales de cumplimiento que debe incluir la política:
o Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las
consecuencias potenciales por incumplimiento.
o Funcionarios de seguridad: Nombre individuos que sean directamente
responsables de la seguridad de la información. Asegúrese de que no es la
misma persona que supervisa, implementa o revisa la seguridad para que no
haya conflicto de intereses.
o Financiación: Asegúrese de que a cada departamento se le haya asignado los
fondos necesarios para poder cumplir adecuadamente con la política de
seguridad de la compañía.
• Administre el programa de seguridad: Establezca los procedimientos internos para
implementar estos requerimientos y hacer obligatorio su cumplimiento.
Cuatro principios del ciclo vital de la seguridad de la información:
Para convencer a los gobiernos de que un enfoque de línea dura no es necesario, todas las
personas que trabajan con sistemas de información, deben participar activamente en el
desarrollo y uso de las prácticas exitosas de la seguridad. Esto significa en realidad entender y
adoptar los cuatro principios básicos del ciclo de vida de seguridad de la información, los cuales
se pueden resumir así:
3
4. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
1. Evaluación de riesgos: Evaluar los riesgos de seguridad de la información y
determinar niveles de riesgos aceptables. .
2. Diseño e implementación de la seguridad: Incorporar las políticas, normas,
procedimientos y la tecnología de la seguridad como elementos esenciales en el diseño
e implementación de todos los sistemas y redes de información.
3. Manejo de la seguridad: Adoptar un enfoque completo para el manejo de la
seguridad en todo el ciclo de vida de los sistemas y redes de información.
4. Re-evaluación: Estudiar y re-evaluar la seguridad de los sistemas y redes de
información y si es pertinente, modificar las políticas, normas, procedimientos y
tecnología.
Proposición de una forma de realizar el análisis para llevar a cabo un sistema
de seguridad informática
Amenazas
Consecuencias Ambiente Mecanismos Factor Humano
Posibles
Base del Análisis del Sistema de Seguridad
Programa de Seguridad Controles y
Vigilancia
Revisión Plan de Acción
Procedimientos y Auditoria de Sistemas
Normativas de Seguridad
Simulación Logfiles
Tal como puede visualizarse, en el gráfico están todos los elementos que intervienen para el
estudio de una política de seguridad.
Se comienza realizando una evaluación del factor humano interviniente –teniendo en cuenta
que éste es el punto más vulnerable en toda la cadena de seguridad -, de los mecanismos con
que se cuentan para llevar a cabo los procesos necesarios ( mecanismos técnicos, físicos ó
lógicos), luego, el medio ambiente en que se desempeña el sistema, las consecuencias que
puede traer aparejado defectos en la seguridad (pérdidas físicas, pérdidas económicas, en la
imagen de la organización, etc.), y cuáles son las amenazas posibles.
Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los
pasos a tomar para poder asegurar el umbral de seguridad que se desea.
Luego, se pasa al plan de acción, que es cómo se va a llevar a cabo el programa de
seguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buen
destino.
Con el propósito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y
la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurar
un marco efectivo, se realizan auditorías a los controles y a los archivos logísticos que se
4
5. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
generen en los procesos implementados (de nada vale tener archivos logísticos si nunca se los
analizan o se los analizan cuando ya ha ocurrido un problema).
Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventos
que atenten contra la seguridad del sistema. Como el proceso de seguridad es un proceso
dinámico, es necesario realizar revisiones al programa de seguridad, al plan de acción y a los
procedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos tratados en el
primer párrafo y, de esta manera, el proceso se vuelve a repetir.
Es claro que el establecimiento de políticas de seguridad es un proceso dinámico sobre el que
hay que estar actuando permanentemente, de manera tal que no quede desactualizado; que,
cuando se le descubran debilidades, éstas sean subsanadas y, finalmente, que su práctica por
los integrantes de la organización no caiga en desuso.
Cumplimiento de las políticas y normativas de seguridad
Las empresas necesitan establecer políticas, estándares y procedimientos de seguridad para
hacer cumplir la seguridad de la información de forma estructurada. Una evaluación de riesgos
le ayudará a identificar y administrar las vulnerabilidades de su entorno., Con base en este
análisis, usted puede desarrollar un marco de políticas apropiado y empezar a construir un
conjunto de políticas adaptadas a su empresa.
La norma ISO 17799 es una de las muchas regulaciones y estándares gubernamentales, o del
sector, que las empresas están incorporando a sus políticas de seguridad. Su empresa también
puede estar sujeta a normativas de seguridad específicas del sector, tales como HIPAA y GLBA.
Estas políticas externas deben cumplirse, además de las propias políticas internas de su
compañía. Una cosa es adoptar una política de seguridad y otra muy diferente es administrarla
y cumplirla eficazmente. Actualizar los controles de acceso, y las medidas de autenticación y
autorización en todos los niveles de la red es una necesidad imperiosa para una política de
seguridad eficaz. La omisión de esta información puede incrementar la exposición a riesgos. Las
compañías pueden contar con políticas de seguridad de la información para proteger los activos
importantes y los datos críticos, pero muy rara vez cuentan con los medios para monitorear
eficazmente el cumplimiento de esta política.
¿Por qué las políticas de seguridad informática generalmente no consiguen
implantarse?
Muchas veces, las organizaciones realizan grandes esfuerzos para definir sus directivas de
seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo
éxito. Según algunos estudios resulta una labor ardua convencer a los altos ejecutivos de la
necesidad de buenas políticas y practicas de seguridad informática.
Muchos de los inconvenientes se inician por los tecnicismos informáticos y por la falta de una
estrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos a
pensamientos como: "más dinero para los juguetes de los ingenieros".
Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometer
su información sensible y por ende su imagen corporativa.
Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas
relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y están de
acuerdo con las decisiones tomadas en relación con esos asuntos.
En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor y
lo peor que podría ocurrir. Una intrusión o una travesura puede convertir a las personas que no
5
6. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
entendieron, en blanco de las políticas o en señuelos de los verdaderos vándalos. Luego, para
que las PSI logren abrirse espacio en el interior de una organización deben integrarse a las
estrategias del negocio, a su misión y visión, con el propósito de que los que toman las
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la
compañía.
De igual forma, las PSI deben ir acompañadas de una visión de negocio que promueva
actividades que involucren a las personas en su hacer diario, donde se identifiquen las
necesidades y acciones que materializan las políticas. En este contexto, entender la
organización, sus elementos culturales y comportamientos nos debe llevar a reconocer las
pautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones y
funcionalidad de la compañía.
A continuación, mencionamos algunas recomendaciones para concientizar sobre la seguridad
informática:
• Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la
atención de sus interlocutores.
• Asocie el punto anterior a las estrategias de la organización y a la imagen que se tiene
de la organización en el desarrollo de sus actividades.
• Articule las estrategias de seguridad informática con el proceso de toma de decisiones y
los principios de integridad, confidencialidad y disponibilidad de la información. Muestre
una valoración costo-beneficio, ante una falla de seguridad.
• Justifique la importancia de la seguridad informática en función de hechos y preguntas
concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de
la organización.
Un software de seguridad muy bueno, pero muy difícil de administrar
Puede ser difícil obtener información en tiempo real acerca de lo que sucede en su red
empresarial. Si ha instalado varios dispositivos de seguridad en la red, usted sabe que se
necesita tiempo para ordenar los datos que ingresan con millones de eventos y que encontrar
los problemas más importantes a tiempo para poder actuar es todo un reto. Más aún, necesita
empleados calificados que posean la experiencia necesaria para interpretar dichos datos,
independientemente de que se trate de un análisis de tendencias o de simplemente separar una
serie de eventos importantes de los que son irrelevantes.
Una situación típica es cuando usted instala los componentes de seguridad por separado y cada
uno de ellos viene equipado con su propia consola de administración Usted sabe que el tiempo
es vital puesto que los incidentes de seguridad no esperan a que el personal los descubra.
Como usted no cuenta con una sola visualización de los eventos en todo el perímetro de la red,
sucesos como los intentos de ingresar a su servidor corporativo, o una amenaza combinada que
se atraviese en la red, pueden estar sucediendo en sus propias narices.
