El problema con la seguridad es que, tal como el  arquero de fútbol;  solo toma importancia cuando falla. Nuestra intuición nos dice que es normal que no ocurran desastres y el mundo está armado de modo tal que los desastres son sucesos excepcionales,. Por eso es tan difícil implementar políticas de seguridad que funcionen.

Una buena política de seguridad evita la ocurrencia de incidentes por lo que su importancia pasa desapercibida o tiene poco impacto. Dentro de la organización estas políticas son vistas a menudo como complicaciones adicionales más o menos inútiles que podrían evitarse con solo un poco de confianza y buena suerte.

 No es de extrañar entonces que casi todos los planes de informática sean reacciones después de ocurrido un desastre. Mientras mayor ha sido el desastre más cuidadoso y completo suele ser el plan que después se implementa..

 

 

El bien protegido es principalmente la información, esta podría sufrir distintos ataques como por ejemplo:

• Que se revele información que no es pública a personas no autorizadas. Este es un ataque a la confidencialidad
• Que se cambien datos o la forma en que se procesan (programas) de manera fraudulenta, o que se borren datos por efecto de virus. Estos son ataques a la integridad
• Que se inutilice el sistema y no se pueda obtener la información. Este es un ataque a la disponibilidad

Las amenazas a la seguridad no son siempre externas ni producto de ataques maliciosos, de hecho gran parte de los desastres son producto del descuido, desastres naturales, la mala operación de los equipos, etc. La imperfección y el error humano es parte muy relevante en cuanto a las políticas de seguridad que se implementan.

 

 

Los riesgos varían según la naturaleza de la organización, aunque los más usuales son los que a continuación se indican:

1. Información dispersa, con el creciente uso de PC, la información tiende a almacenarse en los discos duros locales de cada estación de trabajo creando a veces problemas de redundancia e inconsistencia: estos consisten en que una misma información que debiera tener el mismo valor, está almacenada en dos o más  lugares con diferentes valores. Esta dispersión, aunque impide un control centralizado de la información como en los sistemas antiguos ha mostrado también beneficios respecto a la seguridad. En los sistemas  modernos se trabaja deliberadamente con dispersión y redundancia, por ejemplo en los sistemas RAID. En suma, la dispersión es una amenaza solo cuando está asociada a otros problemas como la inconsistencia o fallas de seguridad en las estaciones de trabajo.
2. Robos y copias no autorizadas, adulteración, revelación de secretos, sabotaje, vandalismo, etc. Estas amenazas se combaten con dos clases de política restricción de acceso y asignación estricta de responsabilidades
3. Pérdidas de información por efecto de virus o monitoreo remoto con troyanos.
4. Fallas técnicas del disco, cortes de suministro eléctrico, transientes de energía, operación inadecuada, recalentamiento, desastres naturales, incendios, inundaciones, etc. Para estas amenazas se usan las políticas usuales de seguridad industrial

 

Las políticas de seguridad se deben implementar en varios niveles partiendo por la sensibilización de operadores y usuarios. Un primer paso de cualquier política de este tipo es convencer a la gente de los beneficios de seguir políticas seguras y de los riesgos personales y organizacionales de no hacerlo. 

A las personas les interesa principalmente como les afecta a ellos los problemas de seguridad. Más que los intereses de la organización hay que enfatizar como perjudica personalmente al operador una falla de seguridad pues la disposición a cuidarse es proporcional al miedo a las consecuencias de un desastre.

Luego debe venir un estudio de las vulnerabilidades acompañado por un registro detallado de incidentes que comprometan la seguridad del sistema. Este registro de incidentes es una parte importante para el diseño del plan de seguridad y el personal debe ser premiado o incentivado de algún modo para que coopere en ello, de otro modo no se identificarán debilidades y errores. 

Huelga decir que durante esta etapa de registro no debe existir castigo o represalia contra los responsables de un incidente, todo lo contrario, deben ser incentivados y premiados por descubrir la debilidad del sistema ante errores humanos. La peor amenaza a la seguridad consiste en no conocer las propias debilidades.

Una vez detectadas las debilidades internas y analizado el registro de incidentes se debe pasar a evaluar estratégica y económicamente cada una de las amenazas, a fin de establecer prioridades. .Muchas debilidades no serán detectadas por incidentes sino por un análisis de debilidades posibles, que debe llevarse a cabo de manera paralela al estudio de los incidentes. Por ejemplo se podrían detectar problemas como:

• Existen equipos con información sensible que no tienen restricciones de acceso.
• Los password personales han perdido su condición de secretos
• No están claramente establecidas las responsabilidades de quienes manejan información sensible
• Hay frecuentes interrupciones de energía eléctrica
• Hay extensiones de corriente por el piso y enchufes múltiples
• Hay líneas de potencia sobrecargadas o desequilibradas
• Un equipo con información sensible tiene acceso a correo electrónico abierto, sin un sistema de vigilancia
• Hay personas con problemas económicos personales a cargo de información sensible y, potencialmente valiosa
• Hay posibilidad de sabotaje fuera de las horas de trabajo
• etc.

Uno de los principales problemas en torno a la seguridad informática es que muy rara vez las responsabilidades de las personas están explícitamente definidas, así como tampoco existen sanciones previamente establecidas por violación a las políticas de seguridad. Cuando ocurre un desastre informático nueve de cada diez veces al responsable no le ocurre absolutamente nada, por otra parte tampoco existen premios o incentivos a los trabajadores que mantengan el sistema funcionando por determinado tiempo sin incidentes (tal como se hace a menudo en otras áreas de la seguridad industrial). A falta de este sistema de castigos e incentivos, la actitud de los trabajadores hacia los aspectos de seguridad es usualmente indiferente.

Un plan de seguridad debe establecer que quienes operen un equipo de computación (especialmente si contiene información sensible) poseen una cuota, limitada,  de responsabilidad sobre el cuidado de la información a su cargo. Esta responsabilidad no debe ser meramente simbólica sino efectiva, debe tener expresión dentro de su remuneración y las pérdidas atribuibles a su descuido o mala práctica deben hacer efectiva esta responsabilidad, tal como un cajero debe rendir cuenta del movimiento de caja diario. 

La excusa usual después de un desastre informático es "yo no sabía", "nadie me lo dijo" y revela claramente una falla en las políticas de seguridad, la capacitación y la especificación de responsabilidades dentro de la administración.

 

Los activos informáticos dentro de una organización están constituidos por:

• La información almacenada
• Los equipos computacionales y sus periféricos
• El sistema de potencia y respaldo (si hay) que los alimenta
• El programa de mantención de hardware
• El programa de mantención de software
• El plan de seguridad informática
• Todo el software que se usa
• El recurso humano que opera los equipos
• Los programas y actividades de capacitación

A pesar de ser un sistema muy dinámico y cambiante, los activos informáticos antes mencionados deben estar convenientemente registrados, inventariados y evaluados cuando corresponda. No tener idea clara de lo que se posee es una importante debilidad en cuanto a una buena política de seguridad informática, esta ignorancia a menudo es fuente de robos y desastres

A partir de este catastro se puede elaborar un ranking de los activos que más podrían perjudicar a la organización en caso de falla, lo que da un buen punto de partida para el plan de seguridad informática.

 

 

Las auditorias informáticas consisten principalmente en verificar la buena operación de los sistemas, detectando los fraudes de digitación, la modificación maliciosa de datos o programas, etc. Las auditorias se traducen en la práctica en confrontar los datos ingresados con la documentación física (en papel) que la respalda. Existe gran cantidad de sistemas muy vulnerables al fraude de digitación o de modificación maliciosa de los datos y que solo pueden ser detectados por medio de auditorias de esta clase.

Hay que comprender que las auditorias completas no son factibles en la práctica: habría que duplicar a mano todo el trabajo mecanizado lo que no tendría sentido, así, en términos reales lo que se hace es auditorias selectivas, al azar sobre las áreas que se consideran más sensibles, mantener la posibilidad de que en cualquier momento el trabajo del operador puede ser revisado es una buena medida que basta para desanimar a la mayoría de las personas a cometer esta clase de fraudes.

 

 

Dígalo por escrito, es la regla de oro en este tipo de cosas. Las palabras se las lleva el viento, los acuerdos de las reuniones y lo que se enseña en la capacitación se olvida fácilmente, no así los manuales de procedimiento, de normas y los planes de contingencia. Me ha tocado comprobarlo personalmente: se le puede dar a alguien una misma instrucción verbal decenas de veces, y siempre la explicación será "se me olvidó" o "pero si nadie me dijo".. Lo que está escrito y entregado no puede ser negado.

Los manuales de procedimiento deben ser cortos, simples y claros. Deben venir con el respaldo de los niveles más altos de la organización y debe también especificarse claramente lo que ocurrirá a quien no los aplique por negligencia.

Lo mismo con las normas, en las grandes agencias periodísticas existen los manuales de estilo, que regulan todos los detalles importantes del trabajo de redacción de noticias, algo parecido debiera existir en toda organización donde se operen equipos de computación, con mayor razón si estos guardan información sensible.

Los planes de contingencia son una clase especial de manuales de procedimiento que especifican que se debe hacer en caso de diversos desastres o incidentes probables, de modo tal que no ocurra que el operador, por desconocimiento, empeore los daños por reaccionar equivocadamente.

Así vemos como cada operador debe disponer de un manual de procedimiento personalizado que detalle sus responsabilidades específicas, las sanciones e incentivos. También debe existir un manual de normas generales así como los planes de contingencia.

 

Las estaciones de trabajo suelen manejar información de lo más heterogéneo: desde escritos de menor importancia que ni siquiera se graban en el disco, programas de diverso grado de importancia, documentos de poca importancia, documentos públicos importantes, documentos e información reservada, etc.

Una adecuada segmentación, así como niveles de acceso restringidos son una de las medidas de seguridad más obvias. No es necesario cerrar completamente un equipo de manera que solo quien posea la clave pueda usarlo, bien puede segmentarse en un área pública y con acceso abierto, áreas de acceso privado restringido y áreas de acceso privado personal. En el ambiente Windows 95, 98 o ME, que son frecuentemente usados en ambientes de ofimática la instalación de volúmenes PGP encriptados es una buena solución para este tipo de problemas.

 

 

La seguridad se debe controlar por capas, partiendo de los controles  proactivos, que se anticipan a los problemas, los detectivos que detectan problemas y los reactivos que se dedican a control de daños, así existen diversas categorías de controles:

1. El control preventivo, que incluye la sensibilización del personal, la elaboración de políticas y normas, la implementación de incentivos  y castigos, los respaldos periódicos, etc.
2. El control de detección, que busca detectar los problemas en sus primeras etapas, antes de que el daño sea mayor o irreversible. ejemplos de estos controles son los programas antivirus, firewalls, auditorias, etc.
3. El control correctivo, que se encarga de reparar los daños y eliminar las causas del problema de seguridad. Los parches de software, la separación de un funcionario deshonesto o incompetente, la recuperación de datos perdidos, etc. son ejemplos de control correctivo.
4. El control del acceso que evita que personas no autorizadas tengan acceso a ciertos equipos o tipo de información, ejemplo típico de esto es la asignación y administración de passwords.
5. Controles de monitoreo (suirvellance) consisten en registrar, normalmente sin conocimiento o acceso del operador, sus actividades en archivos log, snapshots o cualquier otro medio
6. Controles de cambios en las aplicaciones, consiste en llevar un registro de las modificaciones que sufren las aplicaciones y verificar que solo se ejecutan aplicaciones debidamente revisadas y aprobadas

 

Las pérdidas de información por efecto de los virus informáticos son un riesgo constante aunque manejable. Primero que nada recordemos que los virus necesitan un medio para ingresar a una estación de trabajo, este medio puede ser:

• Un archivo ejecutable (exe o com) infectado
• Un e-mail con un script en VBS
• Un documento de Office infectado con un virus de macro 

Deshabilitando la diskettera impediremos la posibilidad de que el operador grabe algún archivo que pueda estar infectado, cualquier programa nuevo que instalemos podemos revisarlo con un antivirus convenientemente actualizado. 

Para evitar los virus de macro VBS podemos deshabilitar la opción de desplegar mail en modo html, deshabilitar el visor de html de nuestro correo o, mejor aún, usar un cliente de correo que no sea de Microsoft como el Pegasus o The Bat (que, además tienen varias ventajas funcionales sobre el Outlook)

Si no deshabilitamos la advertencia que lanzan las aplicaciones de Office antes de ejecutar un documento al cual le han detectado un virus de macro, tendremos una buena protección contra los documentos con virus VBA, siempre y cuando el operador conozca que aplicaciones tienen macros permitidos y cuales no

 

Respaldo es lo que hacemos por algún tiempo después que se nos ha borrado una importante cantidad de información, nos dura mientras tenemos fresco el recuerdo del desastre.

Bromas aparte, los respaldos son una de las actividades más tediosas y frustrantes de la seguridad informática, especialmente cuando se deben respaldar grandes archivos de manera no automatizada.

Un primer paso para mejorar esta situación consiste en automatizar el proceso, dejándolo funcionar en horas de la noche por ejemplo. como los respaldos se hacen usualmente en cinta magnética  o discos zip, esto no es siempre posible sin dispositivos adicionales que enciendan y apaguen los equipos.

Otra alternativa simple para las estaciones de trabajo consiste en dotarlas de dos discos duros separados, en espejo, haciendo la transferencia al final de cada día o período una vez que se verifique que el archivo a respaldar esta íntegro.

Finalmente tenemos los sistemas RAID que crean respaldos espejo paralelamente cada vez que se escribe en el disco. Esta técnica es útil para el caso de fallas físicas en los discos pero no cuando la información es atacada por un virus o borrada accidentalmente, en estos casos simplemente se respaldarán los archivos vacíos o dañados, porque la copia es simultánea y automática.

Un buen sistema de respaldos debe ser necesariamente arrancado por el operador de manera manual, después que ha verificado la integridad física del archivo que va a respaldar y la frecuencia con que se respalda se determina a partir de las tasas y frecuencia de variación de la información.  

 

 

Tal vez esto debiera llamarse inseguridad informática, la idea  de seguridad es por si sola peligrosa. La creencia de que existen "sistemas operativos seguros" ha provocado tantos desastres como la felonía y la mala intención de los crackers. 

Nada es completamente seguro, la "seguridad" es incierta. Evitar incidentes depende mucho más de lo que hacemos que de los recursos con que contamos. Hasta los sistemas más seguros son vulnerables en ausencia de una política y prácticas adecuadas, y con sistemas operativos tan "débiles" como Windows 98 podemos alcanzar buenos grados de seguridad aplicando las políticas y actitudes adecuadas.

Un poco de paranoia no hace daño, especialmente cuando tenemos información valiosa o sensible que proteger