Seguridad para PyMEs

Prevencin de incidentes

ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com

Seguridad para PyMEs

ndice
Gestin de usuarios ......................................... 3
Autenticacin, Autorizacin y Auditora (AAA)............... 3

Gestin de contraseas .................................... 4

Control de acceso ............................................ 5
Administracin de sistemas operativos y
aplicaciones .................................................... 5
Administracin de actualizaciones ............................... 6

Proteccin contra software malicioso ............... 6

Prevencin ................................................................. 7
Manejo de incidentes .................................................. 8

Cifrado de informacin..................................... 9
Uso de SSL ................................................................. 9
Correo electrnico ..................................................... 13
Cifrado de informacin sensible .................................. 13

Fuga de informacin .......................................14

Ejemplos ...................................................................14

Polticas de manejo de incidentes..................... 15

Seguridad para PyMEs

Si bien la seguridad incluye controles para deteccin de ataques y acciones posteriores (desinfeccin,
correccin, restauracin, etc.), la prevencin de ataques es un componente fundamental. Un ataque
prevenido es, desde el punto de vista de la seguridad, la situacin ideal y ms ventajosa para la
organizacin.
Para tal fin existen una serie de medidas a implementar que colaboran en este rea: la prevencin de
ataques antes que estos puedan ser consumados exitosamente por el atacante.

Gestin de usuarios
La actividad que desarrolla un usuario en la red es variada, y la cantidad de usuarios, segn la
empresa, puede ser moderada e incluso elevada. Por tales motivos es necesario contar con un
esquema de gestin de usuarios centralizado por el rea de Sistemas y en coordinacin con el
rea de Recursos Humanos.
Esto puede implementarse en un servidor de dominio, o descentralizarlo individualmente en los
equipos de los usuarios.
El escenario estndar para una empresa PyME es la configuracin de un servidor de dominio,
autenticando todos los usuarios contra el mismo; y manteniendo localmente en cada equipo,
nicamente una cuenta administrativa protegida por contrasea en posesin de los
administradores de red.

Autenticacin, Autorizacin y Auditora (AAA)

La gestin de usuarios en la red tiene como objetivo controlar las operaciones que el usuario
realice con los recursos informticos, a fin de garantizar la Disponibilidad, Integridad y
Confidencialidad de la informacin.
Las tareas que se deben realizar con los usuarios se resumen en un modelo para el control de
acceso de los usuarios denominado AAA (Authentication, Authorization and Accounting en
espaol, Autenticacin, Autorizacin y Auditora):
Autenticacin: consiste en identificar al usuario. Por lo general, se utiliza un nombre de
usuario y una contrasea para autenticar al usuario en la red. Opcionalmente, se pueden
incluir otras medidas como tarjetas de acceso, tokens o dispositivos biomtricos.
Autorizacin: una vez identificado el usuario, inicia el proceso de dar acceso al usuario a
los recursos que ste tenga permitidos en la red.

Seguridad para PyMEs

Auditora: es el proceso de registrar la actividad del usuario mientras est autenticado.

Esta informacin puede ser utilizada posteriormente con fines estadsticos o de control.
En la etapa de autorizacin es necesario asignar a los usuarios los permisos y privilegios de
forma tal que stos puedan realizar las tareas que competen a su trabajo, y nada ms.
Cualquier accin que no deba ser requerida por las caractersticas de las tareas del usuario, y
que pueda ser un potencial riesgo para la seguridad de la informacin, debe ser desautorizada
de acuerdo con los permisos del empleado en los sistemas.

Gestin de contraseas
El acceso de los usuarios a los sistemas informticos est comnmente protegido por un
usuario y una contrasea. Segn la cantidad de sistemas y contraseas diferentes que los
usuarios deban utilizar puede ser difcil para estos recordarlas y, por lo tanto, se genera la mala
costumbre de utilizar contraseas dbiles, o una misma contrasea para muchos servicios. En
cualquiera de los dos casos, se genera un alto riesgo de que dicha debilidad sea explotada por
personas con fines maliciosos, para obtener acceso con el perfil de usuario vlido en la red.
Existen dos medidas para fomentar la utilizacin de contraseas fuertes por parte de los
usuarios. En primer trmino, a travs de la concientizacin y educacin de los usuarios 1 se debe
instruir a los empleados sobre la utilizacin de contraseas fuertes 2 y las alternativas de
generacin de contraseas a la vez fuertes y a la vez recordables. La segunda opcin es utilizar
programas gestores de contraseas, que permiten almacenar muchas entradas con una nica
contrasea maestra. De esta forma, el usuario slo debe recordar una nica contrasea y las
dems son consultadas en el programa.

Para ms informacin sobre concientizacin y educacin, ver mdulo 1 del presente curso.

Para ms informacin sobre contraseas fuertes, http://www.eset-la.com/threat-center/2037-seguridad-contrasenas

Seguridad para PyMEs

Control de acceso
El permetro de la red debe ser contemplado no solo a nivel tecnolgico, sino tambin a nivel
fsico 3. El acceso de personas indeseadas a las instalaciones de la empresa es un riesgo y puede
comprometer la informacin y causar prdidas.
Para controlar el acceso fsico a la empresa se contemplarn los mismos principios que en la
gestin de usuarios. Se debe contar con personal para autenticar y autorizar el acceso a las
instalaciones, identificando a cualquier persona que ingrese, y habilitando el acceso slo a las
zonas permitidas. Segn las caractersticas de la empresa y el sector a proteger, puede ser
personal de seguridad o slo personal de control. Asimismo, es necesario dejar registro del
ingreso y egreso de personal (interno y externo) a fin de poder auditar los movimientos, ante
cualquier incidente en la organizacin.

Administracin de sistemas
operativos y aplicaciones
Se denomina hardening al proceso de aplicar configuraciones en un equipo, a fin de disminuir sus
vulnerabilidades y, por consiguiente, mejorar su seguridad.
La instalacin por defecto de cualquier sistema operativo tiene diferentes grados de seguridad
segn su versin y caractersticas pero, por lo general, es posible profundizar las caractersticas
de seguridad de dicha instalacin. De acuerdo con las mejores prcticas y las necesidades de la
empresa, se deben configurar tanto los puestos de trabajo como los servidores, para cumplir
con el mayor nivel de seguridad que sea posible.

Para ms informacin sobre permetro, ver mdulo 2 del presente curso.

Seguridad para PyMEs

Administracin de actualizaciones
Las actualizaciones de software son un pilar de la seguridad en sistemas operativos y
aplicaciones. La aplicacin de los parches permite mitigar las vulnerabilidades que sean
reportadas y que sean potenciales vas de ataque a la organizacin.
En entornos corporativos con mayora de equipos con sistemas operativos de Microsoft es
recomendable utilizar la herramienta de administracin de actualizaciones WSUS (Microsoft
Windows Server Update Services en espaol, Servidor de Servicios de Actualizacin para
Microsoft Windows), que permite administrar, desde un servidor las actualizaciones a instalar,
y conectar todos los equipos de la red para que actualicen directamente desde el servidor.
Adems de proveer actualizaciones para el sistema operativo, se pueden incluir otros productos
de Microsoft como Microsoft Office o Microsoft SQL Server 4.
De todas formas la administracin de actualizaciones contempla no slo los productos de
Microsoft cubiertos por WSUS, sino tambin infraestructuras bajo otros sistemas operativos y
todo tipo de aplicaciones que tengan vulnerabilidades que puedan ser explotadas: Acrobat,
Flash, Firefox, etc. Todo software utilizado en la organizacin debe mantenerse al da, con las
actualizaciones para la versin que utilice la empresa, y es responsabilidad del Administrador de
Red su correcta aplicacin.

Proteccin contra software

malicioso
El malware constituye un riesgo de seguridad para cualquier individuo que haga uso de una
computadora. Sin embargo en entornos corporativos los daos producidos por un archivo
malicioso pueden causar un alto costo en materia de prdida o recuperacin de informacin, o
demoras en el funcionamiento de la organizacin.
Adems, actualmente no es suficiente la proteccin contra virus, sino tambin contra nuevas
amenazas que constituyen la evolucin de los mismos: troyanos, gusanos, spyware, etc. Todos

Para ms informacin sobre WSUS, http://technet.microsoft.com/es-es/wsus/default(en-us).aspx

Seguridad para PyMEs

ellos se consideran malware (acrnimo del ingls malicious software en espaol, software
malicioso) y es necesario que una empresa est protegida contra todo tipo de malware 5.

Prevencin
Ante cdigos maliciosos la mejor alternativa a nivel seguridad es prevenir la infeccin. La
diferencia entre prevenir una infeccin o detectarla y eliminarla es muy grande,
especficamente respecto a costos (tanto econmicos como de otra ndole).
Todos los equipos de la red deben contar con las aplicaciones de prevencin respectivas:

Antivirus para la prevencin contra malware.

Antispyware para la deteccin y prevencin de spyware y adware.

Antispam para denegar el acceso de correo no deseado.

Firewall para controlar las conexiones entrantes y salientes de los equipos.

Tanto en el antispam como el firewall la empresa puede contar con una solucin centralizada
perimetral. Sin embargo, es recomendable contar con una segunda capa de proteccin en las
computadoras de los usuarios.
Asimismo, cuando la empresa cuente con un nmero de equipos considerable, es
recomendable emplear soluciones de antivirus que incluyan herramientas de gestin
corporativas, con gestin y actualizacin centralizadas. De esta forma se minimiza el esfuerzo
necesario para monitorear el estado de proteccin en todos los equipos de la red.
Cabe destacar que, en la actualidad, todas estas funciones pueden ser cubiertas por un nico
software 6 como ESET Smart Security o por un conjunto de ellos.
Asimismo, para una mejor administracin de los programas antivirus, es recomendable en un
entorno corporativo contar con herramientas de administracin centralizada, como ESET
Remote Administrator.

Para ms informacin, http://www.eset-la.com/threat-center/threats.php

http://www.eset-la.com/products/smartsecurity_business.php

Seguridad para PyMEs

Imagen 1 ESET Remote Administration Console

Manejo de incidentes
Independientemente de las tcnicas de prevencin, cabe la posibilidad de que algn equipo de
la red se infecte de todas formas, tanto por haber salteado las tcnicas de prevencin (ninguna
medida es 100% segura) como por la inexistencia o mala configuracin de alguna de ellas.
En el caso que se detecte que un equipo se ha infectado, se deben considerar las siguientes
medidas:
1.

Determinar las caractersticas de la infeccin. Realmente es un programa daino lo

que afecta al sistema? Qu tipo de malware afecta al sistema (troyano, gusano,
spyware, etc.)? Conozco el nombre del malware? Conozco cules fueron las acciones
realizadas por el cdigo malicioso?

2.

Desconectar el equipo de la red. Este paso es recomendable tanto para minimizar la

propagacin de la infeccin por la red, como para denegar al equipo el acceso a Internet
(gran parte del malware utiliza la conexin a Internet para mantenerse activo en el
sistema o para realizar las acciones maliciosas).

3.

Modo a prueba de fallos. Reiniciar el equipo y acceder en modo a prueba de errores

permite una mejor opcin para poder ejecutar las herramientas de seguridad. Es muy

Seguridad para PyMEs

comn que el malware deniegue la posibilidad de utilizar herramientas de seguridad

para la desinfeccin.
4.

Herramientas de seguridad. Utilizar un antivirus con capacidades de deteccin

proactivas y actualizado para comprobar si es posible eliminar la infeccin.

Cifrado de informacin
La informacin de la empresa es transmitida a travs de diferentes soportes de comunicacin,
tanto internamente (a travs de la red LAN) como hacia el exterior (comunicaciones WAN).
En cualquiera de los casos es posible que un atacante intente obtener informacin que no le
pertenece, interceptando las comunicaciones que realice el personal de la organizacin, y as
poder obtener informacin que no est a su alcance.
Segn sea el medio existen diferentes tcnicas para interceptar las comunicaciones, desde
capturar paquetes (sniffing) en una red, hasta interceptar correos electrnicos o leer trfico web
(http).
Para evitar este tipo de incidentes se deben utilizar tcnicas de criptografa. Cifrar un mensaje
es la accin de convertir un mensaje legible, en otro ilegible.

Uso de SSL
El acceso web es una de las tareas ms frecuentes en el uso de Internet en la empresa.
Asimismo, tambin es frecuente no slo el acceso desde la empresa hacia Internet, sino
tambin la exposicin de servicios web propios de la organizacin: sitio web, aplicaciones web
de gestin, webmail, etc.
Cuando una persona accede a un sitio web por el protocolo tradicional (http), la informacin
que se transfiere entre el equipo del usuario (el cliente) y el servidor web es transmitida en texto
plano. De esta forma, si el trfico web es interceptado, un atacante podr observar la
informacin contenida en la comunicacin entre el usuario y el sitio web.

Seguridad para PyMEs

10

En el caso de un sitio web con informacin pblica 7 de la organizacin, este riesgo puede no ser
grave; un atacante podr observar la descripcin de la empresa, el domicilio de la organizacin
u otra informacin que sea de pblico conocimiento.
Sin embargo cuando se trata de aplicaciones web que contienen informacin privada y/o
confidencial7, la obtencin, por parte de un tercero, de la informacin transmitida, puede ser un
riesgo alto para la organizacin. En esta categora se incluyen aplicaciones web (de gestin,
CRM, etc.), webmail, o cualquier sitio web que contenga login de usuario y contraseas. En
cualquier de estos casos los sitios web deben ser publicados bajo protocolos que cifren la
informacin traficada, como SSL.
SSL (Secure Socket Layer en espaol, Capa de Conexin Segura) es un protocolo que brinda
una conexin cifrada para la comunicacin de dos equipos (cliente-servidor) en Internet.
Implementar SSL en un servidor web no es una tarea compleja, y brinda una capa de seguridad
de alta efectividad. Para configurar el sitio web por SSL es necesario:
1.

Comprar el certificado digital. Este trmite puede tramitarse va web y consiste en

adquirir un certificado vlido emitido por una entidad autorizada para tal fin 8.

2.

Instalar el certificado en el servidor web. El procedimiento de instalacin depender

del servidor web instalado 9. Se recomienda delegar la operacin a quien haya instalado
el mismo servidor web o el administrador del mismo.

Para ms informacin sobre clasificacin de la informacin, ver mdulo 2 del presente curso.

Algunas autoridades certificadoras: http://www.verisign.com/, http://www.thawte.com/, http://www.rapidssl.com/ y

http://www.instantssl.com/
8

Instalar SSL en Apache: http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html

Instalar SSL en Internet Information Services: http://support.microsoft.com/kb/299875

Seguridad para PyMEs

11

Una vez instalado el certificado digital, los clientes podrn acceder al sitio web por protocolo
seguro SSL (https), la comunicacin entre cliente y servidor estar cifrada, y la informacin no
podr ser legible para un intruso.

Imagen 2 Webmail por https

Seguridad para PyMEs

12

En la imagen 2 puede observarse (ver recuadros en rojo) 10:

1.

La pgina web utiliza el protocolo seguro https.

2.

El navegador muestra un candado indicando el certificado digital.

3.

Haciendo clic en el candado se observa la autoridad certificadora (CA).

4.

El botn Ver Certificado permite obtener ms informacin sobre el certificado.

Imagen 3 Certificado digital

10

Las imgenes fueron capturadas con Internet Explorer 7. Las mismas opciones son mostradas de forma similar por otros
navegadores.

Seguridad para PyMEs

13

Correo electrnico
La informacin que viaja a travs del correo electrnico puede ser interceptada de la misma
forma que a travs de otro tipo de servicios, si sta viaja en texto plano.
Aunque an no es tan frecuente esta prctica, al enviar informacin confidencial va correo
electrnico, tambin es posible cifrar el mensaje para evitar que este pueda ser ledo en caso de
ser interceptado. Para tal fin existen aplicaciones como PGP y GPG.
Es posible cifrar mensajes en los clientes de correo ms populares (incluso en algunos servicios
de webmail) y la configuracin difiere segn el programa y la versin.

Cifrado de informacin sensible

Otra informacin que puede ser robada est constituida por aquellos archivos que hayan sido
almacenados en un dsco duro, tanto en el caso de un acceso indebido al equipo, como por la
sustraccin completa del mismo. Si un intruso obtuviera un disco duro al que no tiene acceso
va sistema operativo (por no poseer la contrasea) puede colocar el disco rgido en otra
computadora y leer los datos all almacenados.
Para evitar esto existen aplicaciones que permiten cifrar la informacin almacenada en disco 11.
Con una contrasea que es ingresada por el usuario al encender el equipo, todos los datos son
cifrados al guardarse en el disco duro. De esta forma, cualquier intruso leyendo datos del disco
slo podr leer informacin cifrada. La gran mayora de los sistemas operativos modernos
incluyen funciones de cifrado de informacin.
Aunque esta es una buena prctica para cualquier equipo, se recomienda su implementacin
especialmente en computadoras que almacenen mucha informacin confidencial, o cuya
probabilidad de sustraccin sea mayor, como en el caso de las porttiles.
Se debe tener en cuenta que el cifrado/descifrado de informacin se realiza en tiempo real al
leer/escribir el disco rgido, por lo que esta accin tiene un alto consumo de CPU. En caso de no
contar con equipos cuya performance permita encriptar todo el disco rgido, se puede crear una
particin cifrada y colocar all toda la informacin de ndole confidencial.

11

La aplicacin ms popular es TrueCrypt (Open Source): http://www.truecrypt.org/.

Seguridad para PyMEs

14

Fuga de informacin
Se considera fuga de informacin la adquisicin de informacin confidencial por parte de una
persona ajena a la empresa, o integrantes de la organizacin que no tienen acceso autorizado a
dicha informacin.
La fuga de informacin puede ser maliciosa o no, segn las circunstancias en que se ha
producido esa fuga. En cualquiera de los casos los riesgos para la organizacin son importantes,
pudiendo causar desde prdidas econmicas moderadas hasta serios problemas financieros a
lacompaa. En una empresa PyME, las prdidas econmicas pueden ser ms significativas que
para otro tipo de organizaciones, y el riesgo de que el negocio se vea afectado por una fuga de
informacin es mayor.
Un envo involuntario de un correo electrnico, un empleado vendiendo informacin a la
competencia, o un atacante sniffeando las redes de la empresa son diferentes vas para
efectivizar la fuga de informacin.
Las precauciones a tomar no son lineales y dependern de las caractersticas de la empresa y de
la criticidad de la informacin a proteger. Resguardar la confidencialidad de la informacin y
concientizar a los usuarios respecto a los cuidados son las principales herramientas de las que
dispone la empresa, para disminuir el riesgo de una fuga de informacin.

Ejemplos
El nmero de empresas que han sufrido este tipo de incidentes es muy grande, y crece da a da.
Algunos de los casos ms populares de los ltimos tiempos sugieren que la fuga de informacin
es un campo a considerar muy seriamente por las empresas.
En agosto de 2008, fue subastado en un popular portal una computadora cuyo disco duro
contena informacin bancaria de 1 milln de personas. El equipo fue subastado por un ex
empleado de una empresa proveedora de un banco escocs, que no se preocup por eliminar la
informacin contenida en el equipo antes de venderlo.
En noviembre de 2008 fue robada una laptop con datos personales de casi 100.000 empleados
de una reconocida cadena internacional de cafetera. Luego del incidente la empresa se
comprometi a cifrar la informacin contenida en dispositivos mviles de la empresa.
Durante el mismo mes, en 2008, un incidente involuntario involucr al gobierno britnico,
dado que un empleado de una empresa proveedora del gobierno extravi un pen drive en el

Seguridad para PyMEs

15

estacionamiento de un bar. El mismo contena informacin confidencial, como datos de

Hacienda o multas. Segn el gobierno, la informacin en el dispositivo estaba cifrada.
En enero de 2009, un importante sitio de bsqueda de empleo por Internet sufri el robo de 1,6
millones de datos de usuarios registrados en el sitio. A travs de la instalacin de un troyano los
atacantes lograron obtener credenciales de acceso como empleados de la organizacin, y as
robar informacin. Posteriormente los atacantes distribuyeron correos electrnicos maliciosos
a todos esos usuarios, instalando nuevos troyanos en los equipos de aquellos que accedan al
sitio web de los atacantes 12.

Polticas de manejo de incidentes

La prevencin ante incidentes es un componente clave de la seguridad en la empresa. Sin
embargo, la probabilidad de ocurrencia de un incidente de seguridad existe,
independientemente de las medidas de seguridad aplicadas.
Ante la ocurrencia de un incidente, un buen manejo de la situacin puede colaborar en
minimizar las prdidas o daos causados por el mismo.
Para tal fin la empresa debe contar con una Poltica de manejo de incidentes que defina las
responsabilidades y acciones a tomar ante una ocurrencia.
Ante un incidente, se debe contemplar:
Controlar el incidente. Aislar el problema de forma tal de detener el dao que se est
causando.
Reparar el incidente. Eliminar cualquier factor de riesgo para colocar en produccin
cualquier servicio afectado en el menor tiempo posible.
Analizar auditoras. Estudiar cualquier tipo de registro que se posea para conocer la
naturaleza, causas y perjuicios del incidente.
Tomar acciones legales o punitivas. Si es posible obtener informacin referida a las
responsabilidades del incidente, la empresa debe tomar las medidas necesarias, tanto a nivel
interno como a nivel legal.

12

Anuncio oficial de Monster.com, http://help.monster.com/besafe/jobseeker/index.asp

Seguridad para PyMEs

16

Tomar acciones correctivas para evitar futuros incidentes.

Ntese que el procedimiento es similar al descrito previamente ante un incidente con software
malicioso, siendo este ltimo, la generalizacin a cualquier incidente de seguridad.

Seguridad para PyMEs

17

Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con
ESET, LLC y ESET, spol. s.r.o.
ESET, 2012
Acerca de ESET
Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que
provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(Mxico).
Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET
Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento
proactivo de variadas amenazas informticas.
La importancia de complementar la proteccin brindada por tecnologa lder en deteccin
proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters
de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten
a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.
Para ms informacin, visite www.eset-la.com