Tabla de contenidos

Fundamentos de seguridad La seguridad es integral Seguridad física Seguridad tecnológica Políticas y procedimientos Principios esenciales Control de acceso Gestionando el CID Identificación y Autorización No Repudio Conceptos básicos Defensa en Profundidad (DiD) Niveles de Defensa Clasificación de activos y etiquetado Clasificación de los activoss Etiquetado de activos Análisis y valoración de los riesgos Gestión del riesgo Reducción del riesgo Conocer las amenazas Defacement Infiltración Phishing Pharming Amenazas internas Fraude del clic Denegación de Servicio (DoS) Robo y pérdida de datos Ética en la seguridad de la información Reacción a un incidente Auditoría de seguridad de la información Tipos de auditoría Comunicación y transferencia de conocimiento Comunicación con los usuarios Cumplimiento de la documentación Responsabilidades diarias de seguridad

Fundamentos de seguridad

La misión de un administrador de sistemas en el plano de la seguridad, es garantizar la protección de la información crítica de la entidad en que trabaja. La información crítica es aquella cuyo deterioro pone en peligro la continuidad del negocio.

Toda organización tiene una misión. La misión es el objetivo mismo de la empresa. Si la información crítica de la organización se ve comprometida, el resultado puede ir desde un simple inconveniente hasta algo tan grave como la pérdida de la confianza del cliente.

Desgraciadamente, la seguridad no es tomada aún en serio en muchas organizaciones, por diferentes razones. En primer lugar, el coste de la seguridad (en formación, en restricciones, etc.) tiende a considerarse un factor de pérdida de ROI. Por otro lado, en muchas ocasiones, un Administrador de Sistemas es también responsable de seguridad de los mismos sistemas que administra. Esto lleva al trabajador a un dilema: por un lado, como administrador, busca la forma de mantener los servicios disponibles y fáciles de usar para los usuarios; por el otro, como responsable de seguridad debe limitar los servicios y restringir el acceso para asegurar la información. Por lo general, el administrador terminará superponiendo su tarea de administrador sobre su tarea de responsable de seguridad.

La seguridad es un proceso integral

La seguridad afecta a todos los aspectos de una organización. Conseguir la seguridad integral de un sistema o conjunto de ellos, requiere a) seguridad física, b) seguridad tecnológica y unas c) buenas políticas y procedimientos. Contar con dos de estos tres tipos de seguridad no es suficiente para garantizar un nivel suficiente de seguridad. Por ejemplo, una organización que utiliza avanzados mecanismos de seguridad tecnológica pero no forma a sus empleados sobre la gestión de sus contraseñas (política de gestión de contraseñas), no será una organización segura.

Seguridad física

La seguridad física "es la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los activos y la información confidencial".La seguridad física de nuestros sistemas, y el establecimiento de buenas políticas para los empleados y usuarios es tan importante como usar mecanismos de seguridad tecnológica. Todo servidor debería estar detrás de una puerta cerrada con llave, y solo un conjunto de empleados (administradores de sistemas y de seguridad) deberían poder acceder. Además, los data center pueden emplear cámaras, lector de tarjetas, controles biométricos e incluso cajas acorazadas dependiendo de la importancia de los datos almacenados en los servidores.

Además de estos mecanismos que limitan el acceso al espacio físico, existen también mecanismos que protegen contra amenazas ambientales, las pérdidas y los robos de información. Por ejemplo, los documentos que contienen información sensible, deberían ser triturados antes de ser tirados a la basura, para evitar el "basureo" (técnica empleada por los atacantes, en la que rebuscan en la basura en busca de información).

Seguridad tecnológica

Además de la seguridad física, existen diferentes niveles técnicos de seguridad que son importantes. La seguridad tecnológica se puede dividir en tres categorías: a) seguridad de aplicaciones, b) seguridad del sistema operativo y c) seguridad de la red.

El término seguridad tecnológica, es una traducción literal del término inglés technological security. En español se suele hablar de seguridad lógica.

Seguridad de aplicaciones: Un servidor web es un ejemplo de aplicación que puede sufrir problemas de seguridad. El servidor web es un buen ejemplo a la hora de establecer un escenario para mostrar posibles vulnerabilidades a nivel de aplicación. Supongamos por ejemplo que un servidor ha sido configurado para permitir acceso a unos documentos importantes solo a ciertos usuarios. En dicho escenario, si existe un bug en la forma en que se determina la identidad de un usuario, un atacante podría accder a dichos documentos.

Además, es preciso que el servidor web sea correctamente configurado. Un servidor web es un software complejo que incluye muchas opciones configurables. Por ejemplo, si no se restringe correctamente el acceso al sistema de archivos local, un atacante podría obtener acceso a archivos del sistema, como por ejemplo la lista de usuarios locales. En ocasiones, es posible obtener documentos importantes sencillamente buscando en un buscador, introduciendo las palabras clave adecuadas.

A menudo un servidor web interacciona con otro tipo de servicios, como una base de datos. Un atacante también podría usar datos enviados por el usuario para tomar control de la base datos, mediante un ataque de inyección SQL.

Otro ejemplo de aplicación que puede sufrir vulnerabilidades de seguridad es un navegador web. Los navegadores descargan e interpretan datos de Internet, y a veces no lo hacen de la manera más robusta posible, y pueden ser redirigidos para descargar datos de sitios web maliciosos. Un sitio malicioso puede hacer el navegador descargue un archivo que explote una vulnerabilidad del navegador, de forma que le permita tomar el control de la máquina al completo. Como resultado de un código fuente pobremente escrito, los navegadores deben ser parcheados regularmente para eliminar dichas vulnerabilidades, como parches para "buffer overflows" o complementos para bloquear de iframes por ejemplo.

Seguridad del Sistema Operativo: Los sistemas operativos no son seguros o inseguros. Lo que ocurre es que están formados por millones de líneas de código, y muchas de ellas tienen vulnerabilidades. Los fabricantes lanzan periódicamente parches y actualizaciones para solucionar los problemas detectados. Si un sistema operativo no está correctamente parcheado, un atacante podría explotar una vulnerabilidad, incluso teniendo un servidor web seguro, ya que un servidor delega en el sistema operativo para diversas funciones.

