Sabemos evaluar de manera certera, aunque con mayor o menor dificultad, el grado de eficiencia de nuestra red corporativa, la eficacia de nuestra interconexión Internet/Intranet/Extranet, la funcionalidad de nuestras aplicaciones corporativas y en que grado se ajustan a nuestras necesidades de negocio, el grado de integración de nuestros sistemas etc. Deberemos hacer un esfuerzo adicional para obtener valores de retorno de inversión y costes de propiedad asociados a nuestro sistema, pero como norma general contaremos a nuestro alcance datos estables y mesurables para obtenerlos.
Sin embargo debemos ser muy cautos cuando bajo el punto de mira de nuestro análisis ponemos la seguridad de nuestro sistema, porque estaremos obligados a manejar conceptos de menor precisión. Evaluar la seguridad implica considerar el concepto de percepción, es decir, cómo de seguro percibo mi sistema en este momento.
Hablamos de percepciones porque son muchos los factores que determinarán la calidad en la seguridad, mas allá del estrictamente tecnológico, y a medida que nuestra capacidad de controlarlos sea más efectiva, con mayor celeridad nos alejaremos de la incertidumbre.
Estos son factores organizativos, formación, procedimiento, concienciación de usuarios fundamentalmente. La debilidad de cualquiera de ellos nos mostrará nuestro Talón de Aquiles, o lo que puede resultar incluso mas peligroso, una falsa percepción de seguridad como fruto del desconocimiento sobre la calidad de estos.
Es una inmediata tentación identificar la seguridad en IT exclusivamente con la inversión en el factor tecnológico, cuando probablemente resulte el componente más fácilmente controlable. La formación, el compromiso de los usuarios, los procedimientos, y la organización requieren de una observación, seguimiento y cumplimiento muy estricto. Son factores estrictamente humanos, y como tales, resultan los más vulnerables.
En el terreno estrictamente tecnológico, nos supondrá un importante esfuerzo desmarañar el complejo entramado de soluciones de seguridad que a diario bombardean a cualquier profesional de IT sistemas de alta disponibilidad a distintos niveles, sistemas de protección perimetral, sistemas de PKI, certificados, scanners de seguridad, administraciones centralizadas, IDS (Intrusion Detection Software), analizadore de logs, generación de VPNs, sincronizadores de passwords, antivirus de desktop, antivirus de servidores etc..
La lista resulta interminable y es un ejercicio imprescindible de priorización y optimización el identificar aquellas soluciones tecnológicas que se adapten en su justa medida a nuestras necesidades de negocio, o incluso que permitieran su expansión (un sistema de seguridad robusto y fiable nos podría permitir emprender nuevas lineas de negocio).
No debemos olvidar que el 70 por ciento de las amenazas a las que estamos expuestos provienen de nuestros propios administrados y los protocolos y sistemas fueron diseñados inicialmente para un uso bien intencionado, dando a la interoperabilidad un papel protagonista frente a la seguridad.
Necesitamos un marco sobre el cual reflexionar detalladamente sobre la integración de todos estos factores y que simplifique y oriente nuestro análisis.
En la fígura 1 definimos a modo de guía tres ejes sobre los cuales analizar el estado de nuestro sistema. Un eje recogería los habituales objetivos que todo proyecto de seguridad persigue en mayor o menor medida, es decir
· Confidencialidad de los datos.
· Integridad de la información.
· Autenticación de los participantes.
· Disponibilidad de la información.
Sobre el segundo eje contemplamos los tres principales estados en los que podemos encontrar nuestra información, es decir
· datos en proceso.
· datos en tránsito.
· datos almacenados.
En un tercer eje deberíamos disponer los tipos de medidas a aplicar y que contemplen los factores tanto tecnológicos como humanos anteriormente mencionados, es decir
· medidas tecnológicas.
· medidas organizativas y de procedimiento.
· medidas formativas.
Existirían probablemente más factores pero creo que estos componen el marco básico sobre el que basar nuestro análisis.
Las grandes inversiones económicas en tecnología tan solo cubrirán algunos de los elementos de esta matriz. A todas luces será insuficiente si descuidamos cualquiera de los elementos restantes.
Ilustramos esta afirmación con un caso real ocurrido hace menos de dos años. Una entidad bancaria de primer orden vio como aparecía publicado en foros de Hackers un completo y detallado manual de cómo acceder fraudulentamente a su sistema de Banca on-line de forma sencilla. El manual contenía detalles sobre el proceso a seguir, así como información sobre como se había ido consiguiendo esa información crítica necesaria para terminar accediendo al sistema (se llegó a tener acceso hasta a la clave privada del banco).
