Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 12 de febrero de 2008

CÓMO GESTIONAR LA SEGURIDAD INFORMÁTICA EN UNA EMPRESA
A. Sciessere, de BMC Software, explica los elementos que debe tener en cuenta una organización para resguardar sus datos y sistemas informáticos.


Como gestionar la seguridad informática en una empresa Guardar
A. Sciessere, de BMC Software, explica los elementos que debe tener en cuenta una organización para resguardar sus datos y sistemas informáticos

Cuando se habla de seguridad en entornos informáticos, la gente tiende a pensar automáticamente en dos tipos de soluciones: Cortafuegos (Firewalls) y antivirus. Si hablamos con algún experto en seguridad informática seguramente nos hablará de troyanos, “malware”, “spyware”, detección de intrusos, limpieza “antispam”, phishing, etc.

Los “firewalls” recuerdan mucho a las murallas medievales, lo malo es que las puertas (los puertos) no pueden estar cerradas cuando ataca el enemigo, primero porque no vale con poner un vigía a vigilar la inminencia de un ataque y segundo porque el negocio debe estar disponible 24 horas al día 365 días al año.

Pero, incluso suponiendo que los firewalls sean infalibles, deberíamos hacernos algunas de estas preguntas: ¿Es suficiente con proteger el perímetro? ¿El enemigo está siempre fuera? ¿Cuales son los activos que tenemos proteger? ¿Quién tiene acceso para poder manipular dichos activos? ¿Es la información un activo en mi empresa? ¿Puedo asegurar que mis empleados pueden acceder a la información que necesitan para realizar su trabajo pero solamente a la que necesitan? ¿Puedo asegurar que cuando un empleado abandona mi compañía, pierde toda oportunidad de acceder a datos de la misma?.

Volviendo al símil de la muralla, hace no demasiado tiempo, simplemente con no dejar pasar a un ex empleado a los edificios de la compañía, ya teníamos asegurado que no podría acceder a información confidencial. Hoy, gracias a las redes virtuales privadas (VPN) y otras tecnologías, muchos empleados podemos acceder a los sistemas internos de nuestra compañía desde cualquier punto del planeta con nuestro portátil o desde un caber café, por lo que se hace absolutamente necesario el borrado de todas las cuentas de usuario y permisos que tenía un ex empleado.
Continuando con las preguntas, hemos hablado de personas y de información. ¿Debemos cumplir alguna legislación al respecto? ¿Nos afecta la LOPD? ¿y Sabarnes-Oxley (SOX o Sarbox)? ¿Existen estándares que nos ayuden a proteger la información? ¿Qué dice al respecto la ISO17799 o la ISO 27.000? ¿Existen en mi compañía normas específicas relativas al uso de la información? ¿Sé si se están cumpliendo? ¿Se cuando alguien está intentando acceder a información confidencial sin tener derecho; o incluso teniéndolo pero desde ubicaciones distintas de las habituales o en horarios sospechosos?

Existen muchas mas preguntas que podemos hacernos, podemos analizar estadísticamente cuantos delitos se producen por personas externas a la organización, cuantos por empleados o ex-empleados y cuántos por personas externas con datos proporcionados por empleados o ex-empleados. Pero si pasamos de un análisis cuantitativo a uno cualitativo, no es difícil darse cuenta que con datos de empleados o ex-empleados el daño causado puede ser mucho mayor y no me resisto a poner en negrita una frase que vi un día en una presentación: Los ataques externos pueden causar problemas; los atraques internos pueden destruir tu negocio.

Para dar respuesta a las preguntas formuladas con anterioridad y mitigar los riesgos descritos existe la gestión de identidades, una disciplina ligada en sus comienzos a la seguridad informática, pero con entidad suficiente como para ser independiente y relacionada además con otras disciplinas existentes como la gestión de procesos de negocio o la gestión de cambios.

La gestión de identidades, denominada también gestión de accesos en ITIL v.3 trata de dar respuesta a cuatro sencillas preguntas:

* ¿Quienes son mis usuarios?
* ¿A qué tienen acceso?
* ¿Quién les dio este acceso?
* ¿Qué hacen con dicho acceso?

También es descrita habitualmente como las 4 Aes:

* Autenticación.
* Autorización.
* Auditoría.
* Administración.

Como cualquier otra disciplina, teniendo en cuenta el nivel de madurez de la empresa dónde se va a implantar, el tipo de usuarios y lo que realmente “aprieta el zapato” al responsable de su despliegue, existen diversos caminos para llegar a tener cubiertas las necesidades básicas en cuanto a la Gestión de Identidades. Así podemos tener:

* Gestión y aprovisionamiento de usuarios, que nos permitirá la automatización de los procesos de creación borrado y modificación de usuarios, mediante la utilización de un interfaz único para todos los sistemas de información, la utilización de perfiles para la definición rápida de derechos de acceso y la modificación de los mismos en caso de un cambio de departamento, por ejemplo. También podríamos implementar administración delegada, autoservicio y un workflow de peticiones y aprobaciones para conseguir una automatización máxima de los procesos sin comprometer la seguridad, re-certificaciones periódicas de los usuarios, etc.
* Gestión de contraseñas, para facilitar el cambio de las mismas por parte del usuario final, de una forma sencilla, que nos permita además fortalecer la política tanto en número y tipo de caracteres, como en el tiempo máximo en el que deba cambiarse, como tamaño del histórico de contraseñas no reutilizables, etc.
* Gestión de accesos, dónde pueden incluirse los Single Sign On (SSO), tanto de propósito general como Web, la protección de recursos Web e incluso la Federación de Identidades.
* Auditoria y cumplimiento de políticas y regulaciones, que nos permitirá saber si se están cumpliendo o no las políticas definidas por la compañía como por ejemplo la separación de tareas, la forma de asignación de permisos, la caducidad de empleados temporales, etc. a la vez que observamos dónde, cuándo y cómo acceden los empleados a las distintas fuentes de información de la empresa.

Cambiando de tercio, una breve reflexión sobre los antivirus. Es sabido que un antivirus sin actualizar no sirve para nada. Pero no todo el mundo es consciente de la necesidad de tener actualizados los ordenadores empresariales con los últimos parches de seguridad existentes. Habitualmente los virus explotan las vulnerabilidades de los sistemas operativos. Muchas veces estas vulnerabilidades son conocidas, publicadas y corregidas mediante un parche de seguridad, antes incluso de que exista un virus que las ataque, el problema de que a pesar de todo muchos virus consigan su objetivo destructor, es la lentitud de las compañías en “parchear” sus redes internas de ordenadores ya que no disponen de herramientas de gestión de parches o utilizan herramientas poco adecuadas y con las que además es imposible saber de forma certera cuál es el nivel de parches de seguridad que tienen los ordenadores y qué porcentaje de ellos están al nivel adecuado.

La situación se complica además por el hecho de que es necesario probar que las aplicaciones de uso corporativo en las que se sustenta el negocio de la compañía, no van a ser afectadas por la instalación de un determinado parche o una determinada versión de un componente de software.

Como resumen mi recomendación para las compañías en general y para los responsables de seguridad en particular sería dedicar algo de tiempo a evaluar sus necesidades de gestión de identidades y gestión de parches de s.

Agustín Sciessere es Seales Team Leader of Latin America South, Andeab & Caribbean de BMC Software.

Fuente: http://www.infobaeprofesional.com

0 comentarios:

Publicar un comentario