Introducción a la seguridad de la información (Caso de estudio).

Fecha: Octubre 2011

Autor: José Norberto Ibarra Plascencia.

Introducción:

Con el avance de la tecnología y la gran dependencia generada por los negocios ha surgido, una gran cantidad de amenazas de seguridad procedentes de diferentes fuentes, que explotan al máximo las vulnerabilidades de los sistemas de información y redes de las compañías poniendo en peligro su activo más importante que es la información.

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigida a los responsables de iniciar, implantar o mantener la seguridad de una organización, define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

Como esta existes muchas normas y procesos que ayudan a resguardar de una manera segura lo que se podría llamar “El tesoro más importante de una organización: La información”, y que permiten garantizar hasta cierto punto que este tesoro no sufrirá daño alguno.

A continuación se analizarán algunas de estas normas aplicándolas a un caso de estudio en el que haremos observaciones sobre las ventajas que ofrecen cada una de ellas.

Marco contextual

Las grandes empresas manejan una gran cantidad de información (financiera, personal, de empleados, clientes, socios, proyectos, etc.), y es responsabilidad de la empresa el mantener segura esa información.

Imaginemos que pasaría si a una empresa le fuese robado el plan de trabajo de los próximos 5 años; si esta información cayese en manos de la competencia podría anticipar los movimientos de la empresa víctima, teniendo así la oportunidad de sabotear su progreso.

Pero no solo el hecho de que la empresa en competencia adquiera esta información es el único riesgo, también dicha información puede ser eliminada totalmente, no dando la oportunidad de que esta sea recuperada; se tendrían que invertir de nuevo los recursos para que sea desarrollada (humanos, económicos, materiales, tiempo, etc.).

De ahí surgen las razones por las cuales se deben implementar normas que garanticen que la información esta segura. Dichas normas son diferentes para el tipo de empresa y el tipo de riesgo que deseen prevenir.

Un ejemplo es la norma ISO-27001-2005 que propone toda una secuencia de acciones tendientes al “establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)”.

Antecedentes

Rich Skentra fue un alumno que gustaba compartir software y juegos con sus compañeros de curso. Pero Skentra tenía un raro gusto por alterar los juegos de forma que dejaran de funcionar o incorporando en la interfaz alguna de sus ocurrencias, pero esta broma no era divertida para sus compañeros de curso que después de un tiempo no le permitían acercarse a sus discos.

Por este motivo Skentra creo “Elk Cloner”, el primer virus de computadora. El programa fue creado en un computadora Apple II, y su función era autocopiarse sin autorización al disco de la pc y luego  los disquetes, obvio sin la autorización del usuario.

Creado en 1982, “Elk Cloner” se considera el primer virus de computadora a gran escala (puesto que existen datos de un virus llamado “Creeper” creado 10 años antes) que curiosamente fue escrito para las máquinas Apple II. El virus mostraba el siguiente mensaje en pantalla por cada 50 veces que se encendiera una computadora.

Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it´s Cloner!

 

It will stick to you like glue
it will modify RAM too
Send in the Cloner!

Muchas líneas de código maligno se han escrito desde la creación de “Elk Cloner”, tales como “Melissa” y “ILOVEYOU”, que causaron enormes perjuicios a sus víctimas.

El primer virus que llamó la atención mediática a nivel mundial fue “Jerusalén”, que luego de propagarse silenciosamente eliminaba archivos en las máquinas infectadas cada viernes 13, lo que hacía difícil detectar una máquina infectada antes de que fuera afectada.

“Todo comenzó como una broma” dijo Rich Skrentra.

Caso de estudio:

Problemática inicial

Aunque se contaban con medidas de seguridad no eran ejecutadas de forma correcta, se ve claramente por la facilidad con que el atacante entra a la empresa y la confianza que se le tiene, algunos fallos que se pueden detectar son los siguientes:

  1. Acceso sin identificación.- Al ver que el sujeto no contaba con identificación del trabajo Larry debió haberle solicitado una identificación personal y corroborar que en efecto trabajaba dentro de esa empresa. Pero algo aún más correcto a eso era no haberle permitido hasta que contara con su gafete identificador.
  2. Seguridad personal: Los guardias ubicados en la recepción no están realizando bien su trabajo y eso se observa fácilmente al no percatarse que alguien ha entrado sin identificación, debieron haber tomado sus datos personales para descubrir quién era en realidad.
  3. Equipos de cómputo con sesiones iniciadas: Los equipos de cómputo tienen la sesión iniciada y no hay nadie trabajando en ellos, lo que se debe hacer (y en el video se observa bien por qué) es al dejar de usar el equipo cerrar las sesiones activas o al menos bloquearlas para que así solo una administrador o un usuario de dicho equipo pueda tener acceso al mismo.
  4. Contraseñas a la vista: Las contraseñas no deben escribirse en cualquier papel, estas deben ser memorizadas para que nadie tenga acceso a ellas, o en el caso que sean difíciles de memorizar y deban ser forzosamente escritas en papel este no debe estar a la vista, al menos estar en el cajón de algún escritorio guardado bajo llave.
  5. Objetos de valor descuidados: Los objetos de valor con los que la empresa tampoco deben ser dejados a la vista, como en este caso sucedió con las llaves del coche lo que dio facilidad al intruso de un rápido escape.
  6. Prestar el identificador: Jamás se deben prestar las credenciales de identificación y menos cuando sirven de llave para acceder a lugares que son solo para el personal autorizado, el mismo cuidado se debe tener con contraseñas y nombre de usuario.

Beneficios de la implementación de la solución

Las recomendaciones que se sugieren al final son más que nada prevenir ataques físicos, es decir ataques que se pueden llevar a cabo dentro de la misma empresa. Esto ayudará a que no se repita lo sucedido en el video pero no garantiza que no habrá un ataque desde afuera.

Con ese tipo de medidas de prevención se pueden lograr un mejor control sobre las personas que tienen acceso a las instalaciones logrando así la reducción de riesgos dentro la empresa.

Cabe resaltar el nivel con el que realizan la aceptación de los futuros riesgos, el análisis y la evaluación de los mismos. Al parecer, por el tipo de reglas que se presentan al final, su objetivo es implementar algunas de las 10 secciones de la norma ISO-17799, podrían ser las siguientes:

  • Seguridad del personal – para reducir los riesgos de error humano, robo, fraude o mal uso de las instalaciones y equipo.
  • Seguridad ambiental y física – para prevenir acceso sin autorización, daños e interferencia a las instalaciones del negocio y a la información.
  • Comunicaciones y administración de operaciones – para asegurar la operación correcta y segura de las instalaciones de procesamiento de la información.
  • Control de acceso – para controlar el acceso a la información.

Pero se recomienda tomar también medidas de prevención para posibles ataques del exterior, ya sea a través de la red o de algún sistema de software en específico.

Propuesta personal

Recomiendo a la empresa capacite a sus empleados para prevenir este tipo de sucesos, así como implementar algunas de los estándares para la prevención de incidentes de seguridad.

En lo personal recomiendo las siguientes:

Estándares NIST

El NIST (National Institute of Standards and Technology) de los Estados Unidos, fue fundado en 1901 y es un referente a nivel mundial dentro del campo de la investigación y estandarización de actividades técnicas; tanto dentro como fuera de Norteamérica.

Norma NIST 800-5

Este documento provee lineamientos en la selección de herramientas de seguridad para la protección de virus. Se discuten las fortalezas de varias clases de herramientas antivirus, también se dan sugerencias de aplicaciones apropiadas para estas herramientas.

Es un escrito dirigido en primer lugar al personal técnico encargado de seleccionar las herramientas antivirus para la organización.

Contempla los siguientes aspectos:

  1. Introducción
  2. Funcionalidad
  3. Factores de selección
  4. Técnicas y herramientas
  5. Selección de técnicas antivirus
  6. Selección de la herramienta correcta
  7. Información adicional

Si alguna de las empresas afectadas por algunos de los virus mencionados en los antecedentes hubiese implementado un estándar parecido a este quizá el panorama hubiese sido distinto. En lo que respecta al caso de estudio, la empresa ya fue perjudicada de forma física, es decir el atacante realizo el daño entrando a la empresa, por lo tanto existe un gran riesgo residual, nada nos garantiza que no recibirán un ataque desde el exterior por medio de la red.

Norma NIST 800-6

Provee una guía en la implementación, selección, utilización y distribución de herramientas de prueba de vulnerabilidades.

Va dirigido a administradores de sistemas y auditores de sistemas especialmente, los cuales son responsables de evaluar la seguridad de los mismos.

Esta norma abarca los siguientes puntos:

  1. Introducción
  2. Objetivos de la evaluación de vulnerabilidades
  3. Métodos de la evaluación de vulnerabilidades
  4. Técnicas de evaluación de seguridades
  5. Políticas y procedimientos

Norma NIST 800-41

Este documento provee información introductoria acerca de firewalls y políticas de firewall, primariamente para asistir a los responsables de la seguridad de la red. Este dirige conceptos relacionados al diseño selección, desarrollo y administración de firewalls y de ambientes de firewall.