Control de las amenazas combinadas
Las amenazas combinadas, como CodeRed y Nimda. Lo que diferencia a éstas de los otros
gusanos de Internet es que utilizan múltiples métodos de ataque o propagación., Aparte de
esto, estas amenazas nos han enseñado que es anticuado el enfoque de "para cada amenaza,
hay una cura". Para defender a la empresa de las amenazas combinadas, se requiere
protección de toda la red y una capacidad de respuesta en los niveles del gateway, del servidor
y de los clientes. Generalmente las amenazas combinadas se aprovechan de las
vulnerabilidades conocidas, como los desbordamientos de búfer, las vulnerabilidades de la
validación de entrada de http, las contraseñas predeterminadas conocidas, entre otras. Todo
esto puede atenuarse con los parches existentes de seguridad de aplicaciones y sistemas
6
7. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
operativos. ¿Cómo se asegura que todos los sistemas estén actualizados con los últimos
parches de seguridad?
Las políticas de seguridad informática como base de la administración de la
seguridad integral.
Las políticas de seguridad informática conforman el conjunto de lineamientos que una
organización debe seguir para asegurar la confiabilidad de sus sistemas. En razón de lo
anterior, son parte del engranaje del sistema de seguridad que la organización posee para
salvaguardar sus activos. Las PSI constituyen las alarmas y compromisos compartidos en la
organización, que le permiten actuar proactivamente ante situaciones que comprometan su
integridad. Por tanto, deben constituir un proceso continuo y retroalimentado que observe la
concientización, los métodos de acceso a la información, el monitoreo de cumplimiento y la
renovación, aceptación de las directrices y estrategia de implantación, que lleven a una
formulación de directivas institucionales que logren aceptación general.
Las políticas por sí mismas no constituyen una garantía para la seguridad de la organización.
Ellas deben responder a intereses y necesidades organizacionales basados en la visión de
negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos y a
reconocer en los mecanismos de seguridad informática factores que facilitan la normalización y
materialización de los compromisos adquiridos con la organización.
La seguridad tiene varios estratos:
• El marco jurídico adecuado.
• Medidas técnico-administrativas, como la existencia de políticas y procedimientos o la
creación de funciones, como administración de la seguridad o auditoría de sistemas de
información interna.
Ambas funciones han de ser independientes y nunca una misma persona podrá realizar
las dos ni existir dependencia jerárquica de una función respecto de otra. En cuanto a la
administración de seguridad pueden existir, además, coordinadores en las diferentes
áreas funcionales y geográficas de cada entidad, especialmente si la dispersión, la
complejidad organizativa o el volumen de la entidad así lo demandan.
En todo caso, debe existir una definición de funciones y una separación suficiente de tareas. No
tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después
los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o
encubrir cualquier anomalía; por ello deben intervenir funciones / personas diferentes y existir
controles suficientes.
La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el
control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares.
La llamada seguridad lógica, como el control de accesos a la información exige la identificación
y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidades
o de respaldo interno, o de información transmitida por línea. Puede haber cifrado de la
información por dispositivos físicos o a través de programas, y en casos más críticos existen los
dos niveles.
Riesgos
La autenticación suele realizarse mediante una contraseña, aún cuando sería más lógico - si
bien los costes resultan todavía altos para la mayoría de sistemas - que se pudiera combinar
con características biométricas del usuario para impedir la suplantación. Entre éstas pueden
7
8. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
estar: la realización de la firma con reconocimiento automático por ordenador, el análisis del
fondo de ojo, la huella digital u otras.
Al margen de la seguridad, nos parece que el mayor riesgo, aún teniendo un entorno muy
seguro, es que la Informática y la Tecnología de la Información en general no cubran las
necesidades de la entidad; o que no estén alineadas con las finalidades de la organización.
Limitándonos a la seguridad propiamente dicha, los riesgos pueden ser múltiples.
El primer paso es conocerlos y el segundo es tomar decisiones al respecto; conocerlos y no
tomar decisiones no tiene sentido y debiera crearnos una situación de desasosiego.
Dado que las medidas tienen un costo, a veces, los funcionarios se preguntan cuál es el riesgo
máximo que podría soportar su organización. La respuesta no es fácil porque depende de la
criticidad del sector y de la entidad misma, de su dependencia respecto de la información, y del
impacto que su no disponibilidad pudiera tener en la entidad. Si nos basamos en el impacto
nunca debería aceptarse un riesgo que pudiera llegar a poner en peligro la propia continuidad
de la entidad, pero este listón es demasiado alto.
Por debajo de ello hay daños de menores consecuencias, siendo los errores y omisiones la
causa más frecuente - normalmente de poco impacto pero frecuencia muy alta - y otros, como
por ejemplo:
• el acceso indebido a los datos (a veces a través de redes),
• la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen
"sensible"),
• los daños por fuego, por agua (del exterior como puede ser una inundación, o por una
tubería interior),
• la variación no autorizada de programas, su copia indebida, y tantos otros, persiguiendo
el propio beneficio o causar un daño, a veces por venganza.
Otra figura es la del “hacker”, que intenta acceder a los sistemas sobre todo para demostrar (a
veces, para demostrarse a sí mismo/a) qué es capaz de hacer, al superar las barreras de
protección que se hayan establecido. Alguien podría preguntarse por qué no se citan los virus,
cuando han tenido tanta incidencia. Afortunadamente, este riesgo es menor en la actualidad
comparando con años atrás. Existe, de todas maneras, un riesgo constante porque de forma
continua aparecen nuevas modalidades, que no son detectadas por los programas antivirus
hasta que las nuevas versiones los contemplan. Un riesgo adicional es que los virus pueden
llegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero esto es realmente
difícil - no nos atrevemos a decir que imposible- por las características y la complejidad de los
grandes equipos y debido a las características de diseño de sus sistemas operativos.
En definitiva, las amenazas hechas realidad pueden llegar a afectar en los datos, en las
personas, en los programas, en los equipos, en la red y algunas veces, simultáneamente en
varios de ellos, como puede ser un incendio.
Podríamos hacernos una pregunta realmente difícil: ¿qué es lo más crítico que debería
protegerse? La respuesta de la mayoría, probablemente, sería que las personas resultan el
punto más crítico y el valor de una vida humana no se puede comparar con las computadoras,
las aplicaciones o los datos de cualquier entidad. Ahora bien, por otra parte, podemos
determinar que los datos son aún más críticos si nos centramos en la continuidad de la entidad.
Como consecuencia de cualquier incidencia, se pueden producir unas pérdidas que pueden ser
no sólo directas (comúnmente que son cubiertas por los seguros) más fácilmente, sino también
indirectas, como la no recuperación de deudas al perder los datos, o no poder tomar las
decisiones adecuadas en el momento oportuno por carecer de información.
8
9. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Sabemos que se producen casos similares en gran parte de entidades, pero en general no
conocemos a cuáles han afectado (o lo sabemos pero no podemos difundirlo), porque por
imagen estos no se hacen públicos y el hecho de que se conozcan muchos más referidos a
Estados Unidos y a otros puntos lejanos que respecto de nuestros países no significa que
estemos a salvo, sino que nuestro pudor es mayor y los ocultamos siempre que podemos.
Los Problemas de la seguridad
Los problemas de seguridad que surgen día a día llevan a que las altas gerencias se pregunten
si el nivel de Seguridad Informática alcanzado por la estructura existente es el que realmente
necesita la organización.
Los “Penetration Test“ y el análisis por medio de herramientas detectoras de vulnerabilidades
sólo dan una foto parcial de la realidad de la Seguridad Informática de una organización ,ya que
no toman en cuenta la misión de negocio de cada uno de los sistemas, que es la que debe
determinar el grado de criticidad de los riesgos y el nivel de las contramedidas a implementar
dentro de una ecuación económica equilibrada.
Por lo tanto, la única forma de evaluar la Seguridad Informática de una Organización es
conocer la misión de sus sistemas y aplicar metodologías de análisis específicas.
Análisis proactivo de Riesgos Informáticos:
Se revén los riesgos informáticos de tipo Físico, Técnico y Administrativo con respecto a la
Integridad, Disponibilidad y Confidencialidad de la Información que manejan los Sistemas de la
Empresa.
El resultado del diagnóstico surge del análisis del estado de los riesgos, de la eficiencia de las
contramedias específicas en funcionamiento y de la criticidad de la misión de cada parte del
sistema.
Revisión analítica de las Políticas de Seguridad Informática existentes:
Se revén los conjuntos de normas y procedimientos implementados para la minimización de
riesgos informáticos o, en caso de que no existan de manera formal, de las soluciones de
Seguridad Existentes.
El resultado del diagnóstico surge del análisis y comprobación de la eficiencia de la Política para
minimizar riesgos en el marco de la problemática informática y necesidades de disponibilidad de
los sistemas de la organización.
Revisión analítica de los Planes de Contingencia y Continuidad de Negocio
existentes:
Se revén los conjuntos de normas y procedimientos de recuperación y mantenimiento de
operatividad mínima o, en caso de que no existan de manera formal, de los mecanismos de
contingencia existentes.
