Capítulo 13 Declaración de derechos de autor

Transcripción

1 Capítulo 13: Mejores prácticas en la administración de seguridad de la información Alineación de la seguridad de la información con estrategias de negocio Eficiencia operacional Mejores prácticas: defensa en profundidad Mejores prácticas: medidas operacionales específicas Cumplimiento Regulaciones orientadas a la integridad Regulaciones orientadas a la privacidad Mejores prácticas en cumplimiento Flexibilidad y adaptabilidad Políticas y procedimientos de seguridad de la información Evaluación de riesgos Análisis de riesgos Evaluación de vulnerabilidades Política de seguridad Declaración de objetivos Declaración del alcance Componentes de la política Mecanismos de cumplimiento Definiciones, referencias y recursos Organización de seguridad de la información Administración de activos Seguridad de recursos humanos Seguridad física y ambiental Administración de operaciones y comunicaciones Planificación de operaciones Protección contra malware Protección de activos de red Respaldo y recuperación Monitoreo de operaciones Control de acceso Adquisición, implementación y mantenimiento de sistemas de información Administración de incidentes Administración de continuidad Política de cumplimiento Evaluación del estado de la seguridad integrada Monitoreo del estado de la seguridad integrada Establecimiento de puntos de partida Auditoría Integración de información de múltiples sistemas Administración de vulnerabilidades Dispositivos administrados y semiadministrados que van más allá de los servidores de seguridad Administración de soluciones de múltiples puntos Ventajas de las soluciones de múltiples puntos Informe de desafíos con soluciones de múltiples puntos Resumen: Creación de un entorno de seguridad de información adaptable i

2 Declaración de derechos de autor 2007 Realtimepublishers.com, Inc. Todos los derechos reservados. Este sitio contiene material que ha sido creado, desarrollado, o autorizado por, y publicado con el permiso de Realtimepublishers.com, Inc. (los Materiales ). Además, este sitio y todos los Materiales están protegidos por leyes internacionales de derechos de autor y de marcas comerciales. LOS MATERIALES SE PRESENTAN EN EL ESTADO EN QUE SE ENCUENTRAN Y ESTÁN DISPONIBLES SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O TÁCITA, INCLUYENDO, PERO SIN LIMITARSE A, CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN ESPECÍFICO, TÍTULO O DE NO VIOLACIÓN. Los Materiales se encuentran sujetos a cambios sin previo aviso y no representan un compromiso por parte de Realtimepublishers.com, Inc. o los patrocinadores de su sitio Web. En ningún caso, Realtimepublishers.com, Inc. o los patrocinadores de su sitio Web serán responsables por errores u omisiones técnicas o editoriales de los Materiales, incluyendo sin limitación, cualquier daño directo, indirecto, accidental, especial, ejemplar o consiguiente que resulte del uso de cualquier información incluida en los Materiales. Los Materiales (incluyendo sin limitación, textos, imágenes, audio y/o videos) no pueden copiarse, reproducirse, reeditarse, cargarse, publicarse, transmitirse o distribuirse de ningún modo, de manera total o parcial; excepto que una copia se descargue para uso personal y no comercial en la computadora de un solo usuario. En relación con tal uso, no puede modificar ni ocultar ningún derecho de autor u otra notificación de propiedad. Los Materiales pueden incluir marcas comerciales, marcas de servicios y logotipos que son propiedad de terceros. Usted no está autorizado para utilizar estas marcas comerciales, marcas de servicios o logotipos sin el previo consentimiento por escrito de dichos terceros. Realtimepublishers.com y el logotipo de Realtimepublishers están registrados en la Oficina de Patentes y Marcas Comerciales de los EE. UU (US Patent & Trademark Office). Todos los nombres de servicios o productos son propiedad de sus respectivos propietarios. Si tiene alguna pregunta sobre estos términos o si desea más información sobre materiales de licencias de Realtimepublishers.com, comuníquese con nosotros por correo electrónico a info@realtimepublishers.com. ii

3

4 Capítulo 13: Mejores prácticas en la administración de seguridad de la información A lo largo de esta guía sobre administración de seguridad, hemos examinado la amplitud de temas que los profesionales de seguridad de la información enfrentan cuando se trata de la seguridad de la información empresarial. Estos temas varían desde detalles técnicos de virus polimórficos hasta desafíos de negocio al momento de evaluar riesgos. En este capítulo final, nos concentramos en resumir las mejores prácticas en la administración de seguridad de la información. No es importante tratar de formular un esquema unificador general que comprenda todos los aspectos de la administración de seguridad de la información; si fuera posible encontrar un grupo de principios de definición, probablemente sería tan abstracto que tendría poco valor. En cambio, adaptamos un enfoque pragmático y nos enfocamos en áreas clave de administración de seguridad de la información que son esenciales para programas de seguridad bien fundados. Este capítulo examinará cinco tipos de mejores prácticas: Alineación de seguridad de la información y estrategias de negocio Definición e implementación de políticas y procedimientos Evaluación del estado de la seguridad de la información Administración de medidas de seguridad de múltiples puntos Creación de un entorno de seguridad adaptable Algunos lectores se preguntarán sobre temas de seguridad que aparecen muy a menudo en las noticias: troyanos, botnet, keylogger, robo de identidades, violación de bases de datos y otros. Todos estos temas se cubren en este capítulo, al menos de manera implícita; pero como este capítulo debe demostrar, la administración de seguridad de la información requiere más que una reacción ad hoc ante las diez peores amenazas de seguridad enumeradas en las últimas ediciones anuales de revistas comerciales. Sin intención de menospreciar las amenazas, especialmente la creciente sofisticación de los botnet, rootkit y engaños phishing, que son amenazas serias; debemos decir que probablemente no constituyan los problemas más apremiantes que enfrentaremos en el futuro. En pocos años, podríamos enfrentar malware que se moverá fácilmente de los servidores a los smartphone, robo de información desde dispositivos de identificación por radiofrecuencia y delitos cibernéticos organizados que comenzarán a nublar la diferencia entre seguridad de la información y guerra cibernética. Las mejores prácticas en seguridad de la información están diseñadas para proteger información, sistemas y activos relacionados ante una variedad de amenazas, incluyendo aquellas que no se comprenden en su totalidad o que todavía no pueden anticiparse. Esto se realiza minimizando los puntos de ataque potenciales mientras todavía se administra la eficiencia y la utilidad de sus sistemas y procesos. Esto requiere que las prácticas de seguridad respalden las estrategias organizacionales generales. 290

