ANALISIS TECNICO ANALISIS TECNICO DE SEGURIDADDE SEGURIDAD

Ing. Amalia Y. SubelzaIng. Amalia Y. Subelza

Introducción Introducción

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa. En un estudio publicado por Hispasec se muestran estadísticas importantes respecto de la temática de la seguridad de la información y cómo las empresas encuestadas están actuando para protegerse.

Estudio sobre la seguridad informática en la empresa

española 2003Según un informe llevado a cabo por la Asociación Española de Empresas de Tecnologías de la Información (Sedisi), seis de cada diez compañías españolas sufrieron ataques contra sus sistemas informáticos durante el pasado año.

El estudio realizado por el grupo de análisis tecnológico Penteo, arroja unas cifras muy inquietantes, pero que esperamos contribuyan a una mayor concienciación de la importancia de la planificación de sistemas de actuación para acometer esta carencia dentro de las empresas españolas.

Uno de los talones de Aquiles dentro de la inseguridad de las empresas españolas son los planes de continuidad, tan sólo una de cada diez empresas españolas lo posee. Aunque parece ser que se ve un poco de luz en la oscuridad, ya que según afirman las empresas encuestadas el 42% de ellas tienen previsto el acometerlo en breve plazo.Otro de los problemas, es la carencia de formación de los empleados, aunque el 26% de las firmas encuestadas le dan prioridad dentro de los objetivos a largo plazo. Por otra parte, el 100% de las compañías afirma poseer antivirus y el 91% cortafuegos, afirmando el 85% de estas corporaciones que realizan copias de seguridad a diario y el cuatro por ciento semanalmente.Desde Hispasec Sistemas y desde nuestra experiencia como compañía pionera en seguridad informática en España, intentamos de concienciar a nuestros clientes y lectores de la importancia que tiene la seguridad informática para las empresas y particulares.

Una empresa atacada no sólo puede tener perdidas económicas directas, también existen las indirectas no por ello menos importantes (mala imagen empresarial, perdida de clientes, etc.), sin olvidar las importantes sanciones económicas con las que pueden verse afectadas estas firmas debido a una mala protección de los datos de los clientes.

Por ello, desde Hispasec ofrecemos todo tipo de servicios orientados a mejorar y garantizar la seguridad de las empresas, siempre con el punto de vista de colaborar con los técnicos y administradores, ayudándoles a llevar a cabo su trabajo. Entre los servicios ofrecidos destaca la realización de auditorias, consultoría, el servicio de notificación y alertas (SANA) y formación.

Análisis Técnico de Análisis Técnico de SeguridadSeguridadEl análisis técnico de seguridad es una de las etapas más

importantes del análisis de riesgos. A través de éste se hacen las colectas de información sobre la forma en que los activos:

* fueron configurados, * estructurados en la red de comunicación, y * la forma en que son administrados por sus responsables.

El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales. Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

1º Estaciones de Trabajo1º Estaciones de TrabajoSon la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.Ejemplos de vulnerabilidades comunes en este tipo de activos:

* ausencia de protector de pantallas bloqueado por clave, que permite que las máquinas dejadas solas no

sean utilizadas por personas no autorizadas;

* ausencia de configuraciones de seguridad que permitan la instalación o ejecución de ficheros maliciosos;

* periodicidad de actualización de programas antivirus, forma de organización de los directorios, presencia o ausencia de documentos confidenciales,

* forma de utilización de la estructura de servidores de ficheros, que garanticen de una manera más eficiente la copia de seguridad de los datos, es decir, su disponibilidad.

2º Análisis a Servidores2º Análisis a ServidoresLos servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

3º Equipos de Conectividad3º Equipos de ConectividadEl análisis de equipos de conectividad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.Se debe identificar en este análisis la manera en que estos activos han sido configurados:

* dispositivos de ruteo,* parámetros,* módems,* estaciones nodales,* FRADs (dispositivo de acceso a

transmisión de cuadro),* puentes y otros.

Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

4º Conexiones4º Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

5º Bases de Datos5º Bases de DatosLas bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio.

La manera en que la base de datos conversa con lasdemás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información.

