Archivo de la categoría: Prácticas de Gestión

Controles para la Seguridad de la Información

Sin importar el tipo o tamaño de una empresa, todas pueden ser impactadas por fallas en la gestión de la seguridad. El efecto final puede ser experimentado de diferentes formas, como daños a sus equipos, pérdida de información o una disminución en los tiempos de respuesta de los equipos utilizados por los empleados para trabajar. Los usuarios finales normalmente se quejarán de estos problemas diciendo cosas como “no hay sistema”, “el sistema está lento” o “¿No encuentro mis datos?”. El impacto en el negocio dependerá de qué tan crítico sea el momento en el que no hay sistema, o en el que la respuesta es lenta o de la importancia de los datos perdidos.

La Gerencia de Sistemas debe poner la debida atención a entender y analizar los riesgos relacionados con la seguridad de la información y a establecer todos los controles necesarios que permitan reducir la posibilidad de que eventos no deseados les impacten. Durante muchos años he sido testigo de muy buenas intenciones de muchos gerentes de sistemas para establecer los controles necesarios para brindar seguridad a la información de su organización, pero estas intenciones no son compartidas con los gerentes generales o gerentes financieros, que objetan iniciativas, por considerar que los gastos son excesivos. Los segundos a veces cambian de mentalidad cuando se ha sufrido un ataque que implicó pérdidas financieras, daños a la reputación o serios retrasos en las operaciones.

En todo caso, para tranquilidad de todos, los Gerentes de Sistemas tienen que realizar un análisis de riesgos de seguridad de la infraestructura y presentar a la organización el listado de posibles amenazas visualizadas, estableciendo su probabilidad de ocurrencia y el impacto que tendría cada una de ellas en las operaciones, a efectos de que sea claramente entendible por todos la ventaja o desventaja de establecer un control adicional, aunque esto requiera de alguna inversión. Esta práctica es efectiva para visualizar los riesgos, pero debe optimizarse a través de la identificación de controles que permitan, a un costo razonable, mitigar el riesgo.

Los riesgos, para ser entendidos, deben de ser expresados en función de la jerga del negocio. Por ejemplo, si se enuncia como una amenaza el que un virus tome control de un servidor y lo deje inoperante, nuestro riesgo real es que los negocios que se realizan con las aplicaciones existentes en ese servidor se vean interrumpidos porque el servidor fue atacado por un virus. Establecer el impacto en función de la amenaza de perder o retrasar el ingreso de efectivo si llevará al negocio a invertir en tener un sistema antivirus instalado en el servidor y en equipos clientes que tengan relación con el mismo. Si bien en este caso el control primario es el sistema antivirus, y este representa una inversión, se debe de ser muy analítico para decidir la conveniencia o no de implementar controles adicionales, que tal vez no incluyan inversión, pero que requieren del cuidado del personal. Pongamos un par de ejemplos. Si consideramos que para garantizar el éxito de un antivirus, este debe de estar actualizado, tanto en su software, como en las definiciones de virus, podemos entender que es necesario asegurar que la persona responsable del mantenimiento del software antivirus, realiza revisiones rutinarias que verifiquen que el software está funcionando y que resuelva cualquier problema que cause que la solución de antivirus no funcione de la mejor manera posible. Estas revisiones también constituyen un control. Los gerentes deben de exigir a los técnicos que realizan estas funciones que dejen evidencia del monitoreo realizado y de acciones correctivas que se han tomado. Un segundo control podría ser la restricción de utilizar dispositivos de memoria usb en equipos sensitivos. Aquí la decisión debe ser basada en el siguiente razonamiento “Si los puertos usb no son necesarios para mi negocio, los bloqueo”. Esto reduce la posibilidad de que un virus entre directamente al equipo por estos dispositivos. Este control nos llevaría a desactivar la capacidad de que los usuarios administren sus equipos y por lo tanto no puedan sobrepasar la configuración que desactive los puertos usb. También para esto es necesario tener un control del número de equipos existentes en la organización, para garantizar que en todos está debidamente configurada esta configuración.