5 Alineación de la seguridad de la información con estrategias de negocio Las decisiones sobre la implementación de medidas de seguridad de la información no pueden realizarse en el vacío y ciertamente no pueden realizarse mediante la simple implementación de una lista ajena de políticas y prácticas. Las prácticas de seguridad deben ser coherentes con los objetivos y las operaciones de negocio y, en particular, deben considerar al menos tres factores: Eficiencia operacional Cumplimiento Flexibilidad y adaptabilidad Al igual que la misma práctica de administración de seguridad, estos factores se extienden a la mayoría de, o a todas, las partes de una organización. Eficiencia operacional La presión competitiva surge a partir de una gran cantidad de factores, desde la globalización y la disminución de barreras comerciales, hasta mejoras en la administración de cadenas de suministros e información. Las organizaciones exitosas responden y se adaptan a estas fuerzas de mercado, y las prácticas de seguridad de la información desempeñan una función importante. Las mejores prácticas en eficiencias operacionales incluyen estrategias de defensa en profundidad y prácticas de seguridad orientadas. Mejores prácticas: defensa en profundidad Las soluciones para la seguridad, que en un primer momento parecen ser un obstáculo para la eficiencia, realmente pueden preservarla. Tome como ejemplo las mejores prácticas de la defensa en profundidad. Las estrategias de defensa en profundidad utilizan muchos de tipos de medidas de seguridad en distintos puntos, dentro de la infraestructura de la información. La suposición subyacente es que cualquier solución simple podría fallar; pero la protección colectiva de medidas múltiples con el uso de técnicas múltiples puede mitigar las vulnerabilidades y limitaciones inherentes. La combinación de soluciones de seguridad puede incluir: Antivirus basados en la red y en el host Servidores de seguridad (firewall) personales y de red Filtrado de contenidos Prevención de intrusos Auditoría Controles de acceso Administración de identidades Administración de informes y administración de seguridad consolidados. 291

6 A simple vista, una lista como ésta puede ser intimidante. Cualquier persona que haya trabajado con aplicaciones de negocio y las haya respaldado entiende la complejidad de estos sistemas y el tiempo y los recursos necesarios para mantenerlas. Cómo se puede mejorar la eficiencia operacional al agregar una gran cantidad de soluciones de seguridad a una lista de aplicaciones? La respuesta se encuentra en la estabilidad brindada por estas medidas. La previsibilidad permite flujos de trabajo eficientes y precisos. Dada la combinación de una creciente dependencia de TI basada en comunicaciones de red confiables y confidenciales con ataques cada vez más sofisticados a estos servicios de comunicación; resulta esencial un marco de seguridad integral para mantener operaciones consistentes y fiables. Mejores prácticas: medidas operacionales específicas Las eficiencias operacionales de las funciones de seguridad pueden mejorarse aún más al considerar: El soporte del servicio de atención al cliente La administración de usuarios El cumplimiento y las auditorías Los flujos de procesos La prevención de amenazas Por ejemplo, un gran porcentaje de llamadas al soporte del servicio de atención al cliente se relaciona con problemas de seguridad, tales como el restablecimiento de contraseñas. Las mejores prácticas en eficiencias operacionales incluyen: Autoservicio para el restablecimiento de contraseñas. Esto puede reducir el costo de los restablecimientos solicitados al servicio de atención al cliente, el cual se estima entre $30 y $60 cada uno. Mantenimiento de programas anti-malware y anti-software espía actualizados y activos. Los software espía, troyanos y keylogger son amenazas tanto para la seguridad como para la productividad. Consolidación de administración de identidades para reducir el tiempo necesario para abastecer y desabastecer usuarios. De todos estos, el cumplimiento y la auditoría son los más importantes con respecto a los objetivos de negocio. Para obtener más información sobre administración de seguridad y eficiencias operacionales, consulte el capítulo 7. Cumplimiento El cumplimiento normativo es una responsabilidad global en la organización, pero varios problemas de implementación se encuentran dentro del área de tecnología de la información. Es esencial que las estrategias de negocio originen esfuerzos de cumplimiento, pero al mismo tiempo, las operaciones de TI con respecto al cumplimiento deben ser integrales y adaptables. La mejor práctica más importante con respecto al cumplimiento es mantener un marco integral de seguridad de la información que cumpla con los requisitos de todas las regulaciones relevantes. Las soluciones basadas en silos que apuntan a una única regulación conducirán 292

