Seguridad para PyMEs

Transcripción

1 Seguridad para PyMEs Módulo: Prevención de incidentes ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) , fax: (619)

2 2 Índice Gestión de usuarios...3 Autenticación, Autorización y Auditoría (AAA)...3 Gestión de contraseñas...4 Control de acceso...4 Administración de sistemas operativos y aplicaciones...5 Administración de actualizaciones...5 Protección contra software malicioso...6 Prevención...6 Manejo de incidentes...7 Cifrado de información...8 Uso de SSL...8 Correo electrónico Cifrado de información sensible Fuga de información...13 Ejemplos Políticas de manejo de incidentes...14

3 3 Si bien la seguridad incluye controles para detección de ataques y acciones posteriores (desinfección, corrección, restauración, etc.), la prevención de ataques es un componente fundamental. Un ataque prevenido es, desde el punto de vista de la seguridad, la situación ideal y más ventajosa para la organización. Para tal fin existen una serie de medidas a implementar que colaboran en este área: la prevención de ataques antes que estos puedan ser consumados exitosamente por el atacante. Gestión de usuarios La actividad que desarrolla un usuario en la red es variada, y la cantidad de usuarios, según la empresa, puede ser moderada e incluso elevada. Por tales motivos es necesario contar con un esquema de gestión de usuarios centralizado por el Área de Sistemas y en coordinación con el área de Recursos Humanos. Esto puede implementarse en un servidor de dominio, o descentralizarlo individualmente en los equipos de los usuarios. El escenario estándar para una empresa PyME es la configuración de un servidor de dominio, autenticando todos los usuarios contra el mismo; y manteniendo localmente en cada equipo, únicamente una cuenta administrativa protegida por contraseña en posesión de los administradores de red. Autenticación, Autorización y Auditoría (AAA) La gestión de usuarios en la red tiene como objetivo controlar las operaciones que el usuario realice con los recursos informáticos, a fin de garantizar la Disponibilidad, Integridad y Confidencialidad de la información. Las tareas que se deben realizar con los usuarios se resumen en un modelo para el control de acceso de los usuarios denominado AAA (Authentication, Authorization and Accounting en español, Autenticación, Autorización y Auditoría): Autenticación: consiste en identificar al usuario. Por lo general, se utiliza un nombre de usuario y una contraseña para autenticar al usuario en la red. Opcionalmente, se pueden incluir otras medidas como tarjetas de acceso, tokens o dispositivos biométricos. Autorización: una vez identificado el usuario, inicia el proceso de dar acceso al usuario a los recursos que éste tenga permitidos en la red. Auditoría: es el proceso de registrar la actividad del usuario mientras esté autenticado. Esta información puede ser utilizada posteriormente con fines estadísticos o de control.

4 4 En la etapa de autorización es necesario asignar a los usuarios los permisos y privilegios de forma tal que éstos puedan realizar las tareas que competen a su trabajo, y nada más. Cualquier acción que no deba ser requerida por las características de las tareas del usuario, y que pueda ser un potencial riesgo para la seguridad de la información, debe ser desautorizada de acuerdo con los permisos del empleado en los sistemas. Gestión de contraseñas El acceso de los usuarios a los sistemas informáticos está comúnmente protegido por un usuario y una contraseña. Según la cantidad de sistemas y contraseñas diferentes que los usuarios deban utilizar puede ser difícil para estos recordarlas y, por lo tanto, se genera la mala costumbre de utilizar contraseñas débiles, o una misma contraseña para muchos servicios. En cualquiera de los dos casos, se genera un alto riesgo de que dicha debilidad sea explotada por personas con fines maliciosos, para obtener acceso con el perfil de usuario válido en la red. Existen dos medidas para fomentar la utilización de contraseñas fuertes por parte de los usuarios. En primer término, a través de la concientización y educación de los usuarios 1 se debe instruir a los empleados sobre la utilización de contraseñas fuertes 2 y las alternativas de generación de contraseñas a la vez fuertes y a la vez recordables. La segunda opción es utilizar programas gestores de contraseñas, que permiten almacenar muchas entradas con una única contraseña maestra. De esta forma, el usuario sólo debe recordar una única contraseña y las demás son consultadas en el programa. Control de acceso El perímetro de la red debe ser contemplado no solo a nivel tecnológico, sino también a nivel físico 3. El acceso de personas indeseadas a las instalaciones de la empresa es un riesgo y puede comprometer la información y causar pérdidas. 1 Para más información sobre concientización y educación, ver módulo 1 del presente curso. 2 Para más información sobre contraseñas fuertes, 3 Para más información sobre perímetro, ver módulo 2 del presente curso.

