Inseguridad Informática |
El problema con la seguridad es que, tal como el arquero de fútbol;
solo toma importancia cuando falla. Nuestra intuición nos dice que
es normal que no ocurran desastres y el mundo está
armado de modo tal que los desastres son sucesos excepcionales,. Por
eso es tan difícil implementar políticas de seguridad que funcionen.
Una buena política de seguridad evita la
ocurrencia de incidentes por lo que su importancia pasa desapercibida
o tiene poco impacto. Dentro de la organización estas políticas son
vistas a menudo como complicaciones adicionales más o menos inútiles
que podrían evitarse con solo un poco de confianza y buena suerte.
No es de extrañar entonces que casi todos
los planes de informática sean reacciones después de ocurrido un
desastre. Mientras mayor ha sido el
desastre más cuidadoso y completo suele ser el plan que después se
implementa..
|
1. Qué es
lo que se protege |
El bien protegido es principalmente la
información, esta podría sufrir distintos ataques como por ejemplo:
- Que se revele información que no es pública
a personas no autorizadas. Este es un ataque a la confidencialidad
- Que se cambien datos o la forma en que se
procesan (programas) de manera fraudulenta, o que se borren datos
por efecto de virus. Estos son ataques a la
integridad
- Que se inutilice el sistema y no se pueda
obtener la información. Este es un ataque a la disponibilidad
Las amenazas a la seguridad no son siempre
externas ni producto de ataques maliciosos, de hecho gran parte de los
desastres son producto del descuido, desastres naturales, la mala
operación de los equipos, etc. La imperfección y el error humano es
parte muy relevante en cuanto a las políticas de seguridad que se
implementan.
|
2. Riesgos
de seguridad |
Los riesgos varían según la naturaleza de la
organización, aunque los más usuales son los que a continuación se
indican:
- Información dispersa, con el creciente uso
de PC, la información tiende a almacenarse en los discos duros
locales de cada estación de trabajo creando a veces problemas de
redundancia e inconsistencia: estos consisten en que una misma información que debiera
tener el mismo valor, está almacenada en dos o más lugares
con diferentes valores. Esta dispersión, aunque impide un control
centralizado de la información como en los sistemas antiguos ha
mostrado también beneficios respecto a la seguridad. En los sistemas
modernos se
trabaja deliberadamente con dispersión y redundancia, por ejemplo
en los sistemas RAID. En suma, la dispersión es una amenaza solo
cuando está asociada a otros problemas como la inconsistencia o
fallas de seguridad en las estaciones de trabajo.
- Robos y copias no autorizadas, adulteración,
revelación de secretos, sabotaje, vandalismo, etc. Estas amenazas
se combaten con dos clases de política restricción de acceso y
asignación estricta de responsabilidades
- Pérdidas de información por efecto de virus
o monitoreo remoto con troyanos.
- Fallas técnicas del disco, cortes de
suministro eléctrico, transientes de energía, operación
inadecuada, recalentamiento, desastres naturales, incendios,
inundaciones, etc. Para estas amenazas se usan las políticas
usuales de seguridad industrial
|
3. Como se
implementa una política de seguridad |
Las políticas de seguridad se deben implementar
en varios niveles partiendo por la sensibilización de operadores y
usuarios. Un primer paso de cualquier política de este tipo es
convencer a la gente de los beneficios de seguir políticas seguras y
de los riesgos personales y organizacionales de no hacerlo.
A las
personas les interesa principalmente como les afecta a ellos los
problemas de seguridad. Más que los intereses de la
organización hay que enfatizar como perjudica personalmente al
operador una falla de seguridad pues la disposición a cuidarse es proporcional al miedo a las consecuencias de un desastre.
Luego debe venir un estudio de las
vulnerabilidades acompañado por un registro detallado de incidentes
que comprometan la seguridad del sistema. Este
registro de incidentes es una parte importante para el diseño del
plan de seguridad y el personal debe ser premiado o incentivado de
algún modo para que coopere en ello, de otro modo no se identificarán
debilidades y errores.