7 en última instancia a la réplica de dificultades de administración y esfuerzos, a medida que aumenta la cantidad de silos de cumplimiento. Regulaciones orientadas a la integridad Muchas de las regulaciones más importantes se concentran en preservar la integridad de la información empresarial o en proteger la confidencialidad de la información de individuos. Por ejemplo, algunas de las regulaciones orientadas a la integridad son: Ley Sarbanes-Oxley Ley Gramm-Leach-Bliley Basel II Título 21 del Código de Regulaciones Federales (CFR), Parte 11 Ley sobre el Abuso y Fraude de Computadoras Ley de Firmas Electrónicas en el Comercio Global y Nacional Planificación de continuidad empresarial del Consejo Federal de Examen de Instituciones Financieras (FFIEC) Ley Federal de Administración de la Seguridad de la Información Algunas de estas regulaciones rigen para una amplia gama de agencias gubernamentales y de negocio, tales como la Ley Sarbanes-Oxley que regula empresas que cotizan en bolsa, y la Ley Federal de Administración de la Seguridad de la Información que rige en varios departamentos federales. Otras se encuentran más orientadas a industrias específicas, tales como el Título 21 del CFR Parte 11 que rige para la industria farmacéutica, y las pautas del FFIEC sobre continuidad laboral que rigen para la industria financiera. De manera similar, las regulaciones surgen de una variedad de fuentes. Algunas son leyes nacionales, como la Ley Sarbanes-Oxley que se aplica a empresas de los Estados Unidos, mientras otras, como la Basel II, se establecen mediante organismos internacionales y rigen transacciones en varios países. Las regulaciones de privacidad también son diversas. Regulaciones orientadas a la privacidad Las regulaciones de privacidad han surgido durante la última década en muchos países y a partir de una variedad de instituciones gobernantes. Estas regulaciones son: Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA), de Canadá Ley Federal de Privacidad de Australia Directiva de la Unión Europea (UE) 95/46/EC (directiva de protección de datos de privacidad y comunicaciones electrónicas) Directiva de la UE 2002/58/EC Ley 1386 del Senado de California (SB) De la misma manera que las regulaciones de integridad de la información, estas regulaciones varían desde regulaciones específicas de la industria, como la HIPAA que apunta a la industria de atención médica de los Estados Unidos, hasta aquellas de aplicación 293

8 global, como las directivas de privacidad de Australia, Canadá y la Unión Europea. Esta lista de ejemplos también demuestra que los gobiernos de niveles provinciales o estatales, de niveles nacionales y de niveles transnacionales están estableciendo protecciones de privacidad. Mejores prácticas en cumplimiento Mantener al día la variedad de regulaciones es un desafío. Para minimizar las demandas de personal y sistemas de TI, las agencias gubernamentales y las empresas deben establecer marcos de seguridad que cumplan con los requisitos fundamentales de todas las regulaciones y que se adapten a los requisitos específicos de las regulaciones individuales, según sea necesario. Los componentes mínimos de un marco de cumplimiento integral incluyen: Medidas de seguridad para controlar el acceso a la información, ya sea sobre individuos u operaciones organizacionales Medidas de seguridad de dispositivo de cliente, servidor y red para proteger los dispositivos y las aplicaciones y para prevenir violaciones Prácticas de administración de versiones, administración de cambios y administración de parches Auditorías y monitoreo del estado de la seguridad del sistema Cifrado de información, especialmente cuando la información se transmite o se almacena en dispositivos como computadoras portátiles, PDA y smartphone Capacitación en seguridad Esta lista debe considerarse un punto de inicio para un programa de cumplimiento integral, pero debido a la cantidad de gobiernos y organismos de control industrial que establecen regulaciones, es esencial que cualquier marco de cumplimiento y seguridad mantenga la flexibilidad para adaptarse a nuevos requisitos. Flexibilidad y adaptabilidad Debido a la velocidad constante a la cual cambian las amenazas de seguridad, es muy importante que los marcos de seguridad sean flexibles y adaptables, pero qué significa esto en la práctica? La seguridad flexible no está diseñada para enfrentar un grupo fijo de amenazas. Por ejemplo, el software de antivirus flexible no sólo detecta malware conocido sino que también es lo suficientemente flexible como para detectar variaciones que todavía podrían no tener firmas predefinidas. De manera similar, los sistemas de prevención de intrusos (IPS), que detectan y bloquean formas novedosas de ataque, presentan flexibilidad. La adaptabilidad es un rasgo similar y permite que los profesionales de la seguridad utilicen combinaciones existentes de herramientas para tratar los problemas emergentes. Por ejemplo, los sistemas de control de acceso podrían estar desarrollados para limitar la habilidad del usuario para ejecutar programas y utilizar recursos, pero también podrían utilizarse para registrar intentos de acceso que a su vez son utilizados como parte de un régimen de monitoreo requerido por una nueva regulación gubernamental. Como conclusión, la flexibilidad emerge del diseño de una herramienta; la adaptabilidad es una función de su forma de uso. Las dos son atributos valiosos desde la perspectiva de eficiencia operacional. La eficiencia operacional se basa en la relación entre estrategias de negocio y prácticas de seguridad. Otro grupo de mejores prácticas que sirve para alcanzar las metas de seguridad y los objetivos operacionales son las políticas y los procedimientos bien definidos. 294