Como el lector podrá deducir, la amenaza de un virus, estaría siendo mitigada con tres controles. Uno requiere inversión, pero los otros dos requieren de la definición de prácticas de trabajo que ayuden a confirmar la efectividad de la inversión realizada en el antivirus. No implementar estos controles adicionales podría ponernos en la situación en la que se ha invertido en un software de antivirus y aun así se materializa el riesgo.

Esto nos lleva a la conclusión de que los controles de seguridad no están basados totalmente en la inversión que realiza una organización, sino más bien en la aplicación constante de un análisis de los riesgos existentes y la adopción de medidas que mitiguen al máximo la posibilidad de ocurrencia.

Auditando la Integridad de la Información

Últimamente la seguridad de la información y los riesgos de la información han ocupado espacio en este blog. Esta vez pensé escribir de algo diferente, la integridad de la información, pero si reflexionamos un poco, no es un tema tan diferente. El estándar de seguridad de la información ISO 27001 estableció como criterios para definir la seguridad de la información que para considerarla asegurada, la información debe de satisfacer tres criterios: confidencialidad, disponibilidad e integridad. Esta tríada, ampliamente conocida en el mundo de las Tecnologías de la Información como CIA, por las siglas en inglés (Confidenciality, Integrity, Availability) definen los atributos que la información debe poseer para considerarla segura. Así que técnicamente, seguimos en el tema. Es importante considerar aquí que la probabilidad de que nuestra información pierda seguridad por daños a la integridad es mucho mayor porque los daños a la integridad son causados normalmente por causas internas. Esto implica un mayor riesgo que debe de ser considerado por el auditor de sistemas.

Mi principal consideración acerca de la integridad de la información es que la estructura de los datos de una organización define su integridad. Esto es así porque cada dato recibe un nombre, un tipo de datos, una longitud y valores permitidos que son específicos para cada organización. Es importante asegurarse que esta definición existe a través de una documentación adecuada y que además ha sido apropiadamente actualizada de acuerdo con los cambios que la afectan. Este punto se dice fácil, pero ha probado ser difícil en múltiples revisiones de auditoría. Los casos que se encuentran van desde que no hay documentación hasta que la documentación no corresponde con el uso que se le da a cada dato.

Es conocido también que una buena práctica de gestión de datos exige asignar la propiedad de los datos a personas específicas. El auditor de sistemas debe entonces verificar que se han definido las personas responsables de realizar y aprobar las definiciones de datos apropiadas que permitan conocer adónde y como se almacenan los datos que se utilizan en los procesos de negocio.

Si se han establecido estos dos elementos, el auditor de sistemas puede entonces entrevistar a los responsables de los datos, tanto desde el punto de vista técnico como funcional, establecer cuáles son los datos más críticos de la organización y proceder a preparar pruebas, utilizando la información de la definición de los datos, que permitan establecer que se mantiene una integridad razonable en la organización. Esto es, hablando en términos técnicos que el 100% de los datos cumplen con la definición de los mismos y que no se tienen valores fuera de rango, valores nulos, referencia a valores inexistentes, registros huérfanos y demás. Este valor esperado de 100% de datos conforme a la norma es difícil de cumplir por múltiples razones, que van desde mala digitación y malos controles de aplicación hasta errores en las aplicaciones. Muchas veces, al realizar la evaluación de la integridad y encontrar deficiencias en los datos, es más importante determinar porque se dio la diferencia para determinar la causa raíz de la falta de integridad y proceder a implementar una solución que elimine el problema de integridad para el elemento auditado, así como para futuros cambios que se realicen en la estructura de los datos. Por ejemplo, si un programa está guardando mal la información y esto causa que no se almacene un dato, el auditor de sistemas debe de identificar el error en el programa como la causa raíz y acordar con la Gerencia de Sistemas un plan de implementación para corregir el programa y evitar que se siga repitiendo el daño a la integridad de la información.

Auditar la integridad de los datos de una organización es una de las tareas más difíciles para un Auditor de Sistemas, debido al tamaño de los sistemas de información utilizados hoy en día, la complejidad de reglas de negocio que se le aplican a los datos y la falta de cumplimiento de buenas prácticas como la asignación de responsables y la documentación adecuada.