Huelga decir que durante esta etapa
de registro no debe existir castigo o represalia
contra los responsables de un incidente, todo lo contrario, deben ser incentivados y premiados por
descubrir la debilidad del sistema ante errores humanos. La peor
amenaza a la seguridad consiste en no conocer las propias debilidades.
Una vez detectadas las debilidades internas y
analizado el registro de incidentes se debe pasar a evaluar
estratégica y económicamente cada una de las amenazas, a fin de
establecer prioridades. .Muchas debilidades no serán detectadas por
incidentes sino por un análisis de debilidades posibles, que debe
llevarse a cabo de manera paralela al estudio de los incidentes. Por
ejemplo se podrían detectar problemas como:
- Existen equipos con información sensible que
no tienen restricciones de acceso.
- Los password personales han perdido su
condición de secretos
- No están claramente establecidas las
responsabilidades de quienes manejan información sensible
- Hay frecuentes interrupciones de energía
eléctrica
- Hay extensiones de corriente por el piso y
enchufes múltiples
- Hay líneas de potencia sobrecargadas o
desequilibradas
- Un equipo con información sensible tiene
acceso a correo electrónico abierto, sin un sistema de vigilancia
- Hay personas con problemas económicos
personales a cargo de información sensible y, potencialmente
valiosa
- Hay posibilidad de sabotaje fuera de las
horas de trabajo
- etc.
|
4.
Asignación de responsabilidades, incentivos y sanciones |
Uno de los principales problemas en torno a la
seguridad informática es que muy rara vez las responsabilidades de
las personas están explícitamente definidas, así como tampoco
existen sanciones previamente establecidas por violación a las
políticas de seguridad. Cuando ocurre un desastre informático nueve
de cada diez veces al responsable no le ocurre absolutamente nada, por
otra parte tampoco existen premios o incentivos a los trabajadores que
mantengan el sistema funcionando por determinado tiempo sin incidentes
(tal como se hace a menudo en otras áreas de la seguridad
industrial). A falta de este sistema de castigos e incentivos, la
actitud de los trabajadores hacia los aspectos de seguridad es
usualmente indiferente.
Un plan de seguridad debe establecer que quienes
operen un equipo de computación (especialmente si contiene
información sensible) poseen una cuota, limitada, de
responsabilidad sobre el cuidado de la información a su cargo. Esta
responsabilidad no debe ser meramente simbólica sino efectiva, debe
tener expresión dentro de su remuneración y las pérdidas atribuibles
a su descuido o mala práctica deben hacer efectiva esta
responsabilidad, tal como un cajero debe rendir cuenta del movimiento
de caja diario.
La excusa usual después de un desastre
informático es "yo no sabía", "nadie me lo dijo"
y revela claramente una falla en las políticas de seguridad, la
capacitación y la especificación de responsabilidades dentro de la
administración.
|
5.
Inventario de activos informáticos |
Los activos informáticos dentro de una
organización están constituidos por:
- La información almacenada
- Los equipos computacionales y sus
periféricos
- El sistema de potencia y respaldo (si hay)
que los alimenta
- El programa de mantención de hardware
- El programa de mantención de software
- El plan de seguridad informática
- Todo el software que se usa
- El recurso humano que opera los equipos
- Los programas y actividades de capacitación
A pesar de ser un sistema muy dinámico y
cambiante, los activos informáticos antes mencionados deben estar
convenientemente registrados, inventariados y evaluados cuando
corresponda. No tener idea clara de lo que se posee es una importante
debilidad en cuanto a una buena política de seguridad informática,
esta ignorancia a menudo es fuente de robos y desastres
A partir de este catastro se puede elaborar un
ranking de los activos que más podrían perjudicar a la organización
en caso de falla, lo que da un buen punto de partida para el plan de
seguridad informática.
|
6. Auditorias
informáticas |
Las auditorias informáticas consisten
principalmente en verificar la buena operación de los sistemas,
detectando los fraudes de digitación, la modificación maliciosa de
datos o programas, etc. Las auditorias se traducen en la práctica en
confrontar los datos ingresados con la documentación física (en
papel) que la respalda. Existe gran cantidad de sistemas muy
vulnerables al fraude de digitación o de modificación maliciosa de
los datos y que solo pueden ser detectados por medio de auditorias de
esta clase.