Seguridad de la red: La capa de red es también importante. Es preciso asegurarse de que solo los paquetes válidos pueden ser enviados a nuestras aplicaciones o sistemas operativos. El tráfico malicioso, habitualmente consiste en paquetes de datos que contienen secuencias, que interpretados por un software vulnerable, produce resultados inesperados para el usuario, y puede provocar desde la caida de la máquina, hasta el acceso a información privilegiada. Los firewalls y los IDS son dos tipos de herramienta que se pueden utilizar para afrontar este tráfico potencialmente malicioso.

Políticas y procedimientos (SGI)

Por último, es importante reconocer que incluso si nuestro sistema es física y tecnológicamente seguro, es preciso establecer políticas y procedimientos para que los empleados formen parte de la seguridad global. Por ejemplo, cada empleado debe ser formado para nunca entregar su contraseña para cualquier sistema corporativo, incluso si se la pide un administrador. En este caso, un buen sistema de gestión de contraseñas permitirá al administrador resetear una contraseña, de forma que no debería necesitar pedir una contraseña. En los ataques de ingeniería social, un atacante puede convencer a un empleado (pobremente formado en seguridad) de que le entregue usuario y contraseña, impersonando a otro empleado. Las políticas y procedimientos para evitar cosas como esta, deben ser escritos en documentos y los empleados deben conocerlos. De hecho, existe una máxima que afirma que LA SEGURIDAD ES UN PROCESO, NO UN PRODUCTO.

Por lo general, las políticas y procedimientos son asuntos que se definen no como algo aislado, sino como parte de un SGSI. Un SGSI es un método sistemático para implantar la seguridad en todos los procesos relacionados con la información que intervienen en una organización. Por lo general, la implantación de un SGSI requiere la participación de una empresa especializada que ayude a la organización a desarrollarlo.

La implantación de un SGSI es una decisión tomada, apoyada y dirigida desde la dirección de la organización. Los SGSI no tienen por qué ser implantados en toda la organización sino que pueden ser limitados a un área o departamento específico. Los SGSI utilizan el método PDCA (Planinficación, Ejecución, Seguimiento, Mejora) para garantizar su efectividad. Se trata de un método cíclico, que empieza por la "Planificación" y termina por la "Mejora", dando paso de nuevo a la "Planificación". La evaluación del SGSI es un proceso contínuo y para ello, se utilizan cuatro tipos distintos de documentación:

  • Políticas: son las líneas generalres para conseguir los objetivos de seguridad. No es preciso entrar en detalles técnicos en su definición. Toda la organización debe conocer estas políticas.
  • Procedimientos: Desarrollan los objetivos marcados por las políticas. En estos documentos aparecen detalles más técnicos y se concreta cómo conseguir los objetivos expuestos en las políticas. Los procedimientos deben ser conocidos por aquellas personas que lo requieran para el desarrollo de sus funciones. En ellos se describen los comandos técnicos que se deben realizar para la ejecución de los Procedimientos.
  • Instrucciones: Constituyen el desarrollo de los procedimientos.
  • Registros: Los registros permiten controlar la implantación del sistema y el cumplimiento de los requisitos. Se componen de indicadores y métricas de seguridad que permiten evaluar la consecución de los objetivos establecidos, mediante checklist por ejemplo.

A continuación se describen someramente las fases del modelo PDCA.

  • Planificación: En esta fase, se realiza un estudio de la situación de la organización desde el punto de vista de la seguridad, para estimar las medidas que se van a implantar en función de las necesidades de la organización. No toda la información es igual de importante, así que en esta fase se realiza un análisis de riesgos que valore los activos de información y vulnerabilidades a las que se exponen. También se define la gestión de los riesgos para reducirlos en lo posible. Para la gestión de los riesgos se tratan de controlar las vulnerabilidades detectadas. Finalmente se determinan los controles que se realizarán para poder minimizar los riesgos.
  • Ejecución: En esta fase se lleva a cabo la implantación de los controles de seguridad seleccionados en la fase anterior. Se trata de los controles más técnicos, así como la documentación necesaria. Esta fase también requiere la concienciación y formación para dar a conocer qué se está haciendo y por qué, al personal de la empresa.
  • Seguimiento: En esta fase se evalúa la eficacia y el éxito de los controles implantados. Es preciso detectar puntos débiles y vulnerabilidades en el sistema.
  • Mejora: En esta fase se llevarán a cabo las labores de mantenimiento del sistema. Si durante la fase anterior de Seguimiento se ha detectado algún punto débil, este es el momento de mejorarlo o corregirlo. Para ello hay tres tipos de medidas: correctoras, preventivas y de mejora.
  • Finalmente, se toman los resultados de la última fase y se comienza nuevamente la primera. El periodo durará 1 año si lo que se buscaba era una certificación, aunque puede variar en otros casos.

Uno de los pasos en el desarrollo de un SGSI es la definición de las políticas. Las políticas son documentos que delimitan qué se tiene que proteger, de quién y por qué. Deben explicar lo que está permitido y qué no, determinar los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan, e identificar los riesgos a los que está sometida la organización. La política, debe cumplir los siguientes requisitos:

  • Debe ser redactada de manera accesible para todo el personal de la organización. Por ello, debe ser corta, precisa y de fácil comprensión.
  • Debe ser aprobada por la dirección de la organización y publicitada por la misma.
  • Debe ser de dominio público dentro de la organización, por lo que debe estar disponible para su consulta siempre que sea necesario.
  • Debe ser la referencia para la resolución de conflictos y otras cuestiones relativas a la seguridad de la organización.
  • Debe definir responsabilidades teniendo en cuenta que éstas van asociadas a la autoridad dentro de la compañía.
  • En función de las responsabilidades, se decidirá quién está autorizado a acceder a qué tipo de información.
  • Debe indicar que lo que se protege en la organización incluye tanto al personal como a la información.
  • Debe ser personalizada totalmente para cada organización.
  • Debe señalar las normas y reglas que va a adoptar la organización y las medidas de seguridad que serán necesarias.

