Esta pregunta se escucha a menudo cuando se genera una pérdida de información. Ante todo, no hay que hablar de "Seguridad Informática" sino de Seguridad de la Información. Ésta es el arte de asegurar algún valor no permitiendo el acceso a personal no autorizado. Para ello hay accesos controlados, guardias, cámaras y procedimientos.

Entonces la contra pregunta es: ¿Cuánto vale la información? Analicemos algunos puntos en relación a ella…

Pérdida: por ejemplo, un caso de corrupción en un servidor de un área de estudio de propuesta. Se genera una pérdida de memoria del área y un atraso en la entrega de propuestas en curso.

Disponibilidad: El área de Recursos Humanos no puede entrar al sistema para pagar sueldos. Se genera un atraso en el pago de sueldos, se deteriora la moral en los empleados y se produce una disminución en la productividad.

Confidencialidad: Un gremio que pelea ajustes salariales tiene acceso a la nómina de pagos de otra obra.

Integridad: Archivos corruptos por virus en servidor. Si se dispone de un respaldo diario se pueden recuperar.

– El primer paso es crear un Comité de Seguridad. El propósito es clasificar la información, como mínimo en dos: confidencial y no confidencial. Dependiendo de su valor es necesario definir las medidas de prevención y mitigación para que la información no caiga en manos inadecuadas, o sea objeto de daño por incidentes medioambientales o accidentes humanos.

– Se puede usar el Modelo OSI para ir desde abajo hacia arriba, descubriendo vulnerabilidades (Riesgos no controlados).

– Podemos comenzar por la capa 0 o -1, que sería el lugar donde está nuestro Centro de Cómputos. Recuerdo un datacenter ubicado en un subterráneo con el estacionamiento: un día un vehículo ingresó a esta sala. En otro grupo de servidores una tubería del aire acondicionado del piso de arriba reventó un día viernes, lo cual mojó todas las máquinas.

– Enlaces de Red Redundantes para Internet, Grupos electrógenos que alimentan a las UPS, extinguidores en caso de incendios o sistemas de corte de oxígeno. Procedimiento de recuperación de servicios en otro lugar en caso de desastre total, o problemas políticos en el país.

– Nuestra red eléctrica es primordial para el buen funcionamiento de nuestra infraestructura tecnológica. Un día me tocó ver un hervidor de agua con enchufe tipo “Magic” conectado al circuito de computación. Éste debe estar aislado, lo mismo que las impresoras, ya que en el momento de calentar el tonner producen una gran demanda de electricidad generando una variación grande de energía.

– Manejo de Temperatura en nuestro centro de datos: no basta con colocar un aire acondicionado. Si se condensa en la sala es fatal. Los sistemas que recomiendo son los que meten a través de tuberías el aire frío por debajo y lo sacan por arriba justo donde están los rack con los equipos, generando un flujo continuo.

– Accesos controlados y áreas restringidas: no es conveniente que, por ejemplo, los abogados estén imprimiendo en la impresora del pasillo. Definir áreas públicas y áreas restringidas.

– LAN: nuestra lan debe estar certificada, con medidas de inducción, que cumpla rigurosamente con la norma EIA/TIA 568A o B. Recuerden que para todo hay una norma o estándar que nos asegura que estemos haciendo las cosas bien, no es necesario reinventar la rueda. Una política adecuada es mantener los puntos de red desconectados desde el rack, dejando sólo conectados aquellos que están siendo usados. Es vital un estricto control para evitar que equipos no autorizados tengan acceso a la red.

– Nuestra LAN puede estar dividida por VLAN.

– DMZ donde tenemos nuestros servidores Front End, web, correo, etc. También podemos tener un WIFI con acceso a Internet para nuestras visitas.

– Segmentación de nuestra Red. Nuestro bastión son los servidores que deberían estar aislados. Recuerdo lo que ocurrió con el famoso Blaster, los únicos servidores que se salvaron eran los que se comunicaban entre sí con IPSEC. Es primordial definir roles, cada servidor tiene que hacer lo suyo. Para ello se puede aplicar hardening. Mientras más roles cumple un servidor más difícil es protegerlo y aumenta su posibilidad de fallo y con ello los servicios comprometidos. Al diseñar un servidor o servicio lo tenemos que hacer pensando en hacerlo lo más redundante posible. Uno de los servicios más importantes es el DHCP. En muchos lugares me encuentro con uno solo un modelo: 80% 20% es lo más aconsejable. Redundancia dentro de la máquina y redundancia como servicio en varias máquinas.

– Protección Antivirus: es sumamente importante que contemos con una solución antivirus que nos permita el manejo centralizado de la situación de nuestra red, que se pueda desplegar centralizadamente, y que no tenga un impacto mayor en el rendimiento de nuestras estaciones.

– Tan importante como el antivirus es tener un servidor de Windows Update Interno.

– Contraseñas Seguras: obligar a los usuarios a usar contraseñas seguras de más de 8 caracteres que incluyan símbolos y combinación de letras mayúsculas. Capacitar a los empleados sobre la importancia del cuidado de la información de la compañía, de lo contrario encontrarás pegada la contraseña debajo del teclado. También se pueden incluir dos medios de autentificación: un token y una clave. No dejar papeles en los escritorios o en la impresora que contengan información confidencial.

– Uso de los servicios y recursos de la organización para fines personales: esto debería ser causal de despido y estar estipulado en los contratos de trabajo. Así como la instalación de software no autorizado.

– Camino Forzado: el usuario sólo debe tener acceso a los servicios y la información que necesita, ni más ni menos. Principalmente en los sistemas y servidores de archivos.

– Internet Llave Cerrada: esta política es interesante ya que permite tener control del recurso Internet. Sólo se autorizan los sitios que se usan para el trabajo, lo que permite revisarlos, antes de autorizarlos. Quien solicita es el usuario, quien autoriza es el jefe del área (Dueño de Datos). Quien da la última autorización es la gente de seguridad de informática.

– Puertos Firewall, todos cerrados: excepto los típicos 80 443. Antes de abrir uno se estudia el impacto en seguridad que esto tendría.

– En resumen: hay muchos controles de riegos que se pueden implementar, lo más importante es inducir y entrenar a los usuarios. Generar conciencia de que la información que manejan es de un valor incalculable.

Esta herramienta es una excelente guía para comenzar a revisar estas cuestiones:

http://www.microsoft.com/technet/security/tools/msat/default.mspx

Martín Ojeda Knapp
CPM Coordinador Latinoamérica I-SEC
Chile