El resultado del diagnóstico surge del análisis de la eficiencia de los planes en el marco de
riesgo y de las necesidades de disponibilidad de los sistemas de la organización.
Revisión de Estándares y Mejores Prácticas de Seguridad Informática:
Este servicio está pensado para las organizaciones que van a ser auditadas de manera externa
en su estructura de Seguridad Informática, ya sea por su Casa Matriz, socios estratégicos,
futuros clientes o proveedores o entidades reguladoras.
9
10. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Toda Auditoría Externa está basada en algún estándar internacional o en algún documento de
mejores prácticas. Este servicio consiste en la revisión del cumplimiento de los parámetros
especificados por estos documentos con una metodología adecuada antes de la auditoría, lo
que permite detectar las faltas de cumplimiento y recomendar la forma más eficiente de
corregirlas, además de adecuar el resto de los factores a auditar como la documentación y el
conocimiento de los procedimientos por parte del personal.
La aplicación total o parcial de los Servicios de Evaluación de la Seguridad Informática traerá
como consecuencia una serie de recomendaciones, las cuales no deben ser implementadas de
cualquier manera sino de acuerdo a un plan estratégico que minimice los riesgos a niveles
aceptables, contenga de forma inmediata los problemas más urgentes y críticos y aproveche al
máximo los recursos existentes para mantener una ecuación económica razonable. Esto sólo se
puede realizar con un plan de Reingeniería acotado al estado específico de cada empresa,
entendiendo como una de las consecuencias de la Reingeniería a la disminución de costos
manteniendo o aumentando las prestaciones.
Desarrollo de un Plan de Reingeniería Acotada:
Tiene como objetivo llevar el nivel de Seguridad Informática de la organización a un grado
adecuado a la criticidad de las Unidades de Negocio y de los Sistemas que la conforman.
Partiendo de los resultados de los diagnósticos, se comienza conteniendo los problemas más
críticos de manera inmediata. Luego de haber asegurado la parte más crítica de la Seguridad de
los Sistemas, se diseñan e implementan las modificaciones de la Política de Seguridad y los
Planes de Contingencia y Continuidad de Negocios. La clave del éxito de esta solución está en
su mantenimiento y reevaluación constante.
Capacitación en Seguridad Informática de todo el Personal:
La capacitación de todas las capas del personal de una organización (desde la alta gerencia
hasta los empleados de base y pasando por los de Tecnología y Sistemas), con cursos
adecuados a su forma de interacción con los sistemas informáticos, es la clave para convertir a
las personas de parte del problema a parte de la solución de la Seguridad Informática y lograr
una minimización de los riesgos por errores, impericias o desconocimientos.
Ninguna implementación de Seguridad Informática actual funcionará correctamente sin esta
etapa.
Esto servicio tiene como objetivo el desarrollo completo del Proyecto de Seguridad Informática
de una organización compuesto por su Política de Seguridad y sus Planes de Contingencia y
Continuidad de Negocios.
El servicio está compuesto por los siguientes pasos (en caso de que se haya llegado a la
Reingeniería por medio de los resultados de algunos de los servicios explicados anteriormente,
no es necesario volver a implementarlos):
• Análisis de riesgos críticos inmediatos y desarrollo de contramedidas de aplicación
rápida para acotar la problemática más urgente.
• Reanálisis de Riesgos Informáticos Físicos, Técnicos y Administrativos con respecto a la
Integridad, Disponibilidad y Confidencialidad de la Información que manejan los
Sistemas de la Empresa.
• Análisis de las Políticas de Seguridad Informáticas implementadas o, en caso de que no
existan de manera formal de las soluciones de Seguridad Existentes.
• Análisis de cumplimiento de las normas de Seguridad Informática que debe cumplir la
Empresa, ya sea que provengan de su Casa Matriz, de Estándares Internacionales, de
Auditorías Externas o entidades reguladoras (por ejemplo: Banco Central).
10
11. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
• Análisis del impacto generado por el personal en la variación de los niveles de
Seguridad.
• Análisis de los Planes de Contingencia y Continuidad de Negocios existentes.
• Desarrollo de un Plan de Reingeniería Acotada para llevar el nivel de Seguridad
Informática de la empresa a un valor adecuado a la criticidad de las Unidades de
Negocio y los Sistemas que la conforman.
• Implementación de la Reingeniería de la Política de Seguridad.
• Implementación de la Reingeniería de los Planes de Contingencia y Continuidad de
Negocios.
• Capacitación al personal.
• Implementación de un sistema de Control por oposición de la Seguridad Informática de
la organización.
Este servicio tiene como objetivo, una vez realizada la reingeniería de la seguridad informática
de la empresa, proveer un control periódico de los distintos componentes tecnológicos y
procedimientos específicos que ante cambios propios del negocio puedan causar desviaciones o
amenazas a la seguridad informática.
Niveles de trabajo
• Confidencialidad
• Integridad
• Autenticidad
• No Repudio
• Disponibilidad de los recursos y de la información
• Consistencia
• Control de Acceso
• Auditoría
Confidencialidad
Consiste en proteger la información contra la lectura no autorizada explícitamente.
Incluye no sólo la protección de la información en su totalidad, sino también las piezas
individuales que pueden ser utilizadas para inferir otros elementos de información confidencial.
Integridad
Es necesario proteger la información contra la modificación sin el permiso del dueño. La
información a ser protegida incluye no sólo la que está almacenada directamente en los
sistemas de cómputo sino que también se deben considerar elementos menos obvios como
respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Esto
comprende cualquier tipo de modificaciones:
• Causadas por errores de hardware y/o software.
• Causadas de forma intencional.
• Causadas de forma accidental
Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados
durante su transferencia.
Autenticidad
En cuanto a telecomunicaciones se refiere, la autenticidad garantiza que quien dice ser "X" es
realmente "X". Es decir, se deben implementar mecanismos para verificar quién está enviando
la información.
No – repudio
Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el
mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.
Disponibilidad de los recursos y de la información
11
12. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
De nada sirve la información si se encuentra intacta en el sistema pero los usuarios no pueden
acceder a ella. Por tanto, se deben proteger los servicios de cómputo de manera que no se
degraden o dejen de estar disponibles a los usuarios de forma no autorizada. La disponibilidad
también se entiende como la capacidad de un sistema para recuperarse rápidamente en caso
de algún problema.
Consistencia
Se trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal manera
que los usuarios no encuentren variantes inesperadas.
Control de acceso a los recursos
Consiste en controlar quién utiliza el sistema o cualquiera de los recursos que ofrece y cómo lo
hace.
Auditoría
Consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el
sistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones.
En cuanto a los dos últimos puntos resulta de extrema importancia, cuando se trata de los
derechos de los usuarios, diferenciar entre “espiar” y “monitorear” a los mismos. La ética es
algo que todo buen administrador debe conocer y poseer.
Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento de
elaborar las políticas y procedimientos de una organización para evitar pasar por alto cuestiones
importantes como las que señalan dichos servicios. De esta manera, es posible sentar de forma
concreta y clara los derechos y límites de usuarios y administradores. Sin embargo antes de
realizar cualquier acción para lograr garantizar estos servicios, es necesario asegurarnos de que
los usuarios conozcan sus derechos y obligaciones (es decir, las políticas), de tal forma que no
se sientan agredidos por los procedimientos organizacionales.
Elaboración de un esquema de seguridad
A pesar de que se le ha dado más importancia al milenio de lo que debería, la preocupación por
los siniestros causados por la tecnología Y2K creó la necesidad de adoptar planes de
contingencia. Aunque los siniestros pueden suceder cualquier día del milenio, es esencial contar
con un plan de contingencia que haga parte esencial de una efectiva estrategia de seguridad
para el departamento de TI.
Beneficios de un plan de contingencia para la seguridad
Las ventajas de crear y contar con un plan de contingencia abarcan lo tangible e intangible así:
• Reducción de los costos por perjuicios si ocurre un siniestro.
• Las primas de seguro de bajo costo.
• Mayor comunicación y mejores relaciones entre los departamentos.
• Una mayor conciencia entre el personal de seguridad sobre la importancia de la
seguridad y el valor de la propiedad que se está protegiendo.
Etapas clave en la elaboración de planes de contingencia
Las partes involucradas en el desarrollo de un plan de contingencia deben saber escuchar y
comunicarse. Aunque existen algunas etapas importantes de desarrollo, mantener un buen plan
significa repetir continuamente estas etapas, volver a evaluar el plan y revisarlo.