La Administración Segura de los Recursos de TI

Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.

Los Diferentes Ángulos de la Seguridad de la Información

Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.

La Gestión de la Seguridad de la Información

Escribo este blog en abril de 2014. Este mes, ha sido excepcional para el área de la Seguridad de la Información, debido al descubrimiento de una vulnerabilidad en una implementación del protocolo SSL que podría haber proporcionado una gran capacidad a un potencial atacante para penetrar en servidores y tener acceso a información que no debería de ser conocida. Es un hecho que los conocedores de seguridad se han quedado perplejos ante las dimensiones de la vulnerabilidad detectada. Pero todavía más relevante, es el hecho de que la pieza de código afectada fue publicada en mayo del año 2012, por lo que ha estado operando por 2 años sin que se detectara esta vulnerabilidad. Es importante mencionar que la vulnerabilidad es indetectable desde cualquier infraestructura privada, porque existe en el enlace de comunicaciones, que es público y por lo tanto, se tenía que realizar una prueba de penetración muy detallada, para interceptar los paquetes de información “encriptados” y detectar una forma de acceder a la información que se estaba transportando. Esto ilustra la complejidad del tema de la seguridad. Varias acciones de remediación pueden realizarse en las empresas vulnerables a este problema. Se habla de renovar certificados, de realizar los parches correspondientes, de actualizar palabras secretas (passwords) y cosas similares. Pero si analizamos desde el punto de vista de la Gestión de la Seguridad de la Información, estamos hablando de las mismas actividades que se definen, ejecutan, monitorean y ajustan en un Plan de Seguridad. Esto constituye un indicador claro de la efectividad que proporciona el tener formalmente implementado un Plan de Seguridad de la Información, incluyendo su revisión bianual por parte de un auditor certificado. Es inconcebible, por ejemplo, que en este caso en el que se ha tenido una exposición de más de dos años, los passwords y los certificados sigan siendo los mismos, cuando es una recomendación primaria de seguridad de la información la renovación frecuente. Este es un principio básico, mediante el cual renuevo el mecanismo de seguridad al actualizarlo, logrando que si las credenciales de autenticación han sido comprometidas, la vulnerabilidad generada quede sin efecto al descartarlas. Quiero recalcar aquí, que hasta la tarea de concientización sobre la seguridad de la información es importante. Si tomamos como ejemplo el cambio de passwords, a muchas personas no les gusta o no entienden la necesidad de realizar el cambio y ven la tarea como una tediosa y ridícula petición de la Gerencia de TI. He visto como en algunos lugares se implementa la autenticación con dos factores, lo cual incrementa el trabajo de ingreso a un sistema para el usuario, por lo que para no ser tan autoritativos o molestos, se proporciona como una opción para los usuarios que quieran estar más seguros. Puesto en estos términos, la tasa de usuarios que deciden pasar por el trabajo de utilizar el segundo factor de autenticación resulta baja. Esto definitivamente no es servicio al cliente, en términos de seguridad. Se debe de entender claramente que los usuarios en una organización no son los dueños de la información, por lo cual, deben de acatar todos las regulaciones establecidas para tener segura la información de la organización, que es el fin último de la medida. Todavía más allá, la concientización debe ayudar a dejar claro a un usuario sobre las amenazas existentes, la existencia de posibles vulnerabilidades, haciendo énfasis en esta naturaleza probabilística de su existencia, estableciendo que podrían existir o no, más sin embargo, las medidas de seguridad nos ayudan a estar preparados, logrando prevenir su ocurrencia, detectar su materialización o disminuir su impacto en el logro de objetivos. Así vemos que hasta la tarea de concientización tiene un rol importante en la gestión de la Seguridad de la Información. Por supuesto, medidas más técnicas, como las implementadas en la red de comunicaciones, la utilización de software antivirus, la ejecución de respaldos, la creación de un plan de contingencia y demás, deben de formar un Plan de la Seguridad de la Información completo, que identifique, mitigue y responda a eventos que pongan en peligro la pérdida de confidencialidad, integridad o disponibilidad de nuestra información.