En lo referente al contenido, la política de seguridad debería incluir los siguientes apartados:

  • Definición de los objetivos globales de la seguridad, y su importancia.
  • Declaración por parte de la dirección apoyando los objetivos y principios definidos en la política.
  • Breve explicación de las políticas.
  • Definición de responsabilidades generales y específicas, en las que se definen roles pero nunca personas concretas.
  • Referencias a documentación que pueda sustentar la política.

La política de seguridad es un documento que tiene que estar actualizado, lo que requiere revisiones y modificaciones anuales. Además, debe ser revisado cada vez que se produzca un incidente importante de seguridad, cuando no se haya conseguido superar una auditoría, y cuando se produzcan cambios en la estructura de la organización.

Hasta aquí los SGSI. Aunque en lo sucesivo nos centremos en la seguridad a nivel técnico, contar con una certificación de seguridad (lo que acredita que contamos con un SGSI correctamente implementado) hará que se nos vea con confianza por parte de terceros.

Principios de seguridad física

El siguiente tema está dedicado a la seguridad física.

Principios esenciales de seguridad tecnológica

Un responsable de seguridad, debe contar con una serie de principios esenciales que simplifiquen el modo en que gestiona la seguridad de la organización. Estos principios son Control de Acceso, Gestión del CID, Identificación y Autorización y No Repudio

Control de acceso

El control de acceso es uno de los pilares de la seguridad. Podemos imaginar la información como un bien físico, repartido por diferentes habitaciones que tienen sus propias puertas. Se trata de controlar quién puede entrar en cada habitación y quién puede salir de ella. Para llevar a cabo el control de acceso con éxito, los profesionales de la seguridad utilizan el principio de Menor Privilegio.

El principio de Menor Privilegio dice que una persona no debe tener acceso a información que no necesita para desarrollar su trabajo. Por ejemplo, un administrativo no necesita acceder a la información de desarrollo de software para hacer su trabajo. Del mismo modo, un programador no necesita acceder a los datos de los empleados.

El control de acceso puede ser algo tedioso de implementar, sobre todo en organizaciones pequeñas, debido a la cultura de confianza entre compañeros.

Un buen modo de garantizar el Menor Privilegio es emplear la política Denegar Todo/Permitir por Excepción. La idea es restringir el acceso a toda la información y bloquear todo el tráfico por defecto. El acceso a cierta información específica se garantiza solo a aquellos cuyo trabajo lo requiera. La decisión sobre quién necesita acceder a qué, debe ser definida por un cargo administrativo competente en dicho asunto.

Gestionando el CID

Otro de los pilares básicos de la seguridad es la garantía de Confidencialidad, Integridad y Disponibilidad. Estos tres componentes de la seguridad son llamados CID (CIA en inglés).

Confidencialidad es la cualidad de privacidad de un mensaje, comunicación o datos para que solo sean leidos (y en caso de ser leidos solo puedan ser comprensibles) por la persona o sistema que esté autorizado. La pérdida de confidencialidad puede desembocar en multas, pérdida de confianza del cliente o pérdida de las ventajas estratégicas.

Integridad es la cualidad de un mensaje, comunicación o datos que permite comprobar que no se ha producido manipulación alguna en el original. Supongamos que nuestro banco pierde la integridad sobre los datos de tus cuentas, de forma que se producen cargos anómalos y no hay forma de comprobar si son reales.

Disponibilidad indica que un servicio, unos datos o un sistema son accesibles a los usuarios autorizados en el momento en que lo necesiten. Cuando no se cumple esta cualidad, se dice que hay una Negación del Servicio o DoS. Indudablemente hay sistemas más críticos que otros, de forma que la negación de un servicio puede ser desastrosa, o simplemente una anécdota. Por ejemplo, a mi no me gustaría que el avión en que viajo tuviese una negación del servicio, mientras que si no me mandan los recibos del banco por un día no me va a pasar nada.

Identificación y Autorización

Identificación garantiza que conocemos sin ninguna duda quién está accediendo a la información. Autorización permite a los usuarios acceder solo a aquellas partes que necesitan. Se trata en definitiva de poder identificar a quien está intentando acceder a la información de la organización, y controlar a qué información acceden.

NOTA: observa la diferencia entre "Control de Acceso" e "Identificación y Autorización". "Identificación y autorización" son "control de acceso + gestión de la indentidad"

No Repudio

La propiedad de No Repudio implica que un elemento de la organización no puede rechazar su implicación en una determinada acción, una vez que la ha llevado a cabo. El no repudio es similar a la firma de una persona escrita en un documento. Una vez que ha sido firmada, no se puede desdecir de ello. En ciertas organizaciones será más importante que en otras.

Conceptos básicos

Hasta aquí hemos visto los principios esenciales de la seguridad. Ahora veremos algunos conceptos básicos que nos ayudarán a tomar decisiones de implementación adecuadas en nuestra organización. La seguridad debe ser establecida por niveles, de forma que si cierto nivel de seguridad es comprometido, aun quedarán los siguientes niveles para seguir garantizando la seguridad de la información crítica.

Defensa en Profundidad (DiD)

DiD es un término que puede significar dos cosas.

El primer sentido del término DiD, se refiere a cuatro mecanismos que se deben definir para garantizar un nivel de seguridad aceptable. Estos mecanismos son "Prevención", "Detección", "Contención" y "Recuperación". Pensemos en una sucursal bancaria. Si se produce un robo, la oficina debería tener mecanismos disuasorios, como guardas de seguridad en la puertas. Si no es posible prevenir el robo, deben haber mecanismos que permitan detectar que se está produciendo un robo, como por ejemplo, cámaras de vigilancia. Una vez detectado el robo, deben haber mecanismos de contención, como una mampara a prueba de balas o una caja fuerte con mecanismo de retardo. Y por último, en caso de que se imposible contener el robo, el banco debería tener asegurado el dinero, de forma que pueda recuperarse del mismo. Este ejemplo es trasladable a la seguridad informática.

Hay que destacar que muchas organizaciones se centran en la prevención y la detección y olvidan la contención y recuperación. Por ejemplo, pensemos en un administrador instala un potente firewall (para la prevención) y un buen IDS (para la detección), pero no tiene medidas adecuadas para combatir las alertas generadas por ellos. Este administrador, considera que el tráfico malicioso es una condición excepcional, cuando en realidad debería tratarlo como un hecho cotidiano. De lo que se trata en la fase de contención, es minimizar el impacto de un ataque, hasta que éste pueda ser correctamente identificado, y se puedan poner en marcha las medidas de recuperación.

Vamos a poner un ejemplo clarificador sobre este asunto. Pensemos en un administrador de sistemas que desea prevenir ataques de diccionario sobre las contraseñas de su sitio web exigiendo a sus usuarios que elijan contraseñas fuertes (prevención). Para detectar los ataques de diccionario, el servidor web puede monitorear una gran incidencia de logueos fallidos, provinientes de una o más direcciones IP, y marcar dichas direccones como sospechosas (detección). Pero esto no es suficiente. Podría ser que el atacante consiga un buen número de cuentas válidas y sus contraseñas. Una forma de contener el ataque sería denegar todos los inicios de sesión desde la IP sospechosa. Otra opción sería comprobar si el cliente cuenta con una cookie entregada durante el último inicio de sesión válido (contención). Incluso así, el atacante puede contar con muchas IP válidas desde donde atacar. Para recuperarse del ataque, se podría monitorizar la actividad de los usuarios logueados desde las IP sospechosas, y denegar las transacciones sospechosas, como las monetarias (recuperación). Aun así, el sitio web debería tener un seguro contratado que le permita recuperarse de un ataque de este tipo, en el que por ejemplo, un atacante a gastado dinero de un usuario cuya cuenta fue comprometida (recuperación).

El segundo sentido del término DiD, es un punto de vista de alto nivel (es decir, abstracto) siguiendo una estructura de capas. DiD estructura la seguridad desde tres perspectivas: administrativa, técnica y operacional (es decir, las personas, la tecnología y las operaciones).

Estas tres áreas cubren por completo la seguridad de una organización. Si una de ellas falla, debe ser cubierta con un refuerzo de las otras dos. Por ejemplo, supongamos que el antivirus corporativo no es capaz de detener un virus que se propaga por la organización via e-mail. En tal caso, puesto que la tecnología falla, los usuarios deben estar preparados para evitar doble clic sobre e-mails que lleven adjuntos documentos potencialmente maliciosos. Esta preparación se debe basar en políticas de seguridad corporativa, que identifiquen las amenazas y establezcan procedimientos para controlarlas.

Personas: Las personas pueden definir la diferencia entre una organización medianamente segura y otra realmente segura. Cuando fallan los controles operativos y técnicos, las personas deben responder de forma apropiada, o la amenaza se cumplirá. Para que esto ocurra debe existir una cultura orientada a la seguridad, y dicha cultura solo es posible establecerla si es apoyada por los gestores de la organización.

Tecnología: La tecnología se suele ver erróneamente como la solución para todo en temas de seguridad. De hecho, los fabricantes introducen sus productos como la panacea para la seguridad. En la práctica, el impacto de un producto sobre la seguridad, tiene más que ver con las necesidades de la organización que con la calidad del producto. Por ejemplo, comprar el mejor appliance IDS no servirá si las personas que lo utilizan no saban interpretar los resultados, o no aprovechan al máximo sus posibilidades. También hay que recordar que la tecnología está hecha por humanos, y los humanos cometen errores. Hasta el mejor de los sistemas tiene vulnerabilidades.

Operación: el aspecto operacional de la DiD son los procesos que permiten garantizar que la organización puede seguir funcionando de forma segura. Los procedimientos indican, por ejemplo, la manera en que la información se asegura durante la transmisión, como se almacena y se procesa en la red, cómo los usuarios y clientes interactúan con los sistemas y los datos, etc. El aspecto operacional de la seguridad incluye muchas áreas, y entre ellas el refuerzo de las políticas de seguridad y la confección de guías de seguridad para los sistemas. También entran en esta categoría la recuperación de desastres, la continuidad del negocio, la respuesta a incidentes sospechosos o a intrusiones.

Niveles de Defensa

La idea detrás de una defensa establecida por niveles, es que si se produce ataque que comprometa a un mecanismo de seguridad, otro mecanismo superior detenga el ataque, alerte a la organización de la intrusión o ambas cosas.

En la imagen anterior podemos ver en el centro la información crítica que deseamos proteger. Cada mecanismo de seguridad que se implementa alrededor de la información proporciona un nuevo nivel de protección a través del cual, un atacante debería pasar para comprometer dicha información. Cuantos más niveles se tengan, mejor protegida estará la información.

Una capa es solo tan útil como la calidad de su implementación. Un firewall perimetral pobremente configurado puede crear un hueco de seguridad aprovechado por un atacante. Esto es cierto siempre, para todos los mecanismos o productos que se implementen. A esto es preciso añadir el hecho de que todo producto (por caro que sea) tiene vulnerabilidades inherentes.

Router: La primera barrera es el router, con sus ACL, que permite o deniega cierto tráfico atravesando la red.

Fireall: Los firewalls son la segunda barrera. Pueden basarse en software o en hardware, pero la premisa es la misma: control del tráfico de forma más granular que el router. Con un firewall podemos controlar también protocolos de transporte y aplicación.

IDS e IPS: Los IDS y los IPS proporcionan mecanismos para que los administradores y profesionales de la seguridad puedan monitorear los intentos de violación de las defensas que han levantado. La diferencia entre IDS e IPS es que el primero tiene una naturaleza pasiva (simplemente alerta y registra) mientras que un IPS tiene una naturaleza activa.

Antivirus: Los antivirus operan tanto a nivel de red como a nivel de host. Algunos firewalls perimetrales y otros dispositivos de seguridad pueden escanear virus en el envío-recepción de e-mails y archivos. La detección de virus a nivel de host proporciona esta misma protección. En una organización, con múltiples servidores y PCs, la incidencia de virus es muy habitual, y por esto el coste del software antivirus se ve como normalmente como un coste necesario.

Hosts y servidores: La configuración de hosts y servidores es el siguiente nivel de defensa. Por ejemplo, la desactivación de servicios que no son necesarios y asegurarse de que las aplicaciones están parcheadas correctamente son partes importantes de este nivel. Este nivel tambien incluye firewalls a nivel de host o mecanismos de detección de intrusiones.

Políticas: El penúltimo nivel de seguridad no es técnico, sino que definen los objetivos de seguridad actuales de la organización. Esta documentación incluye cosas como IRP (Incident Response Procedures), SP(Security Policy), AUP (Acceptable Use Policy) y CM (Configuration Management).

Usuarios: Los usuarios son el nivel más profundo. Cuando todos los otros niveles fallan, la organización depende del conocimiento y la ética de los usuarios. Es fundamental que los usuarios estén informados y preparados sobre las políticas de seguridad y de como la pérdida de información crítica puede afectar a la organización. Es decir, la formación es la clave aquí.

Por último es importante recordar que cada organización debe implementar la seguridad acorde con sus necesidades, y no siempre es necesario contar con todas las capas.

Una idea relacionada con DiD es la de Diversidad-en-Defensa (Diversity-in-Defense). Se trata de usar múltiples sistemas diferentes que hacen lo mismo. Un ejemplo de uso de diversidad-en-defensa es el uso de varios sistemas operativos dentro de una organización para reducir el impacto del malware. Por ejemplo, supongamos que una organización sufre una incidencia de virus que afecta al cliente de correo que utilizan los empleados en Windows. Si los empleados cuentan con sistemas duales, con GNU/Linux como segundo sistema operativo, entonces podrán usar este segundo sistema hasta que la infección esté controlada.

La diversidad-en-defensa tiene un coste: los administradores deben ser expertos en más de un sistema, además de que puede conllevar un mayor coste. Por ello, deben analizarse los pros y los contras de esta técnica.

Clasificación de activos y etiquetado

No todas los activos de una organización es igual. Algunos pueden tener impactos muy superiores a a otros. Por ejemplo, en un hospital, la información sobre los pacientes es más importante para el desarrollo de la actividad diaria que la información de recursos humanos sobre los empleados. A pesar de que ambos tipos de información son importantes, no son iguales. A continuación vamos a hablar sobre cómo diferenciar e identificar la importancia de varios tipos de activos.

Clasificación de los activos

La clasificación de los activos permite a las organizaciones definir la importancia de los elementos relacionados con la información que gestiona. Basándose en esta clasificación, se puede determinar el nivel apropiado de protección para cada tipo de activo. Si seguimos el ejemplo del hospital, se decidirá dedicar mecanismos de seguridad más estrictos para la información sobre los pacientes que sobre los recursos humanos. Desde un punto de vista presupuestario, este enfoque permite al hospital planificar los anualmente los gastos en seguridad. Desde un punto de vista operativo, permite al hospital crear procedimientos para etiquetar la información y para manejar correctamente los distintos tipos de activos.

En el mundo de los SGSI, existe una metodología, llamada Magerit para agrupar los tipos de activos de la empresa. En el primer tipo están los servicios (procesos de negocio de la organización) dados al exterior o que ofrecen con carácter interno, como la gestión de las nóminas. El segundo tipo son los datos e información que se manipula dentro de la organización. El resto de activos suelen darle soporte de almacenamiento, manipulación, etc. El tercer tipo está formado por las aplicaciones de software. En el cuarto grupo están los equipos informáticos. El quinto tipo lo forma el personal interno, subcontratado, clientes, etcétera, y es el activo principal. El sexto tipo incluye las redes de comunicaciones de la organización, ya sean propias o subcontratadas. El séptimo tipo son los soportes físicos de almacenamiento de la información. El octavo tipo es el equipamiento auxiliar, que no se ha incluido en ninguna de las categorías anteriores (trituradoras, máquinas de aire acondicionado,etc.). El noveno tipo incluye las instalaciones donde se alojan los sistemas de la información, como oficinas, edificios o vehículos. Y por último están los activos intangibles como la imagen o la reputación.

Para proteger los activos, es necesario conocerlos y identificar cuáles són dentro de la organización. Para ello es preciso realizar un inventario que incluya para cada activo su descripción, localización y propietario. El propietario debe definir el grado de seguridad requerido para el activo, aunque no sea quien va a gestionarlo o usarlo. Por ejemplo, una base de datos de clientes, puede pertenecer al Director Comercial de una empresa, su gestión puede correr de cuenta del departamento de sistemas y sus usuarios ser los comerciales.

Una vez identificados los activos, hay que determinar las dependencias existentes entre ellos, realizando preguntas del tipo ¿Quién depende de quién? o ¿Si falla el activo X, qué otros activos van a ser perjudicados o involucrados? El resultado es un grafo que relaciona los activos entre sí.

Etiquetado de activos

Puesto que no todos los activos valen lo mismo, es preciso valorarlos para conocer la relevancia que tienen y el impacto de una incidencia sobre ellos. La valoración puede ser cuantitativa (coste económico) o cualitativa (con valores mensurables, por ejemplo del 0 al 10 o con valores "bajo, medio y alto"). El criterio de valoración, para que sea ecuánime para todos los activos, se basa en las "integridad", "confidencialidad" y "disponibilidad". En el caso de la base de datos comentada anteriormente, habría que preguntarse que impacto tendría un acceso no autorizado a la base de datos y su modificación.

El etiquetado de los activos permite comunicar a los empleados la clasificación de los mismos, cómo de importante es un activo y cómo deberían protegerla. De hecho, en entornos militares se usan clasificaciones para la información del tipo "Confidencial", "Alto secreto", "Solo para uso oficial", etc. La clasificación de la información es específica para cada entorno. Así pues, en un entorno comercial, los niveles de clasificación son tan simples como "Público", "Sensible" o "Confidencial".

La clave para crear estas clasificaciones es la creación simultánea de procedimientos para cada nivel de clasificación. Por ejemplo:

  • Para la clasificación "Pública", una organización podría crear un procedimiento que indique que "la información marcada como Pública tiene un impacto negativo muy pequeño sobre la organización, si esta fuese adquirida, modificada o destruida por personas no autorizadas. Esta información debe almacenarse en sistemas de almacenamiento normales, sin medidas de protección adicionales".
  • Para la información clasificada como "Sensible" podemos dictaminar que "la información marcada como Sensible, en caso de ser adquirida, modificada o destruida, puede provocar un deterioro de la organización. Esta información debería almacenarse en sistemas de almacenamiento inaccesibles cuando no están en uso y mantenidos bajo estrictas medidas de control cuando están en uso".

Análisis y valoración de los riesgos

El riesgo se define como la exposición a pérdidas o daños potenciales. El riesgo tiene tres componentes: amenaza, impacto (o valor de la pérdida) y vulnerabilidad. Si uno de estos componentes es anulado, el riesgo no existe.

Amenaza: Una amenaza se puede definir como el conocimiento de que algo o alguien intenta causar un daño en nuestros activos. Las amenazas van a depender de la misión de la empresa, de forma que una agencia de viajes no considerará una amenaza la sustracción de información clasificada, sino que más bien estará preocupada por mantener su servicio de reserva online en funcionamiento.

Impacto: El impacto está directamente relacionado con el valor del activo atacado. Si un atacante consigue acceder a información pública, el impacto en nuestra organización no será significativo. Sin embargo, si el atacante gana acceso a información sensible sobre un producto, el impacto será negativo.

Los mecanismos de protección deben decidirse en el contexto del valor de cada recurso. De hecho, una organización no debería gastar su presupuesto de seguridad para proteger información pública. En vez de ello, deberían dedicarse más esfuerzo a proteger información sensible.

Vulnerabilidades: Las vulnerabilidades proporcionan el medio para sufrir daños. Estas vulnerabilidades pueden ser técnicas, de programación o humanas. Independientemente del tipo, deben ser controladas.

El análisis de riesgos consiste en la identificción de los riesgos (amenazas, impacto y vulnerabilidades), la valoración de su magnitud y la determinación de áreas que requieren medidas de protección contra dichos riesgos. Este análisis nos indicará el impacto económico de un fallo de seguridad, y la probabilidad de que ocurra ese fallo. El análisis de riesgos tiene que hacerse acorde con los recursos económicos y humanos de la organización. Debe centrarse en proteger los activos más críticos de la organización. Durante la valoración debe intentar reducirse la subjetividad, por lo que debería participar no solo el responsable del activo, sino otras personas implicadas.

Para realizar el análisis de los riesgos deben utilizarse criterios definidos y que se puedan usar de manera repetida. De esta forma se puede repetir periódicamente el análsis de riesgos y comparar el nivel de riesgo a medida que la seguridad va mejorando.

El análisis de riesgos debe hacerse basándonos en el inventario realizado anteriormente, y si éste es muy extenso, centrarnos en los activos más críticos.

Para realizar el análisis de riesgos, seguiremos los siguientes pasos.

  • Es preciso identificar las amenazas, y valorar el impacto que puede causarle.
  • A continuación se deben estudiar las vulnerabilidades que puedan materializar las amenazas. Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad.
  • Realizar un análisis de las medidas de control de las vulnerabilidades que ya están implantadas y analizar la posible inclusión de nuevas medidas.

Con todos estos datos podemos realizar el estudio del riesgo y el impacto de todas estas variables sobre los diferentes activos, para conocer el nivel de riesgo de la organización.

Existen metodologías para facilitar el análisis de riesgos, como Magerit, ISO/IEC 27005, OCTAVE, etc.

Gestión del riesgo

No basta con tener una gran cantidad de niveles de seguridad, como se vió en DiD. Como ya hemos visto también es preciso conocer las amenazas a las que se está expuesto para comprender el riesgo total de la organización.

Las vulnerabilidades pueden ser eliminadas, reducidas o aceptadas. No se pueden eliminar todas, en cuyo caso habríamos alcanzado el 100% de seguridad. Algunas deben ser reducidas, lo que significa que la organización encontrará vías alternativas de proteger el activo, ya que la eliminación de la misma conllevaría un efecto negativo en el funcionamiento de la organización. En ocasiones, no merece la pena reducir una vulnerabilidad si el valor del recurso es bajo (en el caso de información pública, por ejemplo). En estos casos, la organización puede sencillamente aceptar la vulnerabilidad.

Reducción del riesgo

Las opciones que tiene una organización para reducir el riesgo son varias:

  • Eliminar el riesgo: Para eliminar el riesgo se deben eliminar los activos a los que el riesgo está asociado. Se trata de una opción que puede ser costosa o directamente imposible.
  • Transferencia del riesgo: Subcontratación de un servicio externo que gestione el activo. En ocasiones, esto no es posible, en el caso por ejemplo de activos altamente confidenciales.
  • Asumir el riesgo: En ocasiones, no merece la pena reducir un riesgo si el valor del activo es bajo (en el caso de información pública, por ejemplo). En estos casos, la organización puede sencillamente aceptarlo y no tomar medidas.
  • Mitigar el riesgo: Se trata de implantar medidas que actúen de salvaguarda para los activos.

La capacidad de una organización para cambiar las amenazas o el valor de sus activos es muy limitada. Por ello, la única opción para mitigar el riesgo consiste en actuar sobre las vulnerabilidades.

Esto no significa que no sea necesario conocer las amenazas, ya que de otro modo vamos a oscuras. Y si no dedicamos tiempo a comprender el valor de nuestros activos, tampoco conoceremos el impacto que tendría el compromiso de los mismos.

La norma ISO/IEC 27002 es una guía de buenas prácticas que ofrece una guía sobre los controles a implantar en la organización, que se deben seguir para poder certificar un SGSI con la norma ISO/IEC 27OO1. Es importante documentar los controles que se vayan a llevar a cabo.

Conocer las amenazas

Cuando una organización comienza una nueva actividad basada en TI, entran en juego nuevas amenazas. De modo que resulta necesario que dicha organización desarrolle, compre e implante nuevas soluciones tecnológicas que permitan mitigar las amenazas que no existían antes de que la organización comenzase esta nueva actividad.

Diferentes tipos de organizaciones sufren diferentes tipos de amenazas, y tendrán objetivos diferentes en cuanto a la seguridad. A continuación veremos algunos ejemplos de amenaza y ataques que se pueden afrontar.

Defacement

El defacement es una forma de vandalismo en la que un atacante sustituye una página web legítima con una página ilegítima. En este tipo de ataques, el atacante sustituye el contenido de una página con otro de su elección. Este tipo de ataque es habitual en sitios que tratan temas políticos, pero no es muy relevante para instituciones financieras, por ejemplo, donde los atacantes estarán más interesados en comprometer las cuentas bancarias o reailzar fraudes con tarjetas de crédito.

En el caso que nos ocupa, el propietario de una página que trate temas políticos, no estará preocupado con que un atacante consiga acceso de solo lectura a la base de datos donde se almacenan los contenidos. En el caso de la institución financiera, ese mismo acceso de solo lectura puede conllevar el acceso a tarjetas de crédito y el compromiso de las cuentas de los clientes.

Infiltracion

La infiltración es un ataque en el que un usuario no autorizado gana acceso total a los recursos de un sistema. Para esto existen diferentes técnicas que veremos más adelante, como buffer overflow o inyección de comandos. En ocasiones, un atacande necesita infiltrarse en un servidor web para poder realizar un defacement.

Supongamos que un sitio web corre sobre una base de datos, y un atacante ha conseguido privilegios de escritura sobre la base de datos (aunque no de lectura). En tal caso, una vez detectado el ataque, es posible restaurar la base de datos y rehacer las transacciones realizadas después de la escritura ilegal. Si en el mismo ejemplo, el atacante consigue permisos de lectura o consigue escribir en los logs, el problema será bastante mayor.

Volviendo al sitio web de temas políticos, el administrador estará mas preocupado por que un atacante gane permisos de escritura en la base de datos, mientras que el administrador del sitio web de temas financieros estará más preocupado por un atacante que gane permisos de lectura en la base de datos. Los objetivos de seguridad varian en cada caso. En el primero (web política), la integridad del sitio web será el objetivo, y el segundo (web financiera), la integridad y confidencialidad de los datos de los clientes tienen la misma importancia.

Phishing

En el phishing un atacante falsifica un sitio web que es idéntico al sitio legítimo. El atacante intenta atraer víctimas al sitio falsificado para que introduzca sus credenciales de usuario, como usuario y contraseña. Consiguen atraer a sus víctimas mediante e-mails en los que le sugieren que existe un problema con su cuenta, de forma que deben hacer clic sobre el enlace para verificarla. El atacante consigue que el enlace lleve al sitio malicioso. Cuando el usuaro introduce sus credenciales, el sitio malicioso reporta un error o redirige al usuario al sitio legítimo, o ambos.

Pharming

Se trata de conseguir que un usuario introduzca sus credenciales de usuario en un sitio malicios, que es una copia exacta del sitio legítimo. Aunque se parece al phishing, en el pharming, el atacante no necestia presentar a la víctima un enlace sobre el que haga clic, sino que basta con que introduzca la url correcta en el navegador, y será redirigido al sitio malicioso. En general se puede conseguir comprometiendo la DNS empleada por la víctima (envenenamiento DNS), aunque existen otras alternativas.

Amenazas internas

Gran parte de los ataques sufridos por las organizaciones provienen del interior. Empleados insatisfechos, rencores personales, exempleados que buscan "justicia", o que desean lucrarse con datos de los clientes, etc. Para luchar contra esto, es preciso la "separación de privilegios", de forma que cada empleado solo tenga los privilegios que necesita para realizar su trabajo.

Fraude del clic

Muchos anunciantes pagan a los buscadores para ser anunciados en los resultados de búsqueda de los usuarios, y pagan una cantidad por cada clic recibido. Pueden establecer un límite de clics por día, por ejemplo, de forma que el coste no se dispare, y una vez alcanzado dejan de aparecer en los resultados. Un atacante "A" de la competencia podría agotar los clics de otra empresa "B", agotando además su presupuesto y beneficiándose de los clics que debería haber recibido legítimamente la empresa "B". Existen otros fraudes similares orientados a ganar dinero de forma fraudulenta.

Denegación de Servicio (DoS)

Se trata del envío masivo de paquetes a un sitio web de forma que no es capaz de dar servicio a los usuarios legítimos que tratan de acceder a él. Dependiendo del negocio, este tipo de ataque puede ser más o menos grave. Por ejemplo, una institución financiera perderá dinero como resultado de un DoS dado que sus clientes no podrán realizar transacciones online.

Robo y pérdida de datos

Hace poco que fue sustraida información de millones de usuarios de la base de datos de PlayStation Network. En 2005, Bank of America perdió cintas de backup que contenían información sobre un millon de clientes, durante un traslado. Anualmente se producen infinitud de robos y pérdidas de datos, incluso de firmas reconocidas.

Ética en la seguridad de la información

Resulta frustrante ver como desde algún punto remoto se está perpetrando un ataque sobre uno de nuestros servidores. Resulta inevitable pensar en términos de devolver la moneda, identificando al atacante así como sus vulnerabilidades, y comprometer sus sistemas. Sin embargo, el profesional de la seguridad debe recordar dos cosas: a) que está en el lado de los "buenos", y que debe actuar como tal, y b) que el que ve como atacante podría ser a su vez un sistema comprometido que está siendo usado indirectamente.

Reacción a un incidente

La seguridad total no existe. Un profesional de la seguridad lo sabe y por ello busca grietas en su armadura. Periódicamente, un ataque afectará a la organización, y el nivel de interrupción e impacto provocado estará en función de la preparación para dicho incidente y de cómo manejamos la situación. Por ello, si se desea estar preparado para las incidencias: a) Contemplar la posibilidad de que ocurra la incidencia. b) Conocer la documentación y procedimientos de seguridad de los sistemas. Por ejemplo, ¿Desconectamos el cable de red o apagamos el host comprometido?, ¿Están los procedimientos documentados?

Auditoría de seguridad de la información

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

La forma más agresiva de auditoría es el test de intrusión o Pentest, en el que se autoriza al auditor a comprometer los sistemas (sin dañar los activos) para conocer las vunerabilidades.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Existen estánderes orientados a servir como base para auditorías de informática, como la guía COBIT o el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001 analizado por Maritee.

Tipos de auditoría

Los servicios de auditoría pueden ser:

  • Auditoría interna: se analiza el nivel de seguridad de las redes locales y las redes corporativas.
  • Auditoría de seguridad perimetral: intento de acceso desde el exterior.
  • Test de intrusión (pentest): intento de acceso a los sistemas. Es complementario al auditoría perimetral
  • Análisis forense: se analiza el sistema una vez que se ha producido el incidente.
  • Auditoría web: análisis de vulnerabilidades del ámbito web, como XSS o inyección de código SQL.
  • Auditoría de código de aplicaciones: análisis de código fuente de aplicaciones en busca de vulnerabilidades.

Comunicación y transferencia de conocimiento

Es importante hacerse entender. Los gestores de la organización pondrán los recursos económicos para que podamos hacer nuestro trabajo. Los empleados deben seguir las instrucciones que les demos para garantizar la seguridad. En definitiva, la capacidad de expresarse en términos lingüísticos comprensibles para cada colectivo es muy importante para que nuestro trabajo tenga éxito

Comunicación con los usuarios

Los usuarios son la piedra angular de una organización. Pueden garantizar la seguridad de una organización prestando atención a aquellas acciones diarias que afectan a la información. Sin embargo, en la mayoría de los casos, la seguridad no será su trabajo, de modo que si queremos ser entendidos, debemos adaptar nuestro lenguaje a sus conocimientos (sin tratarlos como a idiotas).

Anualmente es preciso que los empleados reciban formación de seguridad, y comprendan como sus acciones diarias pueden comprometer la seguridad de la información de la organización. Para que esta formación sea efectiva:

  • debe adaptarse al mundo del empleado. Por ejemplo, si explicamos las mejores configuraciones de seguridad perimetral, probablemente haya algún bostezo que otro, pero si en lugar de ello, explicamos como técnicas para evitar la ingeniería social, prestarán más atención.
  • Para que la formación sea efectiva, debe componerse de acciones sencillas de implementar, como por ejemplo no dejar contraseñas anotadas en post-its, ni constestar a correos donde se nos pida información privada.
  • Para que la formación sea efectiva, se deben explicar las consecuencias de no seguir las políticas de seguridad. Hay que tener en cuenta, que muchas de estas políticas pueden resultar inconvenientes para los usuarios, y por ello tenderán a no cumplirlas salvo que comprendan por qué se han definido.

Documentación

La mejor forma de comunicarse en lo relativo a la seguridad de la organización con el resto de empleados, es mediante documentación. Documentos tales como las "Políticas de Seguridad", "Políticas de Uso Aceptable", "Documentos de formación", "Guías de Gestión de la Configuración", "Continuidad del negocio" y "Respuesta a Incidentes", proprocionan un recurso sólido para empleados, gestores, administradores y profesionales de la seguridad.

Coperación

Los gestores de la organización conocen la información crucial para la misión, y por ello tienen mucho que decir en relación a la seguridad. Cada empleado conoce mejor que nadie la información que necesita para poder realizar su trabajo, por lo que también tienen mucho que decir sobre la seguridad. Todo esto debe quedar registrado en la documentación una vez procesado por el profesional de la seguridad.

Normativa

La documentación debe ajustarse a la normativa local en materia de seguridad, ya que lo que en un sitio es legal (o sencillamente no está legislado) en otro puede ser ilegal y motivo de sanción. Es preciso conocer la normativa nacional y local en esta materia y reflejar las restricciones en la documentación de seguridad.

Cumplimiento de la documentación

Contar con una buena documentación es un primer paso. Pero para que se cumpla, los empleados deben leerla. Ningún empleado querrá. Por ello, la formación anual es un buen momento para dar a conocer el contenido de la documentación. Los primeros que deben apoyar el cumplimiento de la documentación son los gestores de la organización, ya que la cultura de seguridad va desde arriba hacia abajo.

Responsabilidades diarias de seguridad

La seguridad es un proceso de trabajo contínuo. No es posible instalar un firewall o un IDS y decir que ya estamos seguros. Cuando se establece un programa de seguridad, hay que tener en cuenta al menos los siguientes puntos de trabajo diario:

  • Parches y actualizaciones: Para mantener la seguridad, los parches y actualizaciones deben aplicarse de forma contínua.
  • Hay que probar los parches en un entorno de prueba antes de implementarlos en sistemas en producción. A veces, un parche puede causar más daño que beneficio por comportamientos inesperados

  • Copias de seguridad y restauración: Las copias de seguridad deben hacerse todos los días. La copias totales se suelen hacer una vez a la semana. Las copias diferenciales se suelen hacer entre copias totales, pero no todo el tiempo, y suelen hacerse para garantizar que cierta aplicación o ciertos datos son copiados más a menudo que una vez a la semana. Las copias incrementales se suelen realizar la mayoría de los días entre copias totales, ya que son más pequeñas, aunque más sensibles al deterioro. A demás de realizar las copias, es preciso comprobar las copias. Si no se presta atención al software de copia, es posible que llegado el desastre, sea demasiado tarde.
  • Protección contra el malware: El software para combatir el malware no sirve para nada si no se actualiza. Garantizar que se actualiza forma parte del trabajo diario de la seguridad. No es preciso ir máquina a máquina chequeando las firmas, ya que para ello existen softwares corporativos que permiten centralizar la administración de los clientes.
  • Seguridad perimetral:
  • La seguridad perimetral la establece el router, el firewall, los switches y los IDS/IPS. En todos los casos, el principio de "Prohibir todo/Permitir por excepción" es la mejor manera de controlar el tráfico de la red caso por caso. Implica más trabajo e inconvenientes para los usuarios, pero garantiza un nivel superior de seguridad.

Bibliografía

Foundations of Security. Ed Apress. Neil Daswani, Christoph Kern and Anita Kesavan.

IT Security Interviews Exposed. Ed Wiley. Chris Butler et al.

Practical Unix & Internet Security. Ed O'Reilly. Simson Garfinkel, Alan Schwartz and Gene Spafford.

Página web de Inteco

ISO/IEC 17799

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) de Firma-e