1. Determinación del objetivo: El punto de partida para el desarrollo de un plan de
contingencia es determinar un objetivo claro. El departamento de TI y los funcionarios
de nivel ejecutivo deben identificar el objetivo operativo en caso de una emergencia en
materia de seguridad. Por ejemplo, determinar si el objetivo es proteger cierta
información y bienes, es mantener operaciones comerciales o brindar un excelente
12
13. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
servicio al cliente. El objetivo ayudará al departamento de TI a definir un plan
estratégico de acción y determinar los recursos que se deben proteger primero.
2. Realización de un inventario completo: Se deben identificar las principales
herramientas de TI, los recursos y las tareas necesarias para realizar negocios y atender
las funciones críticas establecidas en el objetivo de la elaboración de planes de
contingencia. El inventario debe incluir recursos auxiliares como suministros de energía
y recursos de respaldo.
3. Análisis de riesgos: Evalúe los perjuicios financieros, técnicos jurídicos y operativos
totales que pudieran ocurrir como resultado de una brecha del sistema de seguridad. El
riesgo abarcaría perjuicios potenciales a los clientes y compañías. También analice
amenazas a la seguridad y los perjuicios que potencialmente podrían ocasionar a varios
departamentos y operaciones. El software de administración de riesgos a la seguridad
puede ayudar al personal de TI a evaluar el impacto de las amenazas a la seguridad de
la compañía.
4. Desarrollo de un plan de acción: Repase los escenarios detallados de "qué pasaría
si..." que implican diferentes amenazas a la seguridad y los efectos posibles en las
operaciones. Para cada escenario potencial de disminución de riesgos, tenga en cuenta
a las personas involucradas, sus responsabilidades, las consideraciones presupuestales,
etc.
5. Prevea un "Plan B": Aunque los mejores planes de contingencia encuentran
problemas técnicos, trate de anticiparse a estos problemas y crear soluciones alternas.
6. Planeación de las comunicaciones y compras: Los mejores planes son efectivos
solo si los empleados tienen en cuenta su importancia y entienden sus mensajes y
procesos. Los departamentos de recursos humanos, de aspectos jurídicos y finanzas
deben revisar y responder a los planes de contingencia de seguridad en cada etapa de
desarrollo.
Especificaciones del plan de acción
Los planes de contingencia variarán dependiendo del tipo específico de brechas del sistema de
seguridad, como el ataque de virus que podría afectar las operaciones de la compañía de
manera diferente a como lo haría una negación de servicio.
Debido al rango de amenazas a la seguridad, los planes de contingencia deben ser adaptables.
Sin embargo, todos los planes efectivos deben responder por lo siguiente:
• Pérdida de la información: Eventualmente las fallas en el fluido eléctrico, los virus,
los hackers u otras fuerzas perjudicarán la información importante de una compañía o la
hará inaccesible. Prepárese para lo inevitable haciendo copias de seguridad del sistema
y de la información.
• A fin de garantizar que se realicen copias de seguridad periódicamente, desarrolle una
política de seguridad que establezca claramente lo siguiente:
o Los medios que utilizará el personal de TI para hacer las copias de seguridad.
o Quién realizará las copias de seguridad.
o Con qué frecuencia se realizarán las copias de seguridad.
o Los sitios de almacenamiento dentro y fuera del local destinados para las copias
de seguridad de la información.
Los servicios de copia de seguridad en línea se están volviendo más comunes. Sin
13
14. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
embargo, el personal de TI debe investigar exhaustivamente las herramientas de
seguridad de la compañía para el almacenamiento y la confiabilidad de las
computadoras.
• Respaldo del hardware: A las compañías con computadoras y servidores propios les
gustaría contar con equipos de respaldo "rápido", que estén disponibles en caso que el
servidor principal se dañe. Si el servicio al cliente es la prioridad de la compañía, es
sensato tener equipos de respaldo. Las compañías con diferentes objetivos e intereses
podrían redistribuir los fondos para destinarlos a equipos de respaldo del hardware a fin
de proteger otras prioridades operativas.
• Suministros de energía de reserva: Una falla en la energía puede dañar la
información y afectar la capacidad de la compañía para prestar los servicios. Una fuente
de energía ininterrumpida o UPS es un componente indispensable de todo plan de
contingencia. Algunos modelos de UPS pueden suministrar protección contra los picos y
fluctuaciones de corriente y la capacidad para calcular automáticamente las necesidades
de energía del personal de TI. Los costos de las UPS varían dependiendo del "tiempo de
ejecución" del modelo o del tiempo de energía disponible.
• Proveedores del servicio y socios comerciales: La seguridad debe ser un aspecto
clave que debe ser considerado por todo proveedor de servicio o estar estipulado en el
contrato del socio comercial, especialmente cuando las partes involucradas son parte de
una VPN o una cadena de suministros en red. El personal de TI debe estipular que todos
los socios tienen las mismas herramientas de seguridad. El control de la seguridad debe
ser un componente de las negociaciones de un contrato. Como parte de un plan de
contingencia, el personal de TI debe evaluar las formas en que la red es vulnerable a las
brechas de seguridad de la red de un socio.
• Recursos de TI: En el caso de detectar una brecha de seguridad, el personal de TI
podría necesitar personal adicional. Establezca relaciones con una agencia temporal de
personal antes que ocurra una emergencia. El personal de TI también debe identificar a
los consultores expertos de cuya experiencia se puedan beneficiar. También puede ser
sensato negociar contratos de asistencia con los distribuidores antes que ocurra una
crisis en la seguridad.
• Prensa: El personal de TI debe trabajar con el departamento de relaciones públicas a
fin de desarrollar una estrategia que solucione las brechas de seguridad. Debe
especificarse detalladamente en un plan de contingencia la cantidad de información que
debe revelarse (en caso de que se deba revelar) y quién debe comunicar esta
información. Los planes también deben hacer asignaciones presupuestales para los
costos adicionales del departamento de relaciones públicas. Evalúe si es necesario
establecer relaciones con una agencia de relaciones públicas que tenga experiencia en
comunicar información relacionada con alta tecnología.
• Aprobación de fondos: Las situaciones de emergencia requieren gastos que no están
contemplados en el presupuesto. Las partes responsables de elaborar un plan de
contingencia deben revisar los estatutos de constitución y el reglamento de la compañía
para determinar quien puede declarar cuando una situación es una emergencia y quien
tiene autoridad para asignar los recursos de emergencias. En situaciones de emergencia
se debe establecer un proceso de rápida asignación de fondos para las emergencias con
el fin de evitar procesos demorados de solicitud y aprobación.
Creación de un documento y equipo de respuestas a incidentes
El documento de respuesta a incidentes explica de manera resumida el "imperio de la ley" para
los procedimientos de emergencia y trata los siguientes aspectos:
• ¿Quién reporta a quién?
• ¿Quién es responsable de qué?
• ¿En qué circunstancias debería suspenderse un servicio de correo electrónico o un
servidor de Internet?
14
15. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
• ¿Cuáles son los procedimientos para la comunicación y alerta de emergencias?
Un equipo de respuesta a incidentes realiza muchas de las acciones explicadas en el documento
de respuesta a incidentes. Este equipo tiene papeles asignados previamente. En caso de
identificar una brecha de seguridad, los integrantes del equipo están familiarizados con sus
responsabilidades. Los siguientes son los aspectos clave que se deben tener en cuenta cuando
se conforma un equipo de respuestas a incidentes:
• ¿Están representados los integrantes de los diferentes departamentos?
• ¿En qué condiciones actuarían los integrantes del equipo?
• ¿Cuál es la cadena de mando?
• ¿Qué grado de autonomía tienen los integrantes para la toma de decisiones?
Medidas de seguridad
Los planes de contingencia no son únicamente estratégicos. Mientras que los planes solucionan
principalmente escenarios hipotéticos, también necesitan que el personal de TI tome algunas
medidas en tiempo real.
• Seguro: En caso de una brecha de seguridad, el seguro cibernético puede ayudar a
cubrir los costos debido a la pérdida de información, interrupción de las empresas,
gastos en relaciones públicas, demandas de terceros como consecuencia de la
negligencia en seguridad, etc. Las primas de seguro varían dependiendo del tamaño y
naturaleza de los negocios en línea de la compañía. Las compañías de seguros casi
siempre realizan auditorias de seguridad antes de dar cubrimiento a los solicitantes. Los
planes de contingencia pueden ayudar a disminuir los costos de las primas de seguro.
