Archivo del sitio
La Gestión de la Seguridad de la Información
Escribo este blog en abril de 2014. Este mes, ha sido excepcional para el área de la Seguridad de la Información, debido al descubrimiento de una vulnerabilidad en una implementación del protocolo SSL que podría haber proporcionado una gran capacidad a un potencial atacante para penetrar en servidores y tener acceso a información que no debería de ser conocida. Es un hecho que los conocedores de seguridad se han quedado perplejos ante las dimensiones de la vulnerabilidad detectada. Pero todavía más relevante, es el hecho de que la pieza de código afectada fue publicada en mayo del año 2012, por lo que ha estado operando por 2 años sin que se detectara esta vulnerabilidad. Es importante mencionar que la vulnerabilidad es indetectable desde cualquier infraestructura privada, porque existe en el enlace de comunicaciones, que es público y por lo tanto, se tenía que realizar una prueba de penetración muy detallada, para interceptar los paquetes de información “encriptados” y detectar una forma de acceder a la información que se estaba transportando. Esto ilustra la complejidad del tema de la seguridad. Varias acciones de remediación pueden realizarse en las empresas vulnerables a este problema. Se habla de renovar certificados, de realizar los parches correspondientes, de actualizar palabras secretas (passwords) y cosas similares. Pero si analizamos desde el punto de vista de la Gestión de la Seguridad de la Información, estamos hablando de las mismas actividades que se definen, ejecutan, monitorean y ajustan en un Plan de Seguridad. Esto constituye un indicador claro de la efectividad que proporciona el tener formalmente implementado un Plan de Seguridad de la Información, incluyendo su revisión bianual por parte de un auditor certificado. Es inconcebible, por ejemplo, que en este caso en el que se ha tenido una exposición de más de dos años, los passwords y los certificados sigan siendo los mismos, cuando es una recomendación primaria de seguridad de la información la renovación frecuente. Este es un principio básico, mediante el cual renuevo el mecanismo de seguridad al actualizarlo, logrando que si las credenciales de autenticación han sido comprometidas, la vulnerabilidad generada quede sin efecto al descartarlas. Quiero recalcar aquí, que hasta la tarea de concientización sobre la seguridad de la información es importante. Si tomamos como ejemplo el cambio de passwords, a muchas personas no les gusta o no entienden la necesidad de realizar el cambio y ven la tarea como una tediosa y ridícula petición de la Gerencia de TI. He visto como en algunos lugares se implementa la autenticación con dos factores, lo cual incrementa el trabajo de ingreso a un sistema para el usuario, por lo que para no ser tan autoritativos o molestos, se proporciona como una opción para los usuarios que quieran estar más seguros. Puesto en estos términos, la tasa de usuarios que deciden pasar por el trabajo de utilizar el segundo factor de autenticación resulta baja. Esto definitivamente no es servicio al cliente, en términos de seguridad. Se debe de entender claramente que los usuarios en una organización no son los dueños de la información, por lo cual, deben de acatar todos las regulaciones establecidas para tener segura la información de la organización, que es el fin último de la medida. Todavía más allá, la concientización debe ayudar a dejar claro a un usuario sobre las amenazas existentes, la existencia de posibles vulnerabilidades, haciendo énfasis en esta naturaleza probabilística de su existencia, estableciendo que podrían existir o no, más sin embargo, las medidas de seguridad nos ayudan a estar preparados, logrando prevenir su ocurrencia, detectar su materialización o disminuir su impacto en el logro de objetivos. Así vemos que hasta la tarea de concientización tiene un rol importante en la gestión de la Seguridad de la Información. Por supuesto, medidas más técnicas, como las implementadas en la red de comunicaciones, la utilización de software antivirus, la ejecución de respaldos, la creación de un plan de contingencia y demás, deben de formar un Plan de la Seguridad de la Información completo, que identifique, mitigue y responda a eventos que pongan en peligro la pérdida de confidencialidad, integridad o disponibilidad de nuestra información.
BYOD: ¿Será un problema en la Industria Salvadoreña?
BYOD, Bring your own device, es un problema de los países que han experimentado un gran desarrollo en sus servicios de telefonía móvil y que además cuentan con usuarios con poder adquisitivo alto como para adquirir dispositivos móviles de alta gama, que luego pretenden conectar a las redes de datos empresariales, originando un problema de seguridad difícil de manejar si no se toman previsiones para su correcta administración. La duda que surge es si resulta aplicable a la realidad salvadoreña, por no tener aún servicios telefónicos de primer mundo, al menos no a precios razonables, así como por el bajo poder adquisitivo de la población. La respuesta es que este ya es un problema hasta en los colegios, no se diga en los medios empresariales. La capacidad de los dispositivos móviles, aunque no sean de alta gama, así como la proliferación de dispositivos de bajo precio, pero con capacidades de conectividad alta, han logrado que en muchas empresas los empleados ya cuenten con estos dispositivos y los lleven a sus empresas y con o sin permiso de la Gestión de TI los integren a la red de datos. Este panorama pone riesgos en las empresas que podrían no estar preparadas para tratar con estos problemas de seguridad. Mi recomendación es que los Administradores de Red pongan atención detallada a el desempeño de su red, llevando estadísticas de usuarios y dispositivos conectados en todo momento, de tal manera que pueda detectar incrementos en el número de conexiones, para analizar la fuente de las conexiones extras y evaluar su conveniencia o no para el negocio. En algunas empresas, esta tendencia negativa, ha sido aprovechada para el bien del negocio. Por ejemplo, si la fuerza de ventas comienza a adquirir este tipo de dispositivos, ¿Porqué no aprovecharlos para potenciar las ventas? Esto se puede hacer creando estrategias publicitarias apoyadas por medios sociales, a los cuales la fuerza de ventas ya tiene acceso.
Personalmente pienso que prepararse para este nuevo reto de la mejor manera implica comenzar un proceso de diferenciación entre la información y el medio para acceder a ella. Tradicionalmente, se ha accedido a la información a través de computadoras de escritorio, luego fue a través de laptops o mini computadoras. Ahora el medio se esta volviendo más versátil, pudiendo ser una Tablet o un teléfono. Esto proporciona a los que trabajan con la información la capacidad de tener la mayor versatilidad posible, de acuerdo a la situación en la que se encuentre, ya sea en su empresa, en su hogar, en un aeropuerto, un hotel, viajando, etc. Por esta razón, un enfoque basado en la Administración de la Información pondría la información en un lugar accesible a todos estos medios, pero con la seguridad necesaria para que sea utilizada sólo por los usuarios autorizados, independientemente del dispositivo que se use para llegar a ella. Cuando uno piensa en la cantidad de sistemas cliente servidor aún funcionando o en los sistemas web que no han sido diseñados para desplegarse en varios dispositivos, podemos concluir que pasar a la modalidad de Administrar la Información independiente del dispositivo es un camino que requiere la atención de la Gestión de TI, para estar preparados para manejar efectivamente el uso de dispositivos móviles de comunicación en las empresas e incorporar una política efectiva de BYOD.
La Detección de Incidentes de Seguridad.
Sin importar el tamaño de la organización, la Gestión de TI debe de aprender a identificar, documentar, manejar, remediar y cerrar incidentes de seguridad. La imagen que más se viene a la memoria cuando hablamos de hoyos en la seguridad, es la de un recipiente con agua, que tiene varios agujeros, por los cuales el agua, nuestra información, se está saliendo. En el caso de la seguridad de la información, lo agravante es que la Gestión de TI podría no saber de la existencia de estos agujeros o de cuantos son. A través de incidentes de seguridad se pueden causar todo tipo de daños y crearse la causa raíz de múltiples problemas que afecten la disponibilidad, en primer lugar, así como la integridad y la confidencialidad de nuestra información.
Lo primero que tenemos que tener conciencia es que cuando iniciamos operaciones con cualquier sistema e infraestructura tecnológica, sin importar lo planificado y detallado del proceso de implementación, estamos iniciando un proceso de mantenimiento continuo, que si se hace efectivamente, debe de ser más proactivo que reactivo. Por lo tanto, en el momento que se inician las operaciones, deben de iniciar los procesos de monitoreo de las variables que más nos interesa controlar. La seguridad es definitivamente una de estas variables. La tendencia tradicional es el monitorear variables relacionadas con el desempeño. Esto tiene su causa en que cuando el desempeño baja y los usuarios lo notan, estos se encargan de que el departamento de TI conozca de las dificultades. Por esta razón, el comportamiento normal, dentro de las operaciones de TI será siempre asignar más recursos y hacer más énfasis en mantener las operaciones funcionando a un nivel de desempeño aceptable. Sin embargo, al iniciar operaciones, también se empezará a atraer a todas las amenazas a la seguridad de la información existentes. Hace algunos años, los virus por ejemplo, causaban estragos en los computadores, buscando especialmente inutilizar servidores de una manera sistemática. Debo decir que este tipo de incidentes, aunque se evaluaba como catastrófico, eran superables con una muy buena política de respaldos y el mantenimiento de imágenes de los servidores más críticos, que permitieran un restablecimiento en un tiempo razonable. En algún momento, el proceso de reinstalar servidores llego a ser rutinario para la Gestión de TI. Hoy día, la Gestión de TI se enfrenta a amenazas más sofisticadas, de hackers que no están pensando solo en dañar nuestra infraestructura, o extraer información, sino que evalúan que se puede explotar de nuestra información y en caso de no existir nada “de valor” para ellos, secuestran sigilosamente nuestros equipos para usarlos de base en el lanzamiento de ataques hacia otros lugares. Esto último podría hacer ver nuestro negocio como “el hacker” que está atacando a otros objetivos.
Es de suma importancia que la Gestión de TI, a la vez que mantiene un desempeño aceptable de las aplicaciones y la infraestructura, mantenga un registro de los eventos que pueden relacionarse con la seguridad y define un espacio de atención hacia aquellos que muestran repetitividad o han atacado la infraestructura más crítica. Aunque esta labor es parte de las responsabilidades de un Oficial de Seguridad (ISO – Information Security Officer), como ya es conocido que en los medios salvadoreños y centroamericanos no todas las empresas han definido aún esta plaza, es recomendable que estas asignen responsabilidades específicas sobre la seguridad de la información y el registro y seguimiento de incidentes. Lo importante es que aunque no se esté trabajando el tema integralmente, generando políticas y monitoreando cumplimiento e incidentes, si se tenga la información correspondiente a eventos que afecten la seguridad y de una manera periódica se le preste atención al tema, con el objetivo de mantener el estado “seguro” de la información. Esta labor podría ser abordada por un equipo que evalué los diferentes aspectos de cada incidente y cree las recomendaciones para lograr evitar que el mismo incidente se repita y aun mejor, prevenir que los incidentes de seguridad ocurran.
Gestión y Auditoría de TI 