Seguridad de la Información

Podemos empezar esta sección afirmando que 100% seguro, no existe. No por ello, se minimizaran esfuerzos. Considero de vital importancia no solo la prevención de hechos de inseguridad en la protección de los activos de la organización ante eventuales amenazas respecto de vulnerabilidades en nuestro sistema de información, sino también las posteriores acciones a llevar adelante luego de ser explotada una vulnerabilidad.

Aquí, se mencionan tres palabras muy importantes que me gustaría clarificar:

Activo. Recurso, producto, proceso, dato, todo aquello que tenga un valor para la organización.

Amenaza. Presencia de un evento que pueda impactar en forma negativa en la organización.

Vulnerabilidad. Ausencia o debilidad de un control.

Siendo entonces trascendental desde el armado físico de una red segura de información hasta el control del acceso al edificio de la organización mediante guardias de seguridad.

Es por ello, que resultan ser muy importantes los procesos de la Gestión del Riesgo (la acción de identificar, analizar, determinar, mitigar y transferir o aceptar el riesgo) y el Plan de Recuperación de Desastres (DRP) en casos de verse vulneradas nuestras defensas. Mediante este último se tratara de reasumir la continuidad de la organización tan rápido como sea posible y además con la menor inversión de dinero.

Reseña de procedimientos de seguridad informática recomendados

Respecto del cuidado de la información en cualquier organización, considero que lo primero a tener en cuenta, es contar con un responsable o referente en el área de la seguridad de información y conformar un equipo de trabajo para tal fin.

En un nuestro “mundo perfecto” nos referimos a la creación de un Centro de Operaciones de Ciberseguridad (SOC, por su denominación inglesa Security Operations Center) una prestación de servicios horizontales de ciberseguridad para aumentar la capacidad de vigilancia, detección de amenazas y vulnerabilidades en las operaciones diarias de los sistemas de información y comunicaciones de la organización. Es un camino efectivo para reducir las vulnerabilidades de seguridad conformado por personas, procesos y tecnologías.

Algunas de las tareas a realizar por el equipo de seguridad de la información en el ámbito de la red de computadoras consistirían en:

1. El armado de una red segura.

Para lo cual se debiera hacer un relevamiento de la red actual, considerar cual/es son los activos a proteger. Ver de que se dispone y tener en cuenta los costos.

Técnicamente podríamos pensar en:

  • Analizar la topología de red existente (pensar la correcta y estratégica ubicación de dispositivos como switch y/o router).
  • Configuración en switch y/o router de protocolos PAT y ARP.
  • Instalación/configuración de Firewall.
  • Instalación/configuración de dispositivos IDS (NIDS/HIDS) o IPS. Preferentemente un IPS para prevenir todo tipo de ataques, pudiendo denegar directamente determinado tráfico. De ser posible se instalaría en el principio (entrada) de toda la topología. De esta forma gran parte de las anomalías podrán ser detectadas y eliminadas desde el mismo dispositivo frontera que se esté utilizando -cortafuegos o router-. Y resultaría de gran utilidad a la hora de mitigar o minimizar el impacto de un ataque de denegación de servicio.
  • Configuración de listas ACL.
  • Instalación de un software de chequeo de vulnerabilidades (NESSUS, NMAP o similares), a fin de verificar en los nodos posibles agujeros de seguridad.
  • Instalación de una zona desmilitarizada (DMZ) con servidores: Web/s, correo electrónico, DNS, Proxy (Direct) y Antivirus.

2. Protección de servidores.

  • De acuerdo a los requerimientos a los cuales se hallen los mismos, se podría pensar en instalar un balanceador de carga (del tipo Nodo de Balanceo). Este tipo de balanceador posee algunas ventajas interesantes para aplicar como ser: puede actuar como Firewall, asignar cargas de trabajo asimétricas, tolerancia a fallos entre otras.
  • A modo de Plan de Contingencia, virtualización de servidores. Tendiendo copias de respaldo de los mismos en lugares ajenos a la red. De esta forma si se generará algún inconveniente, sería más rápido y seguro el restablecimiento del servicio. Se debieran hacer simulacros para verificar el funcionamiento y realizar posibles ajustes al plan de contingencia.