• Aplicaciones de la seguridad: Los antivirus, la detección de intrusos y el software
para el filtrado de contenidos de Internet y del correo electrónico pueden ayudar a
proteger la red contra una variedad de amenazas a la seguridad como las siguientes:
o Ataques de piratas
o Ataques de virus
o Negación de servicio
o Intrusión de códigos móviles maliciosos
o Fugas de información confidencial
o Correo electrónico y contenidos calumniosos de los sitios web
Planes de contingencia específicos
Todas las etapas de análisis e implementación de un plan de contingencia deben respaldar el
objetivo del plan. Debido a la variedad de brechas de seguridad, los planes de contingencia
deberán ser adaptados a los diferentes escenarios. Sin embargo, el personal de TI debe planear
algunas constantes como el suministro de energía, los respaldos de la información, los recursos
adicionales del personal de TI, etc. Los costos para el desarrollo e implementación de un plan
de contingencia completo pueden ser significativos, aunque siempre serán mayores los costos
de tiempo de inactividad de la compañía y detrimento a la reputación debido a las brechas de
seguridad.
15
16. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
DOCUMENTACIÓN ADJUNTA
ISO 17799: La nueva norma técnica global de seguridad
Introducción
Los gerentes de seguridad de la información han esperado mucho tiempo a que alguien tomara
el liderazgo para producir un conjunto de normas de seguridad de la información que estuviera
sujeto a auditoría y fuera reconocido globalmente. Se cree que un código de normas de la
seguridad apoyaría los esfuerzos de los gerentes de tecnología de la información en el sentido
que facilitaría la toma de decisión de compra, incrementaría la cooperación entre los múltiples
departamentos por ser la seguridad el interés común y ayudaría a consolidar la seguridad como
prioridad empresarial.
Desde su publicación por parte de la Organización Internacional de Normas en diciembre de 2000, ISO
17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO
17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de
seguridad de la información".
El origen de ISO 17799
Durante más de un siglo, el Instituto Británico de Normas Técnicas (BSI) y la Organización Internacional
de Normas Técnicas (ISO) han brindado parámetros globales a las normas técnicas de operación,
fabricación y desempeño. Solo faltaba que BSI e ISO propusieran una norma técnica para la seguridad
de la información.
Finalmente en 1995, el BSI publicó la primera norma técnica de seguridad, BS 7799, la cual fue
redactada con el fin de abarcar los asuntos de seguridad relacionados con el e-commerce. En 1995,
problemas como el Y2K y el la Unidad Monetaria Europea (EMU por su sigla en inglés) prevalecieron
sobre otros. Para empeorar las cosas, la norma BS 7799 se consideraba inflexible y no tuvo gran
acogida. No se presentó la norma técnica en un momento oportuno y los problemas de seguridad no
despertaron mucho interés en ese entonces.
Cuatro años después en mayo de 1999, el BSI intentó de nuevo publicar su segunda versión de la norma
BS 7799, la que fue una revisión más amplia de la primera publicación. Esta edición sufrió muchos
mejoramientos y perfeccionamientos desde la versión de 1995. En este momento la ISO se percató de
estos cambios y comenzó a trabajar en la revisión de la norma técnica BS 7799.
En diciembre de 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y publicó la
primera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma época, se
adoptó un medio formal de acreditación y certificación para cumplir con la norma técnica. Los problemas
Y2K y EMU y otros similares se habían solucionado o reducido a 2000 y la calidad total de la norma
técnica había mejorado considerablemente. La adopción por parte de ISO de la Parte 1 - los criterios de
la norma técnica - de BS 7799 recibió gran aceptación por parte del sector internacional y fue en este
momento que un grupo de normas técnicas de seguridad tuvo amplio reconocimiento.
Marco de las recomendaciones
La norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la implementación. ISO
17799 hoy en día es una compilación de recomendaciones para las prácticas exitosas de seguridad que
toda organización puede aplicar independientemente de su tamaño o sector. La norma técnica fue
redactada intencionalmente para que fuera flexible y nunca indujo a las personas que la cumplían para
que prefirieran una solución de seguridad específica. Las recomendaciones de la norma técnica ISO
17799 son neutrales en cuanto a la tecnología y no ayudan a evaluar y entender las medidas de
seguridad existentes. Así, la norma discute la necesidad de contar con cortafuegos, pero no profundiza
sobre los tres tipos de cortafuegos y cómo se utilizan, lo que conlleva a que algunos detractores de la
norma digan que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real.
La flexibilidad e imprecisión de ISO 177999 es intencional por cuanto es difícil contar con una norma que
funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse
con el cambiante mundo de la tecnología. ISO 177999 simplemente ofrece un conjunto de reglas a un
sector donde no existían.
16
17. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Las diez áreas de control de ISO 17799:
• Política de seguridad: Se necesita una política que refleje las expectativas de la organización en
materia de seguridad a fin de suministrar administración con dirección y soporte. La política
también se puede utilizar como base para el estudio y evaluación en curso.
• Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la
organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y
un proceso para el manejo de respuesta a incidentes.
• Control y clasificación de los recursos de información: Necesita un inventario de los recursos de
información de la organización y con base en este conocimiento, debe asegurar que se brinde un
nivel adecuado de protección.
• Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y
potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de
confidencialidad. También determina cómo incide el papel que desempeñan los empleados en
materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar
un plan para reportar los incidentes.
• Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los
controles generales.
• Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:
1. Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de
la información.
2. Minimizar el riesgo de falla de los sistemas.
3. Proteger la integridad del software y la información.
4. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la
información.
5. Garantizar la protección de la información en las redes y de la infraestructura de soporte.
6. Evitar daños a los recursos de información e interrupciones en las actividades de la
compañía.
7. Evitar la pérdida, modificación o uso indebido de la información que intercambian las
organizaciones.
• Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los
recursos de aplicación para proteger contra los abusos internos e intrusos externos.
• Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la
información, se debe implementar y mantener la seguridad mediante el uso de controles de
seguridad en todas las etapas del proceso.
• Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la empresa y para proteger los procesos importantes de la
empresa en caso de una falla grave o desastre.
• Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento
con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos, como la Directiva de la
Unión Europea que concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad del
Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLBA por su sigla
en inglés). Esta sección también requiere una revisión a las políticas de seguridad, al
cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de
auditoría del sistema a fin de garantizar que las empresas obtengan el máximo beneficio.
17
18. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Beneficios de la norma técnica ISO 17799
Una empresa certificada con la norma técnica ISO 17799 puede ganar frente a los competidores no
certificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es un
aspecto importante, por lo general optará por la empresa certificada. Además una empresa certificada
tendrá en cuenta lo siguiente:
• Mayor seguridad en la empresa.
• Planeación y manejo de la seguridad más efectivos.
• Alianzas comerciales y e-commerce más seguras.
• Mayor confianza en el cliente.
• Auditorías de seguridad más precisas y confiables.
• Menor Responsabilidad civil
La norma técnica ISO 17799
Actualmente ISO está revisando la norma técnica 17799 para que se adapte mejor a su amplio público.
ISO 17799 es la primera norma técnica y se harán y ampliarán sus recomendaciones y sugerencias
básicas en la medida en que sea necesario. Por ahora, ISO 17799 es la norma técnica a seguir.
Si su organización no ha adoptado un programa de protección definido de la información, ISO 17799
puede servir de parámetro para que lo defina. Incluso si decide no ser certificado, ISO 17799 le servirá
de guía para configurar la política de seguridad de su empresa. En todo caso, tenga en cuenta que ISO
17799 es un buen esquema de seguridad que su empresa puede adoptar. No obstante, usted puede
descubrir que la certificación ofrece más beneficios.
18
19. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Cumplimiento de las políticas de seguridad para estaciones de trabajo móviles y
remotas
Introducción
Para el año 2010, la firma de investigación, Gartner Inc., pronostica que el 80% de los procesos
comerciales importantes requerirá el intercambio de información en tiempo real de los
trabajadores móviles. Igualmente, la más reciente edición del Informe sobre las amenazas a la
seguridad de Internet de Symantec (Symantec ) reveló que hasta un 80% de las
vulnerabilidades descubiertas en el primer semestre de 2003 proviene de estaciones de trabajo
susceptibles a ataques que se pueden ejecutar remotamente. Como lo señaló el informe:
“Puesto que el acceso global es un mandato en el entorno empresarial actual, las compañías
han creado numerosas aplicaciones para Internet.
Para los administradores de TI que están en el actual entorno comercial de rápida evolución, se trata de
un desafío formidable y a menudo desconcertante: ¿Cómo verificar la protección de las estaciones de
trabajo móviles antes de conectarlos a las redes empresariales?