El escrito contiene los siguientes aspectos:

  1. Introducción
  2. Panorama general de plataformas firewall
  3. Ambientes de firewall
  4. Políticas de seguridad de firewall
  5. Administración de firewall

COBIT

Su misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptados, generalmente para el uso cotidiano de gerentes de empresas y auditores.

En su cuarta edición COBIT tiene 34 objetivos de alto nivel que cubre 215 objetivos de control categorizados dentro de cuatro dominios:

  1. Planificar y organizar.- Cubre el uso de la tecnología y qué tan bien podría ser utilizada en una institución para ayudar a alcanzar los objetivos y metas de la misma.

Como vimos en el caso práctico, ellos contaban con gran tecnología de seguridad pero no fue bien utilizada lo que provocó que ocurriera el desafortunado incidente.

  1. Adquirir e implementar.- Cubre la identificación de los requerimientos de TI, adquisición de la tecnología y su implementación dentro de los procesos actuales de la institución.
  2. Entregar y apoyar.- Se enfoca en la entrega de los aspectos de TI.
  3. Monitorear y evaluar.- Trata con la estrategia de la institución dentro de la evaluación de las necesidades de la misma, y si es que es sistema de TI actual aún persigue o no los objetivos para los cuales fue diseñado y los controles necesarios para cumplir con los requerimientos normados o regulados.

Marco conceptual

  • Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.
  • Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.
  • Integridad: Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento.
  • Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
  • Incidente de seguridad: uno o varios eventos de seguridad de la información no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información.
  • Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
  • Aceptación de riesgo: Decisión de aceptar un riesgo.
  • Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.
  • Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.

Conclusión

En el transcurso del reporte se reafirmaron los conocimientos acerca de las normas ISO-27001 e ISO-17799, y además se aprendieron dos nuevos estándares, COBIT cuya función es promover una serie de objetivos acerca de la correcta administración y seguridad de los sistema de TI; y los estándares NIST, cuya forma de operar es similar a la de ISO, también son una serie de normas que de enfocan en áreas específicas ayudando a mejor la seguridad en cada una de esas áreas.

Conocer este tipo de normas ayuda a realizar proyectos de mejor calidad, ya sea la implementación de una red o sistema de información o el simple hecho de controlar el acceso a esa información.

De nada sirve implementar una gran red, con el mejor firewalls, mejor antivirus, encriptación, etc. si la información puede ser robada físicamente; así como tampoco sirve implementar el mejor control de acceso físico si quienes quieren dañar dicha información pueden hacerlo de manera remota. Es por eso que es importante conocer las recomendaciones que existen para garantizar en el área que nos encontremos que la información es segura, y que esta mantiene su confidencialidad, integridad y se encuentra disponible para quien esté autorizado a disponer de ella.

Podemos comenzar a utilizar algunas de las normas de calidad que existentes sin necesidad de buscar la certificación de la empresa, eso puede venir después, podemos comenzar por adoptar sus recomendaciones e ir creando la cultura de la seguridad, hay una gran cantidad de normas y estándares que nos pueden ayudar a prevenir pérdidas que pueden llegar a ser irrecuperables, y que en algunos de los casos pueden llevar a una empresa a la ruina.

Bibliografía:

[1] Bernal Villamarín Juan José. Herrera Rada Magda Johana. Roberto Emilio Salas Ruiz. Hurtado Guillermo (s/f). PROTOTIPO DE SISTEMA EXPERTO PARA LA GENERACIÓN DE NORMAS, POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD BASADOS EN LAS NORMAS ISO17799 E ISO 27001 DENTRO DE UN ENTORNO ORGANIZACIONAL “PSEP” (Inédito).

Recuperado el 23 de octubre de 2011 de: http://gemini.udistrital.edu.co/comunidad/dependencias/revistavinculos/VINCULOS/revista/6edicion/12007603.pdf

[2] Desarrollo Web(2011). Análisis de ISO-27001:2005.

Recuperado el 23 de octubre de 2011 de: http://www.desarrolloweb.com/manuales/77/

[3] Traviesus(2007). ¿Cuál Fue el primer virus informático?

Recuperado el 23 de octubre de 2011 de: http://www.traviesus.com/2007/sin-categoria/%C2%BFcual-fue-el-primer-virus-informatico/

[4]   World History Site(2007). El primer virus de la computadora.

Recuperado de: http://www.worldhistorysite.com/c/virusc.html

[5] Pazmiño Naranjo Pablo Daniel(2007). Análisis de los riesgos y vulnerabilidades de la red de datos de Escuela Politécnica Nacional (Tesis).

Recuperado de: http://bibdigital.epn.edu.ec/handle/15000/695

[6]   National Institute of standards and technology (2009). Guide to NIST Information security documents.

Recuperado de: http://csrc.nist.gov/publications/CSD_DocsGuide.pdf