La Evaluación de los Procesos de TI

Esta semana ISACA liberó los libros de evaluación de los procesos de TI de la versión 5 de COBIT. Los libros incluyen tanto el modelo de evaluación, como la guía para asesores y herramientas de diagnóstico. Revisando los documentos, recordé los momentos en los que me ha tocado discutir con gerentes de TI sobre el nivel de cumplimiento sobre un determinado proceso y la tendencia que las gerencias de TI tienen a pretender cumplir un requerimiento regulatorio con procedimientos con fallas de diseño, que a veces no son los más efectivos al momento de su implementación y que aunque no están aportando valor a la gestión del negocio, se mantienen porque no existe un criterio que defina el nivel de cumplimiento, especificando qué es y cómo se evidencia, monitorea y evalúa un determinado proceso o control. De alguna manera, esta tendencia es alimentada por pobres requerimientos regulatorios, que emiten la necesidad de implementar  un control, pero no especifican medidas de evaluación objetivas, soportadas por evidencia, que muestren claramente la naturaleza auto evaluadora del control interno y su fin último de mejorar las operaciones del negocio. He visto muy pocas legislaciones que tengan ese nivel de detalle, tal vez contadas con los dedos de una mano.

En el caso de COBIT, desde la versión 4 implemento un Modelo de Evaluación de Procesos, que definitivamente ayuda a establecer una metodología de revisión, que incluso está soportada por un estándar internacional, el “ISO/IEC 15504-2:2003, Information Technology-Process assessment-part 2: Performing an assessment”. Seguir una metodología ayuda a evitar las discusiones sobre el nivel de cumplimiento o el nivel de desempeño que un control de TI debe de tener para ser considerado el necesario para el cumplimiento de los objetivos de negocios de la organización. Es definitivamente algo recomendable.

La implementación exitosa de procesos de TI se puede lograr en ambientes en los que la evaluación se entiende como un proceso independiente de aseguramiento de que los controles de TI cumplen con los requerimientos establecidos, tienen criterios de diseño bien definidos y estos son cumplidos y se ejecutan con un nivel de desempeño adecuado para el cumplimiento de los requerimientos del negocio. Esto deja claro que debe de existir en la Gerencia de TI el conocimiento de las variables por las que serán evaluados los procesos de TI y debe de ser parte de sus funciones el asegurar su implementación, funcionamiento, así como la mejora el desempeño.

La Gerencia de TI debe de pensar de manera integral la implementación de procesos de TI, teniendo una idea clara de los procesos de TI que requiere, del nivel de implementación requerido y de la forma en la que debe de autoevaluar el funcionamiento de los procesos. Esto proporciona una ruta de mejora, que permitirá a la función de TI desarrollarse mejor. Esta claridad también permitirá la división de funciones, asignando tareas de diseño e implementación a unas personas y permitiendo el ingreso de evaluadores independientes a realizar la evaluación de los procesos. Esta es la forma en la que un Framework como COBIT ayuda a comunicarse mejor, entender qué se está evaluando, aportar objetividad y facilitar la mejora continua.