Ignore los riesgos de seguridad por su cuenta y riesgo
Como sabemos, la empresa en tiempo real hoy en día es cada vez más móvil. Sin embargo, en la
precipitada carrera a la movilidad, muchas compañías ignoran la necesidad de proteger de manera
adecuada su fuerza laboral. Gartner resume acertadamente la situación: “Los appliances móviles pueden
ser pequeños, pero los problemas relacionados con su seguridad no radican en el hecho de que existen
muchos appliances, sino que las empresas tienden a no aplicar medidas rigurosas de seguridad y de
administración”.
Estos son algunos problemas de seguridad que afrontan las empresas móviles: susceptibilidad a los
gusanos y virus más complejos y conocidos en el sector de seguridad como "amenazas combinadas",
que se están convirtiendo en el ataque preferido de los atacantes de Internet. Dichas amenazas con
frecuencia aprovechan diferentes fallas para aumentar la oportunidad de infectar un sistema informático.
El número de ataques que pueden clasificarse como amenazas combinadas en el primer trimestre de
2003 aumentó un 20% con respecto al anterior semestre, según el Informe sobre las amenazas a la
seguridad en Internet .
Estas noticias son especialmente preocupantes para los clientes que periódicamente viajan fuera del
firewall perimétrico y se conectan a la red. ¿Por qué? Porque las amenazas combinadas como Nimda,
Código Rojo, SQL Slammer y Blaster tomaron específicamente como objetivo los equipos portátiles que
están fuera del firewall para obtener acceso no autorizado a la red empresarial durante una conexión al
proveedor de acceso a Internet (ISP). Los usuarios de equipos portátiles también pueden convertirse en
víctimas involuntarias o “zombis” y son utilizados para los ataques de negación distribuida de servicio o
ataques más sofisticados.
Para ayudar a proteger a los usuarios móviles de las amenazas combinadas al igual que de recientes
gusanos emisores de correo electrónico masivo como MyDoom y Netsky, es esencial que las empresas
adopten y difundan políticas de seguridad con información explícita para que regulen el uso de los
appliances móviles. Desafortunadamente, muchas compañías no tienen estas políticas o tienen políticas
que son difíciles de entender, vagas, incompatibles con las políticas de otras compañías, difíciles de
implementar o imposibles de cumplir. Las empresas en tiempo real no pueden permitirse que persistan
este tipo de deficiencias por razones obvias: la informática móvil introduce riesgos significativos. En
efecto, Gartner ha identificado cinco grandes áreas de riesgo relacionadas con la informática móvil.
• Riesgos sociales: Los procesos móviles pueden cambiar el comportamiento informático
del personal.
• Riesgos técnicos: Están relacionados con tecnologías de rápida evolución y que no han
sido probadas.
• Riesgos jurídicos: Relacionados con la la privacidad y protección de la información.
• Riesgos de integración: Hacen referencia a los sistemas de legado.
19
20. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
• Riesgos financieros: Provienen de los hechos inesperados que pueden debilitar los
modelos de retorno de la inversión.
Además, como muchos administradores saben, el surgimiento de la informática móvil tomó a muchos
departamentos de TI por sorpresa. Como consequencia, fueron empleados individuales y grupos de
trabajo, en lugar de los departamentos deTI u otros canales apropiados, quienes introdujeron muchos de
los equipos en las organizaciones. El resultado de esta introducción “clandestina” fue que el equipo móvil
no pasó por el proceso normal de análisis de sus capacidades y limitaciones antes de ser implementado.
Así, los esfuerzos por proteger miles de appliances se realizaron a última hora o no fueron lo
suficientemente rigurosos.
Por eso es muy importante que se implementen políticas explícitas para que los usuarios puedan impedir
el ingreso de códigos maliciosos a la red empresarial. Para conocer un método detallado del diseño de
una política general de seguridad, consulte el manual de Symantec en la dirección “La seguridad
electrónica empieza con sólidas políticas de seguridad.”
A nivel práctico, se recomienda que toda política de seguridad exija el uso de una solución de seguridad
para estaciones de trabajo que integren las tecnologías de antivirus, firewall y de detección de intrusos.
La tecnología de firewall para estaciones de trabajo debe dar órdenes automáticamente a los motores de
detección de intrusos y exploración antivirus para que busquen todos los archivos que entran y salen. Si
se detecta una amenaza, el motor de detección de intrusos o antivirus puede entonces dar órdenes al
firewall para que incremente las medidas de seguridad y bloquee la amenaza.
A nivel del personal, tenga en cuenta que traducir las políticas de seguridad de la información en
procedimientos manejables y cotidianos no es una tarea fácil. También es recomendable que usted
trabaje estrechamente con todos los trabajadores móviles que se verán afectados por estas normas.
Como ha escrito Stuart Broderick de Symantec: “Muchas organizaciones han descubierto que el personal
que no participa en el desarrollo del proceso, no tiene ‘sentido de pertenencia’en el proceso y cree que
sus conocimientos sobre el funcionamiento de los sistemas son inútiles. … Por lo tanto, dicho personal
tiende a ignorar el proceso y adoptar una actitud de ‘yo sé mucho más’ o de ‘siempre lo hemos hecho
así’.
Avances de la segunda parte: Iniciativas de cumplimiento de políticas para estaciones de trabajo
¿Qué más pueden hacer las empresas para garantizar que el número creciente de sus trabajadores
móviles estén cumpliendo con las políticas de seguridad? Uno de los desarrollos recientes más
importantes en esta área son las iniciativas de cumplimiento para estaciones de trabajo, que están
diseñadas para promover el cumplimiento de políticas de seguridad para las estaciones de trabajo
móviles y remotas. Tales iniciativas reconocen que la creciente variedad de métodos utilizados por los
empleados para acceder a las redes, produce un nuevo nivel de riesgo para la seguridad corporativa.
Por lo tanto, las iniciativas de cumplimiento de políticas para estaciones de trabajo permiten a los
administradores de TI verificar la seguridad de estos equipos antes de conectarlos a la red.
Los administradores pueden establecer políticas de control de admisión que incluyan la política de
seguridad para las estaciones de trabajo que intentan agregarse a la red. A los equipos que no cumplen
con las políticas, por ejemplo, que tienen deficiencias a nivel de parches para el sistema operativo o en el
estado del antivirus, se les pueden negar el acceso, pueden ser puestos en cuarentena o enviados a un
sitio aislado para recibir acciones correctivas, mientras que los equipos que cumplen con las políticas de
la empresa, tendrán acceso a la red.
Lo importante es que las iniciativas de cumplimiento de políticas para las estaciones de trabajo ayuden a
impedir que los usuarios móviles y remotos se conviertan en el eslabón más débil del entorno de las
redes empresariales. Las empresas pueden esperar mayores desarrollos en esta área durante el año
2004.
Conclusiones
Una política eficaz de seguridad de la información corporativa es esencial para el buen funcionamiento
de las empresas móviles. El cumplimiento de estas políticas es muy importante hoy más que nunca
puesto que las amenazas a la seguridad continúan multiplicándose en número y complejidad. El número
creciente de empresas móviles que intentan crear políticas de seguridad rigurosas deberían explorar las
nuevas iniciativas de cumplimiento para estaciones de trabajo. Estas iniciativas pueden ayudar a
garantizar la protección de los usuarios remotos y de las estaciones de trabajo sin poner en peligro las
redes empresariales.
20
21. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Soporte Ejecutivo y Seguridad de TI
Autora: Linda McCarthy
Consultora Ejecutiva de Seguridad, Gerencia de Tecnología
Symantec Corporation
Introducción
Imagine que hace seis meses finalmente llegó a ocupar el cargo de Gerente de Información
(CIO) de una compañía importante. Como buen gerente de información, destaca la importancia
de la seguridad una y otra vez a sus gerentes senior. De hecho, usted ha manifestado
claramente que la red debe ser segura y basta. No se admiten preguntas.
Imagine la sorpresa que se llevaría un lunes por la mañana si viera a su compañía en los titulares de las
noticias y no por sus sorprendentes resultados trimestrales, sino por la historia detallada que relata el
ataque de un hacker a su red empresarial. El hacker robó información patentada y la publicó en Internet
para que el mundo lo supiera. Se trata de una noticia de primera página; se pregunta si usted saldrá en
CNN y si esto afectará al precio de las acciones. ¿Qué dirán los accionistas?
Con el transcurso de las semanas, el personal de soporte intenta mantener el control.
Desafortunadamente, existen tantos riesgos de seguridad en la red que la labor parece casi insuperable.
El grupo clandestino de hackers aparentemente lo sabe y parece estar usando su red para realizar
prácticas de ataque. Los ataques persisten—no una o dos veces, sino constantemente.