En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

6º Aplicaciones6º Aplicaciones

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

Ejercicios Ejercicios Para afinar un poco más los conceptos antes expuestos consideremos estos ejemplos:Identificar la falta de actualizaciones de seguridad en las estaciones de trabajo de los usuarios del área de contabilidad.Revisar las políticas de respaldos en los servidores de bases de datos para conocer si son los adecuados para la información almacenada en ellos.¿Sabe si sus equipos de comunicación cuentan con la configuración necesaria para que la información transmitida a través de ellos se encuentre completamente segura?¿Todos sus servidores cuentan con respaldos de información adecuados a los procesos que manejan?¿Sus sistemas antivirus son actualizados constantemente? ¿Esta tarea se encuentra automatizada o los usuarios la realizan manualmente?¿Sus aplicaciones cuentan con las actualizaciones de seguridad más recientes?

Análisis de Análisis de Seguridad FísicaSeguridad Física

Ing. Amalia Y. Subelza M.Ing. Amalia Y. Subelza M.

Introducción Introducción El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran.

Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis. La siguiente nota presenta un caso real, en el que la falta de un análisis correcto de la seguridad física, ocasiona que un pequeño accidente dentro de las instalaciones de una empresa, ponga en riesgo el negocio entero de la organización.

Un incendio en La Muñoza colapsa el sistema informático de Iberia C. R. G. MadridLa aerolínea española Iberia no descansa. A los continuos enfrentamientos con los pilotos se añadió ayer un incendio en la sala central de ordenadores de la compañía, que sembró el caos en los aeropuertos españoles. Los mil vuelos programados por Iberia en todo el mundo se vieron afectados.

La zona industrial de Iberia, conocida como La Muñoza, fue ayer testigo de un incendio sin precedentes y aparentemente originado por una sobrecarga eléctrica. Las consecuencias fueron inmediatas y, en muchos casos, caóticas. El incidente provocó el colapso de todas las operaciones de facturación yembarque en los aeropuertos donde opera la compañía aérea. Estas labores tuvieron que realizarse de forma manual y provocaron numerosos retrasos y 43 cancelaciones que afectaron a ocho aeropuertos. Por añadidura, el sistema de reservas Savia-Amadeus se vio colapsado y no pudo realizar ninguna reserva. La gran mayoría de las agencias de viajes y de los touroperadores que operan en España y en Portugal utilizan el sistema de Savia.

Iberia alberga en La Muñoza sus servicios de mantenimiento y centraliza las redes informáticas de la aerolínea en todo el mundo, por lo que casi mil vuelos programados ayer se vieron afectados. El incendio en el ordenador central del grupo colapsó también su sistema informático alternativo.

Aeropuertos Españoles y Navegación Aérea (Aena) se vio obligada a poner en marcha un comité de crisis, para hacer un seguimiento “pormenorizado” de la situación y reforzar los sistemas de información de los aeropuertos.

En los aeropuertos se formaron largas colas de resignados pasajeros que esperaban a embarcar. Las mayores complicaciones se presentaron en el aeropuerto de Madrid, donde Iberia tenía programados quinientos vuelos y tuvo que cancelar 17; y en el Prat, en Barcelona, con 13 cancelaciones, informa Europa Press. A Coruña y Fuerteventura fueron los únicos aeropuertos que no registraron ningún retraso mayor de 30 minutos, mientras que en Lanzarote y Tenerife Sur el tráfico aéreo no superó el uno por ciento.

Todos los clientes del grupo aéreo fueron informados de la situación a través de megafonía y notas informativas.

El incendio se extinguió a mediodía, casi cuatro horas después de su inicio. Al cierre de esta edición, sin embargo, la empresa aún desconocía cuándo se solucionará la avería.

Este es el segundo fallo que se produce en la red informática de la compañía aérea en una semana. El pasado jueves, el sistema de facturación de Iberia en Barajas sufrió una interrupción que obligó a la aerolínea a suspender cuatro vuelos.

Análisis de Seguridad Análisis de Seguridad Física Física

Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.

Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura.

Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.

Estos ambientes deben ser observados con relación a lo siguiente:

Disposición OrganizativaDisposición Organizativa

Se considera la disposición organizativa en especial sobre:

la organización del espacio con relación a cómo están acomodados los muebles y los activos de información.

que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia.

que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.

Sistema de Combate a Sistema de Combate a IncendioIncendio

Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados:

– los detectores de humo,– los aspersores de agua,– los extintores de incendio,

entre otras cosas.

Control de AccesoControl de Acceso

Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de:

cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.

Exposición al Clima y Medio Exposición al Clima y Medio AmbienteAmbiente

Disposición de las ventanas y puertas de áreas críticas.

Se preocupa que se encuentren ubicadas próximas a activos críticos,

Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.

