Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática.

Transcripción

1 Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática. Autor:Jeimy J. CANO (Nota del autor: La palabra Paradigma proviene del griego. En el sentido más general, es el modo en que "vemos" el mundo, no en los términos de nuestro sentido de la vista, sino como percepción, comprensión, interpretación. [COVEY, S. (1996) Los siete hábitos de la gente altamente efectiva. Editorial Paidos. Pág. 28]) Resumen Este documento ofrece una reflexión relacionada con la aplicación y difusión de prácticas como la auditoría de seguridad (AS), la evaluación de seguridad (ES) y las pruebas de penetración (PP), que busca compartir con los auditores, profesionales inquietos y consultores de seguridad, la necesidad de incorporar estas prácticas como herramientas proactivas en la administración de la seguridad informática de las organizaciones modernas. Introducción La actual infraestructura de telecomunicaciones se ha encargado de generar nuevos y novedosos negocios, que han permitido la expansión y generación de mercados antes desconocidos, y un crecimiento sostenido de la utilidades de múltiples compañías en el mundo. En esta medida la información que viaja a través de millones de líneas, se ha convertido en uno de los mayores tesoros de las empresas, y en el motor de conocimiento para reconocer las fluctuaciones del entorno en el cual se encuentran. Por tanto, se hace necesario mantener y desarrollar posiciones y acciones claras y seguras frente a la información estratégica de la compañía: [1] Información acerca de los mercados sensitivos: planes de productos, penetración en segmentos de mercados, identificación de clientes. Información financiera: Estado de pérdidas y ganancias, estado de los proyectos, presupuestos de operación e inversión. Secretos industriales: fórmulas de productos, diseños exclusivos. Procesos de aprovechamiento tecnológico: Relacionado con el cómo la empresa produce y distribuye sus productos o servicios, que por lo general no se encuentran documentados. Información acerca del personal: Contratos, retribución, pagos, seguridad social, seguros. Información de clientes: Productos o servicios que utilizan, estadísticas acerca de sus consumos. Información de productos: Diseños, propuestas, ideas y conceptos. Información facilitada por HELGUERO ASOCIADOS 1

2 Información interna: Memorandos, reportes definitivos, borradores, conversaciones. Información de seguridad: Dispositivos o mecanismos de seguridad utilizados, zonas de máxima seguridad, planes de seguridad. De acuerdo con lo anterior, la organización debe establecer ciertas directrices de seguridad informática [2] que le permitan valorar y proteger de la mejor manera sus activos. Así mismo, basados en esos planteamientos, formular y promover prácticas que soporten y verifiquen los lineamientos formulados en función de la seguridad de la información. Por tal razón, han surgido ejercicios como la auditoría de seguridad (security audit), evaluación de la seguridad (security assessment) y las pruebas de penetración (penetration testing) que nos permiten conocer con cierta profundidad las debilidades y amenazas a las que puede estar sujeta la información crítica de una organización almacenada, creada o transportada por medios electrónicos. Auditoría de Seguridad Informática Una auditoría es un proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional. Tradicionalmente, los auditores limitan el alcance de sus trabajos y no incluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Sin embargo, es posible encontrar auditorías con un mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. El proceso de auditoría generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité, quién reporta a las directivas de la organización o a un ente externo mandado por la ley. [3, pág.69] Por definición, una auditoría tradicional no es lo suficientemente detallada para descubrir los detalles de los problemas de seguridad de la infraestructura de la organización. Generalmente están orientadas por metodologías basadas en listas de chequeo con una forma, contenido y audiencia definidas de acuerdo con la formalidad requerida por la organización. [idem, pág.70] Evaluación de Seguridad Informática La evaluación de seguridad está orientada a establecer mayores detalles técnicos de la seguridad del infraestructura de una organización. Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías. [idem] El proceso de evaluación usualmente se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado por personal de la organización, más que por auditores certificados. La evaluación es considerada un arte, en comparación con el enfoque estructurado que desarrollan los auditores. Al igual que las auditorías, las evaluaciones siempre están limitadas en su alcance. Sin embargo, tienden a ser lo suficientemente flexibles para abarcar detalles de bajo nivel. [idem] La evaluación usualmente se encuentra enfocada a identificar los detalles técnicos de las debilidades de seguridad, que luego conforman las bases para las recomendaciones y correcciones en la infraestructura de la compañía. Los resultados de una evaluación generalmente se presentan en un reporte informal detallado de los hallazgos, al comité ad-hoc como herramienta para las decisiones Información facilitada por HELGUERO ASOCIADOS 2