Hay que comprender que las auditorias completas
no son factibles en la práctica: habría que duplicar a mano todo el
trabajo mecanizado lo que no tendría sentido, así, en términos
reales lo que se hace es auditorias selectivas, al azar sobre las
áreas que se consideran más sensibles, mantener la posibilidad de
que en cualquier momento el trabajo del operador puede ser revisado es
una buena medida que basta para desanimar a la mayoría de las
personas a cometer esta clase de fraudes.
|
7.
Elaboración de normas y manuales |
Dígalo por escrito, es la regla de oro
en este tipo de cosas. Las palabras se las lleva el viento, los
acuerdos de las reuniones y lo que se enseña en la capacitación se
olvida fácilmente, no así los manuales de procedimiento, de normas y
los planes de contingencia. Me ha tocado comprobarlo personalmente: se
le puede dar a alguien una misma instrucción verbal decenas de veces,
y siempre la explicación será "se me olvidó" o "pero
si nadie me dijo".. Lo que está escrito y entregado no puede ser
negado.
Los manuales de procedimiento deben ser cortos,
simples y claros. Deben venir con el respaldo de los niveles más
altos de la organización y debe también especificarse claramente lo
que ocurrirá a quien no los aplique por negligencia.
Lo mismo con las normas, en las grandes agencias
periodísticas existen los manuales de estilo, que regulan todos los
detalles importantes del trabajo de redacción de noticias, algo
parecido debiera existir en toda organización donde se operen equipos
de computación, con mayor razón si estos guardan información
sensible.
Los planes de contingencia son una clase
especial de manuales de procedimiento que especifican que se debe
hacer en caso de diversos desastres o incidentes probables, de modo
tal que no ocurra que el operador, por desconocimiento, empeore los
daños por reaccionar equivocadamente.
Así vemos como cada operador debe disponer de
un manual de procedimiento personalizado que detalle sus
responsabilidades específicas, las sanciones e incentivos. También
debe existir un manual de normas generales así como los planes de
contingencia.
|
8.
Segmentación y restricciones de acceso |
Las estaciones de trabajo suelen manejar
información de lo más heterogéneo: desde escritos de menor
importancia que ni siquiera se graban en el disco, programas de
diverso grado de importancia, documentos de poca importancia,
documentos públicos importantes, documentos e información reservada,
etc.
Una adecuada segmentación, así como niveles de
acceso restringidos son una de las medidas de seguridad más obvias.
No es necesario cerrar completamente un equipo de manera que solo
quien posea la clave pueda usarlo, bien puede segmentarse en un área
pública y con acceso abierto, áreas de acceso privado restringido y
áreas de acceso privado personal. En el ambiente Windows 95, 98 o ME,
que son frecuentemente usados en ambientes de ofimática la
instalación de volúmenes PGP encriptados es una buena solución para
este tipo de problemas.
|
9. Los
controles de seguridad |
La seguridad se debe controlar por capas,
partiendo de los controles proactivos, que se anticipan a los
problemas, los detectivos que detectan problemas y los reactivos que
se dedican a control de daños, así existen diversas categorías de
controles:
- El control preventivo, que incluye la sensibilización
del personal, la elaboración de políticas y normas, la
implementación de incentivos y castigos, los respaldos
periódicos, etc.
- El control de detección, que busca detectar
los problemas en sus primeras etapas, antes de que el daño sea
mayor o irreversible. ejemplos de estos controles son los
programas antivirus, firewalls, auditorias, etc.
- El control correctivo, que se encarga de
reparar los daños y eliminar las causas del problema de
seguridad. Los parches de software, la separación de un
funcionario deshonesto o incompetente, la recuperación de datos
perdidos, etc. son ejemplos de control correctivo.
- El control del acceso que evita que personas
no autorizadas tengan acceso a ciertos equipos o tipo de
información, ejemplo típico de esto es la asignación y
administración de passwords.
- Controles de monitoreo (suirvellance)
consisten en registrar, normalmente sin conocimiento o acceso del
operador, sus actividades en archivos log, snapshots o cualquier
otro medio
- Controles de cambios en las aplicaciones,
consiste en llevar un registro de las modificaciones que sufren
las aplicaciones y verificar que solo se ejecutan aplicaciones
debidamente revisadas y aprobadas
|
10.
Estrategias contra virus |
Las pérdidas de información por efecto de los
virus informáticos son un riesgo constante aunque
manejable. Primero que nada recordemos que los virus necesitan un
medio para ingresar a una estación de trabajo, este medio puede ser:
- Un archivo ejecutable (exe o com) infectado
- Un e-mail con un script en VBS
- Un documento de Office infectado con un virus
de macro
Deshabilitando la diskettera impediremos la
posibilidad de que el operador grabe algún archivo que pueda estar
infectado, cualquier programa nuevo que instalemos podemos revisarlo
con un antivirus convenientemente actualizado.
Para evitar los virus de macro VBS podemos
deshabilitar la opción de desplegar mail en modo html, deshabilitar el
visor de html de nuestro correo o, mejor aún, usar un cliente de
correo que no sea de Microsoft como el Pegasus o The Bat (que, además
tienen varias ventajas funcionales sobre el Outlook)
Si no deshabilitamos la advertencia que lanzan
las aplicaciones de Office antes de ejecutar un documento al cual le
han detectado un virus de macro, tendremos una buena protección
contra los documentos con virus VBA, siempre y cuando el operador
conozca que aplicaciones tienen macros permitidos y cuales no
|
11.
Políticas de respaldo |
Respaldo es lo que hacemos por algún
tiempo después que se nos ha borrado una importante cantidad de
información, nos dura mientras tenemos fresco el recuerdo del
desastre.
Bromas aparte, los respaldos son una de las
actividades más tediosas y frustrantes de la seguridad informática,
especialmente cuando se deben respaldar grandes archivos de manera no
automatizada.
Un primer paso para mejorar esta situación
consiste en automatizar el proceso, dejándolo funcionar en horas de
la noche por ejemplo. como los respaldos se hacen usualmente en cinta
magnética o discos zip, esto no es siempre posible sin
dispositivos adicionales que enciendan y apaguen los equipos.
Otra alternativa simple para las estaciones de
trabajo consiste en dotarlas de dos discos duros separados, en espejo,
haciendo la transferencia al final de cada día o período una vez que
se verifique que el archivo a respaldar esta íntegro.
Finalmente tenemos los sistemas RAID que crean
respaldos espejo paralelamente cada vez que se escribe en el disco.
Esta técnica es útil para el caso de fallas físicas en los discos
pero no cuando la información es atacada por un virus o borrada
accidentalmente, en estos casos simplemente se respaldarán los
archivos vacíos o dañados, porque la copia es simultánea y
automática.
Un buen sistema de respaldos debe ser
necesariamente arrancado por el operador de manera manual, después
que ha verificado la integridad física del archivo que va a respaldar
y la frecuencia con que se respalda se determina a partir de las tasas
y frecuencia de variación de la información.
|
12. No
confiarás |
Tal vez esto debiera llamarse inseguridad
informática, la idea de seguridad es por si sola peligrosa. La
creencia de que existen "sistemas operativos seguros" ha
provocado tantos desastres como la felonía y la mala intención de
los crackers.
Nada es completamente seguro, la
"seguridad" es incierta. Evitar incidentes depende
mucho más de lo que hacemos que de los recursos con que contamos.
Hasta los
sistemas más seguros son vulnerables en ausencia de una política y
prácticas adecuadas, y con sistemas operativos tan
"débiles" como Windows 98 podemos alcanzar buenos grados de
seguridad aplicando las políticas y actitudes adecuadas.
Un poco de paranoia no hace daño, especialmente
cuando tenemos información valiosa o sensible que proteger
|