Desarrollo de Políticas de Seguridad Informática


Hace unos años me dediqué a la publicación de un magazine que trataba de seguridad informática. Muchos de los artículos pueden adaptarse perfectamente a los tiempos actuales, con lo que voy a publicarlos de nuevo.
Los magazines originales no los voy a colgar de nuevo, sin embargo los tengo como archivos PDF y los que queráis estos artículos podéis mandarme un mail a jinx@hotmail.es o decírmelo por el MSN y gustosamente os los enviaré.

INTRODUCCIÓN

Para la realización de este artículo maticé unas cuantas cosillas y unos apuntes generales de los fallos más frecuentes en el desarrollo de Políticas de Seguridad Informática efectivas.

Primero comenzaré definiendo Política de Seguridad Informática (de ahora en adelante, PSI) como el conjunto de herramientas organizacionales para la concienciación de cada individuo de una organización sobre la importancia y sensibilidad de la información que favorece en el buen desarrollo de la misma. Por esto, podemos sacar como conclusión que cualquier organización que trabaje con redes de computadores, debe de tener unas normativas referentes al uso de los contenidos y recursos. Por tanto, una buena PSI es el establecimiento de un canal formal de actuación del personal, en relación con los recursos y servicios informáticos importantes de la organización.

Según esto, para el desarrollo de una PSI efectiva se debe de entender la organización en si misma, sus actividades culturales, sus ámbitos sociales y comportamientos para asegurar confiabilidad en las operaciones y funcionalidad de la organización.

Asimismo, para el desarrollo de una PSI efectiva, el administrador deberá concienciar a todos los individuos del grupo, ya que tras una buena PSI puede esconderse una mala política de creación de contraseñas o un usuario que te pegue un papelín en el monitor con la contraseña a la vista de todos, debilitando la seguridad del Sistema total o parcialmente, dependiendo del nivel de acceso del usuario. Por esto mismo, en el desarrollo de una buena PSI se deben concienciar a todos los individuos relevantes de los asuntos de seguridad acompañado de una visión del ámbito de la organización que promueva actividades que involucren a los mismos.

Por igual, un sistema basado en una Política de Ocultación no es un Sistema Seguro. En este caso, la seguridad depende del conocimiento de los usuarios sobre el Sistema.

Para el desarrollo de PSI avanzadas, la estructuración debe de ser clara permitiendo un manejo de incidencias y una organización de herramientas estable, dando como resultado un mayor conocimiento de las posibilidades reales del Sistema ante una incidencia.

LA CONCIENCIACIÓN DE LOS INDIVIDUOS EN LA ADOPTACIÓN DE UNA POLÍTICA DE SEGURIDAD EFECTIVA

Podría comenzar por otros puntos antes que por este, pero creo que para el desarrollo de una PSI efectiva se debe de partir de raíz en este punto, transmitir a los que no saben nada de nada lo que tu sabes.

Esto, aunque no lo parezca, suele ser un grave problema. Para ello contaré un ejemplo personal:

En un trabajo que desempeñé, administrador y consultor en una empresa de seguridad informática, estaba al cargo de unos servidores que no vienen al cuento, pero administraba los servidores del Director Multimedia, el cual tenía un servidor FTP, a través de Internet. Llegué yo, y tras la aprobar la reestructuración de servidores y asegurarlos más, cambié el explendido servidor wu-ftpd por sshd con protocolo SSH v2 y realicé un cliente SSH con interfaz Windows adaptado a las necesidades de la empresa y a los conocimientos de dicho usuario.

 

La interfaz le encantó, pero al decirle lo de SSH y las características de SSH frente al uso de FTP, algo sucedió en su cerebro contra SSH y empezó a decir que SSH era una mierda y que FTP es mucho mejor.

Lo curioso de la historia, es que estoy convencido de que si al usuario no le hubiesemos dicho nada de el cambio del servidor FTP por un servidor SSH, el no se hubiese quejado de SSH, simplemente le hubiesemos dado su cliente personalizado y hubiese seguido trabajando con el servidor sin notar ningún cambio.