5 5 Para controlar el acceso físico a la empresa se contemplarán los mismos principios que en la gestión de usuarios. Se debe contar con personal para autenticar y autorizar el acceso a las instalaciones, identificando a cualquier persona que ingrese, y habilitando el acceso sólo a las zonas permitidas. Según las características de la empresa y el sector a proteger, puede ser personal de seguridad o sólo personal de control. Asimismo, es necesario dejar registro del ingreso y egreso de personal (interno y externo) a fin de poder auditar los movimientos, ante cualquier incidente en la organización. Administración de sistemas operativos y aplicaciones Se denomina hardening al proceso de aplicar configuraciones en un equipo, a fin de disminuir sus vulnerabilidades y, por consiguiente, mejorar su seguridad. La instalación por defecto de cualquier sistema operativo tiene diferentes grados de seguridad según su versión y características pero, por lo general, es posible profundizar las características de seguridad de dicha instalación. De acuerdo con las mejores prácticas y las necesidades de la empresa, se deben configurar tanto los puestos de trabajo como los servidores, para cumplir con el mayor nivel de seguridad que sea posible. Administración de actualizaciones Las actualizaciones de software son un pilar de la seguridad en sistemas operativos y aplicaciones. La aplicación de los parches permite mitigar las vulnerabilidades que sean reportadas y que sean potenciales vías de ataque a la organización. En entornos corporativos con mayoría de equipos con sistemas operativos de Microsoft es recomendable utilizar la herramienta de administración de actualizaciones WSUS (Microsoft Windows Server Update Services en español, Servidor de Servicios de Actualización para Microsoft Windows), que permite administrar, desde un servidor las actualizaciones a instalar, y conectar todos los equipos de la red para que actualicen directamente desde el servidor. Además de proveer actualizaciones para el sistema operativo, se pueden incluir otros productos de Microsoft como Microsoft Office o Microsoft SQL Server 4. De todas formas la administración de actualizaciones contempla no sólo los productos de Microsoft cubiertos por WSUS, sino también infraestructuras bajo otros sistemas operativos y todo tipo de aplicaciones que tengan vulnerabilidades que puedan ser explotadas: Acrobat, Flash, Firefox, etc. Todo 4 Para más información sobre WSUS,

6 6 software utilizado en la organización debe mantenerse al día, con las actualizaciones para la versión que utilice la empresa, y es responsabilidad del Administrador de Red su correcta aplicación. Protección contra software malicioso El malware constituye un riesgo de seguridad para cualquier individuo que haga uso de una computadora. Sin embargo en entornos corporativos los daños producidos por un archivo malicioso pueden causar un alto costo en materia de pérdida o recuperación de información, o demoras en el funcionamiento de la organización. Además, actualmente no es suficiente la protección contra virus, sino también contra nuevas amenazas que constituyen la evolución de los mismos: troyanos, gusanos, spyware, etc. Todos ellos se consideran malware (acrónimo del inglés malicious software en español, software malicioso) y es necesario que una empresa esté protegida contra todo tipo de malware 5. Prevención Ante códigos maliciosos la mejor alternativa a nivel seguridad es prevenir la infección. La diferencia entre prevenir una infección o detectarla y eliminarla es muy grande, específicamente respecto a costos (tanto económicos como de otra índole). Todos los equipos de la red deben contar con las aplicaciones de prevención respectivas: Antivirus para la prevención contra malware. Antispyware para la detección y prevención de spyware y adware. Antispam para denegar el acceso de correo no deseado. Firewall para controlar las conexiones entrantes y salientes de los equipos. Tanto en el antispam como el firewall la empresa puede contar con una solución centralizada perimetral. Sin embargo, es recomendable contar con una segunda capa de protección en las computadoras de los usuarios. Asimismo, cuando la empresa cuente con un número de equipos considerable, es recomendable emplear soluciones de antivirus que incluyan herramientas de gestión corporativas, con gestión y actualización 5 Para más información,

7 7 centralizadas. De esta forma se minimiza el esfuerzo necesario para monitorear el estado de protección en todos los equipos de la red. Cabe destacar que, en la actualidad, todas estas funciones pueden ser cubiertas por un único software 6 como ESET Smart Security o por un conjunto de ellos. Asimismo, para una mejor administración de los programas antivirus, es recomendable en un entorno corporativo contar con herramientas de administración centralizada, como ESET Remote Administrator. Imagen 1 ESET Remote Administration Console Manejo de incidentes Independientemente de las técnicas de prevención, cabe la posibilidad de que algún equipo de la red se infecte de todas formas, tanto por haber salteado las técnicas de prevención (ninguna medida es 100% segura) como por la inexistencia o mala configuración de alguna de ellas. 6

8 8 En el caso que se detecte que un equipo se ha infectado, se deben considerar las siguientes medidas: 1. Determinar las características de la infección. Realmente es un programa dañino lo que afecta al sistema? Qué tipo de malware afecta al sistema (troyano, gusano, spyware, etc.)? Conozco el nombre del malware? Conozco cuáles fueron las acciones realizadas por el código malicioso? 2. Desconectar el equipo de la red. Este paso es recomendable tanto para minimizar la propagación de la infección por la red, como para denegar al equipo el acceso a Internet (gran parte del malware utiliza la conexión a Internet para mantenerse activo en el sistema o para realizar las acciones maliciosas). 3. Modo a prueba de fallos. Reiniciar el equipo y acceder en modo a prueba de errores permite una mejor opción para poder ejecutar las herramientas de seguridad. Es muy común que el malware deniegue la posibilidad de utilizar herramientas de seguridad para la desinfección. 4. Herramientas de seguridad. Utilizar un antivirus con capacidades de detección proactivas y actualizado para comprobar si es posible eliminar la infección. Cifrado de información La información de la empresa es transmitida a través de diferentes soportes de comunicación, tanto internamente (a través de la red LAN) como hacia el exterior (comunicaciones WAN). En cualquiera de los casos es posible que un atacante intente obtener información que no le pertenece, interceptando las comunicaciones que realice el personal de la organización, y así poder obtener información que no está a su alcance. Según sea el medio existen diferentes técnicas para interceptar las comunicaciones, desde capturar paquetes (sniffing) en una red, hasta interceptar correos electrónicos o leer tráfico web (http). Para evitar este tipo de incidentes se deben utilizar técnicas de criptografía. Cifrar un mensaje es la acción de convertir un mensaje legible, en otro ilegible. Uso de SSL El acceso web es una de las tareas más frecuentes en el uso de Internet en la empresa. Asimismo, también es frecuente no sólo el acceso desde la empresa hacia Internet, sino también la exposición de servicios web propios de la organización: sitio web, aplicaciones web de gestión, webmail, etc.

9 9 Cuando una persona accede a un sitio web por el protocolo tradicional (http), la información que se transfiere entre el equipo del usuario (el cliente) y el servidor web es transmitida en texto plano. De esta forma, si el tráfico web es interceptado, un atacante podrá observar la información contenida en la comunicación entre el usuario y el sitio web. En el caso de un sitio web con información pública 7 de la organización, este riesgo puede no ser grave; un atacante podrá observar la descripción de la empresa, el domicilio de la organización u otra información que sea de público conocimiento. Sin embargo cuando se trata de aplicaciones web que contienen información privada y/o confidencial 7, la obtención, por parte de un tercero, de la información transmitida, puede ser un riesgo alto para la organización. En esta categoría se incluyen aplicaciones web (de gestión, CRM, etc.), webmail, o cualquier sitio web que contenga login de usuario y contraseñas. En cualquier de estos casos los sitios web deben ser publicados bajo protocolos que cifren la información traficada, como SSL. SSL (Secure Socket Layer en español, Capa de Conexión Segura) es un protocolo que brinda una conexión cifrada para la comunicación de dos equipos (cliente-servidor) en Internet. Implementar SSL en un servidor web no es una tarea compleja, y brinda una capa de seguridad de alta efectividad. Para configurar el sitio web por SSL es necesario: 1. Comprar el certificado digital. Este trámite puede tramitarse vía web y consiste en adquirir un certificado válido emitido por una entidad autorizada para tal fin Instalar el certificado en el servidor web. El procedimiento de instalación dependerá del servidor web instalado 9. Se recomienda delegar la operación a quien haya instalado el mismo servidor web o el administrador del mismo. 7 Para más información sobre clasificación de la información, ver módulo 2 del presente curso. 8 Algunas autoridades certificadoras: y 9 Instalar SSL en Apache: Instalar SSL en Internet Information Services:

10 10 Una vez instalado el certificado digital, los clientes podrán acceder al sitio web por protocolo seguro SSL (https), la comunicación entre cliente y servidor estará cifrada, y la información no podrá ser legible para un intruso. Imagen 2 Webmail por https

11 11 En la imagen 2 puede observarse (ver recuadros en rojo) 10 : 1. La página web utiliza el protocolo seguro https. 2. El navegador muestra un candado indicando el certificado digital. 3. Haciendo clic en el candado se observa la autoridad certificadora (CA). 4. El botón Ver Certificado permite obtener más información sobre el certificado. Imagen 3 Certificado digital 10 Las imágenes fueron capturadas con Internet Explorer 7. Las mismas opciones son mostradas de forma similar por otros navegadores.

12 12 Correo electrónico La información que viaja a través del correo electrónico puede ser interceptada de la misma forma que a través de otro tipo de servicios, si ésta viaja en texto plano. Aunque aún no es tan frecuente esta práctica, al enviar información confidencial vía correo electrónico, también es posible cifrar el mensaje para evitar que este pueda ser leído en caso de ser interceptado. Para tal fin existen aplicaciones como PGP y GPG. Es posible cifrar mensajes en los clientes de correo más populares (incluso en algunos servicios de webmail) y la configuración difiere según el programa y la versión. Cifrado de información sensible Otra información que puede ser robada está constituida por aquellos archivos que hayan sido almacenados en un dísco duro, tanto en el caso de un acceso indebido al equipo, como por la sustracción completa del mismo. Si un intruso obtuviera un disco duro al que no tiene acceso vía sistema operativo (por no poseer la contraseña) puede colocar el disco rígido en otra computadora y leer los datos allí almacenados. Para evitar esto existen aplicaciones que permiten cifrar la información almacenada en disco 11. Con una contraseña que es ingresada por el usuario al encender el equipo, todos los datos son cifrados al guardarse en el disco duro. De esta forma, cualquier intruso leyendo datos del disco sólo podrá leer información cifrada. La gran mayoría de los sistemas operativos modernos incluyen funciones de cifrado de información. Aunque esta es una buena práctica para cualquier equipo, se recomienda su implementación especialmente en computadoras que almacenen mucha información confidencial, o cuya probabilidad de sustracción sea mayor, como en el caso de las portátiles. Se debe tener en cuenta que el cifrado/descifrado de información se realiza en tiempo real al leer/escribir el disco rígido, por lo que esta acción tiene un alto consumo de CPU. En caso de no contar con equipos cuya performance permita encriptar todo el disco rígido, se puede crear una partición cifrada y colocar allí toda la información de índole confidencial. 11 La aplicación más popular es TrueCrypt (Open Source):

13 13 Fuga de información Se considera fuga de información la adquisición de información confidencial por parte de una persona ajena a la empresa, o integrantes de la organización que no tienen acceso autorizado a dicha información. La fuga de información puede ser maliciosa o no, según las circunstancias en que se ha producido esa fuga. En cualquiera de los casos los riesgos para la organización son importantes, pudiendo causar desde pérdidas económicas moderadas hasta serios problemas financieros a lacompañía. En una empresa PyME, las pérdidas económicas pueden ser más significativas que para otro tipo de organizaciones, y el riesgo de que el negocio se vea afectado por una fuga de información es mayor. Un envío involuntario de un correo electrónico, un empleado vendiendo información a la competencia, o un atacante sniffeando las redes de la empresa son diferentes vías para efectivizar la fuga de información. Las precauciones a tomar no son lineales y dependerán de las características de la empresa y de la criticidad de la información a proteger. Resguardar la confidencialidad de la información y concientizar a los usuarios respecto a los cuidados son las principales herramientas de las que dispone la empresa, para disminuir el riesgo de una fuga de información. Ejemplos El número de empresas que han sufrido este tipo de incidentes es muy grande, y crece día a día. Algunos de los casos más populares de los últimos tiempos sugieren que la fuga de información es un campo a considerar muy seriamente por las empresas. En agosto de 2008, fue subastado en un popular portal una computadora cuyo disco duro contenía información bancaria de 1 millón de personas. El equipo fue subastado por un ex empleado de una empresa proveedora de un banco escocés, que no se preocupó por eliminar la información contenida en el equipo antes de venderlo. En noviembre de 2008 fue robada una laptop con datos personales de casi empleados de una reconocida cadena internacional de cafetería. Luego del incidente la empresa se comprometió a cifrar la información contenida en dispositivos móviles de la empresa. Durante el mismo mes, en 2008, un incidente involuntario involucró al gobierno británico, dado que un empleado de una empresa proveedora del gobierno extravió un pen drive en el estacionamiento de un bar. El mismo contenía información confidencial, como datos de Hacienda o multas. Según el gobierno, la información en el dispositivo estaba cifrada.

14 14 En enero de 2009, un importante sitio de búsqueda de empleo por Internet sufrió el robo de 1,6 millones de datos de usuarios registrados en el sitio. A través de la instalación de un troyano los atacantes lograron obtener credenciales de acceso como empleados de la organización, y así robar información. Posteriormente los atacantes distribuyeron correos electrónicos maliciosos a todos esos usuarios, instalando nuevos troyanos en los equipos de aquellos que accedían al sitio web de los atacantes 12. Políticas de manejo de incidentes La prevención ante incidentes es un componente clave de la seguridad en la empresa. Sin embargo, la probabilidad de ocurrencia de un incidente de seguridad existe, independientemente de las medidas de seguridad aplicadas. Ante la ocurrencia de un incidente, un buen manejo de la situación puede colaborar en minimizar las pérdidas o daños causados por el mismo. Para tal fin la empresa debe contar con una Política de manejo de incidentes que defina las responsabilidades y acciones a tomar ante una ocurrencia. Ante un incidente, se debe contemplar: Controlar el incidente. Aislar el problema de forma tal de detener el daño que se esté causando. Reparar el incidente. Eliminar cualquier factor de riesgo para colocar en producción cualquier servicio afectado en el menor tiempo posible. Analizar auditorías. Estudiar cualquier tipo de registro que se posea para conocer la naturaleza, causas y perjuicios del incidente. Tomar acciones legales o punitivas. Si es posible obtener información referida a las responsabilidades del incidente, la empresa debe tomar las medidas necesarias, tanto a nivel interno como a nivel legal. Tomar acciones correctivas para evitar futuros incidentes. Nótese que el procedimiento es similar al descrito previamente ante un incidente con software malicioso, siendo este último, la generalización a cualquier incidente de seguridad. 12 Anuncio oficial de Monster.com,

15 15 Copyright 2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET, spol. s.r.o. ESET, 2009 Acerca de ESET Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra virus informáticos. El premiado producto antivirus ESET NOD32, asegura el máximo rendimiento de su red, detección mediante Heurística Avanzada, y soporte mundial gratuito. Además, ESET lanzó al mercado su nueva solución unificada ESET Smart Security, la cual incorpora a ESET NOD32 las funcionalidades de Antispam y Firewall Personal. ESET NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos. ESET NOD32 logra más premios Virus Bulletin 100% que ningún otro producto antivirus disponible, detectando consistentemente todos los virus activos (in-the-wild) sin falsos positivos. El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido entrar en el Fast 50 de Deloitte Technology por tres años consecutivos, además de estar entre las 10 empresas de mayor crecimiento en San Diego, de acuerdo al San Diego FAST 100. ESET es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa), Bratislava (Eslovaquia) y Buenos Aires (Argentina). Para más información, visite