Archivo del sitio
Controles para la Seguridad de la Información
Sin importar el tipo o tamaño de una empresa, todas pueden ser impactadas por fallas en la gestión de la seguridad. El efecto final puede ser experimentado de diferentes formas, como daños a sus equipos, pérdida de información o una disminución en los tiempos de respuesta de los equipos utilizados por los empleados para trabajar. Los usuarios finales normalmente se quejarán de estos problemas diciendo cosas como “no hay sistema”, “el sistema está lento” o “¿No encuentro mis datos?”. El impacto en el negocio dependerá de qué tan crítico sea el momento en el que no hay sistema, o en el que la respuesta es lenta o de la importancia de los datos perdidos.
La Gerencia de Sistemas debe poner la debida atención a entender y analizar los riesgos relacionados con la seguridad de la información y a establecer todos los controles necesarios que permitan reducir la posibilidad de que eventos no deseados les impacten. Durante muchos años he sido testigo de muy buenas intenciones de muchos gerentes de sistemas para establecer los controles necesarios para brindar seguridad a la información de su organización, pero estas intenciones no son compartidas con los gerentes generales o gerentes financieros, que objetan iniciativas, por considerar que los gastos son excesivos. Los segundos a veces cambian de mentalidad cuando se ha sufrido un ataque que implicó pérdidas financieras, daños a la reputación o serios retrasos en las operaciones.
En todo caso, para tranquilidad de todos, los Gerentes de Sistemas tienen que realizar un análisis de riesgos de seguridad de la infraestructura y presentar a la organización el listado de posibles amenazas visualizadas, estableciendo su probabilidad de ocurrencia y el impacto que tendría cada una de ellas en las operaciones, a efectos de que sea claramente entendible por todos la ventaja o desventaja de establecer un control adicional, aunque esto requiera de alguna inversión. Esta práctica es efectiva para visualizar los riesgos, pero debe optimizarse a través de la identificación de controles que permitan, a un costo razonable, mitigar el riesgo.
Los riesgos, para ser entendidos, deben de ser expresados en función de la jerga del negocio. Por ejemplo, si se enuncia como una amenaza el que un virus tome control de un servidor y lo deje inoperante, nuestro riesgo real es que los negocios que se realizan con las aplicaciones existentes en ese servidor se vean interrumpidos porque el servidor fue atacado por un virus. Establecer el impacto en función de la amenaza de perder o retrasar el ingreso de efectivo si llevará al negocio a invertir en tener un sistema antivirus instalado en el servidor y en equipos clientes que tengan relación con el mismo. Si bien en este caso el control primario es el sistema antivirus, y este representa una inversión, se debe de ser muy analítico para decidir la conveniencia o no de implementar controles adicionales, que tal vez no incluyan inversión, pero que requieren del cuidado del personal. Pongamos un par de ejemplos. Si consideramos que para garantizar el éxito de un antivirus, este debe de estar actualizado, tanto en su software, como en las definiciones de virus, podemos entender que es necesario asegurar que la persona responsable del mantenimiento del software antivirus, realiza revisiones rutinarias que verifiquen que el software está funcionando y que resuelva cualquier problema que cause que la solución de antivirus no funcione de la mejor manera posible. Estas revisiones también constituyen un control. Los gerentes deben de exigir a los técnicos que realizan estas funciones que dejen evidencia del monitoreo realizado y de acciones correctivas que se han tomado. Un segundo control podría ser la restricción de utilizar dispositivos de memoria usb en equipos sensitivos. Aquí la decisión debe ser basada en el siguiente razonamiento “Si los puertos usb no son necesarios para mi negocio, los bloqueo”. Esto reduce la posibilidad de que un virus entre directamente al equipo por estos dispositivos. Este control nos llevaría a desactivar la capacidad de que los usuarios administren sus equipos y por lo tanto no puedan sobrepasar la configuración que desactive los puertos usb. También para esto es necesario tener un control del número de equipos existentes en la organización, para garantizar que en todos está debidamente configurada esta configuración.
Como el lector podrá deducir, la amenaza de un virus, estaría siendo mitigada con tres controles. Uno requiere inversión, pero los otros dos requieren de la definición de prácticas de trabajo que ayuden a confirmar la efectividad de la inversión realizada en el antivirus. No implementar estos controles adicionales podría ponernos en la situación en la que se ha invertido en un software de antivirus y aun así se materializa el riesgo.
