En
todas las empresas, las redes de voz y datos transportan “información”.
Esta información es valiosa para las organizaciones, al punto que se
considera uno de sus “activos”que, al igual que otros activos
importantes para el negocio, tiene valor para la organización y
consecuentemente necesita ser protegido apropiadamente.
Dentro
de una corporación o empresa, la información puede existir en muchas
formas. Puede ser impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o medios digitales, mostrada en
videos, o hablada en conversaciones.
Muchos
componentes tecnológicos son utilizados en las redes corporativas
asociados a los aspectos de seguridad. Sin embargo, todos ellos tienen
como objetivo proteger la información, y no los componentes informáticos
en sí mismos.
8.1 Recomendaciones y normas relacionadas con la seguridad de la información
La
“seguridad de la información” es un tema crítico para la gran mayoría
de las corporaciones. Dado que el tema es genérico y no específico de
una tecnología o tipo de negocio, varios organismos internacionales han
desarrollado recomendaciones y estándares al respecto. La ISO ha
publicado la recomendación 17799, la que incluye un conjunto de
prácticas acerca del gerenciamiento de la seguridad de la información.
Estos procesos tienen las siguientes etapas, las que se ejecutan en forma cíclica:
·
Planificar: Se planifica qué hacer y cómo hacerlos. A grandes rasgos,
Esto incluye la definición del alcance del SGSI, las políticas generales
de seguridad, la identificación y evaluación de los riesgos a los que
está expuesta la información, y la preparación de los documentos
preliminares.
· Hacer: Se ejecuta el plan, implementando los controles seleccionados, con el fin de cumplir los objetivos planteados.
· Verificar: Se verifica la ejecución del plan, implementando exámenes o controles periódicos.
·
Actuar: En base a las desviaciones encontradas o a las posibles mejoras
al sistema se toman acciones correctivas o preventivas, las que llevan
nuevamente a planificar, cerrando el ciclo.
En forma genérica, se establecen 3 objetivos de seguridad de la información:
· Confidencialidad: Procurar que la información sea accesible sólo a las personas autorizadas a acceder a su utilización.
· Integridad: Asegurar la exactitud y la completitud de la información y los métodos de su procesamiento.
·
Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a
la información y los recursos asociados cuando lo requieran.
8.2 Política de seguridad
La
ISO/IEC indica que la información es un activo, y al igual que otros
activos importantes para el negocio, tiene valor para la organización y
consecuentemente necesita ser protegido apropiadamente.
Para proteger apropiadamente a la información, es necesario definir ciertas “Políticas de seguridad”.
La
“Política de seguridad” es una declaración formal de las reglas que
deben seguir las personas que tienen acceso a los “activos de
información” de una organización.
8.3 Vulnerabilidades, amenazas y contramedidas
8.3.1 Vulnerabilidad
Varios
actores pueden potencialmente amenazar los sistemas de seguridad de una
organización. Entre ellos podemos mencionar “insiders”, o personal
interno, competidores, o “hackers” en general. La vulnerabilidad de una
organización depende de varios factores, entre los que se encuentran:
8.3.1.1 Factores relacionados con la tecnología:
·
Tipo de Firewall instalado y su configuración: Diferentes arquitecturas
de Firewalls o cortafuegos pueden ser más o menos vulnerables.
·
Sistemas operativos utilizados: Todos los sistemas operativos tienen
vulnerabilidades conocidas, y en forma permanente se publican nuevos
“parches” tendientes a solucionar problemas de vulnerabilidad.
·
Aplicaciones y servicios instalados: Especialmente, las aplicaciones o
servicios publicados a Internet, ya que, por su propia función, están
expuestos al público.
·
Sistemas de IDS utilizados: Las empresas que puedan instalar algún tipo
de sistema de IDS (NIDS, HIDS, etc.) pueden reducir considerablemente
su vulnerabilidad.
·
Utilización de aplicaciones de “Antivirus”: Muchos de los ataques
actuales se propagan por virus, gusanos o troyanos. Disponer de
servicios Antivirus centralizados y actualizados reduce la
vulnerabilidad.
8.3.1.2 Factores humanos:
·
Correcto uso de las aplicaciones por los usuarios: Muchos ataques son
producidos por técnicas de “ingeniería social”. Concientizar a los
usuarios y empleados en general de los riesgos causados por el mal uso
de aplicaciones, por instalar programas no autorizados, o por revelar
sus contraseñas, reduce considerablemente estas vulnerabilidades.
· Capacitación: Tener personal calificado en seguridad de la información es un factor clave para poder reducir las vulnerabilidades
8.3.1.3 Política de seguridad:
Finalmente, tener una buena política de seguridad de la información, divulgada entre todos los actores, es, quizás, la mejora manera de disminuir la vulnerabilidad de la organización.
8.3.2 Amenazas
Una amenaza es una condición del entorno del sistema de información con el potencial de causar una violación de la seguridad.
Para cada amenaza, se pueden distinguir:
· Agentes: Quien potencialmente puede generar una violación de la seguridad.
· Motivos: Lo que mueve al agente a actuar. Pueden existir motivos intencionales o accidentales.
· Resultados: El resultado de la ejecución de la amenaza
Una
vulnerabilidad es una debilidad de un sistema, aplicación o
infraestructura que lo haga susceptible a la materialización de una
amenaza.
La
política de seguridad y el análisis de riesgos deben identificar las
vulnerabilidades y amenazas, y evaluar los correspondientes riesgos. Los
riesgos pueden ser:
· Mitigados: Mediante la implementación de los correspondientes controles
· Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del activo amenazado.
· Aceptado: Luego de evaluado, decidir que no es conveniente tomar acciones.
En
general, es sumamente importante ser conscientes de las
vulnerabilidades y amenazas a las que está expuesta la información, de
manera de mitigar, transferir, eludir o aceptar el riesgo. Muchas veces,
la decisión de cuánto dinero vale la pena invertir para eliminar o
bajar el riesgo de una amenaza no es sencillo.
A continuación se detallan algunas de las amenazas más relevantes:
· Desastres naturales (Incendio, Inundación, Terremotos Tormentas eléctricas, etc)
· Fallas de infraestructura (Instalación eléctrica deficitaria, cambios bruscos de tensión, etc.)
· Robo físico
· Ataques a través de Internet
· Empleados actuales o ex - empleados descontentos, curiosos, hackers, terroristas.
8.3.3 Contramedidas
Las
contramedidas a tomar dependen de las vulnerabilidades y amenazas
detectadas. En forma genérica, se pueden dividir en tres grandes grupos:
Medidas de Prevención
· Servicios de autenticación e identificación (Firmas y Certificados digitales)
·
Servicios de control de acceso (Acceso de control discrecional “DAC”
-Discretionary Access Control, controles de acceso obligatorio MAC
-Mandatory Access Control)
· Servicios de separación (Firewalls, routers de selección u otros mecanismos de filtros de paquetes)
· Servicios de seguridad en las comunicaciones (Usos de tecnologías criptográficas)
Medidas para la Detección
· Detección de anomalías.
· Detección de acciones ilegales.
Medidas para la Recuperación
· Procedimientos de registro, auditoria y monitorización.
· Copias de seguridad.
8.4 Tecnologías asociadas a la seguridad de la información
Hay
un gran número de tecnologías asociadas a la seguridad de la
información. El área de aplicabilidad de la seguridad es sumamente
grande, al igual que las tecnologías y productos existentes. Dentro del
tema “seguridad de la información” se enmarcan desde la criptografía,
hasta los controles de acceso biométricos.
8.4.1 Criptografía
8.4.1.1 Criptografía de clave secreta
La
criptografía de clave secreta, o de claves simétricas, consiste en el
uso de un secreto compartido entre las partes que desean compartir una
información. Este secreto es el que se utiliza tanto para cifrar como
para descifrar una información, y de allí el nombre de clave simétrica.
Las
técnicas más comunes en la criptografía de clave secreta son el cifrado
de bloque (block cipher) y el cifrado de flujo (stream cipher). Dentro
del cifrado de bloque, los cuatro modos de operación más comunes son
ECB, CBC, CFB y OFB.
8.4.1.2 Criptografía de clave pública
A
diferencia de las de clave simétrica, las técnicas criptográficas que
hacen uso de las claves asimétricas no exigen que se comparta ningún
tipo de secreto. Cada participante en la comunicación tiene un par de
claves, que tienen la particularidad de que lo que una de ellas cifra es
descifrado por la otra y viceversa.
8.4.1.3 Firmas digitales
En
Uruguay, la legalidad de las “firmas digitales” fue legislada el 17 de
septiembre de 2003, en el DECRETO REGLAMENTARIO DEL USO DE LA FIRMA
DIGITAL.
Dicha reglamentación establece las definiciones legales de varios términos, entre los que podemos destacar:
·
Firma Digital es el resultado de aplicar a un documento un
procedimiento matemático que requiere información de exclusivo
conocimiento del firmante, encontrándose ésta bajo su absoluto control.
·
Prestador de servicios de certificación es una tercera parte que expide
certificados digitales, pudiendo prestar además, otros servicios
relacionados con la firma digital.
·
Certificado Digital es un documento digital firmado digitalmente por un
Prestador de servicios de certificación, que vincula la identidad del
titular del mismo con una clave pública y su correspondiente clave
privada.
8.4.2 Firewall
Un
“Firewall” o “Cortafuego” es un dispositivo o conjunto de dispositivos
que restringe la comunicación entre dos o más redes. Sus funciones
básicas consisten en bloquear tráficos indeseados y ocultar hacia el
exterior la información interna. Su utilización típica es separar a las
redes internas (LAN, asumidas como “confiables” o “seguras”) de las
redes públicas no seguras, como es el caso de Internet.
Puede decirse que el cometido principal de un Firewall o cortafuego es implementar las políticas de seguridad definidas por la Empresa, en lo referente al acceso a la información “entre redes”.
Para lograr este objetivo, se pueden detallar las siguientes funciones:
· Bloqueo de tráfico no deseado (entrante y/o saliente)
§ Filtrado de paquetes
§ Bloqueo de servicios
§ Bloqueo de acceso a determinados sitios Web
· Monitorizar y detectar actividad sospechosa
§ Registro de “incidentes”
· “Esconder” la red interna
§ Traducir direcciones públicas en privadas y viceversa (NAT)
§ Tener acceso a Internet desde varias máquinas con una sola IP publica
· Direccionar tráfico entrante a sistemas internos que lo requieran
§ Servidores Web, Correo, etc.
8.4.3 VPN
Una
“Red Privada Virtual” o “Virtual Private Network” es un sistema para
simular una red privada sobre una red pública, por ejemplo, Internet.
Las VPN permiten interconectar redes LAN a través de Internet, o
computadores aislados a las redes LAN a través de Internet. Las VPN
posibilitan la conexión de usuarios móviles a la red privada, tal como
si estuvieran en una LAN dentro de una oficina de la empresa donde se
implementa la VPN. Esto resulta muy conveniente para personal que no
tiene lugar fijo de trabajo dentro de la empresa, como podrían ser
vendedores, ejecutivos que viajan, personal que realiza trabajo desde el
hogar, etc.
La
forma de comunicación entre las partes de la red privada a través de la
red pública se hace estableciendo túneles virtuales entre dos puntos
para los cuales se negocian esquemas de encriptación y autentificación
que aseguran la confidencialidad e integridad de los datos transmitidos
utilizando la red pública.