La perdida de imagen y confianza hacia los clientes que la divulgación de una noticia como esta puede tener, es simplemente irrecuperable (en esta ocasión no se llegó a divulgar el nombre del Banco, y solo los involucrados en ese affair tuvieron acceso a esa información). En ocasiones las consecuencias son demasiado severas como para descuidar ningún aspecto. La configuración deficiente y despreocupada del Front end WEB, revelaba una falta de conocimiento y de formación del administrador encargado de la puesta en marcha del sistema. Hubo un claro descuido en el factor de formación y compromiso. Por otro lado, el propio código de scripting en la aplicación de home banking desarrollada, mostraba información que por si sola no sería muy valiosa, pero facilitó valiosas pistas a un posible atacante.
La vulneración de la confidencialidad fue clara en este caso. La formación falló y el elemento vulnerado correspondió a la categoría de datos almacenados. Ese fué el elemento de la matriz no analizado en detalle.
Esta forma de contemplar la seguridad de nuestro sistema no pretende ser una receta de uso, sino un marco de reflexión que nos ayude a desmarañar parte de la madeja de soluciones en torno a la seguridad IT.
La inversión en seguridad no mantiene una relación directa con un objetivo claro y definido de ahorro de costes. Más bien deberemos hablar de los costes asociados a la falta de seguridad.
En el caso del Banco, el coste asociado a su falta de seguridad podría haber sido muy considerable en términos económicos, imagen, prestigio y nivel de confianza, todos ellos valores de evidente importancia en una entidad bancaria y algunos difícilmente restituibles.
Por otro lado, podríamos añadir un cuarto eje a la matriz de la figura un eje temporal (cualquier similitud relativista, es pura coincidencia). El factor tiempo convierte a la seguridad en algo no estacionario. Siempre nos encontraremos por definición ante un proceso de securización incompleto. La seguridad no puede plantearse como un objetivo final a conseguir, sino como un proceso que requiere nuestra constante atención, con un objetivo claro de minimización de riesgos.
Así mismo, deberíamos extender nuestro análisis más allá de la estricta protección de datos. Es común pensar que la importancia relativa de nuestros datos, fuera de su marco empresarial, son de por sí un factor de seguridad. ¿Quién, más allá de esta compañía, pudiera estar interesado en esta información? Debemos considerar que nuestros sistemas pueden estar expuestos adicionalmente a un uso fraudulento de servicios. Técnicas como el Spam, poco tienen que ver con la protección de datos y mucho con el uso no autorizado de servicios ajenos (correo en este caso), además de exponer nuestra plataforma a ser utilizada como puente hacia objetivos más sustanciosos.
Especial mención debemos hacer en este caso a los sistemas de ASP (Applications Service Provider) donde el uso fraudulento de servicios sería un ataque directo al corazón de su negocio.
Insisto en considerar la matriz de la figura 1 como un marco de reflexión sobre la integración de los factores estrictamente tecnológicos con los factores higiénicos y no como una receta de estricta aplicación. Cuando analicemos la disponibilidad de nuestros datos, tendríamos que añadir a nuestra matriz, un nuevo elemento. El elemento físico.
Resulta más habitual de lo que pudiera pensarse la convivencia de complejos sistemas de alta disponibilidad con medidas físicas insuficientes, como el control de acceso de personas o en ocasiones hasta la ausencia o funcionamiento deficiente de sistemas de alimentación ininterrumpida, o cableados no ordenados que ponen nuestro sistema de alta disponibilidad en riesgo, incluso en servicios proporcionados con garantía de QoS (SLA, Service Level Agreement).
De nuevo las grandes inversiones en tecnología no resuelven de forma aislada los problemas de seguridad. El factor físico resultaría determinante en este caso.
Todas estas consideraciones serán de dificil implantación sin la existencia previa de una clara, sería y estudiada política de seguridad, perfectamente definida y recogida en un documento aprobado y promovido desde las mas altas instancias de la jerarquía empresarial. Las iniciativas surgidas y/o promovidas exclusivamente por los mismos departamentos de IT, tendrán menos probabilidades de éxito y en ocasiones quedarán como voluntaristas iniciativas. La involucracción y compromiso de la dirección de la compañía es una condición necesaria hacia el éxito en la implantación de una política de seguridad.
Para ello, lo primero es fijar claramante cuales son los objetivos de seguridad que se persiguen. Sin este estudio previo dificilmente podremos encaminar las medidas a tomar.