Esto nos lleva a la conclusión de que los controles de seguridad no están basados totalmente en la inversión que realiza una organización, sino más bien en la aplicación constante de un análisis de los riesgos existentes y la adopción de medidas que mitiguen al máximo la posibilidad de ocurrencia.
El Proceso de la Seguridad de la Información.
La cantidad de amenazas existentes para los sistemas de información es abundante. Por si la cantidad no fuera de por sí un factor de peso, la renovación de las amenazas se convierte en un verdadero problema para los Gerentes de TI, que tienen entre uno de sus objetivos, el mantener segura la información de la organización y evitar riesgos que dañen la imagen, interrumpan o retrasen el cumplimiento de los objetivos de negocio.
Muchas tareas se ponen en riesgo por amenazas a la seguridad de la información. Desde enviar correos, hasta la reinstalación de servidores por fallas causadas por virus y software malintencionado. El simple uso de Tecnologías de la Información, en todas sus formas, expone a una empresa a las amenazas relacionadas con la Seguridad de la Información. Pero si la empresa maneja información que pueda ser atractiva a un atacante, como información relacionada con tarjetas de crédito, información financiera, datos personales y similares, la principal amenaza es que esa información salga de la empresa sin autorización. Los esquemas de ataque en esta última forma son extensos y cambiantes. Incluso instituciones con grandes capacidades de investigación, tienen dificultades para detectar, detener y mucho más para procesar penalmente a un atacante que realice estas acciones.
Una empresa en El Salvador, aún con presupuestos y alcances limitados, está expuesta a estos ataques sí utiliza Tecnologías de la Información, tiene enlaces con el mundo y tiene información de clientes que debe protegerse. Es importante entonces, mantener un perfil activo de la seguridad de la información, no esperando sorpresas, sino más bien, analizando periódicamente las vulnerabilidades existentes, definiendo y ejecutando medidas de eliminación de riesgos y evaluando los resultados obtenidos. Este ciclo, muy conocido para los que trabajan pensando en la mejora continua, es una ruta simple de protección, que también permite aprovechar las inversiones realizadas en TI. Por ejemplo, la adquisición de un sistema de antivirus puede ser una inversión inefectiva, si una semana después de instalado el sistema, las definiciones de antivirus no han sido actualizadas, dejando expuesta la organización a los nuevos virus. Es típico, que una máquina “crítica” falle, por este fenómeno. Es fácil darse cuenta, que la inversión en el software de antivirus es sólo parte de la solución. Podría decirse que ese es el paso inicial. El proceso de verificación de su efectividad, su correcta aplicación y configuración es mucho más importante para lograr la mitigación de riesgos.
Todo el tema de la Seguridad de la Información debe tratarse de esa manera, como un proceso. No como una solución basada en la adquisición de nuevos dispositivos y software. Temas tan básicos en la Administración de la Seguridad, como el control de accesos a recursos tecnológicos puede salirse del adecuado control sin un proceso continuo de evaluación de su efectividad. Aunque la Auditoría de Sistemas ejerce un control sobre la efectividad de los controles, incluyendo los de seguridad, la Gestión de TI no debe de esperar a que una auditoría de TI le indique vacíos. La Seguridad de la Información es un tema “on line”, de tiempo real, que debe de ser incluido en las responsabilidades y tareas a ejecutar por los responsables de la mantener seguras las operaciones de TI y la información de la organización. A quién le corresponde la responsabilidad es un tema adicional a discutir, dado que no necesariamente tiene que ser la Gerencia de TI, pero lo importante es definir los procesos de Seguridad de la Información, a través de un plan que documente las vulnerabilidades existentes, los mecanismos de protección, la ejecución de los mismos y los controles para verificar la efectividad de los planes. Estos planes deberán de ser flexibles en el tiempo, readaptándose para las nuevas condiciones de amenazas y vulnerabilidades detectadas. Definitivamente, una administración de la Seguridad de la Información requieren de un proceso con mucha proactividad de parte de los responsables.
La Seguridad de los Password
Aunque siempre se ha considerado que los passwords son un mecanismo “secreto” para proporcionar seguridad a nuestras acciones en sistemas de información y especialmente a nuestros datos, proporcionando confidencialidad, muy poco se hace para informar a todos los que usamos passwords sobre las amenazas existentes y la vulnerabilidad que presenta este mecanismo de control de acceso.
