Politicas de Seguridad

     Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas.

    La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios. "Si un Hacker quiere gastar cien mil dólares en equipos para descifrar una encriptación, lo puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podrían gastar millones de dólares".

     La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un gran avance con respecto a unos años atrás.

     Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.

    En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.



Políticas de Seguridad

     De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

     Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible. Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características.

    El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como muchos documentos son ignorados por contener planes y políticas difíciles de lograr, o peor aún, de entender.

    Esto adquiere mayor importancia aún cuando el tema abordado por estas políticas es la Seguridad Informática. Extensos manuales explicando como debe protegerse una computadora o una red con un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Protección" = "Aceite de Serpiente" del mundo.

     He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.

     En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra." (1)

Nivel Fisco

     El primer factor considerado, y el más evidente debe ser asegurar el sustrato físico del objeto a proteger. Es preciso establecer un perímetro de seguridad a proteger, y esta protección debe adecuarse a la importancia de lo protegido.

     La defensa contra agentes nocivos conlleva tanto medidas proactivas (limitar el acceso) como normativas de contingencia (que hacer en caso de incendio) o medidas de recuperación (realizar copias de seguridad). El grado de seguridad solicitado establecerá las necesidades: desde el evitar el café y el tabaco en las proximidades de equipos electrónicos, hasta el establecimiento de controles de acceso a la sala de equipos.

     Lo más importante es recordar que quien tiene acceso físico a un equipo tiene control absoluto del mismo. Por ello sólo deberían accederlo aquellas personas que sea estrictamente necesario.

Amenaza no Intencionada (Desastre Natural)

El siguiente ejemplo ilustra una posible situación:

     Una organización no cuenta con sistemas de detección y protección de incendios en la sala de servidores. El Administrador del sistema deja unos papeles sobre el aire acondicionado de la sala. Durante la noche el acondicionador se calienta y se inicia un incendio que arrasa con la sala de servidores y un par de despachos contiguos.

Directivas:
Predecir Ataque/Riesgo: Incendio
Amenaza: Desastre natural. Incendio
Ataque: No existe.

Estrategia Proactiva:
Predecir posibles daños: pérdida de equipos e información.
Determinar y minimizar vulnerabilidades: protección contra incendios.
Evaluar planes de contingencia: backup de la información.

Estrategia Reactiva:
Evaluar daños: perdida de hardware e información.
Determinar su origen y repararlos: bloqueo del aire acondicionado.
Documentar y aprender
Implementar plan de contingencia: recuperar backups.
Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.

Nivel Humano

El Usuario

      Estas son algunos de las consideraciones que se deberían tener en cuenta para la protección de la información:
     
     Quizás el usuario contempla todas las noticias de seguridad con escepticismo, piensan que los Administradores son paranoicos y se aprovechan de las contadas situaciones dadas. Quizás tengan razón, pero se debe recordar que el mundo virtual no es más que una pequeña muestra del mundo físico, con el agregado que es el campo ideal de impunidad y anonimicidad.

     Generalmente se considera que la propia máquina es poco importante para que un atacante la tenga en cuenta. Se debería recordar que este atacante no sabe quien está del otro lado del monitor, por lo que cualquier objetivo (en principio) es tan importante (o no) como cualquier otro.

Ejemplo : Se instaló un Firewall personal en dos usuarios normales de Internet, utilizando modems y Windows 98 como sistema operativo. Los resultados obtenidos en los archivos de Logs de estos usuarios fueron los siguientes:

Usuario 1 ubicado en Paraná (Entre Ríos-Argentina): 49 scaneos de puertos y 14 intentos de instalación de troyanos en 10 días.

Usuario 2 ubicado en Buenos Aires (Argentina): 28 scaneos de puertos en 8 días.

     La pregunta ya no es ¿seré atacado?; a cambiando a ¿cuándo seré atacado?.
Generalmente se sobrevalora la capacidad de un atacante. Al contrario de la creencia popular no se necesita ser un Gurú para ingresar en una computadora y generalmente quienes lo hace son Script-Kiddies en busca de "diversión". De hecho un Gurú siempre tendrá "mejores cosas que hacer".

  Convencerse de que TODOS los programas existentes tienen vulnerabilidades conocidas y desconocidas es muy bueno. Esta idea permite no sobrevalorar la seguridad de su sistema.

Ejemplo: Un usuario dice a otro: "Yo utilizo Linux porque es más seguro que Windows". Esto es una falacia disfrazada: el usuario debería decir que Linux puede ser más seguro que Windows. De hecho cualquier sistema bien configurado puede ser más seguro que uno que no lo está.
La Regla de Oro que todo usuario debe tomar como obligación (y su responsabilidad) es tomar la seguridad de su computadora en serio. Recordar que el eslabón más débil de una cadena equivale a la resistencia de la misma es muy bueno en este momento.

     Ningún usuario inocente estará contento si su nombre aparece en la lista de posibles intruso en una red, nada más que porque alguien decidió utilizarlo para tales fines. Tampoco es bueno ser acusado de expandir un virus por el simple hecho de enviar mails sin comprobarlos anteriormente.

     Los procedimientos simples mencionados pueden evitar grandes dolores de cabezas.

Amenaza no Intencionada (Empleado)

El siguiente ejemplo ilustra una posible situación de contingencia y el procedimiento a tener en cuenta:

     Un empleado, no desea perder la información que ha guardado en su disco rígido, así que la copia (el disco completo) a su carpeta particular del servidor, que resulta ser también el servidor principal de aplicaciones de la organización. No se han definido cuotas de disco para las carpetas particulares de los usuarios que hay en el servidor. El disco rígido del usuario tiene 6 GB de información y el servidor tiene 6,5 GB de espacio libre. El servidor de aplicaciones deja de responder a las actualizaciones y peticiones porque se ha quedado sin espacio en el disco. El resultado es que se deniega a los usuarios los servicios del servidor de aplicaciones y la productividad se interrumpe.

A continuación, se explica la metodología que se debería haber adoptado antes de que el usuario decida realizar su copia de seguridad:

Directivas:
Predecir Ataque/Riesgo: Negación de servicios por abuso de recursos.
Amenaza: No existe. Empleado sin malas intenciones.
Ataque: No existe motivo ni herramienta, solo el desconocimiento por parte del usuario.

Estrategia Proactiva:
Predecir posibles daños: pérdida de productividad por espacio de disco/memoria agotados.
Determinar y minimizar vulnerabilidades: implementar cuotas de discos.
Evaluar planes de contingencia: servidor backup.
Capacitar el usuario.

Estrategia Reactiva:
Evaluar daños: pérdida de producción.
Determinar su origen y repararlos: hacer espacio en el disco.
Documentar y aprender: implementar plan de contingencia.
Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Amenaza Malintencionada (Insider)

Una empresa competidora ofrece a un usuario cierta suma de dinero para obtener el diseño del último producto desarrollado por su empresa. Como este usuario carece de los permisos necesarios para obtener el diseño se hace pasar como un Administrador, y usando ingeniería social, consigue el nombre de usuario y password de un usuario con los permisos que él necesita.

La política de seguridad asociada a este evento debería haber contemplado:

Directivas:
Predecir Ataque/Riesgo: Robo de información mediante el uso de ingeniería social.
Amenaza: Insider.
Ataque: Ingeniería social.

Estrategia Proactiva:
Predecir posibles daños: pérdida de productividad y/o beneficios.
Determinar y minimizar vulnerabilidades: concientización de los usuarios.
Evaluar planes de contingencia.

Estrategia Reactiva:
Evaluar daños: pérdida de beneficios e información.
Determinar su origen: revelación de login y password por parte el usuario.
Reparación de daños: implementar entrenamiento de los usuarios.
Documentar y aprender.
Implementar plan de contingencia.
Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza No Intencionada

     Un virus ingresa a la empresa mediante un mail enviado a un empleado, y comienza a expandirse dentro de la misma tomando como base la libreta de direcciones de los usuarios:

Directivas:
Predecir Ataque/Riesgo: Negación de servicio del servidor de correo electrónico por gran la cantidad de mensajes enviados/recibidos.
Amenaza: Virus.
Ataque: Virus de correo electrónico.

Estrategia Proactiva:
Predecir posibles daños: pérdida de productividad por negación de servicio.
Determinar y minimizar vulnerabilidades: actualización de antivirus y concientización de usuarios en el manejo del correo electrónico.
Evaluar planes de contingencia: evaluar la importancia de un servidor backup. Antivirus.

Estrategia Reactiva:
Evaluar daños: pérdida de producción.
Determinar su origen: caída del servidor por overflow de mensajes.
Reparación de daños: implementar el servidor backup. Eliminación del virus causante del problema.
Documentar y aprender.
Implementar plan de contingencia: servidor backup.
Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza Malintencionada (Out-Sider)

Una persona ingresa al sistema de la empresa, con intenciones de recopilar información para su posterior venta:

Directivas:
Predecir Ataque/Riesgo: Ingreso al sistema por vulnerabilidades en los sistemas o política de claves ineficiente.
Amenaza: Outsider recopilando información significativa.
Ataque: Ingreso al sistema.

Estrategia Proactiva:
Predecir posibles daños: Robo y venta de información. Daño a la imágen de la empresa.
Determinar y minimizar vulnerabilidades: actualización de sistemas vulnerables. Concientización a los usuarios en el manejo de contraseñas fuertes.
Evaluar planes de contingencia: implementación de servidor backup para casos de daño de la información. Recuperación de imagen. Evaluar formas de minimizar el daño por la información robada.

Estrategia Reactiva:
Evaluar daños: información susceptible robada.
Determinar su origen: ingreso al sistema.
Reparación de daños.
Documentar y aprender.
Implementar plan de contingencia: servidor backup.
Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.

Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:

Decisión: elección de un curso de acción determinado entre varios posibles.

Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.

Estrategia:conjunto de decisiones que se toman para determinar políticas, metas y programas.

Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.

Meta: objetivo cuantificado a valores predeterminados.

Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.

Norma: forma en que realiza un procedimiento o proceso.

Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.

Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.

Pronostico: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros.

Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan. (2)

Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

     Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema."

     La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)

     La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas."(5) y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.

       Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.

   Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

     No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

Evaluación de Riesgos

     El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.

     Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

     Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

     La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):
"¿Qué puede ir mal?"
"¿Con qué frecuencia puede ocurrir?"
"¿Cuáles serían sus consecuencias?"
"¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
"¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
"¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
"¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
"¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"¿Se tiene control sobre las operaciones de los distintos sistemas?"
"¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
"¿A que se llama información confidencial y/o sensitiva?"
"¿La información confidencial y sensitiva permanece así en los sistemas?"
"¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
"¿A quien se le permite usar que recurso?"
"¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
"¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
"¿Cómo se actuará si la seguridad es violada?"

Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:

Tipo de Riesgo

Factor

Robo de hardware

Alto

Robo de información

Alto

Vandalismo

Medio

Fallas en los equipos

Medio

Virus Informáticos

Medio

Equivocaciones

Medio

Accesos no autorizados

Medio

Fraude

Bajo

Fuego

Muy Bajo

Terremotos

Muy Bajo

Estrategias de Seguridad

     Para establecer una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores.

     En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.

La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinación del daño que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudará a desarrollar esta estrategia.

La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:
  • Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida.
  • Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán.
    Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no.
      Actualmente, y "gracias" a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada.

Implementación de Politicas de Seguridad

    La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como este proceso debe abarcartoda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.

        Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente.

      Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen.

        Es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad a los actos de la administración.

Una PSI informática deberá abarcar:Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.

       Definición de violaciones y las consecuencias del no cumplimiento de la política.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.

   Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.

     Una proposición de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:



     Se comienza realizando una evaluación del factor humano, el medio en donde se desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

     Luego de evaluar estos elementos y establecida la base del análisis, se originan un programa de seguridad, el plan de acción y las normas y procedimientos a llevar a cabo.

    Para que todo lo anterior llegue a buen fin debe realizarse un control periódico de estas políticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditoría a los archivos Logs de estos controles.

    Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulación y los casos reales registrados generan una realimentación y revisión que permiten adecuar las políticas generadas en primera instancia.

    Por último el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la política falle.

     Es importante destacar que la Seguridad debe ser considerada desde la fase de diseño de un sistema. Si la seguridad es contemplada luego de la implementación del mismo, el personal se enfrentará con problemas técnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de seguridad.

"Construya la seguridad desde el principio. La máxima de que es más caro añadir después de la implementación es cierta." (1)

Julio C. Ardita menciona: "Muchas veces nos llaman cuando está todo listo, faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos que la seguridad es imposible de implementar. Últimamente nos llaman en el diseño y nosotros los orientamos y proponemos las soluciones que se pueden adoptar.

   Queda claro que este proceso es dinámico y continuo, sobre el que hay que adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad descubierta, con el fin de que estas políticas no caigan en desuso.



No hay comentarios.:

Publicar un comentario