 

A este individuo, para concienciarle de una buena PSI hay que metersela a martillazos, ya que hay gente que les resulta imposible comprender las posibilidades de ataque y la actuación ante incidencias. Esta persona, no era relevante a la hora de aprobar una seguridad u otra, si lo hubiese sido todavía estarían corriendo esos servidores FTP.

Por esto, la concienciación de un elemento interno de la organización, puede ser un grave problema y no existe una formula magistral, sólo un conjunto de “consejos” que se convierten en obligaciones del encargado de la seguridad del Sistema:

- Ejemplos organizacionales de fallos de seguridad: estrategias organizacionales e imagen exterior de la organización ante las incidencias.

- Las estrategias de Seguridad Informática están siempre relacionadas con el proceso de toma de decisiones, principios de integridad, confidencialidad y disponibilidad de la información.

- Muestreo del Impacto, limitaciones y beneficios sobre los activos claves de la organización. Relaciones costo-beneficio. Unos ejemplos prácticos de ataques y el impacto que provoca a la organización y cómo se responde con una buena PSI. Para las empresas, a los directivos, les resulta muy provechoso las relaciones costo-beneficio.

- Una buena PSI siempre tiene asociado un buen funcionamiento del Sistema. En un Sistema Seguro los elementos del sistema han de funcionar sin errores. Este punto también es importante para los directivos de empresas.

- Desarrollo de Manuales de Procedimientos según el requerimiento de la organización, que incluyen Altas y Bajas de Usuario, Clasificación y Configuración de los Servidores, Niveles de Riesgo tipificados, Planes de Actuación ante Incidencias, Procedimientos de Auditoría, Seguimiento de los elementos del Sistema para la Comprobación de Agujeros.

- Consejos a los usuarios sobre una buena elección de contraseñas.

CLASIFICACIÓN DE LOS RIESGOS. PREVISIÓN GENERAL.

Como dijimos anteriormente, cuando estamos asegurando una organización con objetivos potenciales se deben someter a análisis e identificar los riesgos y las relaciones costo-beneficio contrastadas con la imagen exterior de la organización. A veces, en organizaciones pequeñas, el costo de la eliminación de riesgos supera al costo de los objetivos potenciales, con lo cual, la organización no aprobará unos planes propios de una corporación. En la realidad, el peso político de determinadas organizaciones cambia esto por recursos ante gobiernos como en el caso CityBank, dios que vergüenza me da, casos como este requieren de la actuación de gobiernos para la creación de una organización de control sobre los estándares y de asesoramiento en PSI, sobre esto la UE ya dejó patente su preocupación en el plan eEurope2002 y con la constitución de NISA (Agencia Europea para la Seguridad en las Redes de Información).

Para la Clasificación de Riesgos, se deberán identificar todos los elementos susceptibles de ser clasificados, someterlos a identificación, realizar una base de datos con los elementos que tras la primera clasificación no se han encontrado errores de seguridad en ellos, buscar todos los errores de los elementos y clasificarlos según el Nivel de Riesgo, finalmente adecuarlos lo más posible a la política y funcionamiento de la empresa, buenos métodos son los tranparentes, aplicaciones que en el Nivel de Usuario destacan por su sencillez empero, en su base, corren potentes algoritmos de encriptado.

El proceso de identificación y clasificación es una tarea ardua y muchas veces resulta útil para algunas organizaciones servicios de notificación de errores que prestan algunas empresas por internet, este servicio de notificación, a veces, no está encriptado lo que daña la seguridad del sistema, ya que cualquier usuario que realice una escucha podrá esnifar el texto plano. Se han hecho estudios en los que queda patente la pérdida de tiempo de un consultor en la búsqueda de información de errores.

Cuando digo “Realizar una Base de Datos con los elementos que tras la primera clasificación no se han encontrado errores de seguridad en ellos” le estoy dando importancia a la forma de encontrar errores en un elemento, cuando alguien piensa que un elemento es susceptible de contener un error otra persona en la otra parte del mundo puede estar encontrando un agujero en ese elemento, pronto, puede convertirse en un agujero de seguridad con acceso de superusuario. En la seguridad informática, el instinto de la lógica juega un papel muy importante. Puedes estar acostumbrado a romper las contraseñas de una manera o como me pasó a mí realizando un Ataque Local a un equipo portátil con Windows XP del cuál se había perdido la contraseña. Dos meses después, recibí en mi correo electrónico que había sido descubierto un nuevo Ataque Local, lo comprobé y era el mismo que yo había utilizado. Una muestra más del caos que supone este mundo.

Identificación de riesgos. Previsiones.

A la hora de identificar los riesgos de la estructura del Sistema se han de tener en cuenta una serie de preguntas de sencilla cuestión: ¿Por qué la organización a proteger ha de ser susceptible de un ataque?, ¿Cuál es la estabilidad social de la región a la que pertenece la organización?, ¿Cuál es el ámbito y el grupo de relaciones sociales de la organización?, ¿Hubo o habrá una buena cuantía de despidos o un despido de un trabajador inestable psicológicamente o un despido inmerecido o injusto?, ¿los trabajadores se sienten cómodos o por el contrario se sienten contrariados y explotados?, ¿cuál es la imagen exterior de la organización?, ¿Quién es la competencia?.

Muchos son los motivos por los que una organización debe adecuar una PSI a sus ámbitos y relaciones con el exterior. Un empleado molesto puede hacer un sencillo ataque de Denegación de Servicio bajando los plomos de los que depende la red informática, o si una persona no autorizada tiene acceso a los servidores puede hacer un Desconecto Aquí y Aquí.

Para Identificar los riesgos a los que se enfrente la organización que vayas a proteger deberás tener esas respuestas bien claras en mente porque cada una de ellas da un trazo al molde que acaba por convertirse en una buena o una mala PSI.

Podríamos realizar una clasificación general de Riesgos en:

Físicos: los riesgos físicos incluyen desde accesos no autorizados a la sala de servidores, hasta fuegos, inundaciones y terremotos.

Software: los riesgos de la utilización de ciertos programas que puede instalar un usuario sin malintecionidad pero que la propia aplicación abra una backdoor o sea explotable de alguna manera. Todos los programas que se instalen deberán ser supervisados y al menos, probados en un entorno no operacional.

Aspectos de incompatibilidad: muchas veces, dos elementos que funcionan bien por separado juntos pueden no funcionar también. Entiendo por elementos por ejemplo a un elemento software o un elemento hardware.

Aspectos de PSI: una PSI mal planteada, mal enfocada, mal implementada. Todo esto abarca desde por dónde van los cables y el revestimiento de la sala de ordenadores hasta la comprensión de todos los individuos de los procedimientos en el manejo de los computadores.

Sociales: según el ámbito de la organización puede sufrir la cólera de la sociedad. Un hacker desde el otro extremo del mundo. Un usuario malintencionado intentando joderte porque cojiste el último pincho vegetal en la cafetería. Espionaje industrial. Dinero.

PREVENCIÓN DE RIESGOS. RIESGOS FÍSICOS.

La seguridad física es el primer punto a tratar y el que más esfuerzos se deben de invertir a la hora de la construcción de la red informática de la organización. Un vándalo puede ser más perjudicial para el servidor que un ataque de suplantación de ip. Si alguien la emprende a patadas con el servidor puede ser peor que un DoS, ya que en un DoS siempre se puede reiniciar o reinstalar y parchear pero las patadas pueden provocar una perdida total de datos y de hardware.

Como se lleva afirmando desde hace años cualquier medida de seguridad si un usuario malintecionado tiene acceso físico al servidor es inútil. Normalmente los sistemas informáticos suelen ser susceptibles a este ataque ya que la mayoría de las organizaciones no tienen tanto dinero como para implantar todo lo que voy a decir a continuación:

Siguiendo el ejemplo de las Agencias Gubernamentales y de Proveedores de Servicios de Internet se puede planificar un Centro de Operaciones de Red, COR o NOC en inglés.

En el caso de una empresa, todas las PSI aceptadas pueden ser incluídas en el contrato de los trabajadores como clausulas laborales, así el trabajador será consciente que una violación de las mismas puede ser motivo de despido.

NOC

Un Centro de Operaciones de Red es un área restringida en la que se encuentran los servidores principales y se lleva el control de la red, auditorías, protección de datos.

El NOC debe de cumplir con las siguientes características:

- Idealmente debería ser una oficina independiente a la cuál tengan acceso pocas personas. Mejor en las plantas altas. El control de acceso puede ser por tarjeta y con restricciones horarias.

- Vigilancia por CCTV (Circuito Cerrado de TeleVisión). Es recomendable dirigirlo a un VCR remoto.

- Puertas blindadas y el marco de la puerta también blindado. Una puerta que carece de blindaje de marco es fácilmente rompible. Si es un sitio de mucha seguridad, asegúrate de que el marco está bien encajado hasta el fondo.

- Lo mejor es que las salas y pasillos circundantes al NOC sean opacos y carezcan de puertas de cristal. Si se emplea cristal, es recomendable emplear cristal blindado y, como he dicho antes, opaco.

- Deberá ser una sala ignífuga y con todas las medidas de seguridad de prevención de incendios como son la prohibición de fumar, introducción de mecheros o elementos con los que se cause fuego, un extintor de incendios que permita la extinción de fuegos eléctricos.

Medios de Control de Acceso físico al NOC

A parte de toda la seguridad que nos puede ofrecer el CCTV me veo en la obligación de incluir dispositivos de control de acceso biométrico dada la extensión que están cogiendo en distintos sectores de la seguridad informática.

Los dispositivos de control biométrico se basan en la autenticación del usuario por medio de unas características biológicas como su olor corporal, las huellas dactilares, los patrones de retina y la voz.

La biometría dicen que nació en el Antiguo Egipto con el sello de una huella digital por parte de los faraones en ciertos decretos. Sin embargo, en la sociedad occidental no se realizaron estudios serios hasta el siglo XIX en el que Sir Francis Galton demostró que la huella digital era un identificador único y que no se repetía, ni tan siquiera en el caso de gemelos. Poco tiempo después, Sir Edward Henry diseñó el Sistema Henry, el cual clasifica ocho categorías de las rayitas de las yemas de los dedos. El Sistema Henry se sigue usando en la actualidad por tanto voy a enumerar estos ocho campos:

- La accidental.

- El lazo central.

- El lazo doble.

- El arco plano.

- La espiral plana.

- El lazo radial.

- El arco cubierto.

- El lazo del hueco del codo.

Identificando estos patrones se pueden comparar dos huellas digitales, lo que lleva a la policía a comparar 16 categorías para la identificación de un criminal.

La dactilografía está considerada una ciencia exacta.

Hoy en día se usa el Estándar de Compresión de Huellas Digitales, lo que permite el almacenamiento masivo en bases de datos de huellas digitales en espacios razonables. Esta tecnología digital permite la comparación por computadora, lo cual es mucho más fiable que hace unos años en que los investigadores tomaban impresiones por tinta y las comparaban visualmente con las huellas tomadas en la escena del crimen.

Esta digitalización de esta tecnología supone un abaratamiento, con lo que muchas empresas están adoptando estos medios para la autenticación de usuarios. Compaq ha sido una de las pioneras en vender sistemas de identificación de huellas digitales para PC. La tecnología desarrollada por Compaq toma la huella digital de una imagen tomada a través de una cámara, tras esto se realiza una comprobación y se autentica, en caso de ser positivo permite el Inicio de Sesión en el Sistema.

Pero la tecnología avanza siempre hacia delante y los científicos han identificado varias características, a parte de las huellas digitales, que nos hacen únicos. Las técnicas de identificación de patrones distintivos de retina son los que hasta ahora han atraído más la atención.

La retina es la encargada de convertir la luz en señales eléctricas y controla toda nuestra visión periférica. La retina está compuesta por varias capas pero como esto no es un manual de oculismo, sino uno de seguridad informática vamos a centrarnos en dos de estas capas, que son las que generalmente utilizan los dispositivos de Control de Acceso Biométrico basados en la autenticación de retina.

Normalmente los dispositivos se fijan en la capa externa que contienen unas estructuras fotoreceptoras y reflectoras, llamadas conos y bastones, y por debajo de esta capa, la capa coroide en la cual están los sistemas de vasos sanguíneos.

