CASO DE DISCUSION

Asignatura : Seguridad Informtica Docente : Gonzalo Martin Valdivia

La universidad y la seguridad Tomado de Mary K. Pratt, Computerworld (USA) El profesor Corey Schou estaba trabajando en la biblioteca de su escuela cuando se dio cuenta que su equipo estaba captando una seal WiFi particularmente fuerte. Normalmente, eso sera una buena noticia. Pero Schou saba que ese lugar era, por lo general, una zona muerta; lo que significaba que algo probablemente andaba mal. As que Schou, un profesor de informtica en la Universidad Estatal de Idaho, se reuni con algunos de los trabajadores de TI de la escuela para resolver el misterio. Resulta que un joven en una cafetera cercana estaba causando problemas. "Estaba corriendo un punto de acceso y transmitiendo sin credenciales en la misma direccin del punto de acceso de la universidad, y la gente estaba accediendo", seala Schou. Afortunadamente, el delincuente no tuvo acceso a informacin protegida. Eso es porque del Estado de Idaho, al igual que una serie de instituciones educativas y conocedores de la tecnologa, han ido ms all del despliegue de los sistemas rutinarios de seguridad, como filtros de correo electrnico y servidores de seguridad, y han adoptado mejores y ms inteligentes formas para detectar y repeler a los posibles piratas informticos. Las universidades no tienen ms remedio que estar en la vanguardia de la seguridad informtica, seala Schou. Simplemente tienen demasiados grupos de usuarios que atender, demasiados tipos de datos sensibles por proteger, demasiada informtica y muchas plataformas porttiles que soportar, y demasiadas personas tratando, ya sea por deporte o por mala intencin, romper sus defensas digitales. El sueo de los hackers con educacin superior Las tpicas instituciones educativas alojan un tesoro de material -desde registros de recursos humanos y archivos de los estudiantes, a los datos de investigacin, muchos de los cuales son propietarios. Tambin tienen datos financieros, tales como nmeros de tarjetas de crdito de los estudiantes, ex alumnos, padres y visitantes. Y si tienen enfermeras, como pasa en la mayora de colegios y universidades, tambin estn los registros mdicos. Por otra parte, los aspirantes a piratas informticos no solo son atrados por todos estos valiosos datos. Algunos tienen sus ojos puestos en los vastos y poderosos sistemas informticos que mantienen las universidades -la infraestructura que ellos pueden utilizar (y han utilizado) para sus propios fines si son lo suficientemente inteligentes y sigilosos-. "En un momento dado, voy a tener 30 o 40 personas haciendo cosas [en nuestra red] y que podran estar volvindose antisociales. Estn mirando lo que tengo, lo que est abierto", agrega Schou, quien se desempea como Asesor de Seguridad del Estado de Idaho y decano asociado del Colegio de negocios

Todo esto ocurre en un entorno de TI que por lo general soporta decenas de miles de dispositivos de todas las marcas y modelos, con el mandato de ser lo ms abierto posible para facilitar la comunicacin, la cooperacin y la colaboracin. No es de extraar, por tanto, que las violaciones ocurran con cierta regularidad en los campus universitarios. Segn los datos analizados por Application Security, una empresa de seguridad de base de datos, se han producido 435 infracciones reportadas que afectaron a 8,5 millones de archivos en las instituciones de educacin superior de los Estados Unidos, desde el 2005, ao en que la Privacy Rights Clearinghouse y otras organizaciones comenzaron a registrar estos eventos. Alex Rothacker, director de investigaciones de seguridad en la sede de Nueva York de Application Security, seala que segn un bache en las violaciones reportadas hasta ahora en el 2011, se podra indicar un nuevo nivel de sofisticacin en los ataques. "Los chicos malos estn buscando esta informacin porque es muy valiosa. Ellos han descubierto la forma de obtener beneficios econmicos", agrega. Por qu importa la seguridad en la universidad? Los colegios y universidades se enfrentan a una serie de desafos de seguridad en TI que son, hasta ahora, nicas en su sector, indica Frank Kenney, vicepresidente de estrategia global de Ipswitch, un proveedor de seguridad de Lexington, Massachusetts, que trabaja con varias instituciones de educacin superior. En concreto, los desafos son los siguientes: * Las universidades tienen cientos, incluso miles, de nuevos usuarios en sus redes todos los aos, con igual nmero de usuarios que estn de salida. * Soportan casi todo tipo de dispositivos disponibles en el mercado de consumo, y lidian con una poblacin joven que es mucho ms propensa a involucrarse en conductas de riesgo en lnea. * A menudo tienen organizaciones descentralizadas de TI, lo que dificulta la implementacin de tecnologas estndar, o la adopcin y cumplimiento de polticas estndares. Muchos ejecutivos de TI en otros sectores han sido capaces de evitar esos problemas, agrega Kenney, pero eso est cambiando. "Est sucediendo en la asistencia de salud, el gobierno y en el sector financiero, y las empresas tradicionales estn justo detrs de ellos", aade. El creciente uso de consultores, junto con periodos de empleo ms cortos, significa que algunas empresas estn viendo el volumen de negocios que reflejan las universidades con su ir y venir de estudiantes y profesores visitantes. Ms all de eso, gracias al consumo de las TI y los avances en la tecnologa mvil, las tiendas corporativas de TI ahora son compatibles con entornos de computacin con mltiples plataformas de software y una variedad de dispositivos de hardware sin ataduras -ambientes similares a los que sus homlogos en educacin han ocupado por aos-. Y, por supuesto, las tiendas corporativas de TI ahora deben adaptarse a sus nuevos usuarios, miles de ellos, y sus demandas por actividades en lnea (y su mayor aceptacin de riesgos en lnea) - algo en lo que las universidades ya tienen experiencia. Dada la amplitud y la profundidad de la similitud entre las nuevas empresas y la educacin superior, seala Kenney, no es de extraar que las empresas lderes de TI estn buscando cada vez ms por las mejores prcticas en las universidades, en lo que respecta a la administracin de la seguridad en un entorno complejo.

Los lderes de TI en la educacin superior estn desarrollando las mejores prcticas de seguridad que involucran a varios niveles de enfoque que combinan las defensas basadas en la tecnologa, las polticas de gestin de datos y capacitacin de usuarios para proteger la informacin y los recursos internos de quienes buscan hacer dao. "Al principio, todo era sobre lo que la tecnologa puede hacer, as que haba cosas como firewalls. Pero ahora todo se reduce a la gobernabilidad de alto nivel y la gestin de riesgos", seala Rodney J. Petersen, oficial de relaciones gubernamentales de alto nivel en EDUCAUSE, una organizacin sin fines de lucro que promueve el uso de las TI para impulsar la educacin superior. Al igual que sus homlogos en la Amrica corporativa, los lderes de seguridad TI en la educacin superior estn pensando ms all de las paredes de su departamento en la bsqueda de soluciones. Estn elevando la seguridad al nivel ejecutivo de gestin de riesgos, donde se puede evaluar el riesgo, asignar diferentes niveles de acceso de seguridad, y desarrollar las polticas de usuarios que trabajen con las garantas basadas en la tecnologa que se despliegan. Jinx P. Walton, director de servicios de computacin y desarrollo de sistemas en la Universidad de Pittsburgh, resume su actitud diciendo: "Siempre va a ser una combinacin de varias herramientas, los procesos y la educacin. Adems de los modelos de seguridad por capas". En Pitt, Walton despliega una serie de tecnologas y polticas que son estndares en la seguridad informtica. Por ejemplo, ella utiliza herramientas de deteccin de intrusos y antivirus. Pero tambin ha implementado estrategias ms avanzadas para mantener los datos de la universidad y la infraestructura de seguridad. Una se llama "zonas de confianza". A partir del 2007, Walton y su equipo comenzaron a buscar departamento por departamento, unidad por unidad, y qu trabajo era hecho por quin. TI primero determina qu tipo de informacin es necesaria para los trabajos realizados en cada zona, y a continuacin establece las redes y los servidores de seguridad que garanticen que los trabajadores solo puedan acceder a la informacin que necesitan. Dependiendo del trabajo, los requisitos de acceso y la sensibilidad de los materiales, los datos de un trabajador pueden ser almacenados en los servidores, mientras que otra informacin se guarda en una estacin de trabajo. Las zonas tambin protegen el trabajo de los propios trabajadores, agrega Walton. "Estos servidores de seguridad trabajan de dos formas: protegiendo que el usuario no tenga acceso a informacin que no necesita, y suministrando el nivel de seguridad requerido para los trabajos que hace el individuo", explica. Un profesor de historia, por ejemplo, no necesitara - y por lo tanto no tendra acceso aservidores que almacenan datos confidenciales de los estudiantes, como registros de asistencia financiera. "Su zona de firewall no podra abrirse a los sitios seguros que le hemos abierto a la propia red de la universidad", explica Walton, agregando: "Ya nada est abierto de par en par". Adoptando la autenticacin y el cifrado Otras instituciones de educacin superior estn creando particiones similares de alta tecnologa. La Universidad Estatal de Pennsylvania (Penn State), por ejemplo, ha creado un ambiente de trabajo virtual de ePay, para manejar los pagos realizados a la universidad a travs de tarjetas de crdito. Los empleados que manejan datos de tarjetas de crdito deben hacer ese trabajo en un espacio con particiones virtuales fuera de otras aplicaciones, explica

Kathleen R. Kimball, directora senior de operaciones y servicios de seguridad en Penn State. Los empleados acceden al entorno virtual de ePay desde sus computadoras regulares, pulsando simplemente un cono en pantalla. "Automticamente cambia a un entorno donde puede trabajar con tarjetas de crdito de forma segura. La informacin de la tarjeta de crdito se mantendr separada de otros datos", explica Kimball. Los trabajadores de TI de Penn State construyeron la red virtual para apoyar las estaciones de trabajo de ePay hace dos o tres aos para cumplir con las directrices de Payment Card Industry Security Standards Council, pero Kimball seala que ha visto ms usos para este tipo instalacin. "Esto podra servir para el clculo de los datos sensibles de la universidad", agrega. Pero no termina con la virtualizacin. Al igual que otras instituciones, Penn State est utilizando mltiples estrategias para defenderse de las amenazas. Como parte de ese esfuerzo, la universidad est tratando de ampliar el uso de la autenticacin de dos factores, as como el uso de programas de cifrado, indica Kimball. La escuela tambin est utilizando la tecnologa de prevencin de prdida de datos, lo que le permite a TI buscar paquetes que contienen datos confidenciales, como nmeros de seguro social, ya que los trabajadores puedan hacer frente a cualquier trfico que no es de fiar. Penn State tambin est utilizando la tecnologa de exploracin para la bsqueda de datos confidenciales en lugares que no deberan estar. Algunos usuarios se resisten a estas medidas, y esa resistencia a veces surge en lugares sorprendentes, comenta Kimball. Por ejemplo, algunos investigadores de ciencias de la computacin no desean programas de cifrado en sus equipos, porque creen que estos sistemas pueden perjudicar el rendimiento. Kimball afirma que el impacto en el rendimiento es mnimo. Ese tipo de resistencia no es inusual en las universidades, seala Kenney de Ipswitch, explicando que, cuando se trata de polticas de TI, los profesores pueden tener influencias que incluso los altos ejecutivos en las empresas comerciales no suelen tener. Centrarse en las personas, procesos y tecnologa Tammy Clark, directora de seguridad de informacin en Georgia State University en Atlanta, seala que ha adoptado un enfoque de tres vertientes: personas, procesos y tecnologa. "No se puede dejar a ninguno de ellos fuera", comenta, sealando que Georgia State fue una de las primeras instituciones de educacin superior que adopt la serie de normas ISO 27000 para la seguridad de la informacin. Clark seala que la escuela utiliza las tecnologas habituales, tales como software de encriptacin y herramientas anti-malware. Pero aade que el Georgia State comenz a reforzar su proteccin hace dos aos, debido a que el malware ms reciente -que pueden ser transportados en los enlaces de phishing de correo electrnico, las direcciones URL de sitios web o mensajes instantneos- pueden evadir las defensas tradicionales. Especficamente, GSU se centra en la mejora de su arquitectura y la capacitacin de sus empleados del centro de datos (que estn en un horario 24/7) para supervisar los informes procedentes del software de seguridad de la escuela, y para manejar las respuestas de primer nivel de incidencia, independientemente de cundo los hackers lanzan su ataques.

Como parte de este esfuerzo, la universidad implement el ao pasado un sistema de evaluacin de la vulnerabilidad, QualysGuard de Qualys Inc, para obtener una visin global del estado de la seguridad TI de la escuela. Adems, la escuela invirti en una plataforma de pruebas de penetracin, Core Impact Pro de Core Security Technologies, para sondear en busca de vulnerabilidades. Y el ao pasado, Georgia State instal un programa de deteccin de bots que analiza el trfico y puede, por ejemplo, mostrar la actividad de comando y control originarios de las regiones del mundo que generan un alto nivel de malware, como Rusia. Ms all de eso, Clark se encuentra en el proceso de implementacin del software de seguridad de la informacin y gestin de eventos (SIEM) de ArcSight, que analizar todos los registros y elaborar informes que ofrecen visibilidad de lo que est sucediendo con los cientos de servidores de Georgia State, miles de estaciones de trabajo y 40 mil nodos de red. "Queremos robustez, escalabilidad y seguridad, y esto es lo que tenemos que hacer", comenta Clark. Cambio de enfoque: Del dispositivo a los datos En la Universidad de Baylor en Waco, Texas, Jon Allen est cambiando su atencin, del dispositivo a los datos. Sin duda, los oficinistas de seguridad de la informacin de la escuela siguen utilizando firewalls y herramientas anti-malware para tratar de mantener seguros todos los equipos de escritorio, porttiles y dispositivos de mano. Pero l est ms interesado en la concentracin de datos en s. "Estamos buscando envolver la seguridad alrededor de los datos", seala -clasificando los datos, y asignndoles niveles escalables de seguridad que se quedan con ellos mientras viajan. "No es solo buscar la manera de asegurar un nuevo dispositivo en la red", explica Allen. "Tengo que ver cmo fluye la informacin, porque las piezas fundamentales que tenemos que controlar son los datos". Allen reconoce que la filosofa de Baylor an est evolucionando en una prctica real y an no ha alcanzado todo su potencial. La prctica, que tiene sus races en la gestin de riesgos, permite que la universidad identifique qu datos llevan una baja incidencia, riesgo de bajo impacto y cules habra que asignar a una categora superior de preocupacin. "Si es de una ocurrencia baja, pero tiene un gran impacto si le pasa algo, entonces es clasificado como de alto riesgo", explica. Baylor no es la nica institucin de educacin superior que utiliza la clasificacin de datos para gestionar el riesgo y la seguridad. Tom Davis, director de seguridad de la Universidad de Indiana, ha asignado a miembros de su equipo para que trabajen con personas de alto rango en cada rea de la institucin, quienes tienen la responsabilidad de amplios sectores de datos. Su objetivo es determinar cules son las normas y restricciones necesarias para los diferentes tipos de datos, seala Davis. Del mismo modo, Clark de Georgia State, comenz a centrase en los datos en el 2008. Ella dice que su equipo se pas un ao trabajando con los llamados "administradores de datos" en cada rea, estudiando qu profesionales necesitan acceso a qu datos, y qu grado de proteccin debe ser asignado para proteger esos datos. "Tenemos que empezar a pensar diferente acerca de qu otras cosas podemos hacer para proteger nuestros datos", seala Allen. "Durante mucho tiempo, hemos estado apagando incendios, pero lo mejor sera encontrar el combustible antes de que comience a arder."

Esa es una filosofa que se aplica no solo a la clasificacin de datos, sino tambin, en general, a los esfuerzos de seguridad de las universidades -para mantenerse al frente del siempre cambiante paisaje de amenazas. "La gente a la cabeza entiende que no es un nico producto" el que har que sus mltiples sistemas estn seguros, seala Michael Maloof, director de tecnologa de TriGeo Network Security, una empresa de software de seguridad basada en Post Falls, Idaho, que cuenta con instituciones de educacin superior entre sus clientes. "No hay una sola cosa, ninguna bala de plata. Hay una capa de cosas, y es un proceso continuo."