¿Cómo sucedió esto? Usted le dijo a su personal senior que la seguridad es un asunto importante y que
debe ser una prioridad. ¿Fue que no le oyeron? ¿Cómo pudieron permitir que intrusos electrónicos
hurtaran los secretos de la compañía? Peor aún, los ataques continuos dañan la reputación de su
empresa, una reputación por la que usted ha luchado incansablemente. Como gerente de información,
su reputación tampoco sale bien librada. Se trata de la red de su empresa y usted es el centro de
atención.
¿Le parece imposible? ¿Improbable? Esta situación podría ser inventada, pero es real y la experimentan
con frecuencia los nuevos gerentes de información. Los candidatos que aspiran al cargo rara vez tienen
pleno conocimiento de la configuración y estado de la red. Antes de aceptar el cargo, pocos candidatos
preguntan si la red fue sometida recientemente a una auditoría de seguridad y la aprobó. Incluso a muy
pocos candidatos se les entrega un resumen ejecutivo que muestre el nivel de riesgo o se acostumbran
realmente a la seguridad que existe en los niveles inferiores de la organización jerárquica.
En las grandes compañías, los niveles de gestión usualmente separan a los gerentes operativos de los
ejecutivos. Por lo tanto, la comunicación se ve afectada. No llega la información que proviene de los
directivos e igualmente las comunicaciones que van en forma ascendente pueden ser fácilmente mal
empleadas o modificadas.
Obviamente ningún ejecutivo, gerente o supervisor realmente cree que su red será la zona de hackeo
que aparecerá en la próxima edición semanal del programa de televisión 60 Minutos. Sin embargo, a
menos que usted sepa lo que está realmente sucediendo con la seguridad en los niveles inferiores de la
organización jerárquica, su compañía podría estar en peligro. Asegúrese de que los ejecutivos de su
empresa no impartan órdenes irreales desde arriba. Mantener abiertas las líneas de comunicación en el
nivel más alto de la jerarquía es uno de los aspectos más importantes para garantizar la seguridad de la
red. Tenga en cuenta lo siguiente…
Compromiso ejecutivo
La Sra. Smith, gerente y fundadora de Internet Software Design (ISD), convirtió su empresa en un éxito
de la noche a la mañana a partir de una idea improvisada. Esta empresa que aparece en la revista
Fortune 500, y de última tecnología en Silicon Valley sobrepasó las expectativas y le cerró las puertas a
la competencia.. En el negocio de diseño de software para Internet, la compañía hizo de la seguridad
informática una prioridad. La Sra. Smith continuamente resaltaba su compromiso con la seguridad
informática ante el equipo ejecutivo de administración. Fue famosa por su estilo sincero y siempre
obtenía lo que se proponía, bueno casi siempre.
Como muchos altos ejecutivos (CEO) que imparten ordenes y esperan que se cumplan, la Sra. Smith
asumió que la red de su empresa mundial era segura, hasta que un día un hacker irrumpió en la red
financiera de la compañía. Sin ser detectado por el personal de soporte, el hacker transfirió toda la
información financiera de la empresa a otro sistema en Internet. Cuando se hizo la transferencia, el
21
22. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
hacker envió un mensaje electrónico sobre el estado financiero de la Sra. Smith (incluyendo las
ganancias esperadas) a los inversionistas Fishman & McDonald.
Afortunadamente para la Sra. Smith y su compañía, un gerente de la firma de valores informó
inmediatamente sobre el contenido del correo electrónico a Charles Winifred, gerente financiero de la
Sra. Smith. Este informe fue el primer indicio que tuvo Charles de una violación a la seguridad de la red
que lo dejó con muchas preguntas sin respuesta. Charles deseaba saber cómo había sido penetrado el
sistema. Quería saber por qué su equipo de soporte no había detectado el acceso no autorizado a la
información. Y por supuesto, deseaba saber quién era el responsable del hurto y divulgación de la
información. Básicamente, quería respuestas y las quería ya.
Charles había asumido que la red de finanzas era segura. Después de todo, ¿no era para eso que les
pagaban a los administradores de sistemas? ¿Cómo podían ser tan negligentes? Y ¿por qué no se
percataron de la violación a la seguridad antes de que se revelara la información por Internet?
Sin embargo, Charles pasó por alto un importante concepto en contabilidad. En última instancia la
gerencia es responsable de la confiabilidad e integridad de la información de las redes corporativas, no
los administradores de sistemas. En particular, los gerentes ejecutivos son los responsables ante los
auditores y accionistas. Si se publican las ganancias esperadas de la compañía en Internet, auditores,
accionistas y periodistas perseguirán a los altos ejecutivos, no a los administradores de sistemas.
Para ilustrar mejor las funciones de la gerencia en relación con la seguridad informática, analicemos los
hechos antes y después de divulgarse la información financiera de ISD.
Día 1: sistemas desprotegidos
Por solicitud de Charles, se llamó inmediatamente a Martin Patterson, experto de seguridad interna de
ISD, para que realizara una auditoría de seguridad. Martin era uno de los cinco miembros del equipo de
seguridad de ISD y podría decirse que el mejor gurú en seguridad de la empresa. Tomaba en serio toda
violación a la seguridad y siempre daba máxima prioridad en su agenda de trabajo a respuesta a
incidentes. Básicamente, Martin dejaba de hacer lo que estaba haciendo y se ponía al frente de todos los
incidentes de seguridad con la ferocidad de un pitbull.
Martin comenzó su auditoría realizando pruebas a la información de los sistemas financieros y a las
vulnerabilidades de seguridad en la red. Martin tardó menos de una hora en obtener resultados, que
resultaron sorprendentes. Para una compañía que decía estar tan comprometida con la seguridad, la
realidad era sorprendente.
Martin encontró que los sistemas corporativos fueron instalados ciertamente tal como venían sin
configurar la seguridad. Los sistemas de misión crítica estaban identificados incorrectamente y
desprotegidos, lo que ponía a toda la red en una zona de alto riesgo. Además, la red tenía demasiados
agujeros de seguridad que hubiera podido ser el blanco de ataques al final de un día agitado de trabajo.
¡Y estos sistemas eran los que guardaban la información financiera más confidencial de la compañía!
Como diría Martin, los sistemas estaban abiertos y no tenían instalados mecanismos de auditoría y
monitoreo. Había fácil acceso a ellos y la oportunidad de ser descubiertos era casi ninguna. Cualquier
persona con pocos conocimientos de seguridad podría hacer su agosto en la red.
Charles también le pidió a Martin que averiguara dónde se había originado el mensaje electrónico que
contenía las utilidades esperadas. Después de evaluar los sistemas, Martin intentó rastrear el mensaje
electrónico. Se imaginaba que su esfuerzo sería en vano y así fue. Martin fracasó en su intento por
seguir al hacker hasta su origen.
Aunque los gerentes financieros dudarían en creer que un mensaje electrónico podría ser imposible de
rastrear, no me sorprendieron los resultados que obtuvo Martin. Es muy fácil falsear un Sendmail y hacer
parecer que un mensaje electrónico es originado por otra persona. Mi hermana Laura de 13 años podría
hacerlo sin problema.
En cualquier caso, el correo electrónico falseado es casi siempre un callejón sin salida en la búsqueda
de un hacker. Cuando usted lo logra, simplemente califica la creatividad del hacker por inventar nombres
de dominio y eso es todo. Esto fue lo que hizo Martin.
Martin terminó la auditoría y resumió sus hallazgos en un informe de gerencia confidencial. Luego se
preparó para lo más difícil: entregar el informe a la gerencia. Menos mal que ya pasó a la historia cuando
literalmente les disparaban a los mensajeros por dar malas noticias. Sin embargo, se pueden tomar
22
23. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
diferentes actitudes. Entregar un informe de seguridad de alto riesgo puede producir indiferencia o
relegamiento, al igual que una felicitación. Afortunadamente para Martin, Charles era el tipo de persona
que daba refuerzo positivo.
Aunque Charles valoraba el exhaustivo trabajo de Martin, estaba absolutamente horrorizado con los
resultados. Charles en verdad creía que todos los sistemas de la red eran seguros y era lo que todo el
personal de la gerencia ejecutiva había asumido. Sin embargo, la auditoría mostraba con qué facilidad se
podría cambiar, hurtar o destruir la información sin dejar rastros de evidencia para seguir al intruso.
Charles le agradeció a Martin el haberle entregado esta información (¡Martin debía lucirse esta vez!) e
inmediatamente ordenó al siguiente nivel de administración resolver los problemas.
Después de un año: el acceso no autorizado continúa
Al año siguiente, hubo penetraciones exitosas a la intranet de ISD (es decir exitosas para el hacker). Lo
único bueno fue que Charles recibió la noticia del gerente de auditoría interna de ISD y no de CNN.