9 Políticas y procedimientos de seguridad de la información Los procedimientos y las políticas de seguridad deben apuntar a una amplia variedad de temas, por lo tanto una lista de políticas básicas tiende a ser ad hoc e incoherente. Nuestro enfoque es utilizar el estándar internacionalmente conocido, ISO 17799, como guía para formular políticas. Las áreas más importantes de ISO son: Evaluación de riesgos Política de seguridad Organización de seguridad de la información Administración de activos Seguridad de recursos humanos Seguridad física y ambiental Administración de operaciones y comunicaciones Control de acceso Adquisición, implementación y mantenimiento de sistemas de información Administración de incidentes Administración de continuidad Cumplimiento Es necesario destacar que estas categorías no son mutuamente excluyentes y que podría existir una superposición entre éstas. Algunos de los procedimientos y políticas descritos a continuación podrían pertenecer discutiblemente a otra categoría. El punto no es encontrar algún tipo de verdad existencial en este esquema, sino crear un sistema para organizar lo que puede convertirse rápidamente en una lista interminable y poco eficiente de temas. Utilizar la ISO como punto de partida ayuda a asegurar que se cubran todas las áreas importantes de seguridad de la información. Evaluación de riesgos Dos disciplinas dentro de la evaluación de riesgos son el análisis de riesgos y la evaluación de vulnerabilidades. Análisis de riesgos Las políticas de evaluación de riesgos deben guiar los procedimientos de mitigación y análisis de riesgos de una organización. Específicamente, dichas políticas deben asegurar que: Se identifiquen todos los activos de información Se asignen valores a activos de información Se documenten amenazas contra los activos Se identifiquen las vulnerabilidades en aplicaciones, dispositivos y redes Se aborden evaluaciones cuantitativas y cualitativas de amenazas contra activos Se prioricen los riesgos en relación con su impacto y probabilidad 295

10 Las evaluaciones cuantitativas de riesgos dependen de los valores de activos, las probabilidades de amenazas, la proporción de una pérdida de activo si se materializa una amenaza y otras medidas. No siempre se encuentran disponibles cálculos precisos y exactos de estos parámetros. En tales casos, las técnicas cualitativas, como el acuerdo entre expertos, pueden utilizarse para categorizar impactos y probabilidades en categorías altas, medias y bajas. Evaluación de vulnerabilidades Las evaluaciones de vulnerabilidades exploran aplicaciones, sistemas operativos (SO) y redes para detectar debilidades potenciales que puedan ser explotadas por amenazas. Debe ponerse en vigencia una política que defina: Tipos de evaluaciones de vulnerabilidades para llevar a cabo Frecuencia de las evaluaciones Requisitos de informes Expectativas de mitigar vulnerabilidades Como con otras políticas de seguridad, en general, el objetivo de una política de evaluación de vulnerabilidades no es detallar cómo debe llevarse a cabo la evaluación sino qué se debe evaluar y cómo se deben tratar las conclusiones. Para obtener información actualizada sobre vulnerabilidades, consulte CA Vulnerability Advisor (Asesor de vulnerabilidades de CA), en Para obtener más información sobre evaluación de riesgos y administración de vulnerabilidades, consulte el capítulo 4. Política de seguridad Las estrategias de seguridad se definen dentro de políticas. Ya que esta sección del capítulo está dedicada a los tipos de políticas que deben encontrarse vigentes, es apropiado que uno de los estándares ISO trate sobre las políticas en sí mismas. Aunque los detalles específicos de políticas de seguridad variarán de acuerdo con los requisitos particulares del área de la política, cada política debe incluir varios elementos esenciales: Declaración de objetivos Declaración del alcance Componentes de la política Mecanismos de cumplimiento Definiciones Referencias y recursos 296

11 Declaración de objetivos La declaración de objetivos debe definir claramente los objetivos de la política. Por ejemplo, una política de cifrado inalámbrico incluiría una declaración sobre la necesidad de mantener la confidencialidad de los datos del cliente y de proteger los activos intelectuales de la empresa, así como también otras motivaciones estratégicas para dicha política. Declaración del alcance La sección de alcance identifica lo que establece la política y su influencia. Una política de uso aceptable, por ejemplo, podría aplicarse a empleados, contratistas, consultores, socios de negocio y otras personas a las que se otorga acceso a la infraestructura de información. Componentes de la política Los componentes de la política constituyen el centro de la política. En este punto, los autores definen la estrategia de negocio para tratar un problema de seguridad. En algunos casos, la política podría ser medianamente genérica. Una política de correo electrónico podría establecer que sólo los empleados y otras personas con compromisos contractuales a largo plazo con una empresa contarán con cuentas de correo electrónico, que el correo electrónico se utiliza para propósitos de negocio pero que es aceptable el uso personal ocasional, y que todos los mensajes de correo electrónico son propiedad de la empresa, la cual podrá monitorear el uso del correo electrónico de la forma que considere necesario. Otras políticas, como las políticas de cifrado, podrían profundizar en un mayor nivel de detalles técnicos; por ejemplo, identificar algoritmos de cifrado particulares y la longitud de claves. Mecanismos de cumplimiento La sección de mecanismos de cumplimiento define las opciones disponibles para la empresa o agencia, en caso de que se viole la política. Estas secciones tienden a ser más bien genéricas y enuncian cosas tales como que: Los empleados pueden recibir sanciones disciplinarias, inclusive la finalización del empleo. Pueden revocarse los privilegios para utilizar un servicio, tales como correo electrónico. Los socios de negocio pueden encontrarse sujetos a sanciones financieras. La sección de cumplimiento es el último de los elementos principales de una política; las últimas dos secciones brindan material de respaldo. Definiciones, referencias y recursos La sección de definiciones describe términos técnicos y empresariales. La sección de referencias y recursos es opcional y se utiliza para brindar información previa. Por ejemplo, si una política hace referencia a una regulación particular, la sección de referencias y recursos puede brindar enlaces a información sobre tal regulación. 297