Revisión de las políticas de TI

Con el inicio del año, las revisiones del trabajo realizado resultan pertinentes. Esto incluye la revisión de las políticas de TI. En muchas Gerencias de Informática, se plantea esta tarea como un hito a solventar, en períodos de tiempo que muchas veces son menores a un mes. Como resultado, la revisión no es concluida en el tiempo previsto o no es realizada de manera total. Para realizar bien un proceso de revisión de políticas de TI debemos de entender bien lo que implica, quienes son los involucrados y cuál es el ritmo que debemos de seguir a efectos de tener un marco de control interno de TI actualizado y eficaz.
Todos sabemos que la creación inicial de políticas de TI es una tarea difícil, que a veces toma meses o años de realización. En el desarrollo mismo del proyecto de creación inicial de las políticas de TI ocurren cambios al entorno tecnológico, en el contexto del negocio y en las amenazas externas que percibimos. Por esta razón, es muy probable que al terminar las políticas de TI estas ya requieran de cambios para solventar los nuevos retos. La actualización de las políticas debe de tener como objetivo el cubrir por lo menos el mismo número de riesgos que se pretendió cubrir al momento de su creación. Esto convierte en relevante la actualización permanente de la matriz de riesgos tecnológicos de la organización. Cambios en la matriz indican necesariamente cambios en las políticas de TI. Como ya sabemos, la evaluación de riesgos es una actividad permanente. Si algo es fundamental para la correcta gestión de TI es no dejar pasar desapercibidos los nuevos riesgos que aparecen en la gestión de TI. No hacerlo implica muchas sorpresas para la Gerencia de TI, que van desde el uso ineficiente de los recursos o sistemas que no funcionan hasta la pérdida de información. Muchos problemas. Por lo tanto, los responsables de monitorear los riesgos de TI serán los primeros en señalar la necesidad de una revisión de políticas de TI. Esto en el sentido amplio significa, la actualización de políticas existentes o la creación de nuevas.
Una práctica de gestión de TI saludable, divide las funciones entre varios individuos. Lo mismo pasa con las políticas. Cada política debe de tener definido a un responsable de la formulación, un revisor y la persona que autoriza. Estos roles, pueden ser desempeñados por equipos de trabajo, dirigidos por el responsable directo de cada rol. Muchas veces, esta interacción entre varias personas o grupos es la causa del retraso en la revisión y aprobación de las políticas de TI. Este es un factor que debe de ser considerado al momento de la planificación de la revisión, estableciendo periodos de actualización, revisión y aprobación. De esta manera, se deduce que más que un punto fijo en el tiempo para revisar todas las políticas, el mejor ritmo a seguir será una programación anual que considere la planificación de las evaluaciones de riesgos y la interacción entre los equipos de formulación, revisión y aprobación. En empresas grandes, con muchas políticas, el ciclo de revisión total podría demorar 2 años. Lo importante es conocer esa ruta de creación y actualización de las políticas y estar atentos a los cambios en las necesidades del negocio para poder contribuir de la mejor manera a la obtención de los objetivos del negocio.

La Seguridad de los Password

Aunque siempre se ha considerado que los passwords son un mecanismo “secreto” para proporcionar seguridad a nuestras acciones en sistemas de información y especialmente a nuestros datos, proporcionando confidencialidad, muy poco se hace para informar a todos los que usamos passwords sobre las amenazas existentes y la vulnerabilidad que presenta este mecanismo de control de acceso.

Revisando la seguridad de sistemas de información, descubrí que muchas herramientas de evaluación de seguridad en las configuraciones de los equipos, lo que realmente hacen es intentar descifrar los passwords y cuando lo logran, declaran el password como “débil”. Esto implica que en el lapso de segundos, algunos passwords pueden ser descifrados y lo sorprendente es la cantidad de cuentas que pueden tener passwords débiles en un sistema. Entonces, considerando esta situación de passwords descifrables en segundos y la existencia de hackers que utilizan programas para buscar estas cuentas y a partir de ahí revisar cuales pueden ser explotables, apropiándose de sus privilegios dentro del sistema, tenemos una situación de riesgos que en la mayoría de empresas podría ser alta. Este hecho definitivamente amerita la atención de la Gestión de TI.

A partir de esta realidad, lo que corresponde es revisar nuestra política de creación de passwords. Un factor determinante de la política, aunque no el único, es el tamaño. La teoría de cifrado de passwords se basa en la creación de algoritmos confiables, pero públicos, con los cuales se crea un texto cifrado a partir del texto legible para el usuario. El hecho de que el algoritmo sea conocido, aparte de aportar confianza al método usado, también proporciona un medio para que se creen algoritmos de descifrado de passwords. Adicionalmente, un hacker puede optar por la “búsqueda exhaustiva” de todas las posibles opciones, lo cual es cada vez más soportado por la capacidad de computo existente. Este último elemento principalmente, justifica que los passwords utilizados tengan como mínimo 12 caracteres. Existe un sitio web: http://howsecureismypassword.net, donde se pueden probar los passwords y saber que tan fácil o difícil es el descifrado de un password, a partir del tiempo que tomará en descifrarlo.