3 relacionadas con los planes y presupuestos de seguridad en la organización. Dentro de este documento se incluye el análisis de la infraestructura, detalles técnicos de bajo nivel, estrategias utilizadas para el análisis, los hallazgos más significativos identificados y las recomendaciones para efectuar las correcciones necesarias sobre la infraestructura. [idem] Pruebas de penetración Es un ejercicio en cual se encuentran involucrados expertos en tecnología o profesionales certificados en seguridad informática, quienes reportan a un comité ad-hoc seleccionado por la organización, que pretende demostrar que una infraestructura es vulnerable, penetrando en ella a través de ataques controlados desde dentro o fuera de la organización. [idem, pág.71] Se pretende simular las actividades de un hacker, buscando medios para evadir los controles e identificar y aprovechar puntos débiles del perímetro de comunicaciones de la empresa: [4] Conexiones a la red pública - Internet. Sistemas Telefónicos Máquinas de fax, modems o cualquier mecanismo para transmisión de información a través de medios electrónicos. Este tipo de prácticas puede ser formales o informales. Las informales están orientadas por objetivos técnicos de la infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura. Por otro lado, las formales están orientadas a verificar debilidades en las políticas de seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización. [3, pág.71] Generalmente el reporte de una prueba de penetración explica paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones. Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en las configuraciones del hardware para ingresar de manera no autorizada al perímetro de comunicaciones de la empresa. [idem] Porqué y cuándo utilizar alguno de los tres paradigmas? Después de revisar cada una de las prácticas de seguridad expuestas, podemos establecer de manera intuitiva que existen necesidades técnicas, de seguridad y de negocio que promueven la utilización uno u otro tipo de ejercicio. Perspectiva de negocio: Cuando nos asalta la duda sobre la confiabilidad de nuestra infraestructura de comunicaciones, la diligencia en el manejo y administración de la misma, y el debido cuidado para mantener su disponibilidad, integridad y confiabilidad, solicitamos una auditoría de seguridad que nos revise aspectos específicos de la misma, que permita mantener informado a las directivas y entes externos de la preocupación y actividades que se han realizado y evitar pronunciamientos legales que comprometan la imagen de la organización en su entorno de negocio. Perspectiva técnica: La inquietud surge por la necesidad de modernizar y verificar la fortaleza los elementos técnicos de seguridad actualmente instalados, dados los avances tecnológicos que se han identificado en el mercado. Ante esta incertidumbre, se hace necesario desarrollar un ejercicio de evaluación, que nos permita conocer qué tan vulnerable somos con lo que actualmente tenemos, qué fallas a nivel de software y Información facilitada por HELGUERO ASOCIADOS 3

4 hardware se han identificado y concientizar a todo el personal de que existen debilidades y es necesario salvaguardar de la mejor forma los activos de la organización. Perspectiva de seguridad: La pregunta en esta posición, es qué pasaría si alguien quisiera ingresar de manera no autorizada en nuestra infraestructura? Cuestionamiento que responde de manera clara a una prueba de penetración, que permita valorar las seguridades actuales de la empresa, sus debilidades y limitaciones, identificar que tanto estamos preparados y resguardados de intrusos, y cuánto conocemos la infraestructura de comunicaciones. Integración o especialización de los tres paradigmas? Si bien las tres prácticas responden a un último objetivo que es la seguridad informática y cada uno de ellos puede variar en alcance y profundidad, son ejercicios que como se anotaba en la sección anterior, se orientan a necesidades e inquietudes diferentes pero complementarias. Ver Figura 1. De acuerdo con el planteamiento inicial, la información es un activo más de una organización y como tal representa la imagen de la misma en cualquier ámbito de sus negocios. En esa medida, la empresa y todo su personal es responsable del cuidado, uso y distribución de la misma en el marco de todas sus actuaciones, situación que redunda en consecuencias legales que conllevan sanciones y obligaciones ante hechos intencionales o no donde se encuentre comprometido el buen nombre de la compañía. Basados en esta situación general, la corporación debe demostrar la diligencia suficiente y el debido cuidado para mantener programas preventivos y correctivos que generen mayor conciencia, y aseguren actividades continuas con relación a la seguridad de la información. Dichas actividades, al estar enmarcadas dentro de la perspectiva legal y competitiva de la organización, deben formular proyectos que materialicen las inquietudes generales de la empresa alrededor de la información, en la modernización de la infraestructura tecnológica para mantener su confiabilidad, integridad y disponibilidad en el desarrollo de sus funciones de negocio. Por último, y como consecuencia de las actividades de actualización tecnológica, es prudente verificar los mecanismos de seguridad implantados en la infraestructura corporativa, con el propósito de obtener una visión real de sus limitaciones y ventajas, y evitar malos ratos que puedan ocurrir en el futuro. Recuerde que si usted no lo hace, otros lo harán por usted! Como hemos visto a lo largo de esta presentación los tres ejercicios se complementan y giran de manera continua a lo largo de la organización (ver Figura. 1), como una postura de seguridad informática proactiva que impacta la organización desde sus objetivos de negocio hasta la infraestructura técnica. Información facilitada por HELGUERO ASOCIADOS 4

5 Figura 1. Visión Complementaria de tres paradigmas: Evaluación de seguridad, Auditoría de seguridad y Pruebas de penetración. Referencias 1. PARKER, D. (1997) The Strategic Values of Information Security in Business. Computers & Security. Vol.16. No.5. pág CANO, J. (1998) Pautas y Recomendaciones para elaborar políticas de seguridad informática. Banco de la República, Departamento de Control Interno. Documento de Investigación. (Próximo a publicar en la FAQ (Frecuent Asked Questions) de lista de seguridad SEG-L) 3. KAPLAN, R. (1997) Penetration Testing: reward or ruin?. Computer Security Journal. Vol. XIII, No.1. pág HARDY, G. (1997) The relevance of penetration testing to corporate network security. Information Technical Report. Vol 2, No.3. pág Bibliografía BAASE, S. (1997) A gift of fire. Social, Legal and Ethical Issues in Computing. Prentice Hall. BAYUK, J. (1997) Security through process management. Price Waterhouse, LLP. Research Paper. CHAPMAN, B y ZWICKY, E.(1997) Construya Firewalls para Internet. O Really. Edición en Español por McGraw Hill. ICOVE, D., SEGER, K. y VONSTORCH, W (1995) Computer Crime. A crimefighter s Handbook. O reilly & Associates, Inc KNIGHTMARE (1994) Secrets of a Superhacker. Loompanics Unlimited. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems SWANSON et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies. WILSON, M (1996) Marketing and Implementing Computer Security. NIST. Research Paper Información facilitada por HELGUERO ASOCIADOS 5