Documentos de Académico
Documentos de Profesional
Documentos de Cultura
03 Prevencion de Incidentes
03 Prevencion de Incidentes
Prevención de incidentes
Índice
Gestión de usuarios ......................................... 3
Prevención ................................................................. 7
Cifrado de información..................................... 9
Ejemplos ...................................................................14
Si bien la seguridad incluye controles para detección de ataques y acciones posteriores (desinfección,
corrección, restauración, etc.), la prevención de ataques es un componente fundamental. Un ataque
prevenido es, desde el punto de vista de la seguridad, la situación ideal y más ventajosa para la
organización.
Para tal fin existen una serie de medidas a implementar que colaboran en este área: la prevención de
ataques antes que estos puedan ser consumados exitosamente por el atacante.
Gestión de usuarios
La actividad que desarrolla un usuario en la red es variada, y la cantidad de usuarios, según la
empresa, puede ser moderada e incluso elevada. Por tales motivos es necesario contar con un
esquema de gestión de usuarios centralizado por el Área de Sistemas y en coordinación con el
área de Recursos Humanos.
Las tareas que se deben realizar con los usuarios se resumen en un modelo para el control de
acceso de los usuarios denominado AAA (Authentication, Authorization and Accounting – en
español, Autenticación, Autorización y Auditoría):
Gestión de contraseñas
El acceso de los usuarios a los sistemas informáticos está comúnmente protegido por un
usuario y una contraseña. Según la cantidad de sistemas y contraseñas diferentes que los
usuarios deban utilizar puede ser difícil para estos recordarlas y, por lo tanto, se genera la mala
costumbre de utilizar contraseñas débiles, o una misma contraseña para muchos servicios. En
cualquiera de los dos casos, se genera un alto riesgo de que dicha debilidad sea explotada por
personas con fines maliciosos, para obtener acceso con el perfil de usuario válido en la red.
Existen dos medidas para fomentar la utilización de contraseñas fuertes por parte de los
usuarios. En primer término, a través de la concientización y educación de los usuarios 1 se debe
instruir a los empleados sobre la utilización de contraseñas fuertes 2 y las alternativas de
generación de contraseñas a la vez fuertes y a la vez recordables. La segunda opción es utilizar
programas gestores de contraseñas, que permiten almacenar muchas entradas con una única
contraseña maestra. De esta forma, el usuario sólo debe recordar una única contraseña y las
demás son consultadas en el programa.
1
Para más información sobre concientización y educación, ver módulo 1 del presente curso.
2
Para más información sobre contraseñas fuertes, http://www.eset-la.com/threat-center/2037-seguridad-contrasenas
Seguridad para PyMEs
Control de acceso
El perímetro de la red debe ser contemplado no solo a nivel tecnológico, sino también a nivel
físico 3. El acceso de personas indeseadas a las instalaciones de la empresa es un riesgo y puede
comprometer la información y causar pérdidas.
Para controlar el acceso físico a la empresa se contemplarán los mismos principios que en la
gestión de usuarios. Se debe contar con personal para autenticar y autorizar el acceso a las
instalaciones, identificando a cualquier persona que ingrese, y habilitando el acceso sólo a las
zonas permitidas. Según las características de la empresa y el sector a proteger, puede ser
personal de seguridad o sólo personal de control. Asimismo, es necesario dejar registro del
ingreso y egreso de personal (interno y externo) a fin de poder auditar los movimientos, ante
cualquier incidente en la organización.
Administración de sistemas
operativos y aplicaciones
Se denomina hardening al proceso de aplicar configuraciones en un equipo, a fin de disminuir sus
vulnerabilidades y, por consiguiente, mejorar su seguridad.
La instalación por defecto de cualquier sistema operativo tiene diferentes grados de seguridad
según su versión y características pero, por lo general, es posible profundizar las características
de seguridad de dicha instalación. De acuerdo con las mejores prácticas y las necesidades de la
empresa, se deben configurar tanto los puestos de trabajo como los servidores, para cumplir
con el mayor nivel de seguridad que sea posible.
3
Para más información sobre perímetro, ver módulo 2 del presente curso.
Seguridad para PyMEs
Administración de actualizaciones
Las actualizaciones de software son un pilar de la seguridad en sistemas operativos y
aplicaciones. La aplicación de los parches permite mitigar las vulnerabilidades que sean
reportadas y que sean potenciales vías de ataque a la organización.
Además, actualmente no es suficiente la protección contra virus, sino también contra nuevas
amenazas que constituyen la evolución de los mismos: troyanos, gusanos, spyware, etc. Todos
4
Para más información sobre WSUS, http://technet.microsoft.com/es-es/wsus/default(en-us).aspx
Seguridad para PyMEs
ellos se consideran malware (acrónimo del inglés malicious software – en español, software
malicioso) y es necesario que una empresa esté protegida contra todo tipo de malware 5.
Prevención
Ante códigos maliciosos la mejor alternativa a nivel seguridad es prevenir la infección. La
diferencia entre prevenir una infección o detectarla y eliminarla es muy grande,
específicamente respecto a costos (tanto económicos como de otra índole).
Todos los equipos de la red deben contar con las aplicaciones de prevención respectivas:
• Antivirus para la prevención contra malware.
• Antispyware para la detección y prevención de spyware y adware.
• Antispam para denegar el acceso de correo no deseado.
• Firewall para controlar las conexiones entrantes y salientes de los equipos.
Tanto en el antispam como el firewall la empresa puede contar con una solución centralizada
perimetral. Sin embargo, es recomendable contar con una segunda capa de protección en las
computadoras de los usuarios.
Cabe destacar que, en la actualidad, todas estas funciones pueden ser cubiertas por un único
software 6 como ESET Smart Security o por un conjunto de ellos.
5
Para más información, http://www.eset-la.com/threat-center/threats.php
6
http://www.eset-la.com/products/smartsecurity_business.php
Seguridad para PyMEs
Manejo de incidentes
Independientemente de las técnicas de prevención, cabe la posibilidad de que algún equipo de
la red se infecte de todas formas, tanto por haber salteado las técnicas de prevención (ninguna
medida es 100% segura) como por la inexistencia o mala configuración de alguna de ellas.
En el caso que se detecte que un equipo se ha infectado, se deben considerar las siguientes
medidas:
1. Determinar las características de la infección. ¿Realmente es un programa dañino lo
que afecta al sistema? ¿Qué tipo de malware afecta al sistema (troyano, gusano,
spyware, etc.)? ¿Conozco el nombre del malware? ¿Conozco cuáles fueron las acciones
realizadas por el código malicioso?
2. Desconectar el equipo de la red. Este paso es recomendable tanto para minimizar la
propagación de la infección por la red, como para denegar al equipo el acceso a Internet
(gran parte del malware utiliza la conexión a Internet para mantenerse activo en el
sistema o para realizar las acciones maliciosas).
3. Modo a prueba de fallos. Reiniciar el equipo y acceder en modo a prueba de errores
permite una mejor opción para poder ejecutar las herramientas de seguridad. Es muy
Seguridad para PyMEs
Cifrado de información
La información de la empresa es transmitida a través de diferentes soportes de comunicación,
tanto internamente (a través de la red LAN) como hacia el exterior (comunicaciones WAN).
En cualquiera de los casos es posible que un atacante intente obtener información que no le
pertenece, interceptando las comunicaciones que realice el personal de la organización, y así
poder obtener información que no está a su alcance.
Según sea el medio existen diferentes técnicas para interceptar las comunicaciones, desde
capturar paquetes (sniffing) en una red, hasta interceptar correos electrónicos o leer tráfico web
(http).
Para evitar este tipo de incidentes se deben utilizar técnicas de criptografía. Cifrar un mensaje
es la acción de convertir un mensaje legible, en otro ilegible.
Uso de SSL
El acceso web es una de las tareas más frecuentes en el uso de Internet en la empresa.
Asimismo, también es frecuente no sólo el acceso desde la empresa hacia Internet, sino
también la exposición de servicios web propios de la organización: sitio web, aplicaciones web
de gestión, webmail, etc.
Cuando una persona accede a un sitio web por el protocolo tradicional (http), la información
que se transfiere entre el equipo del usuario (el cliente) y el servidor web es transmitida en texto
plano. De esta forma, si el tráfico web es interceptado, un atacante podrá observar la
información contenida en la comunicación entre el usuario y el sitio web.
Seguridad para PyMEs
10
En el caso de un sitio web con información pública 7 de la organización, este riesgo puede no ser
grave; un atacante podrá observar la descripción de la empresa, el domicilio de la organización
u otra información que sea de público conocimiento.
Sin embargo cuando se trata de aplicaciones web que contienen información privada y/o
confidencial7, la obtención, por parte de un tercero, de la información transmitida, puede ser un
riesgo alto para la organización. En esta categoría se incluyen aplicaciones web (de gestión,
CRM, etc.), webmail, o cualquier sitio web que contenga login de usuario y contraseñas. En
cualquier de estos casos los sitios web deben ser publicados bajo protocolos que cifren la
información traficada, como SSL.
SSL (Secure Socket Layer – en español, Capa de Conexión Segura) es un protocolo que brinda
una conexión cifrada para la comunicación de dos equipos (cliente-servidor) en Internet.
Implementar SSL en un servidor web no es una tarea compleja, y brinda una capa de seguridad
de alta efectividad. Para configurar el sitio web por SSL es necesario:
1. Comprar el certificado digital. Este trámite puede tramitarse vía web y consiste en
adquirir un certificado válido emitido por una entidad autorizada para tal fin 8.
2. Instalar el certificado en el servidor web. El procedimiento de instalación dependerá
del servidor web instalado 9. Se recomienda delegar la operación a quien haya instalado
el mismo servidor web o el administrador del mismo.
7
Para más información sobre clasificación de la información, ver módulo 2 del presente curso.
8
Algunas autoridades certificadoras: http://www.verisign.com/, http://www.thawte.com/, http://www.rapidssl.com/ y
http://www.instantssl.com/
9
Instalar SSL en Apache: http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html
Instalar SSL en Internet Information Services: http://support.microsoft.com/kb/299875
Seguridad para PyMEs
11
Una vez instalado el certificado digital, los clientes podrán acceder al sitio web por protocolo
seguro SSL (https), la comunicación entre cliente y servidor estará cifrada, y la información no
podrá ser legible para un intruso.
12
10
Las imágenes fueron capturadas con Internet Explorer 7. Las mismas opciones son mostradas de forma similar por otros
navegadores.
Seguridad para PyMEs
13
Correo electrónico
La información que viaja a través del correo electrónico puede ser interceptada de la misma
forma que a través de otro tipo de servicios, si ésta viaja en texto plano.
Aunque aún no es tan frecuente esta práctica, al enviar información confidencial vía correo
electrónico, también es posible cifrar el mensaje para evitar que este pueda ser leído en caso de
ser interceptado. Para tal fin existen aplicaciones como PGP y GPG.
Es posible cifrar mensajes en los clientes de correo más populares (incluso en algunos servicios
de webmail) y la configuración difiere según el programa y la versión.
Para evitar esto existen aplicaciones que permiten cifrar la información almacenada en disco 11.
Con una contraseña que es ingresada por el usuario al encender el equipo, todos los datos son
cifrados al guardarse en el disco duro. De esta forma, cualquier intruso leyendo datos del disco
sólo podrá leer información cifrada. La gran mayoría de los sistemas operativos modernos
incluyen funciones de cifrado de información.
Aunque esta es una buena práctica para cualquier equipo, se recomienda su implementación
especialmente en computadoras que almacenen mucha información confidencial, o cuya
probabilidad de sustracción sea mayor, como en el caso de las portátiles.
11
La aplicación más popular es TrueCrypt (Open Source): http://www.truecrypt.org/.
Seguridad para PyMEs
14
Fuga de información
Se considera fuga de información la adquisición de información confidencial por parte de una
persona ajena a la empresa, o integrantes de la organización que no tienen acceso autorizado a
dicha información.
La fuga de información puede ser maliciosa o no, según las circunstancias en que se ha
producido esa fuga. En cualquiera de los casos los riesgos para la organización son importantes,
pudiendo causar desde pérdidas económicas moderadas hasta serios problemas financieros a
lacompañía. En una empresa PyME, las pérdidas económicas pueden ser más significativas que
para otro tipo de organizaciones, y el riesgo de que el negocio se vea afectado por una fuga de
información es mayor.
Ejemplos
El número de empresas que han sufrido este tipo de incidentes es muy grande, y crece día a día.
Algunos de los casos más populares de los últimos tiempos sugieren que la fuga de información
es un campo a considerar muy seriamente por las empresas.
En agosto de 2008, fue subastado en un popular portal una computadora cuyo disco duro
contenía información bancaria de 1 millón de personas. El equipo fue subastado por un ex
empleado de una empresa proveedora de un banco escocés, que no se preocupó por eliminar la
información contenida en el equipo antes de venderlo.
En noviembre de 2008 fue robada una laptop con datos personales de casi 100.000 empleados
de una reconocida cadena internacional de cafetería. Luego del incidente la empresa se
comprometió a cifrar la información contenida en dispositivos móviles de la empresa.
15
En enero de 2009, un importante sitio de búsqueda de empleo por Internet sufrió el robo de 1,6
millones de datos de usuarios registrados en el sitio. A través de la instalación de un troyano los
atacantes lograron obtener credenciales de acceso como empleados de la organización, y así
robar información. Posteriormente los atacantes distribuyeron correos electrónicos maliciosos
a todos esos usuarios, instalando nuevos troyanos en los equipos de aquellos que accedían al
sitio web de los atacantes 12.
Para tal fin la empresa debe contar con una Política de manejo de incidentes que defina las
responsabilidades y acciones a tomar ante una ocurrencia.
12
Anuncio oficial de Monster.com, http://help.monster.com/besafe/jobseeker/index.asp
Seguridad para PyMEs
16
Nótese que el procedimiento es similar al descrito previamente ante un incidente con software
malicioso, siendo este último, la generalización a cualquier incidente de seguridad.
Seguridad para PyMEs
17
Copyright © 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relación con
ESET, LLC y ESET, spol. s.r.o.
© ESET, 2012
Acerca de ESET
Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que
provee protección de última generación contra amenazas informáticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino
Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(México).
Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET
Smart Security, la solución unificada que integra la multipremiada protección proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploración y un uso mínimo de los recursos.
Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento
proactivo de variadas amenazas informáticas.