Mantener los ataques a la red lejos de los titulares de prensa es el principal objetivo de los gerentes
financieros y es mucho más difícil de lo que parece. Muchos hackers hoy en día consideran importante
informar ellos mismos sobre sus ataques a las agencias de noticias. Los hackers saben que el daño
incidental generado por una mala propaganda es por lo general peor que el perjuicio ocasionado por el
ataque mismo. En otros casos, el objetivo del ataque cuando se hace público es avergonzar. Charles se
sintió afortunado de que el bochornoso problema de seguridad al menos se mantuviera relativamente
privado.
Afortunado o no, Charles aún estaba atravesando una situación difícil. Sentía ira e incluso estaba
sorprendido de que su red fuera vulnerable todavía. ¿No le había ordenado al personal resolver el
problema el año pasado? ¿Nadie hizo lo que ordenó? En ese momento, Charles estaba buscando a los
responsables. Y no quiero decir que deseaba aumentar el número de responsables, sino enviarlos a la
guillotina.
Después, Charles se reunió con el gerente de información y el director de auditoría interna de la empresa
para hablar sobre los riesgos de seguridad. Decidieron que era el momento de contratar a un auditor
externo para ello. Ahí es cuando llego yo.
Cuando entro en escena, ya tengo suficiente información de la anterior auditoría. ¡Qué ventaja!
Generalmente un auditor gasta mucho tiempo entrevistando al personal, viendo diagramas de red y
buscando información que le indique cuáles sistemas pueden ser vulnerables.
Yo sabía cuáles sistemas eran vulnerables el año anterior, lo que parecía ser un buen comienzo para
realizar las pruebas por varias razones. En primer lugar y lo más importante es que utilicé este método
porque podía crear información estadística a partir de hechos concretos. A los ejecutivos les encantan
las estadísticas. Me gusta mucho presentar toda la información en diagramas o gráficos circulares
porque sé que presentar la información en este formato a los gerentes ejecutivos la hace más
interesante.
La mayoría de ejecutivos con los que trabajo son muy inteligentes, aunque también demasiada
información pasa por sus manos, más de la que esperan y necesitan; información precisa y comprensible
que expresa la idea principal en una página o menos. Para ello, el informe del resumen ejecutivo debe
ser coherente a primer vista. Al respecto, he visto informes de auditoría de seguridad muy confusos.
Escribir un informe rápidamente, mal redactado y mal estructurado al más alto nivel ejecutivo no sólo es
inútil, sino que también invalida la utilidad del trabajo realizado para producir la auditoría. Puesto que el
control de riesgos y la aprobación de los fondos van de la mano, es crucial que los altos ejecutivos
entiendan los riesgos y posibles consecuencias. Por esta razón, los informes de la gerencia ejecutiva
deben ser cortos (idealmente de una página y nunca más de dos), fáciles de leer y entender.
Para mí era fácil transferir los resultados de esta auditoría a la gerencia. Incluso observé la gráfica antes
de realizar la auditoría. Comparé las vulnerabilidades del año pasado con los porcentajes de este año.
¡Fue buenísimo! Tuve esto en cuenta y comencé la auditoría.
Empecé leyendo el informe de auditoría que tenía los resultados de Martín de hace un año. Me resultó
difícil leer el informe. Hacía referencia a todos los riesgos, pero técnicamente carecían de lógica. Si la
gerencia recibiera un informe como éste, no sabría por donde empezar. Sacar la información real del
informe me llevó más tiempo del planeado.
23
24. Seguridad Informática Políticas de Seguridad
Amendolia, Diego; Cendagorta, Juan
Después de cavilar sobre el informe de Martin, supe en qué situación estaban los sistemas de alto riesgo
de la red financiera. Primero realicé un rastreo de información en estos sistemas. Luego, saqué una
copia del mapa de contraseñas y comencé a ejecutar Crack en las contraseñas. Me gusta comenzar por
descifrar las contraseñas al principio de mi auditoría únicamente para ver cuantas puedo adivinar
rápidamente. Este mapa de contraseñas era grande: tenía 520 usuarios. Con seguridad podría obtener
unas cuantas contraseñas y así fue. Cuando estaba revisando el archivo crack.out, éste mostró 10
contraseñas adivinadas de buenas a primeras. Había imaginado algo parecido. Dejé la revisión de los
resultados adicionales de Crack para más adelante y dediqué mi auditoría a los sistemas de alto riesgo.
El administrador de sistemas me dio acceso a todos los sistemas. Cuando hago una auditoría, prefiero
entrar al sistema para probar la seguridad antes de ingresar desde la red. La primera vez que comencé
la auditoría, me encantó intentar entrar primero desde la red (prueba de penetración) porque era
emocionante y me ayudaba a consolidar mis destrezas de penetración. Cuando fui más eficiente en la
auditoría, descubrí que podía cubrir más territorio de manera más rápida y más efectiva si le solicitaba al
dueño del sistema que me diera su cuenta de ingreso. Luego, entraba al sistema para buscar las
vulnerabilidades de seguridad. Con este propósito, algunas veces no realizo la prueba de penetración.
Primero, busco información en los sistemas desde la Red (sólamente para ver cuánta información puedo
obtener). Luego, pruebo las contraseñas inseguras. Después, ingreso y realizo pruebas en busca de las
vulnerabilidades y errores de configuración. La última prueba de auditoría que realizo es la de
penetración desde afuera (sólo cuando es necesario).
Creo que no siempre se necesita la prueba de penetración. Por ejemplo, cuando un sistema tiene una
versión antigua de Sendmail. Se sabe muy bien que se puede penetrar un sistema como éste. ¿Para qué
desperdiciar tiempo en probar que el agua moja?
En algunos casos, realizo una prueba de penetración en sistemas que se sabe son vulnerables para
mostrar la evidencia a la gerencia; en otros casos, no es necesario. Todo depende del alcance de la
auditoría, las prioridades de los clientes y las expectativas de la gerencia.
En esta auditoría, no era necesario realizar una prueba de penetración. La gerencia sabía que la red
podía ser penetrada. (Yo estaba allí porque ¡los hackers también lo sabían!) El verdadero problema de
esta auditoría era por qué la red era todavía vulnerable. Sabiendo esto, decidí desechar la prueba de
penetración y continuar.
Procedí a verificar el sistema financiero más crítico. Estaba abierto de par en par y no tenía parches de
seguridad. Llegué a la raíz aprovechando un error de seguridad muy antiguo. Fue fácil ver que estos
sistemas habían sido instalados sin configurar. Era evidente que no se había configurado seguridad
adicional. Probé un segundo sistema, luego un tercero y cuarto. Sucedió lo mismo. Hasta el momento
podía decir que absolutamente nada había cambiado desde que se realizó la última auditoría de
seguridad. Aparentemente, el personal operativo (de nivel inferior en la organización jerárquica) no había
solucionado los problemas.
La pregunta de $64.000, era por supuesto ¿por qué no? Ciertamente los problemas de seguridad en ISD
deberían haberse resuelto. La gerencia operativa no oyó el mensaje que dio Charles desde arriba o
decidieron no oírlo.
La respuesta parecía ser que cuando Charles le dijo a sus subalternos: “Arreglen los problemas de
seguridad ahora”, él creyó que el asunto estaba solucionado. Nunca verificó que se ejecutara la orden.
De todas maneras, los problemas no fueron solucionados y Charles no obtuvo los resultados esperados.
A propósito de resultados, me di cuenta en ese momento que yo todavía estaba ejecutando Crack.
Cuando me preguntaba cuántas contraseñas más Crack iba a revelar, revisé de nuevo el archivo
crack.out. ¡Era increíble! Se habían descifrado cien contraseñas más. Más sorprendente aún era que
¡Crack no había terminado! Todavía estaba golpeando tratando de adivinar las contraseñas. Era obvio
que a los usuarios nunca se les había enseñado a escoger contraseñas seguras. Era también evidente
que el administrador de sistemas nunca se había preocupado por revisar las contraseñas inseguras.
Me da rabia cuando los administradores de sistemas no capacitan a los usuarios. Con mucha frecuencia,
los sistemas están instalados y se les asignan cuentas a los usuarios sin siquiera enseñarles la
importancia de seleccionar y cambiar las contraseñas. También es bastante común que los
administradores de sistemas no hagan pruebas a las contraseñas. Algunas veces, realmente no tienen
tiempo para hacerlo, aunque otras veces simplemente no saben cómo hacerlo y les da miedo o
vergüenza preguntar.
24