3. Proteger los nodos (equipos y dispositivos) de la red.

  • Antivirus y Sistemas Operativos originales y actualizados. Tener en cuenta para la gestión de parches WSUS (o similares) si se posee una Intranet con sistemas operativos Windows.
  • Controlar el acceso a Internet. Mediante el proxy sería una forma.
  • Controlar el uso de dispositivos USB. Mediante la configuración del archivo “regedit” sería una forma.
  • Software legal.

4. Proteger los datos/información: CONFIDENCIALIDAD – INTEGRIDAD – DISPONIBILIDAD.

  • Cifrado de los datos sensibles –criptografía–. Implementación de algoritmos criptográficos fuertes como AES de 384, 512 o 1024 bits (considerado uno de los mejores y menos vulnerables actualmente –año 2015-). En caso de producida una intrusión a nuestra red, el cifrado de los datos dificultaría la exposición de la información.
  • Implementación de políticas de definición de passwords.
  • Copia de seguridad local y remota de los datos/información. Clasificación de los backups por fecha de creación, responsable, etc.
  • Hardening del Sistema Operativo. Configuracion de BIOS. Configuración de los archivos SECPOL.MSC (Directivas de seguridad local) y GPEDIT.MSC (Editor de directivas de grupo local) -Windows-. Proteccion GRUB (Linux). Creación de particiones. Comprobar puertos de “escucha de red”. Desactivar detecciones memorias USB. Etc.
  • Auditoria. Revisar los registro de LOG periodicamente. Mover los registros de log del servidor dedicado, esto evitará que los intrusos puedan modificar los registros locales.
  • Directivas de cuenta (políticas de contraseñas eficientes y no predictivas).
  • Control de accesos a la información (archivos, bases de datos, programas, procesos, impresoras, medios de almacenamiento, etc.). Asignación de roles, permisos, perfiles de usuarios.
  • Accesos remotos: creación de túneles SSH (Secure Shell) – accesos mediante certificado y contraseña – filtrar todo el tráfico de entrada.
  • Instalación/desinstalación de servicios. Ejemplo: instalar DEP (Prevención de Ejecución de Datos).
  • En caso del desarrollo de aplicaciones propias también tener en cuenta el control de acceso de los usuarios a la información: identificación, autenticación, autorización y auditoria. Controles de requerimientos legales según la legislación vigente.

Si bien, nuestro activo “la información”, se halla circulando mayoritariamente en una red de computadoras, tal vez el punto más neurálgico. El equipo de seguridad de la información no debe dejar de lado otros aspectos como:

  • Acceso por parte de terceros a la organización: identificación y requerimientos del ingreso. Tipos de acceso requerido (físico o lógico), motivos, incidencias. Ejemplo: empleados de limpieza, catering, soporte terciarizados, pasantías, etc.
  • Clasificación y control de activos: conocimiento acabado de los recursos con que cuenta la organización (recursos físicos, servicios, hardware, software, información). Inventario, clasificación y rotulado.
  • Seguridad del personal de la organización: formación y capacitación, compromiso de confidencialidad, comunicación y respuesta a incidencias y/o anomalías de seguridad.

Se debiera hacer mucho hincapié en este punto. Ataques de Ingeniería Social, Autenticación, Phishing podrían ser evitados concientizando y educando a los usuarios respecto de sus conductas frente a determinadas situaciones.

Dar importancia a la gestión administrativa del personal (separación de funciones, rotación del trabajo, menor privilegio, necesidad de saber y vacaciones obligadas).

  • Seguridad física y ambiental: perímetros de seguridad (sala de servidores con acceso restringido). La seguridad física puede ser brindada mediante cerraduras, cámaras de video, alarmas, sensores de movimiento, sistemas biométricos, etc.

Protección de oficinas e instalaciones (teniendo en cuenta diferentes posibilidades: incendio, inundación, desastres naturales, agitación pública, etc.). Aislamiento de las aéreas de recepción y distribución. Ubicación y protección del equipamiento y copias de seguridad. Suministro de energía. Seguridad del cableado (eléctrico y de red). Políticas de escritorios y pantallas limpias.

Es crucial la redacción de un documento explicitando las Políticas de Seguridad de la Información a ser aplicadas por la organización. Alcance, definiciones, aspectos técnicos, sanciones, controles físicos, lógicos, etc. de las políticas de seguridad a ser aplicadas.

Procedimientos de seguridad a cumplir en caso de un ataque de intrusión

Este punto es muy particular y depende del tipo de intrusión. Supongamos que la misma consistió en paralizar todos los sistemas de una organización (como ser: sitio Web y el correo electrónico) y llevar adelante una filtración de datos sensibles (información personal, registros financieros, mails confidenciales de ejecutivos,  etc.).

Producida una intrusión (o sea ya realizado el daño) se debiera trabajar en restablecer los servicios lo más rápido y eficientemente posible mediante la ejecución de un Plan de Recuperación de Desastres (DRP).

El Plan de Recuperación de Desastres respecto del sitio Web, consistiría en los siguientes pasos:

  • Habiendo por un lado virtualizado los servidores Webs, con algún programa como ser VirtualBox, VMware o similares. Aclaración: copia de los servidores en funcionamiento y correctamente configurados.
  • Y por otra parte, teniendo backups (actualizado con los datos del sitio Web). No demandaría demasiado tiempo la puesta en servicio de el/los sitios Web de la organización.
  • Dependiendo del software y las formas empleadas, se debiera importar la copia de respaldo del servidor con alguno de los programas mencionados o copiar directamente los archivos de la maquina virtual “backapeada” y posteriormente arrancar la maquina virtual. En caso de ser varios servidores tendríamos varias maquinas virtuales.
  • Luego volcar los datos actualizados del sitio Web a la maquina virtual, reemplazando los existentes y listo -en teoría, ya que en la práctica siempre se puede suscitar algún imprevisto- 🙂

Para el caso del servidor de correo electrónico, si se sustrajo información confidencial o delicada de los correos electrónicos esto ya no tiene solución. Se debiera haber evitado con los recaudos mencionados en los puntos 1, 2, 3 y 4.

Para restablecer el servicio y los datos en caso de que estos hubiesen sido borrados deberíamos llevar adelante las siguientes acciones: 

  • Similar al caso anterior, habiendo virtualizado el servidor de correo, reinstalaría el servidor nuevamente.
  • Y posteriormente,  se volcaría los datos de los backups de los correos al servidor.
  • En caso de no poseer un backups de los archivos de correo se podría tratar de recuperar los datos “borrados” del disco mediante algún programa.
  • Setear con nuevas password las cuentas de los usuarios de correo.

Otras consideraciones respecto de la configuración del servidor de correo electrónico son:

  • La implementación de Gateways SMPT.
  • Implementar software para bloqueos AntiSpam y filtros de contenidos.
  • Restringir el ingreso de archivos adjuntos que puedan contener código malicioso (EXE, BAT, PIF, etc.).

ES MUY IMPORTANTE, que antes de restablecer todos los servicios de la organización, se cambien todas las password y cuentas administrativas de todos los servidores, PCs y dispositivos..

Nota: Otra alternativa, en caso de no poseer virtualizados los servidores de la empresa, seria obtener imágenes (ISO) de los servidores de la organización.

Estas imágenes debieran haber sido obtenidas luego de hallarse configurados y funcionando correctamente los equipos, con lo cual se ganaría valioso tiempo en caso de tener que reinstalarlos.