Topografía Topografía

Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Ejercicios Ejercicios Con el propósito de ilustrar aún más la clasificación

anterior le proponemos estos ejemplos:

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias.

Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

¿Las consolas de equipos críticos están libres del acceso o de la posibilidad de acceso físico no identificado? ¿Los activos críticos se ubican lejos de las puertas de acceso a áreas de circulación de personas no autorizadas? ¿Se cuenta con un sistema contra incendios en los espacios de trabajo de la empresa?

RELEVANCIA DE LOS RELEVANCIA DE LOS ACTIVOS PARA EL ACTIVOS PARA EL

ANALISIS DE RIESGOS ANALISIS DE RIESGOS Y LOS RESULTADOSY LOS RESULTADOS

INTRODUCCION INTRODUCCION

Para que un análisis de riesgos pueda ser llevado a cabo, es importante que los procesos de negocio de la organización, que es el objetivo de la protección, sean considerados con relación a su importancia para la realización de los negocios. Es decir, es necesario que los involucrados en el proceso del análisis de riesgos conozcan a fondo cuáles son los procesos críticos para la empresa y qué activos de la misma forman parte de ellos.

“Para ello, es necesario clasificar los activos en base a su relevancia e impacto en los procesos clave de la organización. Esto nos permitirá, dado que los recursos son finitos, identificar los activos que tendrán prioridad dentro de las acciones de seguridad llevadas a cabo en la empresa. De esta manera, los recursos estarán dirigidos a disminuir los riesgos existentes en aquellos activos considerados claves para los negocios de la compañía.

El tomar dicho rumbo en nuestras acciones, permitirá entre otras cosas, asegurar que el análisis realizado , podrá proporcionarnos la información necesaria para implementar las mejores acciones de seguridad posibles dentro de la compañía. “

RELEVANCIA DE LOS ACTIVOS PARA EL ANALISIS DE

RIESGOSEn el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.

Cuanto mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.

La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Revisemos los siguientes ejemplos donde se dimensiona la relevancia de los activos para el análisis de riesgos:

– Para una compañía dedicada al Internet Banking, un activo importante puede ser los servidores dedicados a brindar el servicio de la página principal de operaciones bancarias. Ya que estos son parte de uno de los procesos claves para el negocio de este tipo de empresa.

– En una empresa dedicada a brindar servicios de Red, los equipos de ruteo o de enlace de comunicaciones juegan un papel vital en los negocios de la compañía, y por tanto, son de alta importancia a nivel crítico para la organización.

Preguntas… ¿Sabe usted cuales son los procesos

más relevantes para una empresa: comercial, ganadera e importaciones?

¿Conoce los activos que forman parte de dichos procesos?

¿Cómo estaría garantizada la seguridad de dichos activos?

Resultados del análisis de Resultados del análisis de riesgosriesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo.

A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.

Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos.

Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.

El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.

Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.

El análisis de riesgos que realiza una compañía indica que es necesaria la instalación de Software Antivirus en todos los equipos de altos ejecutivos de la empresa, dada la importancia de la información manejada por ellos.Después de obtener los resultados, una empresa se da cuenta que las acciones de seguridad que ha estado tomando no incluyen a los activos más relevantes para el negocio de la compañía, y por tanto tiene que reenfocar sus acciones.

Un ejemploVeamos a manera de ejemplo algunos de los resultados que obtuvieron estas compañías:

Al realizar el análisis de riesgos, aumenta el nivel de seguridad de la organización, cuando existe una preocupación con este elemento para la continuidad de los negocios, pues ya hubo conocimiento por parte de los involucrados en el análisis de la real situación de inseguridad en que se encuentra la organización.

Esto nos lleva a comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico.

A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.

Una vez revisado lo anterior, enseguida le planteamos una pregunta que amerita unreflexión un poco más a fondo…

Pregunta…

Si realizara un análisis de riesgos el día de hoy en su empresa, ¿Cree usted que el resultado coincidiría con las acciones tomadas actualmente en su organización?

Después del análisis, viene la política de seguridad. Esta tarea, que será abordada en la próxima unidad, pretende orientar los estándares de seguridad que deben ser adoptados por toda la organización.

Por lo general se basa en el resultado del análisis de riesgos. La política de seguridad constituye el establecimiento de las normas de seguridad que orientan la práctica diaria de las personas que manipulan los activos, así como la manera con que los activos se comunican entre sí. seguridad que orientan la práctica diaria de las personas que manipulan los activos, así como la manera con que los activos se comunican entre sí.

Fin…..Fin…..