Revisando la seguridad de sistemas de información, descubrí que muchas herramientas de evaluación de seguridad en las configuraciones de los equipos, lo que realmente hacen es intentar descifrar los passwords y cuando lo logran, declaran el password como “débil”. Esto implica que en el lapso de segundos, algunos passwords pueden ser descifrados y lo sorprendente es la cantidad de cuentas que pueden tener passwords débiles en un sistema. Entonces, considerando esta situación de passwords descifrables en segundos y la existencia de hackers que utilizan programas para buscar estas cuentas y a partir de ahí revisar cuales pueden ser explotables, apropiándose de sus privilegios dentro del sistema, tenemos una situación de riesgos que en la mayoría de empresas podría ser alta. Este hecho definitivamente amerita la atención de la Gestión de TI.
A partir de esta realidad, lo que corresponde es revisar nuestra política de creación de passwords. Un factor determinante de la política, aunque no el único, es el tamaño. La teoría de cifrado de passwords se basa en la creación de algoritmos confiables, pero públicos, con los cuales se crea un texto cifrado a partir del texto legible para el usuario. El hecho de que el algoritmo sea conocido, aparte de aportar confianza al método usado, también proporciona un medio para que se creen algoritmos de descifrado de passwords. Adicionalmente, un hacker puede optar por la “búsqueda exhaustiva” de todas las posibles opciones, lo cual es cada vez más soportado por la capacidad de computo existente. Este último elemento principalmente, justifica que los passwords utilizados tengan como mínimo 12 caracteres. Existe un sitio web: http://howsecureismypassword.net, donde se pueden probar los passwords y saber que tan fácil o difícil es el descifrado de un password, a partir del tiempo que tomará en descifrarlo.
Si nos ponemos del lado del usuario, la dificultad de recordar un password es lo que los lleva normalmente a escoger una palabra pequeña como password. El promedio letras que podemos encontrar en un password es de 6 a 8 letras. Una recomendación, que podría ser parte de la política, es el utilizar cuatro letras de tres palabras que le sean familiares al usuario y armar el password separando cada grupo por un carácter especial o número. Esta regla aunque se oye difícil, en realidad es fácil de mostrar. Por ejemplo, si yo quiero que la frase “Libros Ciencia Ficción” sea la base de la creación de mi password, puedo terminar con el password lbrs_cnci_fcco, que de acuerdo al sitio antes mencionado, le tomaría a una computadora personal trescientos mil años descifrarlo. Esto hace de este password un éxito. Si usamos una parte de este password, por ejemplo lbrs_cnci, el tiempo cae gramáticamente a 22 horas. Esto es con 9 caracteres. Prueben combinaciones más pequeñas y más largas para entender las variaciones y apliquen lo que aprendan en afinar su política de creación de passwords y el trabajo de enseñar estos elementos de seguridad a los usuarios. En el caso de los passwords de servidores y bases de datos debería de ser mandatorio el crear passwords de más de 12 caracteres, incluyendo además caracteres especiales. El password es un elemento de la seguridad de los sistemas de información que depende totalmente de los humanos, por lo que se debe de implementar correctamente a través de políticas agresivas, que mantengan seguros todos los puntos de acceso a la infraestructura tecnológica de una organización.
BYOD: ¿Será un problema en la Industria Salvadoreña?