La encriptación orientada a preservar la confidencialidad y la integridad de la información transmitida por la red, constituiría el núcleo del sistema implantado por un proveedor de información notarial. Seguramente no mantener un 99.9999% de disponibilidad no tendría apenas impacto en su negocio, pero ver su integridad vulnerada, constituiría la peor noticia posible.
Es evidente que la definición de nuestro objetivo es fundamental antes de componer las piezas de nuestra política de seguridad, la que deberá tener un propósito muy claro informar a los usuarios, staff y directivos de sus obligaciones y responsabilidades en la protección de la información de la empresa, además de especificar claramente los mecanismos a seguir para cumplir con dichas obligaciones.
Por eso, la involucración de personas en el origen y definición de la política de seguridad debería ser extensa administradores de sistemas, directivos, IT staff, asesoría legal etc..
La RFC 2196 remitida en Septiembre de 1.997 por Barbara Y. Fraser del Software Engineering Institute de la Carnegie Mellon University de Pittsburgh establece cuales deberían ser las características de una buena política de seguridad y los componentes que debería incluir explícitamente
– Criterios de seguridad en las guias de compra habituales en Tecnologías de la
Información;
– Una política de privacidad que defina espectativas razonables;
– Una política de acceso con claros derechos y privilegios y que specifique guias claras
para usuarios, personal de IT y cuadros directivos. Deberá incluir guias de uso para las
conexiones externas, comunicaciones, conexión de dispositivos a la red e instalación
de nuevo software;
– Una política de responsabilidades donde queden claramente definidas la
responsabilidad de los usuarios, staff de operación y cuadro directivo. Deberá
proporcionar una guia clara de respuesta a incidentes;
– Una política de autenticación que ofrezca confianza, ya sea mediante la implantación
de una efectiva política de paswords, certificados, tokens, passwords de un solo uso
etc.;
– Establecer e informar a los usuarios sobre las espectativas de diponibilidad, así
como un claro proceso de reporte y workflow para la solución de este tipo de
incidencias.
– Una política de mantenimiento de sistemas de IT y redes, que describa los tipos de
mantenimiento que tanto internos como externos se contemplan, incluyendo en este
apartado los mantenimientos remotos y outsourcing de servicios
– Una Política de reporte de vulneraciones de la seguridad que indique que tipo de
violaciones han de ser reportadas a quien
– Una política de información que indique guias de comportamiento en la comunicación
al exterior de cualquier vulneración del sistema de seguridad interno, y que
especifique claramente la información que debe permanecer como confidencial.
A la vista de las recomendaciones recogidas en esta RFC, de nuevo comprobamos que los factores organizativos y de procedimiento son absolutamente imprescindibles y complementarios con los tecnológicos y formativos.
Las políticas hiper restrictivas no tiene que ser las mas efectivas y de hecho el concepto de relevancia de la información a proteger es fundamental ¿ Realmente tenemos la necesidad de encriptar toda la información que viaja por nuestra red ? El esfuerzo de encriptación y desencriptación, penaliza de forma considerable el rendimiento. Nos encontrariamos por tanto ante una situación de compromiso entre confidencialidad y rendimiento.
Finalmente, y a modo de resumen El negocio de la seguridad no ha hecho mas que empezar. Los grandes motores que lo mueven, fundamentalmente e-business y la aparición de leyes de protección de datos, están en auge creciente. Ningún fabricante ni integrador dejará pasar este tren sin su aportación en términos de productos y soluciones. Si el mercado de la seguridad llegó a mover 382.000 millones de pesetas en 1.998, según un estudio del Global Information Exchange en el 2.003 pasará a mover 1,4 billones de pesetas.
Será por tanto un importante ejercicio de reflexión y priorización por parte de los responsables de IT considerar la totalidad de un proyecto de seguridad, es decir, pensar desde el inicio en todos y cada uno de los elementos que definíamos en la matriz de la figura 1, así como en los procedimientos recogidos en el documento de política de seguridad.
Asumamos que aumentar la seguridad de nuestro sistema implica asumir y balancear compromisos servicios ofrecidos vs seguridad proporcionada; facilidad de uso vs seguridad; coste de la seguridad vs riesgo de perdida etc..
Por tanto, securizar nuestro sistema requiere un gran esfuerzo para integrar la conciencia de seguridad en todos los procesos de negocio. No centremos exclusivamente nuestro análisis en términos de inversión tecnológica, e intentemos incrementar la eficacia en los procedimientos.
Héctor Sánchez Montenegro, supervisor de ingeniería de preventa, división de grandes organizaciones Microsoft Ibérica Srl.