Las empresas y profesionales de investigación biométrica nos dicen que los dispositivos de retina son más fiables y seguros que otros dispositivos como la toma de huellas dactilares ya que en el procesamiento de retina los patrones a comparar toman de 800 a 4000 puntos de comparación frente a los ocho que toma la Identificación de Huellas Digitales.

Otro de estos patrones únicos son la comparación de muestras de Voz. La voz también se digitaliza y se toman los valores para luego compararlos en la autenticación.

Problemas en los Sistemas de Control de Acceso Biométrico.

El acceso biométrico ha tenido muchos problemas de seguridad en los últimos años.

Un investigador japonés publicó un estudio hace ya un par de años el cuál revelaba que el 80% de los dispositivos de control de acceso por medio de huella digital era vulnerable a un simple ataque de falseamiento de huella digital por medio de una gominola. ¿Te suenan los ositos gummy? Pues sí, este investigador tomando la huella de un usuario y por medio de una placa plasmaba la huella en los ositos. Después los colocaba como si de un dedo se tratase y el sistema lo autenticaba. Un ataque sencillo y barato a unos sistemas que se consideraban de altísima fiabilidad.

Otro problema en los dispositivos de huellas digitales, radica en el hecho de raras afecciones de la piel, como la epidermolisis bullosa, que borra o transforma las huellas digitales de las víctimas de esta enfermedad.

Estos dispositivos pueden invadir la intimidad ya que las huellas digitales pueden revelar tendencias criminales.

En los dispositivos de reconocimiento de retina hay probabilidades muy altas de un falso negativo, es decir, un usuario autorizado puede ser rechazado y un usuario no autorizado puede ser autenticado. Otros problemas surgen cuando el usuario es ciego, medio ciego o tiene problemas de cataratas o trombosis oculares.

Otro problema radica en que los procedimientos de autenticación por medio de patrones de reconocimiento de retina permiten la identificación de consumo de drogas, enfermedades hereditarias, algunas enfermedades psicológicas e incluso SIDA, lo cual puede resultar en una invasión de la privacidad del usuario.

Estos problemas pueden ocasionar un mal funcionamiento social de la organización lo que puede derivar en un entorno de trabajo hostil. Para mí estos controles no deberían de pasar del funcionamiento interno de la organización, por ejemplo como control de acceso al NOC, y entre empleados en los que se confía.

SEGURIDAD FÍSICA DEL SERVIDOR DENTRO DEL NOC

La seguridad de los servidores debe cumplir los siguientes requerimientos:

- Asegurarlos con pernos y fijarlos a bastiones. No vaya a ser que alguien se los lleve.

- Si es posible, encerrarlos en un armario de cristal blindado, así como todos los dispositivos como hubs o switchs. Estos armarios deberán estar revestidos de material ignífugo y, a ser posible, cada dispositivo aislado del otro para evitar propagaciones en caso de incendio de un dispositivo.

- El acceso al servidor deberá ser controlado por dos medios, uno por llave doble codificada o tarjeta y otro por un formulario escrito y firmado, así se tiene un control más riguroso de cuando un usuario tiene acceso directo al hardware de un servidor.

DISPOSITIVOS ANTIRROBO

Todos los años se roban miles de computadoras de empresas y muchas veces, aunque la policía esté sobre la pista, no se recuperan debido a la falta de facturas y números de serie de los componentes.

En el e-zine nº2 incluyo toda una serie de plantillas de Altas y Bajas de Usuario, de control de passwords y de anotación de hardware. En estas plantillas de Control de Hardware (P.C.H.) incluyo un “hueco” para anotar los números de serie de todo el hardware, lo cual puede permitir una identificación de un dispositivo robado.

Todo esto son recomendaciones ante un robo pero ¿cómo prevenir el robo de estaciones y componentes fuera de la protección física del NOC?. Para esto existen soluciones aportadas por muchas empresas de seguridad informática. La mayoría de estas soluciones apuesta por la sujección con cables de acero resistentes a cizallas, cortaalambres y sierras en el caso de equipos portátiles y en el caso de estaciones estas soluciones y bases metálicas para fijar con pernos las estaciones a las mesas.

Otras soluciones son un tanto más curiosas y muy completas como es PHAZER de Computer Security Products (http://www.computersecurity.com). PHAZER es un dispositivo de seguridad de fibra óptica que descansa en un buclé cerrado, si el buclé se abre (por ejemplo, forzando un dispositivo) se genera una alarma y así se puede controlar la incidencia.

Otras soluciones, aunque no tan completas, pueden ser Computer Guardian, que hace sonar una sirena en caso de mover el pc o forzarlo. Así se ahuyenta al malhechor y se avisa a todo el mundo.

Números de marcado

Como he dicho anteriormente y con las Plantillas de Control de Hardware que incluyo en el e-zine nº2 se puede tener un registro de los números de serie de todos los componentes hardware. De todos modos merece la pena marcar el hardware con tinta indeleble o tinta ultravioleta, la cual sólo es visible con luz ultravioleta.

Exiten soluciones comerciales como STOP de la empresa stoptheft.com (http://www.stoptheft.com).

SEGURIDAD FÍSICA DEL CABLEADO

En muchos de los libros que he consultado en mi vida, en casi ninguno dan importancia a este hecho. La seguridad del cableado es una de los puntos clave para muchas organizaciones que requieran de ello, ya que si alguien puede pinchar un cable del NOC que va por la calle dos manzanas más allá ¿para qué es necesario un NOC?.

Muchos ISP prometen privacidad y seguridad en sus servicios, pero luego observas atónito como dejan el cableado por la fachada de los edificios, ahí al alcance de cualquiera. Aunque, si alguien está realmente interesado en pinchar las comunicaciones de la mayoría de las organizaciones sólo tiene que dirigirse a los cuartinos de comunicaciones asignados en los portales o a la alcantarilla más cercana. Puede complicarse un poco en el caso de pinchar fibra óptica, pero nada es imposible.

Por estos hechos, hay que cuestionarse la necesidad y la función del NOC. Si es un sitio susceptible a ataques físicos de pinchar in situ se deberán seguir las siguientes recomendaciones:

Embutir el cableado en tuberias con apantallamiento. El apantallamiento reduce las interferencias exteriores. Si se utiliza cable de par trenzado es requerido a su vez que el cable este apantallado, ya que este medio se caracteriza por su susceptibilidad a las interferencias y al ruido impulsivo.

Si se posee una infrastructura que lo requiera se puede pedir al ayuntamiento la licencia de construcción de un cableado propio revestido con cemento y con unos puntos de acceso blindados controlados por medios electrónicos de apertura desde el NOC. Así si se produce una avería o un desperfecto en el cableado se puede enviar a alguien a repararlo. Normalmente, si una organización lo requiere es menos costoso el uso de señales microondas, ya sea terrestres o por satélite.

Una correcta Política de Seguridad Informática siempre lleva un control absoluto de las puntos terminales conectados y del cableado con software de control.

RESUMEN SEGURIDAD FÍSICA

 

  • Como se lleva afirmando desde hace años cualquier medida de seguridad es inútil si un usuario malintecionado tiene acceso físico al servidor.

  • Un Centro de Operaciones de Red (NOC) es un área restringida en la que se encuentran los servidores principales y se lleva el control de la red, auditorías y protección de datos.

  • El NOC debe de cumplir las siguientes características:

  1. Ser una oficina independiente en las plantas altas de un edificio.

  2. Se llevará un control de acceso por tarjeta con restricciones horarias y con un formulario de entrada.
  3. Vigilancia por CCTV redirigido a un VCR remoto.

  4. Los cristales de las puertas y los pasillos circundantes han de ser opacos y disponer de blindaje.
  5. Sala ignífuga con todas las medidas de seguridad en previsión de incendios.

  • Asegurar los servidores a pernos y bastiones metiéndolos en armarios de cristal blindados con un control de acceso y estos armarios divididos en compartimentos revestidos de material ignífugo.

  • Usar siempre cables apantallados para prevenir perturbaciones en la transmisión. Usar canalizaciones apantalladas privadas.

About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: