SEGURIDAD DE LA INFORMACION: REALIDAD O UTOPIA1

It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door
F.T. GRAMPP Las nicas organizaciones razonablemente protegidas son aquellas que disponen de personal dedicado a la seguridad de los sistemas, con medios para mantener el nivel de seguridad que hayamos decidido. ENRIQUE ANTON PEREGRINA

La Seguridad de la Informacin es uno de los temas de mayor preocupacin de las organizaciones en todo el mundo. Los responsables de las reas de sistemas siempre intentan estar un paso adelante, tomando las precauciones correspondientes con la finalidad de evitar ataques o desastres en los datos de la organizacin. Sin embargo, muchas veces estos esfuerzos no son correctamente encaminados. Bajo este contexto es bueno recordar lo sealado por Jorge Sendra Mas2, quien indica lo siguiente:
La Seguridad de la Informacin ha experimentado una continua evolucin durante la ltima dcada, desde un enfoque puramente tecnolgico, donde las necesidades se cubren mediante la adquisicin de herramientas con el fin de mitigar las ltimas vulnerabilidades conocidas, hasta un enfoque dominado por la necesidad de justificar las inversiones en seguridad de la informacin, como un activo esencial. Este enfoque se basa en una gestin continua de los riesgos sustentados en la optimizacin de ratios empresariales como es el de coste/beneficio.

Lo que se tiene que tener en cuenta siempre es que no hay nada seguro al 100 %, y que el tema de seguridad es dinmico es decir que no termina, de hecho es un error creer que una vez que se tiene una solucin de seguridad ya se alcanz la mxima proteccin y para siempre. Lo peor que puede pasar es que una organizacin crea que est protegida porque tiene un antivirus, un firewall o cualquier otro sistema de seguridad o cualquier tecnologa que puede existir y con eso crea que est segura. La mayora de expertos sealan que la seguridad no se consigue nicamente con hardware y software, sino con una estrategia integral que involucra polticas y prcticas. Tales polticas llevan a definir roles dentro de la organizacin. El tema de seguridad debe estar pensado y considerado desde el principio de cualquier proyecto e implantacin. Otra de las ideas que debe de tenerse en cuenta es que no existe una solucin de seguridad que sea aplicable a todas las organizaciones. Es decir la solucin que se debe de implantar a una universidad es distinta a la que se aplicara a un banco; y tambin es distinta la estrategia para proteger a una empresa

1 2

David Carhuamaca Zereceda Polica Nacional del Per - Ingeniero en Estadstica e Informtica. davidcarhuamaca@yahoo.com dacaze@gmail.com Jorge Sendra Mas.- Director del rea de Consultora de IP Sistemas - La Seguridad TIC, una responsabilidad de todos.- http://www.borrmart.es/articulo_redseguridad.php?id=1141&numero=24

privada que aquella para brindar proteccin a la informacin de la polica o de las fuerzas armadas. En palabras de Julio C. Ardita3:
"Una poltica de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a Amrica Latina fue un fiasco... Armar una poltica de procedimientos de seguridad en una empresa est costando entre 150-350 mil dlares y el resultado es ninguno... Es un manual que llevado a la implementacin nunca se realiza... Es muy difcil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las polticas y procedimientos por un lado y la parte fsica por otra."

A pesar de que muchas personas asocian la idea de proteccin informtica con los hackers, esta es sola una de las amenazas que hay que considerar al momento de disear un sistema de seguridad. La seguridad informtica o la seguridad de la informacin tienen muchos frentes. La tecnologa es solo un aspecto de la seguridad. La seguridad es un monstruo que tiene muchos tentculos o aristas que deben de tenerse en cuenta, tal como lo indica Lukas Alarcn4:
Actualmente hay varias formas de encarar el tema de la seguridad de la informacin. Un ejemplo podra tener polticas de seguridad de informacin cuyo contenido y estructura refleje el mbito cultural de la propia empresa y su dinmica respecto a su quehacer, una arista mas es la implementacin efectiva de las polticas en las que los elementos tcnicos que me ayudan en la implementacin estn de acuerdo a mis objetivos. Otro punto importante es la adhesin a alguna normativa de seguridad internacional que me ayude con la direccin de generacin de polticas y tambin se encuentra la educacin hacia los usuarios finales quienes son los que manipulan la informacin. Desde un punto de vista de elementos tcnicos existen varias capas de seguridad que me permiten asegurar desde la seguridad perimetral, gateways de seguridad web , de correo, de encriptacin, de inspeccin de datos incluyendo sistemas de archivamiento , de respaldo de datos , gestin de identidad, identificacin de vulnerabilidades hasta la proteccin final de los endpoints con servicios con antivirus, firewalls, encriptadores de discos, sistemas de respaldos de archivos, control de perifricos y control de fuga de informacin entre algunos elementos a considerar.

Uno de los frentes de la seguridad es la proteccin fsica de los computadores, por ejemplo la proteccin de los servidores en una sala especialmente acondicionada. En este rubro se pueden incluir soluciones de control de acceso para restringir el ingreso de personas no autorizadas a la zona de los equipos de cmputo. Aqu entran a tallar entre otros, los dispositivos biomtricos, de lectura de huella digital, de la palma de la mano o del iris del ojo. Otro punto importante a sealarse es que se puede tener la mejor infraestructura de redes, pero si la puerta del centro de cmputo est abierta, no sirve. A la seguridad fsica es necesario agregar los sistemas de control de incendios, la seguridad elctrica, sistemas de UPS, generadores elctricos, entre otros.

Julio C. Ardita - Director de Cybsec S.A. Security System y ex-Hacker. Entrevista personal realizada el da 15 de enero de 2001 en instalaciones de Cybsec S.A. http://www.cybsec.com Lukas Alarcon - Websense PreSales Engineer, Experto en Seguridad Informtica Aplicada - http://cxocommunity.com/articulos/blogs/blogs-seguridad-informatica/3657-lukas-alarcon-websense-5-preguntas-sobreamenazas-y-riesgos-corporativos.html

Los ataques a una organizacin no solo pueden venir desde afuera, sino tambin desde adentro. Es por ello que segn los principales estudios de seguridad se seala que el 70 % de la malversacin de informacin privilegiada viene del interior de la organizacin. Muchas de las veces los responsables de sistemas se preocupan por los hackers, pero son los propios empleados quienes pueden manipular indebidamente la informacin. De acuerdo con un estudio elaborado por el Instituto Ponemon5 (USA), frente a las crecientes amenazas que suponen los virus y la evolucin del malware para los sistemas de TI de las empresas, existe un peligro cada vez mayor que hay que tener muy en cuenta: los propios empleados.
Segn el estudio realizado entre ms de 3.000 profesionales, seis de cada diez encuestados apunta que ha perdido datos sensibles como resultado de una negligencia por parte de los empleados de la compaa. Adems, otro dato destacable de este estudio resalta que tres de cada diez encuestados afirma haber sufrido el robo de datos sensibles por parte de sus propios empleados. Ante estos datos, desde el Instituto Ponemon apuntan hacia la necesidad de que las empresas tengan especial cuidado con el uso que sus empleados hacen de los sistemas de TI, as como del acceso y utilizacin de los datos corporativos que pueden consultar y manejar. No en vano, los expertos sealan que los daos que ocasionan los trabajadores a la empresa se han convertido en un aspecto tanto o ms preocupante que el que suponen los virus y el malware para los sistemas de TI. De hecho, el 84 por ciento de los profesionales encuestados en distintas empresas de Alemania, Australia, Estados Unidos y Gran Bretaa, confirma haber sufrido algn tipo de virus o intrusin de cdigo malicioso en su red en los ltimos 12 meses. Junto a ello, otro punto en el que el estudio hace especial hincapi es en el hecho de que el 76 por ciento de los empleados puede enviar a travs del correo electrnico datos internos fuera de la organizacin, y que el 70 por ciento puede descargar datos corporativos en un dispositivo USB sin que sea detectado. Sin embargo, a pesar de los peligros a los que estn expuestas las empresas si no se tiene especial cuidado con estos riesgos, el estudio muestra que el 75 por ciento de las empresas dispone de tecnologas antivirus y anti-malware, lo cual ya es un primer paso en esta proteccin de sus sistemas que, sin duda, y ante la creciente evolucin de las amenazas, tanto externas como internas, deber complementarse con otras soluciones y polticas de seguridad para incrementar su proteccin.

Pero no solamente lo sealado en el punto anterior puede ser valedero, si no lo contrastamos con lo que indica Christopher Leidigh6:
Las personas son realmente el eslabn ms dbil de cualquier esquema de seguridad. La mayora de las personas no son cuidadosas a la hora de mantener sus contraseas y cdigos de acceso en secreto. Estos elementos son la base de la mayora de los sistemas seguros. Todos los sistemas de seguridad se basan en una serie de medidas que se toman para controlar el acceso, verificar identidades y evitar que se divulgue informacin importante. Por lo general, para que estas medidas sean eficaces, es necesario guardar uno o ms "secretos". Si se revelara o robara un secreto, los sistemas que esos secretos protegen podran verse en riesgo. Puede parecer una afirmacin absolutamente obvia, pero los riesgos que afectan a la mayora de los sistemas son provocados por causas muy bsicas. Quiz parezca una tontera dejar una nota con la contrasea de acceso al sistema pegada en el costado del monitor, pero de hecho, muchas personas lo hacen. Otro ejemplo,
5

Instituto Ponemon de Estados Unidos de Amrica - http://www.ponemon.org/index.php Christopher Leidigh - Director del rea de Investigaciones sobre Comunicaciones y Tecnologa de APC Principios de la Seguridad de Redes - http://cxo-community.com/articulos/blogs/blogs-seguridad-informatica/2135principios-de-la-seguridad-de-redes-parte-i.html

apenas menos obvio que el anterior, es la tendencia a dejar las contraseas predeterminadas en algunos dispositivos de la red. Uno de esos dispositivos podra ser una interfaz de gestin de redes conectada a un sistema UPS. En un esquema de seguridad, muchas veces se pasan por alto los sistemas UPS, ya sean pequeos o lo suficientemente grandes para abastecer a 100 servidores. Si se dejan los nombres de usuario y las contraseas predeterminados en esos dispositivos, es solo cuestin de tiempo que alguien acceda al equipo con solo conocer el tipo de dispositivo y los datos de identificacin predeterminados publicados para el producto. Imagnese el colapso de un banco de servidores con protocolos de seguridad infranqueables en cada servidor Web y de correo electrnico debido a un simple ciclo de potencia de un sistema UPS desprotegido!.

No obstante, hay otras personas adems de los empleados que tambin tienen las puertas semiabiertas a informacin valiosa, a quienes se les puede denominar insiders. Pero los insiders no son solo empleados, sino que cualquiera que tiene alguna informacin de la organizacin. En la actualidad muchas organizaciones han abierto sus redes, un insider puede ser un socio de negocios, un cliente o un proveedor. Frente a esto el principal tema de seguridad es proteger la aplicacin, y la forma de hacerlo es con una arquitectura corporativa, en lugar de centrarse en soluciones puntuales para cada problema, porque de esta manera quedaran muchos huecos en la seguridad. Es por ello que muchas organizaciones estn prestando una especial atencin a la identificacin de quienes tienen acceso a la informacin. Incidindose principalmente en los perfiles de los usuarios, establecindose quienes tienen acceso a determinados departamentos y quines requieren mostrar una identificacin para acceder a determinadas reas. Las polticas de seguridad se tienen que aplicar a toda la organizacin, para ello debemos de establecer un anlisis de riesgo, tal como lo seala Diofanor Rodrguez7:
Los problemas de seguridad, en muchas ocasiones son ms universales de lo que uno pudiera imaginarse. El problema radica en cmo el profesional de la seguridad logra zanjar el abismo entre la seguridad fsica y la tecnolgica, pues cada vez ms nuestras soluciones a problemas de seguridad fsica afectan la seguridad informtica de las compaas. Es importante decir que esto involucra tres factores, que son la pericia tcnica, el conocimiento organizacional y la capacidad de comunicacin. Si somos muy capaces tcnicamente pero nos faltan los otros dos elementos, tenemos una evaluacin ineficaz o ineficiente que a la larga significa inefectiva. Estamos entonces en el campo de la evaluacin de riesgos en la seguridad integral, que implica alejarse de elementos de subjetividad y concentrarse en enfoques estadsticos y de gestin adecuados, lo que obliga a crear marcos objetivos de manera tal que puedan ser auditados y ellos generen soluciones a los problemas establecidos en el anlisis.

En una red interna el acceso es ms abierto, por lo tanto es ms fcil atacar un servidor, es por ello que una solucin a este tipo de ataques es tratar la red interna como si fuera la Internet. Bajo este esquema se deben de instalar firewalls e IDS, adems de separar los diferentes ambientes de una
7

Diofanor Rodriguez Lozano - Oficial de la Polica Nacional de Colombia en uso de retiro, es Asesor de Vigilancia y Seguridad Privada certificado por la Superintendencia de Seguridad Privada de su pas. Especializado en Seguridad Fsica y de Informtica en la Escuela de Comunicaciones Militares, ha cursado mltiples especializaciones y Diplomados en seguridad fsica, administrativa y de la informacin, anlisis de riesgos, manejo del personal, seguridad de instalaciones y personas, antiterrorismo y otros. Es CPP certificado por ASIS International. - http://cxo-community.com/articulos/blogs/blogs-seguridad-informatica/1870-ipor-qua-necesidad-deun-ansis-de-riesgos.html

organizacin: desarrollo, pruebas, produccin, etc., y tratar cada ambiente como una red separada conectada con las otras a travs de un firewall central. De esta manera, si alguien logra romper la seguridad atacar solo una porcin de la red o se llevar solo una parte de la informacin. Es importante que las organizaciones se preocupen por revisar los antecedentes al momento de contratar personal. Por que si contratamos a alguien como administrador de sistemas y va a tener acceso a las cintas de respaldo de la informacin, tengo que asegurarme que esta persona no tenga algo en su pasado que me haga pensar que podra vender la informacin confidencial a la competencia. Otro de los componentes de una estrategia de seguridad son las polticas. De acuerdo a los especialistas, una empresa no debera de descuidar el tema de la asignacin de roles dentro de la estrategia. Ya que dependiendo del nivel de seguridad al cual uno tiene que llegar, se puede implantar polticas respecto al uso de software en las PC, como normativas para utilizar nicamente software autorizado por el rea de sistemas. Tambin se puede tener polticas respecto a la actualizacin de los antivirus y a la deteccin de ataques. Es necesario e imprescindible contar con una buena poltica de seguridad, pero es igualmente importante comunicar esa poltica, contando con una campaa de educacin al interior de la organizacin para asegurarse de que todos comprenden las responsabilidades y las consecuencias de violar los cdigos de seguridad, en este sentido es bueno rescatar lo acotado por Esmeralda Guindel Snchez8
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y el por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos.

Adems de lo sealado anteriormente, existe una serie de herramientas a disposicin de las organizaciones. Es decir dentro de las tecnologas de seguridad estn los firewall, los antivirus y los sistemas de deteccin de ataque o IDS (Intrusin Detection System). En la actualidad los sistemas de deteccin de ataques son una combinacin de hardware y software conectados a un segmento de red con la misin de escuchar todo el trfico. Permanentemente se compara el contenido con patrones de ataque, y cuando detectan uno generan una alarma y se desencadena una serie de acciones predeterminadas: como cortar el trfico, bloquear los mensajes que provienen de la direccin IP

Esmeralda Guindel Sanchez Calidad y Seguridad de la Informacin y Auditoria Informtica Universidad Carlos III de Madrid - http://e-archivo.uc3m.es/bitstream/10016/8510/1/proyectoEsmeralda.pdf

atacante, etc., tanto es as que la diversidad de acciones que se presentan son mltiples tal como lo sealan Joaqun Garca Alfaro y Xavier Perramon Tornil9
La gran cantidad de formas de abordar el problema de la deteccin de ataques e intrusiones ha dado lugar a numerosas y variadas propuestas y soluciones. La mayor parte de estas propuestas basan su capacidad de deteccin en la recogida de informacin desde una gran variedad de fuentes de auditora de sistema, analizando posteriormente estos datos de distintas formas. Algunas consisten en comparar los datos recogidos con grandes bases de datos de firmas de ataques ya conocidos, otros tratan de encontrar problemas relacionados con usuarios autorizados que sobrepasan sus acciones permitidas en el sistema, o incluso mediante el anlisis estadstico, buscando patrones que indiquen actividad anormal y que no se hayan tenido en cuenta en los pasos anteriores. Existen tambin mecanismos de seguridad que tratan de mejorar el problema de la seguridad de una red desde un punto de vista mucho ms activo. Tanto los mecanismos de proteccin de la informacin como los mecanismos de prevencin y deteccin tradicionales son utilizados para proteger los recursos de la red, detectando deficiencias en la seguridad y reaccionando ms tarde para solventar estos inconvenientes. Como novedad, estos nuevos elementos cambian las reglas del juego, ofreciendo la posibilidad de tomar la iniciativa utilizando tcnicas de monitorizacin para registrar y analizar las acciones de los atacantes para aprender de sus conocimientos. Por otro lado los elementos de deteccin que hemos visto trata de unir la capacidad de bloqueo de los mecanismos de prevencin con las capacidades de anlisis de los sistemas de deteccin. Conocidos como sistemas de prevencin de intrusos, estos nuevos elementos son considerados como la evolucin lgica de los sistemas de deteccin de intrusos tradicionales. Por ltimo, un caso de especial inters para los sistemas de deteccin son los ataques distribuidos. Estos ataques no se pueden detectar de forma aislada, sino que es necesario poner en correlacin mltiples indicios encontrados en diferentes equipos de una red. Dos de las propuestas ms utilizadas para poder construir sistemas capaces de detectar este tipo de ataques son la utilizacin de nodos dedicados (mediante una arquitectura centralizada o jerrquica) y la utilizacin de nodos distribuidos (mediante una arquitectura basada en cdigo mvil o mediante la cooperacin de nodos mediante un paso de mensajes).

Asimismo, parte de una estrategia de seguridad son los planes para la recuperacin de desastres. Los expertos coinciden en sealar que no solo las personas de sistemas deben de estar involucrados en esta tarea, sino los miembros de todas las reas de la organizacin, por eso es importar acotar lo sealado por Enrique Antn Peregrina10:
Los desastres informticos han dejado de ser un problema exclusivo del departamento informtico para pasar a involucrar a toda la alta direccin de la compaa. El coste de recuperar una cada de red y de prdida de informacin representa un riesgo en la propia continuidad del negocio. Las compaas tienen que ser conscientes de que tienen que estar preparados y asignar una provisin de fondos para respaldar cualquier contingencia que se produzca al respecto. En este artculo se define esta situacin y qu papel han de jugar los diferentes agentes de la empresa: desde el propio usuario, al gerente, la compaa o el consultor.

Joaqun Garca Alfaro y Xavier Perramon Tornil - Advanced aspects of network security - Official Master in Free and Open Source Software Technology - Open University of Catalonia - http://ocw.uoc.edu/computer-sciencetechnology-and-multimedia/advanced-aspects-of-network-security/advanced-aspects-of-networksecurity/P06_M2107_01773.pdf Enrique Antn Peregrina Gerente de Soluciones Tecnolgicas de Burke http://estrategiafinanciera.wke.es/noticias_base/actuacin-ante-la-recuperacin-de-desastres-informticos -

10

La seguridad es un tema en constante evolucin, una lucha entre los intrusos y quienes defienden su informacin. Los ataques cibernticos ms recientes han utilizado medios ms sofisticados. Por ejemplo, los cdigos malignos ahora se envan cifrados con distintas llaves para que los IDS no los relacionen con ningn patrn de ataque de su base de datos. Estos ataques son muy difciles de detectar por que hay que analizar el trfico en tiempo real, por ello debemos de establecer los lineamientos y acciones que nos permitan de una u otra manera mantenernos alertas, por ello es bueno recoger lo sealado por Enrique Antn Peregrina11
La seguridad en sistemas de informacin dispone de mtodos y tcnicas para poder abordar los diferentes problemas ya sea desde el punto de vista de garantizar la continuidad del negocio (no sern los sistemas de informacin los que causaran un cese en el mismo) hasta el punto de garantizar la proteccin de la informacin, haciendo que la informacin sea accesible nicamente por los usuarios adecuados. Los mecanismos de seguridad, en particular encargados de velar por la proteccin del conocimiento, deben estar permanentemente al da. Es imprescindible una vigilancia permanente, de modo que las inversiones realizadas sean optimizadas y exprimido el rendimiento que de ellas se puede obtener. Su uso debe de ser habitual, no extraordinario. Debe de formar parte de la cultura empresarial, definiendo como parte de las polticas de seguridad de la organizacin los diferentes niveles de clasificacin de la informacin, as como los niveles de autorizacin requeridos.

Los avances tecnolgicos aqu juegan contra la seguridad, porque las redes de alta velocidad hacen que la identificacin sea crtica debiendo de disminuirse la velocidad de la red para poder elevar la proteccin al mximo. Mediante otra modalidad de agresin se envan los paquetes fragmentados y espaciados en el tiempo para que se reconstruyan en el servidor vulnerado. Los sistemas de proteccin han debido adecuarse para ir juntando los pedazos de cdigo, comenzar a reconstruirlos e identificarlos como un ataque antes de que se arme el rompecabezas agresor. Como podemos ver, la carrera por la seguridad es imparable, y cada da ms compleja tecnolgicamente. Continuamente surgen nuevas modalidades de ataque; lo importante es que las organizaciones estn alertas frente a los ataques y a las novedades tecnolgicas para proteger adecuadamente su informacin.

11

Enrique Antn Peregrina - Gerente de Soluciones Tecnolgicas de Burke Seguridad Informtica: Proteccin de Activos Lgicos - http://pdfs.wke.es/6/6/2/4/pd0000016624.pdf