Si nos ponemos del lado del usuario, la dificultad de recordar un password es lo que los lleva normalmente a escoger una palabra pequeña como password. El promedio letras que podemos encontrar en un password es de 6 a 8 letras. Una recomendación, que podría ser parte de la política, es el utilizar cuatro letras de tres palabras que le sean familiares al usuario y armar el password separando cada grupo por un carácter especial o número. Esta regla aunque se oye difícil, en realidad es fácil de mostrar. Por ejemplo, si yo quiero que la frase “Libros Ciencia Ficción” sea la base de la creación de mi password, puedo terminar con el password lbrs_cnci_fcco, que de acuerdo al sitio antes mencionado, le tomaría a una computadora personal trescientos mil años descifrarlo. Esto hace de este password un éxito. Si usamos una parte de este password, por ejemplo lbrs_cnci, el tiempo cae gramáticamente a 22 horas. Esto es con 9 caracteres. Prueben combinaciones más pequeñas y más largas para entender las variaciones y apliquen lo que aprendan en afinar su política de creación de passwords y el trabajo de enseñar estos elementos de seguridad a los usuarios. En el caso de los passwords de servidores y bases de datos debería de ser mandatorio el crear passwords de más de 12 caracteres, incluyendo además caracteres especiales. El password es un elemento de la seguridad de los sistemas de información que depende totalmente de los humanos, por lo que se debe de implementar correctamente a través de políticas agresivas, que mantengan seguros todos los puntos de acceso a la infraestructura tecnológica de una organización.

La Clasificación de la Información.

Muchos incidentes de seguridad de la información pasan porque no se tiene idea de lo sensitivo que la información es para la empresa. La Gestión de TI tiene que ser proactiva en definir niveles de sensibilidad de la información y clasificar toda la información que administra. Esta tarea, permite definir riesgos reales, como lo ve la Alta Dirección, a la vez que proporciona el valor real de la información y la justificación para las inversiones en tecnología.

La Gestión de TI debe tener claro en primer lugar que su razón de ser es el negocio. Todos los frameworks y metodologías de gestión de TI, hacen énfasis en que en primer lugar, los procesos de negocios tienen que ser evaluados, para identificar los requerimientos de TI del negocio. Inmediatamente después pasan a centrarse en el modelo de información que soportará las operaciones de negocio. Luego, un elemento importante del modelo de información, es la clasificación de la información. Esta tarea, consiste en identificar cada pieza de información que se administra en la empresa y discutir con el negocio el nivel de acceso, en términos de poder verla, poder modificarla o eliminarla y las áreas internas y externas de la organización que usarán este acceso. Cuando vemos en los organismos de inteligencia de las grandes naciones que utilizan términos como “secreto” o “top secret”, no asumimos ese nivel de confidencialidad en nuestra información, por no poner en riesgo ventajas estratégicas en términos de planes de competitividad entre naciones, que incluso algunas veces son de carácter bélico. Sin embargo, la Gestión de TI tiene que interiorizar que el término “confidencialidad” aplica a todas las organizaciones. Hay que considerar varios aspectos. La Gestión de TI debe estar clara que en el ámbito comercial, prácticamente se libra una guerra todo el tiempo, en la cual, se trata de ganar a nuestra competencia con los mejores precios, los mejores servicios, las mejores ventajas, etc. Por ejemplo, la planificación de una estrategia de mercado, que incluye publicidad, preparación del producto o servicio y toda una actividad de divulgación interna, para asegurarse de que todos los empleados entienden que se le ofrece al cliente, se puede arruinar, si es conocida previamente por la competencia. Esto se puede dar si alguna presentación de entrenamiento o de discusión de la estrategia es sacada del ámbito de la empresa y compartida con alguien externo, ya sea intencionalmente o no. Esto implica, que la Gestión de TI debe de considerar la información, no sólo las bases de datos. Esto es, identificar claramente la información a clasificar, en todas sus posibles formas de uso y crear instrucciones específicas hacia el personal de la organización sobre la clasificación de la información existente y que tiene que ser observada sobre la información en todas sus presentaciones. Algo que aporta mayor relevancia a esta actividad es cuando la empresa administra información de otros, por ejemplo, los clientes, cuya información no debería de ser divulgada por nosotros. Información sensitiva que podría existir en nuestras bases de datos incluye datos personales de identificación de clientes y datos de tarjetas de crédito, que incluso poseen normativa especial para su manipulación (PCI DSS – Payment Card Industry Data Security Standard), con el fin de asegurar que no existan brechas de seguridad que lleven a divulgar esta información. Hay que notar, que si existen estándares, la Gerencia de TI podría exhibir negligencia en no aplicarlos, si son pertinentes para la organización.