12 Organización de seguridad de la información Se requiere que las estructuras organizacionales formales implementen seguridad de la información. Esto incluye definir roles y responsabilidades dentro de una organización para tratar: El establecimiento de políticas de seguridad La supervisión y coordinación de actividades de seguridad La asignación de responsabilidades específicas a roles dentro de la organización La coordinación de medidas de seguridad con partes externas, tales como socios de negocio El establecimiento de políticas de seguridad es generalmente una responsabilidad ejecutiva de administración, que se lleva a cabo con el asesoramiento técnico de un ejecutivo principal de seguridad u otro profesional de TI de alto nivel. El ejecutivo principal de seguridad o su equivalente debe ser responsable de la supervisión; mientras que las responsabilidades específicas se distribuyen entre gerentes de sistemas, administradores de base de datos, administradores de red y otros profesionales de primera línea. Administración de activos Las políticas de administración de activos tratan la necesidad de compilar y mantener un inventario de activos de información. Esto respalda otras actividades, tales como la administración de riesgos. Los activos se asignan a propietarios que responsables de estos activos pero no necesariamente del mantenimiento diario. Por ejemplo, un director de comercialización podría ser el propietario de una base de datos de comercialización pero un administrador de base de datos podría realizar la administración diaria. Los activos de información deben dividirse en categorías de acuerdo con el nivel de protección que requieren. Los esquemas de clasificación más comunes son: Activos públicos: la información pública podrá divulgarse sin dañar a la organización, sus clientes o a otros integrantes. Activos importantes: la información importante no debe publicarse, pero si esto sucediera, podría provocar un daño menor a una organización. Por ejemplo, si se divulgan cronogramas de proyectos, los competidores podrían contar con ideas adicionales sobre los planes de una organización pero no con información suficiente como para poner en peligro la efectividad de los planes. Activos confidenciales: la información confidencial no puede ser divulgada sin consecuencias adversas significativas para una agencia o empresa; los secretos comerciales son ejemplos de información confidencial. Activos privados: la información privada es información sobre empleados, clientes, pacientes, constituyentes y otras personas, que si se divulgara, afectaría de manera adversa a esos individuos. Otra tarea perteneciente a la administración de activos es establecer políticas de uso aceptable para los activos. 298

13 Seguridad de recursos humanos Las políticas de seguridad de recursos humanos rigen la forma en la que la seguridad se administra durante el ciclo de vida de los empleados, desde la contratación y el empleo hasta la finalización de éste. La seguridad de recursos humanos comienza con el proceso de contratación e incluye el control de antecedentes, el control de referencias y la presentación de información sobre políticas y expectativas a los empleados potenciales. Los empleadores deben solicitar a los empleados que firmen acuerdos de no divulgación y no competencia, antes de otorgar el empleo. Durante el empleo, las organizaciones deben brindar capacitación sobre mejores prácticas de seguridad, informar a los empleados sobre los procedimientos y políticas de seguridad y contar con procesos disciplinarios y de revisiones en vigencia para responder ante violaciones de las políticas. La finalización del empleo puede ser un período difícil y es importante que medidas de seguridad adecuadas se encuentren en vigencia para proteger los activos. Se debe solicitar a los empleados que han finalizado su trabajo en la empresa, que restituyan los activos físicos, tales como computadoras, token de seguridad y otros dispositivos. Se deben revocar los derechos de acceso y se debe bloquear el acceso a las cuentas de usuario. El material confidencial debe devolverse a la organización. Seguridad física y ambiental Históricamente, la seguridad física y la seguridad electrónica han sido responsabilidades diferentes dentro de la mayoría de las organizaciones. Dos factores están cambiando esta relación. Primero, los cambios en tecnologías, tales como redes inalámbricas, actualmente agregan una dimensión física a la seguridad electrónica. Con un equipamiento adecuado y una gran proximidad, un atacante podría acceder a una red inalámbrica y robar información transmitida a través de la red. Segundo, la información de seguridad física, tal como registros de personas que acceden y salen de áreas seguras, está creciendo en volumen. Además, la información de seguridad física puede incrementar la información de la seguridad electrónica para mejorar la seguridad general. Si un director financiero (CFO) ingresa a un área segura de la oficina central y sólo unos minutos después aparece iniciando sesión en el sistema financiero desde una oficina satelital, la información de acceso podría haber sido robada o podría estar ocurriendo una infracción. Tener acceso a información de seguridad electrónica y física puede mejorar la habilidad de detectar y prevenir violaciones como ésta. En general, las políticas físicas y ambientales deben estar definidas para: Proteger activos utilizando información de seguridad física y electrónica Establecer los tipos de controles de acceso físico necesarios para instalaciones particulares Establecer protecciones adecuadas contra desastres naturales Controlar la distribución de equipos móviles Controlar la reutilización y eliminación de equipos Las políticas ambientales y físicas también respaldan la administración de operaciones, la cual es un área diversa y amplia. 299

14 Administración de operaciones y comunicaciones La administración de operaciones y comunicaciones abarca diferentes áreas: Planificación de operaciones Protección contra malware Protección de activos de red Establecimiento de procedimientos de recuperación y respaldo Monitoreo de operaciones Cada una de estas áreas dentro de la administración de operaciones y comunicaciones debe contar con políticas establecidas. Planificación de operaciones La planificación de operaciones es una de las áreas más amplias dentro de la formulación de políticas debido a que incluye muchas tareas clave: Planificación de capacidad Administración de parches Control de cambios Planificación de capacidad La responsabilidad de la planificación de capacidad es poco clara; ningún individuo o grupo puede prever las necesidades a través de medianas operaciones de TI. La planificación de capacidad requiere un conocimiento detallado de estrategias de negocio, rendimiento de aplicaciones, uso actual, además de planes y cronogramas de proyectos. La administración ejecutiva debe establecer políticas que pongan en vigencia un proceso formal de planificación de capacidad para que la información pueda recabarse de todas las partes relevantes de una organización y utilizarse de manera coordinada para establecer una planificación a largo plazo para la infraestructura de la información. Administración de parches Las políticas de administración de parches deben definir las condiciones para aplicar parches. La aplicación de parches es una parte esencial de la administración de seguridad y presenta su propio grupo de desafíos: La interrupción de operaciones para instalar parches Las dependencias entre componentes de aplicaciones que podrían verse afectados por un parche La introducción de fallas imprevistas a través de parches Las políticas de administración de parches deben brindar pautas sobre cuándo (y cuándo no) aplicar parches. Por ejemplo, los parches descritos por los proveedores como cruciales para la seguridad podrían instalarse sin demasiado análisis si la amenaza es importante. Los parches de mantenimiento no relacionados con problemas de seguridad podrían instalarse durante operaciones normales de ciclos de mantenimiento. Las pautas establecidas en las políticas pueden utilizarse para perfeccionar los procedimientos de decisiones para instalar parches. 300

15 Control de cambios El control de cambios es otra área de planificación de operaciones y, de la misma manera que la administración de parches, trata la naturaleza dinámica de la infraestructura de TI. La administración de cambios es un proceso formal para examinar las consecuencias de un cambio y para preparar de manera adecuada todas las partes afectadas. Las políticas de control de cambios establecen consejos de control de cambios y les otorgan la autoridad de aprobar o denegar cambios en la infraestructura. Los detalles y procedimientos de decisión considerados se dejan en manos de los miembros del consejo de control de cambios; el objetivo de esta política es establecer un proceso. Protección contra malware El malware es una amenaza muy conocida. Los tipos de malware y su sofisticación continúan creciendo. Actualmente, los profesionales de TI deben combatir diferentes tipos de malware: Virus Gusanos Troyanos Botnet Rootkit Keylogger Software espía Las políticas de esta área deben especificar los requisitos para el uso de aplicaciones antiespía y antivirus, en la red y a nivel del dispositivo. Las políticas también deben dirigir el desarrollo de procedimientos de corrección. Protección de activos de red Los activos de red están protegidos por una variedad de políticas: Política de red privada virtual (VPN) Política de seguridad inalámbrica Política sobre el router Política sobre el servidor de seguridad Política de prevención de intrusos Política de filtrado de contenidos Política de cifrado La red requiere una variedad de medidas de seguridad. Algunas de ellas, tales como el filtrado de contenidos y los servidores de seguridad, son principalmente defensas de perímetros; bloquean el tráfico no deseado antes de que llegue demasiado lejos dentro de la red. Otras protecciones son dominantes, tales como las políticas de seguridad inalámbrica y cifrado que se aplican al tráfico de la red. La políticas de esta área definen los objetivos de defensa de la red (por ejemplo, preservan la integridad y confidencialidad de la información transmitida a través de la red); así como también 301

16 los principios de alto nivel, tales como todos los puertos de servidores de seguridad que se encuentran bloqueados, a menos que explícitamente necesiten abrirse. Respaldo y recuperación Las políticas de respaldo y recuperación definen los niveles de respaldo requeridos según el tipo de información. Por ejemplo, los datos indispensables pueden requerir replicaciones en tiempo real para asegurar la continuidad de las operaciones, mientras otros datos menos urgentes pueden ser respaldados durante la noche o incluso semanalmente. Las operaciones de recuperación se describen de manera similar en términos de categorías de información. Una política podría describir una recuperación estratificada con recuperaciones indispensables necesarias en un corto período de tiempo (minutos u horas), mientras otras ventanas de recuperación podrían extenderse desde horas a días. No es éste el lugar para definir cómo se cumplen estos objetivos, pero sí para simplemente definirlos y permitir que los profesionales de TI formulen la implementación técnica. Monitoreo de operaciones Las políticas de monitoreo deben definir los parámetros para monitorear sucesos de red, de aplicación y de operación. Específicamente, las políticas deben incluir: La discusión de mantener registros de auditorías para aplicaciones y sistemas operativos El monitoreo de instalaciones físicas La protección de registros contra la manipulación Ésta es otra área de desarrollo de políticas que respalda y, a veces, se superpone con otras. En este caso, el monitoreo de operaciones se superpone con la seguridad ambiental y física. La administración de operaciones y comunicaciones incluye una parte significativa de actividades de TI y respalda una cantidad de otras áreas de la política. Sin operaciones y comunicaciones confiables y establecidas, otras áreas, como los mecanismos de control de acceso, no serían posibles. Control de acceso Las políticas de control de acceso deben tratar los problemas relacionados con el usuario, así como también aquellos relacionados con la tecnología. Como mínimo, las políticas de control de acceso deben tratar: La categorización y etiquetado de información Los procedimientos de control de acceso de usuarios, tales como métodos de autenticación Las políticas de segmentación de red Los controles de acceso del sistema operativo Llos controles de acceso de aplicaciones Los controles de acceso de instalaciones físicas Nuevamente, existe una superposición obvia con otras áreas de la política. Es esencial que los controles de acceso se encuentren alineados con los esquemas de clasificación de información. Por ejemplo, se necesita un mayor control de acceso para proteger información privada y confidencial en relación con la información pública. 302

17 Adquisición, implementación y mantenimiento de sistemas de información Los arquitectos de sistemas y los ingenieros de software han creado ciclos de vida de una aplicación y modelos de sistemas integrales. Las políticas deben definirse para brindar una guía con respecto a la adquisición, implementación y mantenimiento de activos de información, incluyendo la necesidad de una adquisición por etapas basada en: La planificación y recopilación de requisitos El análisis y diseño La implementación Las comprobaciones La activación (administración de versiones) El mantenimiento Los detalles específicos del ciclo de vida y la metodología particular utilizada para el desarrollo de sistemas son menos importantes que contar con una política establecida que respalde y requiera un modelo de implementación controlado y por etapas. Administración de incidentes Las políticas de administración de incidentes deben centrarse en detectar incidentes, informarlos y controlar los daños causados, tanto los daños inmediatos como los de largo plazo. El objetivo principal de las políticas de respuesta ante incidentes es establecer un procedimiento de respuestas y una jerarquía de informes. Los procedimientos establecidos según la administración de incidentes deben incluir: El control de daños mediante el aislamiento de los sistemas afectados La restauración de sistemas funcionales El aprendizaje a partir del incidente La preservación de información forense en caso de procedimientos legales La administración de incidentes puede superponerse en algunos aspectos con la administración de continuidad. Administración de continuidad Las políticas para asegurar continuidad empresarial deben incluir: Requisitos de planificación de continuidad, incluyendo la identificación de eventos que pueden interrumpir las operaciones Establecimiento de planes de continuidad Comprobación y revisión de planes de continuidad El último elemento es uno que se omite fácilmente, pero las comprobaciones y actualizaciones son una parte esencial de las operaciones de continuidad empresarial. 303

18 Política de cumplimiento Las organizaciones pueden contar con amplio criterio con respecto a algunas políticas, tales como el filtrado de contenidos y el bloqueo de URL; si una empresa desea permitir que sus empleados desperdicien su tiempo en sitios de apuestas, así será. Sin embargo, otras políticas se encuentran sujetas a más limitaciones y la auditoría es una de ellas. Las regulaciones, como la Ley Sarbanes-Oxley, exigen controles internos adecuados, lo que a veces se traduce en implementaciones costosas. En términos de mejores prácticas en relación con auditorías, se deben formular políticas de auditoría teniendo en cuenta regulaciones tales como la Ley Sarbanes-Oxley, y como punto de partida, se deben utilizar marcos de administración tales como los Objetivos de control para la información y tecnología relacionada (COBIT). Para obtener más información sobre COBIT, consulte el material de la Asociación para la Auditoría y el Control de Sistemas de Información en Las políticas son partes esenciales de cualquier marco de seguridad de la información. Éstas brindan las bases sobre las cuales se construyen la implementación y administración de las medidas de seguridad de una organización. En esta sección se ha utilizado el estándar ISO como punto de partida para la organización de las políticas. Existen muchos tipos de políticas de seguridad y tratar de desarrollarlas a todas de una sola vez puede ser una posibilidad intimidante. El estándar ISO brinda una visión integral de las principales áreas de seguridad y, por lo tanto, es una buena guía de referencia para establecer políticas de seguridad. Para obtener más información sobre ISO y estándares relacionados, consulte el sitio Web de la Organización Internacional para la Estandarización, específicamente Por supuesto, una vez que estas políticas se encuentren en funcionamiento, existe la práctica de seguridad de la información y una gran cantidad de mejores prácticas relacionadas con la seguridad. Evaluación del estado de la seguridad integrada A lo largo de esta guía, el tema de la defensa en profundidad ha surgido repetidas veces. Aunque la forma más básica de defensa en profundidad utiliza múltiples medidas de seguridad para tratar riesgos, la forma más valiosa también implica una defensa en profundidad integrada. No sólo se implementan varios medios para proteger activos, sino que se configuran y administran de manera tal que funcionen en conjunto. Esta sección examinará algunos aspectos de la administración de seguridad integrada: El monitoreo del estado de la seguridad integrada La administración de vulnerabilidades Los dispositivos administrados y semiadministrados que van más allá de los servidores de seguridad Estos temas no cubren todo el alcance de la seguridad integrada pero juntos brindan una imagen de los problemas involucrados en la evaluación del estado de la seguridad integrada. 304

19 Monitoreo del estado de la seguridad integrada El sello de un sistema de seguridad integrado es la habilidad de recopilar y coordinar datos de múltiples sistemas y utilizarlos para tomar decisiones, cosa que no sería posible sin la integración. Este ideal no siempre se materializa como quisiéramos, pero el proceso de alcanzar el objetivo correcto incluye: El establecimiento de puntos de partida La auditoría La integración de información a partir de múltiples sistemas de seguridad Establecimiento de puntos de partida La toma de decisiones, ya sea sobre estrategias de negocio, administración de operaciones o administración de seguridad, a menudo se basa en cambios marginales. Tome el ejemplo del simple caso de tráfico de red: Si un router experimenta una carga de 10 Gbps, es eso algo que requiere atención? Una aplicación de base de datos responde a 10,000 consultas por minuto, es eso una carga inusual? Un servidor ftp ha recibido 15 Gb en la última hora, es eso inusual? 1200 usuarios han accedido al servidor de correo electrónico en un plazo de 30 minutos, es eso una carga pesada inusual? En cada caso, la pregunta no puede responderse sin contar con algunas medidas iniciales del rendimiento de la red. En el caso del router, la carga podría ser perfectamente normal en una oficina central o podría indicar un ataque DoS en una pequeña oficina satelital. 10,000 consultas por minuto a una base de datos es un número alto, pero puede esperarse esto? Están los desarrolladores llevando a cabo una prueba de esfuerzo? Es la base de datos un servicio de datos internos para un sitio Web de mucho tráfico? De manera similar, parece inusual que un servidor ftp reciba 15 Gb en una hora, pero podría tratarse de una parte de una gran carga de datos a un almacenamiento de datos que ocurre de forma regular. Finalmente, en el caso de los 1200 usuarios del correo electrónico, todo depende. Cuántos usuarios cuentan con acceso al sistema? Ocurre esto a primera hora de la mañana de un día lunes o a mitad de la noche durante un fin de semana? Se requiere que los puntos de partida de cargas esperadas de aplicaciones y redes entiendan las actividades inusuales y planifiquen las tendencias evidentes en el uso de aplicaciones y redes. 305

20 Auditoría Auditoría, es este contexto, hace referencia a la recolección de información sobre eventos de aplicación y sistemas significativos (en oposición a los estudios formales llevados a cabo por auditores para evaluar el estado general de la seguridad de una organización). Los sistemas operativos, los sistemas de bases de datos, las aplicaciones y los dispositivos de red pueden llevar a cabo auditorías. Determinar cuánto detalle recolectar es un acto de equilibrio. En general, se comienza con una cantidad mínima de detalles y se agregan más, según sea necesario. Considere un sistema de auditoría de base de datos. Se podría registrar cada operación de lectura, actualización, eliminación e inserción, así como también operaciones de inicio/cierre de sesión y los cambios en las estructuras de base de datos. Esto puede generar grandes volúmenes de datos que son difíciles de analizar; por ejemplo, los eventos más importantes tales como cambios en las estructuras de bases de datos, fallas de inicio y cambios en las tablas cruciales. Además, se verifican puntos en los cuales se pierde información potencialmente útil. Por ejemplo, si una aplicación combina las conexiones de bases de datos, múltiples usuarios podrían utilizar una única conexión; por lo tanto la actividad en la base de datos no se registra para un usuario específico sino para un recurso compartido. En este caso, podría existir una necesidad de utilizar la auditoría de aplicaciones junto con la auditoría de base de datos. Éste es un ejemplo del problema más general con respecto a integrar información de varios sistemas. Integración de información de múltiples sistemas Con los puntos de partida establecidos, el próximo paso es integrar los datos de seguridad a partir de múltiples sistemas. A menudo, los datos provenientes de un único sistema brindan sólo una imagen parcial de la situación. Por ejemplo, saber que la usuaria Jane Doe ha fallado en su intento de autenticación en el sistema de cuentas por pagar podría ser de poco interés si Jane trabaja en el departamento de cuentas por pagar y ha tipeado incorrectamente su contraseña; sin embargo, si Jane trabaja en comercialización, que se registra en el directorio de protocolo ligero de acceso a directorios (LDAP), el evento podría ser significativo. La integración de la información es difícil y los problemas varían en complejidad. En un extremo del espectro se encuentran los problemas relativamente simples, tales como la sincronización de relojes en servidores y otros dispositivos de red. En el otro extremo se encuentran los desafíos tales como determinar si aumentos aleatorios evidentes en el tráfico de salida de una gran cantidad de PC dentro de la red son verdaderamente aleatorios o son indicativos de un botnet que distribuye spam de maneras que no llamen la atención. En ese caso, es necesario conocer adonde se dirige el tráfico de salida, qué eventos han sido registrados por el software de antivirus en dichas PC y si son vulnerabilidades conocidas, comunes a esos dispositivos. Los sistemas de administración de información sobre seguridad (SIM) pueden tratar estos problemas al recolectar y analizar datos a partir de múltiples fuentes: Sensores de red Servicios de autorización y autenticación Sistemas anti-malware IPS Servidores de aplicación Servicios de administración de vulnerabilidades y activos 306

21 Dispositivos de seguridad y servidores de seguridad Los sistemas SIM son tecnologías emergentes y sin ninguna duda se convertirán en un componente integral para los marcos de seguridad. Estos dispositivos pueden brindar una alerta y un informe coordinados, lo que no es posible con soluciones a un punto único. Para obtener más información sobre SIM, consulte el capítulo 4. Otro aspecto de la evaluación del estado de la seguridad integrada es entender las vulnerabilidades de la infraestructura. Administración de vulnerabilidades Las mejores prácticas en administración de vulnerabilidades se basan en el ciclo de vida de la administración de vulnerabilidades. El proceso comienza con el monitoreo de vulnerabilidades conocidas y la referencia a aquellas con una infraestructura de organización. El monitoreo debe apuntar a la arquitectura de sistemas, configuraciones, aplicaciones, sistemas operativos y configuraciones de hardware. Este tipo de monitoreo puede realizarse mediante investigación ad hoc, monitoreo de redes y monitoreo basado en agentes. Una vez que se identifican las vulnerabilidades, se asocian con activos y se priorizan. Las consideraciones de negocio y técnicas entran en juego al momento de priorizar las vulnerabilidades. Deben considerarse varias preguntas: Qué servicios clave están amenazados? Se encuentran comprometidos los dispositivos y las aplicaciones cruciales? De qué manera se alteran los servicios debido a la aplicación de parches? Según las respuestas a estas preguntas, se establece y se prueba un plan de corrección. Luego de la implementación, deben continuar el monitoreo y los informes. Si desea obtener información detallada sobre administración de vulnerabilidades, consulte el capítulo 3. Las vulnerabilidades del día cero no se adaptan a este modelo porque, por definición, la vulnerabilidad es desconocida para los proveedores y desarrolladores hasta que es explotada. Este tipo de vulnerabilidades es una de las justificaciones más claras para la implementación de estrategias de defensa en profundidad: existen debilidades inherentes en dispositivos y aplicaciones individuales que deben ser compensadas con otros dispositivos y aplicaciones. Actualmente, el estado de la seguridad integrada se extiende más allá de problemas tales como integración de la información y administración de vulnerabilidades para incluir desafíos con dispositivos administrados y semiadministrados utilizados más allá de los servidores de seguridad. 307