BYOD, Bring your own device, es un problema de los países que han experimentado un gran desarrollo en sus servicios de telefonía móvil y que además cuentan con usuarios con poder adquisitivo alto como para adquirir dispositivos móviles de alta gama, que luego pretenden conectar a las redes de datos empresariales, originando un problema de seguridad difícil de manejar si no se toman previsiones para su correcta administración. La duda que surge es si resulta aplicable a la realidad salvadoreña, por no tener aún servicios telefónicos de primer mundo, al menos no a precios razonables, así como por el bajo poder adquisitivo de la población. La respuesta es que este ya es un problema hasta en los colegios, no se diga en los medios empresariales. La capacidad de los dispositivos móviles, aunque no sean de alta gama, así como la proliferación de dispositivos de bajo precio, pero con capacidades de conectividad alta, han logrado que en muchas empresas los empleados ya cuenten con estos dispositivos y los lleven a sus empresas y con o sin permiso de la Gestión de TI los integren a la red de datos. Este panorama pone riesgos en las empresas que podrían no estar preparadas para tratar con estos problemas de seguridad. Mi recomendación es que los Administradores de Red pongan atención detallada a el desempeño de su red, llevando estadísticas de usuarios y dispositivos conectados en todo momento, de tal manera que pueda detectar incrementos en el número de conexiones, para analizar la fuente de las conexiones extras y evaluar su conveniencia o no para el negocio. En algunas empresas, esta tendencia negativa, ha sido aprovechada para el bien del negocio. Por ejemplo, si la fuerza de ventas comienza a adquirir este tipo de dispositivos, ¿Porqué no aprovecharlos para potenciar las ventas? Esto se puede hacer creando estrategias publicitarias apoyadas por medios sociales, a los cuales la fuerza de ventas ya tiene acceso.
Personalmente pienso que prepararse para este nuevo reto de la mejor manera implica comenzar un proceso de diferenciación entre la información y el medio para acceder a ella. Tradicionalmente, se ha accedido a la información a través de computadoras de escritorio, luego fue a través de laptops o mini computadoras. Ahora el medio se esta volviendo más versátil, pudiendo ser una Tablet o un teléfono. Esto proporciona a los que trabajan con la información la capacidad de tener la mayor versatilidad posible, de acuerdo a la situación en la que se encuentre, ya sea en su empresa, en su hogar, en un aeropuerto, un hotel, viajando, etc. Por esta razón, un enfoque basado en la Administración de la Información pondría la información en un lugar accesible a todos estos medios, pero con la seguridad necesaria para que sea utilizada sólo por los usuarios autorizados, independientemente del dispositivo que se use para llegar a ella. Cuando uno piensa en la cantidad de sistemas cliente servidor aún funcionando o en los sistemas web que no han sido diseñados para desplegarse en varios dispositivos, podemos concluir que pasar a la modalidad de Administrar la Información independiente del dispositivo es un camino que requiere la atención de la Gestión de TI, para estar preparados para manejar efectivamente el uso de dispositivos móviles de comunicación en las empresas e incorporar una política efectiva de BYOD.
La Detección de Incidentes de Seguridad.
Sin importar el tamaño de la organización, la Gestión de TI debe de aprender a identificar, documentar, manejar, remediar y cerrar incidentes de seguridad. La imagen que más se viene a la memoria cuando hablamos de hoyos en la seguridad, es la de un recipiente con agua, que tiene varios agujeros, por los cuales el agua, nuestra información, se está saliendo. En el caso de la seguridad de la información, lo agravante es que la Gestión de TI podría no saber de la existencia de estos agujeros o de cuantos son. A través de incidentes de seguridad se pueden causar todo tipo de daños y crearse la causa raíz de múltiples problemas que afecten la disponibilidad, en primer lugar, así como la integridad y la confidencialidad de nuestra información.
Lo primero que tenemos que tener conciencia es que cuando iniciamos operaciones con cualquier sistema e infraestructura tecnológica, sin importar lo planificado y detallado del proceso de implementación, estamos iniciando un proceso de mantenimiento continuo, que si se hace efectivamente, debe de ser más proactivo que reactivo. Por lo tanto, en el momento que se inician las operaciones, deben de iniciar los procesos de monitoreo de las variables que más nos interesa controlar. La seguridad es definitivamente una de estas variables. La tendencia tradicional es el monitorear variables relacionadas con el desempeño. Esto tiene su causa en que cuando el desempeño baja y los usuarios lo notan, estos se encargan de que el departamento de TI conozca de las dificultades. Por esta razón, el comportamiento normal, dentro de las operaciones de TI será siempre asignar más recursos y hacer más énfasis en mantener las operaciones funcionando a un nivel de desempeño aceptable. Sin embargo, al iniciar operaciones, también se empezará a atraer a todas las amenazas a la seguridad de la información existentes. Hace algunos años, los virus por ejemplo, causaban estragos en los computadores, buscando especialmente inutilizar servidores de una manera sistemática. Debo decir que este tipo de incidentes, aunque se evaluaba como catastrófico, eran superables con una muy buena política de respaldos y el mantenimiento de imágenes de los servidores más críticos, que permitieran un restablecimiento en un tiempo razonable. En algún momento, el proceso de reinstalar servidores llego a ser rutinario para la Gestión de TI. Hoy día, la Gestión de TI se enfrenta a amenazas más sofisticadas, de hackers que no están pensando solo en dañar nuestra infraestructura, o extraer información, sino que evalúan que se puede explotar de nuestra información y en caso de no existir nada “de valor” para ellos, secuestran sigilosamente nuestros equipos para usarlos de base en el lanzamiento de ataques hacia otros lugares. Esto último podría hacer ver nuestro negocio como “el hacker” que está atacando a otros objetivos.
Es de suma importancia que la Gestión de TI, a la vez que mantiene un desempeño aceptable de las aplicaciones y la infraestructura, mantenga un registro de los eventos que pueden relacionarse con la seguridad y define un espacio de atención hacia aquellos que muestran repetitividad o han atacado la infraestructura más crítica. Aunque esta labor es parte de las responsabilidades de un Oficial de Seguridad (ISO – Information Security Officer), como ya es conocido que en los medios salvadoreños y centroamericanos no todas las empresas han definido aún esta plaza, es recomendable que estas asignen responsabilidades específicas sobre la seguridad de la información y el registro y seguimiento de incidentes. Lo importante es que aunque no se esté trabajando el tema integralmente, generando políticas y monitoreando cumplimiento e incidentes, si se tenga la información correspondiente a eventos que afecten la seguridad y de una manera periódica se le preste atención al tema, con el objetivo de mantener el estado “seguro” de la información. Esta labor podría ser abordada por un equipo que evalué los diferentes aspectos de cada incidente y cree las recomendaciones para lograr evitar que el mismo incidente se repita y aun mejor, prevenir que los incidentes de seguridad ocurran.
Cuando la Seguridad de la Información Falla . . .
La Gerencia de TI siempre se esfuerza por poner en producción sus soluciones. Una mirada a las implicaciones de seguridad de la información lleva a cambiar este objetivo a poner en producción de “forma segura” sus soluciones. Una pequeña investigación sobre casos de violación a la seguridad informática puede poner a reflexionar a la Gerencia de TI sobre la importancia de garantizar que no existen “vulnerabilidades descubiertas” en la infraestructura de TI, que permitan a otros tomar control sobre una parte o todas nuestras operaciones. Dejando los casos extremos en los cuales un hacker toma control sobre los servidores de una empresa, hay muchos puntos de falla que tienen que ser evaluados por la Gestión de TI para poder decir que se controla la seguridad de la información. Hay que analizar el nivel de control de la seguridad de la información a la luz de los criterios de confidencialidad, integridad y disponibilidad. Proporcionar confidencialidad implica que la información puede ser vista solo por el personal debidamente autorizado. Muchas veces se viola este concepto cuando a nivel de la aplicación se inician operaciones utilizando usuarios genéricos, que permiten ingresar y “probar” el funcionamiento de la aplicación. Este usuario a veces es el utilizado en planes de entrenamiento que ha sido prorrogado al ambiente de producción. Como resultado existen usuarios que pueden ver más allá de lo que deberían en una aplicación. El máximo error en este tipo de situaciones se da cuando se usan usuarios con privilegios de administración de la plataforma “para mientras” se termina de configurar la aplicación. En general, este es un principio que se viola más por negligencia en la correcta configuración de permisos, que por intrusiones externas, aunque esta es también una posibilidad que se debe de evitar. Proporcionar integridad significa que los datos no sufrirán cambios que los pongan en un estado incongruente. Esto se genera cuando una aplicación no calcula bien algo o cuando se pierden datos por causas físicas, como las sobrecargas de voltaje y el daño en el equipo. En esta área, la importancia de iniciar el programa de respaldos de datos tan pronto se inicia la operación en producción es crucial. En muchas implementaciones de sistemas los respaldos regulares inician después de la primera pérdida de datos. Es como si se necesitará una experiencia negativa para reforzar la conducta protectora sobre los datos. Implicaciones relativas a los respaldos de datos van más allá que la simple tarea de realizarlos. También se han dado casos en los que se quiere recuperar un respaldo y nos damos cuenta de que este no funciona. En este caso, se tenía una falsa seguridad sobre los datos. Por último, el criterio de disponibilidad se compromete cuando por cualquier causa, el acceso a los datos queda bloqueado a los usuarios. Esta situación se genera cuando los equipos pierden su habilidad de transmitir información debido a virus o ataques de negación de servicio o negligencia en las operaciones que llevan a parar servicios. En este sentido, podemos concluir que hasta el mantenimiento preventivo pasa a ser parte de la seguridad de la información, el correcto dimensionamiento de equipos y el monitoreo proactivo de situaciones que puedan originar una interrupción de los servicios de sistemas de información. La Gerencia de TI debe de balancear los requerimientos operativos con los de seguridad. Ciertamente los usuarios no impondrán mayores requerimientos de seguridad en su información, por lo que la Gerencia de TI debe de establecer un marco normativo que controle todos los aspectos de la seguridad de la información de una manera integral.
Controles Sobre Los Datos.
Aunque los datos de una organización residan en Bases de Datos de última tecnología, con altas prestaciones en cuanto a características de seguridad, siempre se tiene que planificar e implementar controles para mitigar el riesgo de que nuestros datos pierdan integridad, confidencialidad o disponibilidad. Muchos gerentes o presidentes de empresas, mantienen la duda sobre la confiabilidad del manejo que las Gerencias de TI realizan. Si la organización es grande, muchas veces las tareas del manejo de datos son asignadas a más de una persona, por lo que la duda recae sobre la organización, procedimientos, estrategias de segregación de tareas y controles definidos para darle seguimiento al mantenimiento saludable de los datos. Las Gerencias de TI tienen que realizar no solo la tarea operativa de coordinar el manejo de los datos, sino también la proactiva demostración hacia la Alta Dirección de la efectividad y transparencia con la que se están administrando los datos. Es muy mala señal, cuando un Auditor de Sistemas pregunta por las políticas y procedimientos de administración de bases de datos y estos no existen. El primer mensaje que se proyecta con este hallazgo es que no se han configurado controles de una manera consciente. Posiblemente existirán controles, porque los técnicos de TI, en cada nivel, a partir de su conocimiento y las características del software que implementen, seguramente activaran algunos controles, llevando la administración de datos a un estado que podría denominarse inicial y de ser muy consistente y seguro, repetible, pero no documentado. Los Gerentes de TI deben de tener presente una premisa. Sin importar el tipo de organización que se trate, la confianza inicial en el manejo de datos ha sido asignada a ellos, a partir de que es un experto en la gestión de Tecnologías de la Información, pero es su responsabilidad el mantener e incrementar esa confianza a través del establecimiento de políticas y procedimientos que demuestren claramente como se garantiza la efectiva Administración de Datos. Internamente, la Dirección de TI también debe de organizar el proceso de Administración de Datos, de manera que se garantice que técnicamente se están aprovechando las funcionalidades del software administrador de bases de datos, que se han asignado las responsabilidades, que se han documentado todas los diseños relacionados con los datos (diagramas entidad – relación, reglas de transformación de datos, migraciones de datos y similares). Es importante también que las Gerencias de TI propicien el compartimiento de responsabilidades en cuanto a la seguridad de los datos. No hay nada más sospechoso que una Dirección de TI que administra de manera secreta los datos. Secreta para su Junta Directiva, para su Oficial de Seguridad, para su departamento de Auditoría o para cualquier otro mecanismo de control establecido por la Alta Dirección. En realidad, este tipo de organismo debe de formar parte operativa del proceso de Administración de Datos, realizando un rol de verificador de puntos críticos que permitan demostrar la transparencia en el manejo de datos. En organizaciones maduras en el manejo de datos, los Oficiales de Seguridad son los responsables de asignar y monitorear los permisos de acceso a los datos. Esto garantiza que cada función tiene los privilegios que necesita, que usuarios privilegiados no abusan de sus privilegios. De igual manera, se involucran ya sea a un Oficial de Seguridad o a un Oficial de Riesgos en el monitoreo de las bitácoras de auditoría de la bases de datos. Esta segregación de funciones sobre los datos, permite percibir un ambiente de alto control sobre los datos, especialmente cuando al descubrir hallazgos, se ven todos como parte de un mismo equipo que trabaja precisamente para identificar comportamientos anómalos en la gestión de datos.
Gestión y Auditoría de TI 