Controles Sobre Los Datos.

Aunque los datos de una organización residan en Bases de Datos de última tecnología, con altas prestaciones en cuanto a características de seguridad, siempre se tiene que planificar e implementar controles para mitigar el riesgo de que nuestros datos pierdan integridad, confidencialidad o disponibilidad. Muchos gerentes o presidentes de empresas, mantienen la duda sobre la confiabilidad del manejo que las Gerencias de TI realizan. Si la organización es grande, muchas veces las tareas del manejo de datos son asignadas a más de una persona, por lo que la duda recae sobre la organización, procedimientos, estrategias de segregación de tareas y controles definidos para darle seguimiento al mantenimiento saludable de los datos. Las Gerencias de TI tienen que realizar no solo la tarea operativa de coordinar el manejo de los datos, sino también la proactiva demostración hacia la Alta Dirección de la efectividad y transparencia con la que se están administrando los datos. Es muy mala señal, cuando un Auditor de Sistemas pregunta por las políticas y procedimientos de administración de bases de datos y estos no existen. El primer mensaje que se proyecta con este hallazgo es que no se han configurado controles de una manera consciente. Posiblemente existirán controles, porque los técnicos de TI, en cada nivel, a partir de su conocimiento y las características del software que implementen, seguramente activaran algunos controles, llevando la administración de datos a un estado que podría denominarse inicial y de ser muy consistente y seguro, repetible, pero no documentado.  Los Gerentes de TI deben de tener presente una premisa. Sin importar el tipo de organización que se trate, la confianza inicial en el manejo de datos ha sido asignada a ellos, a partir de que es un experto en la gestión de Tecnologías de la Información, pero es su responsabilidad el mantener e incrementar esa confianza a través del establecimiento de políticas y procedimientos que demuestren claramente como se garantiza la efectiva Administración de Datos. Internamente, la Dirección de TI también debe de organizar el proceso de Administración de Datos, de manera que se garantice que técnicamente se están aprovechando las funcionalidades del software administrador de bases de datos, que se han asignado las responsabilidades, que se han documentado todas los diseños relacionados con los datos (diagramas entidad – relación, reglas de transformación de datos, migraciones de datos y similares). Es importante también que las Gerencias de TI propicien el compartimiento de responsabilidades en cuanto a la seguridad de los datos. No hay nada más sospechoso que una Dirección de TI que administra de manera secreta los datos. Secreta para su Junta Directiva, para su Oficial de Seguridad, para su departamento de Auditoría o para cualquier otro mecanismo de control establecido por la Alta Dirección. En realidad, este tipo de organismo debe de formar parte operativa del proceso de Administración de Datos, realizando un rol de verificador de puntos críticos que permitan demostrar la transparencia en el manejo de datos. En organizaciones maduras en el manejo de datos, los Oficiales de Seguridad son los responsables de asignar y monitorear los permisos de acceso a los datos. Esto garantiza que cada función tiene los privilegios que necesita, que usuarios privilegiados no abusan de sus privilegios. De igual manera, se involucran ya sea a un Oficial de Seguridad o a un Oficial de Riesgos en el monitoreo de las bitácoras de auditoría de la bases de datos. Esta segregación de funciones sobre los datos, permite percibir un ambiente de alto control sobre los datos, especialmente cuando al descubrir hallazgos, se ven todos como parte de un mismo equipo que trabaja precisamente para identificar comportamientos anómalos en la gestión de datos.

A %d blogueros les gusta esto: