Capítulo 12 Declaración de derechos de autor

Transcripción

1 Capítulo 12: Resumen sobre administración de seguridad de la información Administración de seguridad de la información a nivel empresarial Protección de la confidencialidad de la información Clasificación de la información Costo de divulgación de la información Lograr y mantener el cumplimiento de las normas Asegurar la disponibilidad y la eficiencia operacional de las aplicaciones Anticipar oportunidades emergentes Convergencia de seguridad física y electrónica Administración integral de amenazas Rol de la administración de riesgos en la seguridad de la información Identificación de riesgos para los activos de información Determinación del valor de la infraestructura y de la información Cuantificación de riesgos para la infraestructura y la información Expectativa de pérdida simple Expectativa de pérdida anual Mitigación de riesgos Monitoreo y ajuste Evaluación de amenazas y vulnerabilidades Amenazas comunes contra la seguridad informática Malware Ataques a la red Robo y filtraciones de información Vulnerabilidades de seguridad Vulnerabilidades de las aplicaciones Vulnerabilidades de la arquitectura del sistema Políticas y prácticas insuficientes Administración de vulnerabilidades Administración de identidades La necesidad de una administración de identidades Elementos de la administración de identidades Administración de identidades federadas Continuidad del servicio y respuestas ante incidentes Resumen i

2

3 Declaración de derechos de autor 2006 Realtimepublishers.com, Inc. Todos los derechos reservados. Este sitio contiene material que ha sido creado, desarrollado, o autorizado por, y publicado con el permiso de Realtimepublishers.com, Inc. (los Materiales ). Además, este sitio y todos los Materiales están protegidos por leyes internacionales de derechos de autor y de marcas comerciales. LOS MATERIALES SE PRESENTAN EN EL ESTADO EN QUE SE ENCUENTRAN Y ESTÁN DISPONIBLES SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O TÁCITA, INCLUYENDO SIN LIMITACIÓN, CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, DE IDONEIDAD PARA UN FIN ESPECÍFICO, DE TÍTULO O DE NO VIOLACIÓN. Los Materiales se encuentran sujetos a cambios sin previo aviso y no representan un compromiso por parte de Realtimepublishers.com, Inc. o los patrocinadores de su sitio web. En ningún caso, Realtimepublishers.com, Inc. o los patrocinadores de su sitio web serán responsables por errores u omisiones técnicas o editoriales de los Materiales, incluyendo sin limitación, cualquier daño directo, indirecto, accidental, especial, ejemplar o consiguiente que resulte del uso de cualquier información incluida en los Materiales. Los Materiales (incluyendo sin limitación, textos, imágenes, audio y/o videos) no pueden copiarse, reproducirse, reeditarse, cargarse, publicarse, transmitirse o distribuirse de ningún modo, de manera total o parcial; excepto que una copia se descargue para uso personal y no comercial en la computadora de un solo usuario. En relación con tal uso, no puede modificar ni ocultar ningún derecho de autor u otra notificación de propiedad. Los Materiales pueden incluir marcas comerciales, marcas de servicios y logos que son propiedad de terceros. Usted no está autorizado para utilizar estas marcas comerciales, marcas de servicios o logos sin el previo consentimiento por escrito de dichos terceros. Realtimepublishers.com y el logo de Realtimepublishers están registrados en la Oficina de Patentes y Marcas Comerciales de EE. UU. (US Patent & Trademark Office). Todos los nombres de servicios o productos son propiedad de sus respectivos propietarios. Si tiene alguna pregunta sobre estos términos o si desea más información sobre materiales de licencias de Realtimepublishers.com, comuníquese con nosotros por correo electrónico a info@realtimepublishers.com. i

4 Capítulo 12: Resumen sobre administración de seguridad de la información La administración de la seguridad de la información abarca una amplia serie de temas, cada uno de los cuales requiere la combinación de coordinación técnica y organizacional. Los profesionales de la seguridad, los gerentes comerciales y los ejecutivos deben abordar problemas que van desde detalles técnicos específicos (tales como los algoritmos de cifrado que deben usarse para transmitir información privada y confidencial) hasta problemas organizacionales de alto nivel (tales como el cumplimiento de las regulaciones nacionales y transnacionales). A lo largo de esta guía se han examinado en profundidad los elementos de administración de la seguridad de la información teniendo en cuenta la necesidad de integrar múltiples aspectos. Este capítulo en cierto modo es diferente, aquí el objetivo es resumir y relacionar los temas principales que se abordan en esta guía: - Administración de seguridad de la información a nivel empresarial - Rol de la administración de riesgos en la seguridad de la información - Evaluación de amenazas y vulnerabilidades - Problemas en la administración de identidades - Continuidad del servicio y respuestas ante incidentes A partir de la práctica de la administración de seguridad es evidente que estos aspectos están interrelacionados y son interdependientes. Las fallas y deficiencias en una de estas áreas pueden tener consecuencias en otras. El objetivo principal de la administración de seguridad de la información es mantener la confidencialidad y la integridad de la información y la disponibilidad de información y servicios. Administración de seguridad de la información a nivel empresarial No son escasos los métodos, las prácticas, las políticas y las tecnologías que pueden aplicarse en la búsqueda de seguridad de la información. Una pregunta clave a la que se enfrentan todas las empresas, agencias gubernamentales y otras organizaciones que abordan el tema de la seguridad de la información es: cuál de todas las posibles medidas debería aplicarse en la situación actual de la organización? 268

5 Nivel Empresarial Administración de riesgos Continuidad del servicio Políticas y procedimientos Administración de identidades Evaluación de amenazas y vulnerabilidades Gráfico 12.1: La administración de seguridad de la información es una disciplina ampliamente interconectada. La respuesta surge de un análisis a nivel empresarial que considera varios aspectos de los requisitos de la organización, incluyendo la necesidad de: - Proteger la confidencialidad y la integración de la información - Lograr y mantener el cumplimiento de las normas - Asegurar la disponibilidad y la eficiencia operacional de las aplicaciones - Anticipar las oportunidades emergentes en la administración de seguridad de la información y aprovecharlas para mejorar la seguridad y el rendimiento Estos aspectos proporcionan las bases para el análisis de las necesidades organizacionales y la formulación de un plan integral para la administración de seguridad de la información. Protección de la confidencialidad de la información La protección de la confidencialidad de la información a nivel empresarial tiene dos etapas: la clasificación de la información y la evaluación del costo de la divulgación de diferentes clases de información. 269

6 Clasificación de la información Uno de los primeros requisitos en la práctica formal de la seguridad de la información es la clasificación de datos. No todos los datos se crean de la misma forma. Cierta información es altamente confidencial y su divulgación podría tener consecuencias adversas severas para una empresa o gobierno. Por ejemplo: Si por descuido se divulgara el código que implementa un algoritmo de extracción de datos altamente innovador, un competidor podría reducir rápidamente la ventaja competitiva que proporciona el método de análisis del propietario. La divulgación de las negociaciones de fusión entre dos empresas puede interferir con la posición para negociar de una de las partes. La pérdida de información privada de clientes como nombres, direcciones, números de teléfono, números de Seguro Social e información de cuentas bancarias podría resultar en fraudes y sanciones por violación de normas de privacidad, sin mencionar el potencial impacto caótico que tendría sobre el activo neto y la reputación de la marca. La publicación o liberación de otra información podría tener escasa relevancia o ninguna consecuencia adversa. Por ejemplo, la divulgación temprana de un comunicado de prensa sobre la fecha de envío de un producto probablemente proporcione información más precisa sobre un tema que ya es conocido públicamente. Otro tipo de información es más sensible, como los planes de proyectos, informes de estado e informes financieros y no debe ser divulgada públicamente; sin embargo, si lo fuera, esto no tendría un impacto inmediato y significativo en la organización. Con el objetivo de determinar el nivel adecuado de protección que se debe aplicar, generalmente la información de una empresa se divide en las siguientes categorías: - Pública - Importante - Privada - Confidencial La información pública puede divulgarse sin que esto tenga un impacto adverso en la organización. Este tipo de información necesita el nivel más bajo de protección. Desde la perspectiva de la administración de riesgos, esta categoría de información tiene la menor prioridad al momento de designar los recursos de seguridad. La información importante requiere medidas para preservar su confidencialidad, pero también debe tenerse en cuenta la accesibilidad y la facilidad de uso por personal autorizado. Debe haber un equilibrio entre las medidas que se utilizan para mantener la confidencialidad de la información y los métodos para su acceso eficiente. La información privada es la información personal de los empleados, contratistas, consumidores, pacientes y clientes. La divulgación de este tipo de información podría tener un impacto adverso directo sobre la persona cuya información es divulgada, pero también podría exponer a la organización a violaciones de las normas de privacidad. Los datos médicos, los informes financieros y la información personal de los empleados son todos ejemplos de información privada. 270

7 La información confidencial es información sobre una empresa u otra organización que debería ser utilizada sólo dentro de la organización. Esta categoría incluye secretos comerciales, software personalizado, procesos de negocio exclusivos, planes estratégicos y otros datos que pueden otorgarle una ventaja competitiva a una empresa. Información privada Información confidencial Información importante Información pública Gráfico 12.2: La información debe clasificarse para garantizar su confidencialidad mediante medidas adecuadas. Costo de divulgación de la información Una vez que la información ha sido clasificada, la siguiente pregunta es: cuánto debería asignarse para la protección de esta información? Aunque parezca una pregunta sencilla, la respuesta implica otros aspectos de la administración de seguridad de la información a nivel empresarial, incluyendo la necesidad de proteger la integridad de los datos. Los requisitos interrelacionados para proteger tanto de la integridad como la confidencialidad de la información, se abordan mejor con métodos de análisis de riesgos. Las técnicas de análisis de riesgos se describen en una sección posterior de este capítulo llamada Rol de la administración de riesgos en la seguridad de la información y en el capítulo 4. Lograr y mantener el cumplimiento de las normas Actualmente en el ámbito operacional de la empresa, el cumplimiento es tan importante como la competencia. Las empresas no sólo deben planificar de acuerdo con sus objetivos financieros sino que también deben hacerlo dentro de las limitaciones que establecen las regulaciones estatales, nacionales y, en algunos casos, transnacionales. Para las agencias gubernamentales, el cumplimiento de las normas tiene en general una tradición más prolongada; sin embargo, en el área de la administración de seguridad de la información el cumplimiento de las normas ha 271

8 alcanzado nuevas dimensiones con regulaciones como la Ley Federal de Administración de la Seguridad de la Información (FISMA). Las normas han sido creadas para abordar las necesidades de confidencialidad e integridad de la información. Los escándalos corporativos crearon el escenario para aprobación de la Ley Sarbanes-Oxley (SOX). En Estados Unidos, cuando la integridad de las operaciones de las empresas no pudieron protegerse razonablemente con prácticas establecidas, como los principios contables generalmente aceptados o las normas existentes sobre la presentación de informes, el gobierno federal estableció controles más estrictos bajo la Ley SOX. A pesar de que puede haber modificaciones en los detalles de implementación de algunas de las cláusulas de la Ley SOX, las expectativas para la integridad de los datos empresariales permanecerán intactas. Sin controles de seguridad adecuados, una organización no puede proteger la integridad de la información. Las amenazas incluyen: - Cambios accidentales en la información debidos a errores humanos - Alteración intencional de datos para ocultar actividades ilegales o no autorizadas - Pérdida de información debido a protecciones inadecuadas contra riesgos conocidos La confidencialidad y la integridad son dos de los tres pilares de la seguridad de la información. El tercero, la disponibilidad, es también fundamental para la administración de seguridad de la información a nivel empresarial. La Ley SOX es irrefutable? Dentro de la Ley SOX, la Sección 404 incluye reglas que determinan la responsabilidad de la administración para establecer y mantener una estructura de control interna adecuada y procedimientos para informes financieros". Varios años después de la aprobación de la Ley SOX, las normas que controlan los informes financieros pueden ser modificadas. Tanto la prensa de TI como las publicaciones comerciales informan sobre la posibilidad de cambiar los requisitos para la presentación de informes, según la regulación de gobernabilidad corporativa: Alan Greenspan, ex presidente del Consejo de la Reserva Federal, ha criticado mucho la Sección 404 (fuente: ComputerWorlds Alan Greenspan Riffs on Sarbanes-Oxley ). Las publicaciones comerciales de servicios financieros informan que las normas serán menos estrictas, en parte para reducir el número de empresas públicas que cotizan en las bolsas de Londres y Hong Kong en lugar de hacerlo dentro de Estados Unidos (fuente: The TimesOnLine Modifications to relax Sarbanes-Oxley Regulations ). El delegado de la Comisión Nacional del Mercado de Valores (SEC), Paul Atkins, citó encuestas que indican que el costo de implementar la Sección 404 es 20 veces mayor que lo que se esperaba originalmente (fuente: Usinfo.State.Gov s U.S. Securities Official Urges More Leeway in Corporate Audits ). A pesar de que probablemente haya cambios, también es probable que los estándares de gobernabilidad corporativa se hayan elevado debido a los publicitados escándalos corporativos sucedidos hace algunos años. Las normas y la necesidad de cumplirlas no desaparecerán, pero es probable que los detalles de su implementación cambien. Asegurar la disponibilidad y la eficiencia operacional de las aplicaciones La disponibilidad de sistemas es la función de varios factores, entre los que se incluyen - Aplicaciones bien diseñadas y confiables - Planificación de capacidad adecuada 272

9 - Configuración apropiada de las aplicaciones, el sistema operativo (SO), los servicios de red y el hardware - Control y ajustes adecuados para los cambios en la demanda de sistemas - Procedimientos adecuados de control de cambios - Administración efectiva de parches - Controles de acceso adecuados - Medidas suficientes de integridad del sistema, como la prevención de intrusos - Medidas específicas contra las amenazas, como los servidores de seguridad, los filtros de contenido y los dispositivos anti-malware Estas medidas incluyen prácticas tanto de administración operacional tradicional como de administración de seguridad. La administración de seguridad de la información a nivel empresarial incluye las contribuciones de las medidas de seguridad para mantener la disponibilidad del sistema. Aún con planificación de capacidad cuidadosamente ejecutada, metodologías establecidas para el desarrollo de software y configuraciones precisas de aplicaciones y redes, los sistemas pueden volverse inaccesibles o inoperables si no tienen la protección adecuada. Si no se toman las medidas adecuadas, los ataques de denegación de servicio (DoS), por ejemplo, pueden dejar a un servidor imposibilitado para legitimar usuarios. Las interdependencias entre las distintas áreas funcionales de las operaciones de TI, tales como el desarrollo de software, la administración de sistemas y la administración de seguridad, también ofrecen oportunidades potenciales. Anticipar oportunidades emergentes La seguridad de la información es una disciplina compleja que con el tiempo adquiere más complejidad aún. Afortunadamente, esta complejidad da lugar a la posibilidad de combinar lo que fueron operaciones de seguridad unidimensionales en un marco administrativo unificado. Dos ejemplos de esta tendencia son la convergencia de la seguridad física y la electrónica, y el surgimiento de soluciones integrales de administración de amenazas. Convergencia de seguridad física y electrónica La seguridad electrónica depende de la seguridad física. Considere algunas posibilidades. - Si un atacante logra acceder a un dispositivo, éste puede aplicar un keylogger para registrar las pulsaciones escritas en el teclado del dispositivo. - Si un ladrón puede presumir de ser empleado de un servicio de entrega de paquetes, puede acceder a los medios de respaldo que se envían a una instalación externa de almacenamiento de respaldo. - Un atacante que tenga acceso a un estacionamiento o recepción podría acceder a una red inalámbrica corporativa desde la que podría lanzar un ataque o robar información. - Un atacante podría simplemente robar un dispositivo, como por ejemplo una computadora portátil, un asistente digital personal (PDA) o un smartphone del escritorio de un empleado. 273

10 Estos ataques van desde lo técnicamente sofisticado hasta el robo básico, pero todos se hacen posibles por la proximidad física o el acceso físico a los dispositivos de información. Tradicionalmente, la seguridad física y la electrónica han sido administradas en forma separada por buenas razones. Organizacionalmente, la seguridad física y la electrónica requieren recursos, personal y habilidades diferentes. Los sistemas de seguridad para cada una de las dos áreas son ofrecidos por diferentes proveedores, y los mercados de cada área son distintos. Incluso el tipo de información que se maneja con respecto a cada área es esencialmente diferente. Los datos de seguridad física son más generales y relativamente escasos en volumen, como el número de veces en el que los individuos ingresan a un edificio. Mientras tanto, la seguridad digital es más detallada y representa un gran número de transacciones, por ejemplo, el número de veces en el que un dispositivo se utiliza para leer o escribir. A pesar de las diferencias, su administración en conjunto tiene beneficios potenciales. Correlacionar la información de acceso físico y electrónico puede dar como resultado una seguridad más eficaz. Por ejemplo, si un analista financiero acaba de escanear su credencial en una oficina en New York, su cuenta no debería acceder a los sistemas financieros desde un dispositivo ubicado en Londres. Para obtener más información acerca de la integración de la seguridad física y la electrónica consulte el capítulo 11. Otra área en la que se presentan oportunidades es la administración centralizada de medidas contra amenazas. Administración integral de amenazas Las amenazas pueden administrarse en múltiples puntos dentro de una red y con varias herramientas. Las estrategias de defensa en profundidad se basan en la idea de que una medida de seguridad única no puede abordar todas las potenciales amenazas y de que las herramientas por sí mismas son vulnerables a los ataques. Por lo tanto se requieren múltiples medidas de seguridad en diferentes puntos de la infraestructura para mantener una situación de seguridad aceptable. Este enfoque funciona bien, pero tiene una desventaja importante: las medidas de seguridad individuales tienden a funcionar como silos y es difícil coordinar e integrar información de estos sistemas. El objetivo de la administración integral de amenazas es proporcionar un único punto de administración y acceso a la información para múltiples medidas de seguridad, entre las que se incluyen: - Antivirus - Software anti-espía - Filtrado de contenidos - Detección de intrusos - Configuración de dispositivos Al igual que en el caso de la combinación de la seguridad física y la electrónica, la combinación de la información de múltiples sistemas de seguridad puede proporcionar una visión más integral de la seguridad de una red. Todavía hay mucho por hacer en el área de la integración de la 274

11 información, pero los beneficios guiarán esa evolución, particularmente, la promesa de un mejor rendimiento de la inversión (ROI), una administración de seguridad más eficiente y el potencial para un mejor cumplimiento. La administración de seguridad de la información a nivel empresarial se basa en objetivos clave: confidencialidad, integridad y disponibilidad, como así también objetivos competitivos para operaciones de seguridad más eficientes. Para comprender la forma más eficiente de asignar los recursos de seguridad se requiere análisis de riesgos y otras técnicas de administración de riesgos. 275

12 Rol de la administración de riesgos en la seguridad de la información Independientemente de qué tan bien se planifiquen los proyectos, de que el software se desarrolle de acuerdo con metodologías probadas y de que la infraestructura se administre con las mejores prácticas, las cosas pueden salir mal y van a salir mal. Ocurrirán desastres naturales. Los humanos cometerán errores. Las aplicaciones fallarán. Parte de la administración de seguridad de la información es ocuparse de estos riesgos con procesos formales que lleven a la reducción del impacto potencial de los mismos. El proceso de administración de riesgos se divide en cuatro componentes: - Identificación de riesgos para los activos de información - Determinación del valor de la infraestructura y de la información - Cuantificación de riesgos para la infraestructura y la información - Mitigación de dichos riesgos Mediante la examinación de riesgos con este procedimiento básico de análisis de riesgos, una organización puede determinar la forma más apropiada de asignar los recursos de seguridad. Identificación de riesgos para los activos de información El primer paso en el análisis de riesgos es identificarlos. El típico espectro de riesgos que enfrentan los activos de TI es amplio e incluye: - Ataques externos, tales como los de malware y DoS - Violaciones internas de seguridad, tales como el robo de información privada o confidencial llevado a cabo por un empleado - Desastres naturales y otros daños físicos - Fallas de aplicaciones o hardware - Robo de dispositivos - Pérdida de información, tanto intencional como no intencional, y error humano Todos estos riesgos tienen varias características en común. Hay un agente de la amenaza, como por ejemplo un empleado, un atacante o un desastre natural. El agente de la amenaza puede explotar una vulnerabilidad, tal como un defecto en un programa, o la incapacidad de controlar una amenaza, tal como en el caso de un incendio. La explotación de una vulnerabilidad tiene como resultado una pérdida, tal como una infección de malware, la destrucción de un dispositivo o la divulgación de información importante. La comprensión de los tipos de riesgos que uno enfrenta es una de las dos contribuciones a la evaluación cuantitativa de riesgos; la otra es la determinación del valor de la infraestructura y de la información. 276

13 Determinación del valor de la infraestructura y de la información En ocasiones es difícil determinar el valor de la infraestructura y de la información. El valor de ciertos bienes, como el hardware, puede cuantificarse razonablemente bien tomando como base el precio de compra y los cuadros de depreciación. El valor del software personalizado puede determinarse a partir de los costos de desarrollo. En ambos casos, se puede incurrir en costos adicionales si el dispositivo o el software no están disponibles durante extensos períodos de tiempo. El valor de la información confidencial no es necesariamente tan obvio. Por ejemplo, si un plan estratégico cae en manos de un competidor, cómo puede uno calcular el valor del impacto que tiene esa pérdida? Es razonable suponer que si el plan se ejecuta y la competencia tiene conocimiento del mismo, los beneficios potenciales del plan se reducen, pero cuánto? En estos casos, uno debe conformarse con evaluaciones imprecisas y utilizar clasificaciones, tales como costos altos, moderados y bajos. Las sanciones en las que se incurre por violación de las normas también pueden tener costos significativos. Por ejemplo, las normas pueden prever sanciones severas por la divulgación de información privada de clientes o pacientes. Por ejemplo, la HIPAA da lugar a severas sanciones por cada caso de divulgación de información médica protegida. A pesar de que las normas están establecidas, muchas veces hay lugar para la interpretación de profesionales de la seguridad, auditores y funcionarios encargados de su cumplimiento. Intentar estimar la probabilidad de incurrir en sanciones por una violación se dificulta debido a la inconsistencia en la aplicación de ciertas normas, aunque esto podría estar cambiando. Consulte, por ejemplo, el Boletín corporativo de noticias de cumplimiento y normativa HIPAA Gets Teeth, de Jennifer Wilcox, si desea más información acerca de la aplicación de la HIPAA. Cuantificación de riesgos para la infraestructura y la información Una vez que se determina el valor de la información y los activos, y que se identifica las posibles amenazas, el siguiente paso en el proceso de análisis de riesgos es cuantificar el impacto de esos riesgos. Esto requiere el uso de dos fórmulas básicas: - Expectativa de pérdida simple - Expectativa de pérdida anual Expectativa de pérdida simple La fórmula de expectativa de pérdida simple tiene en cuenta el valor de un activo y el valor que éste pierde cuando se expone a un riesgo. Por ejemplo, si un servidor de base de datos de $30,000 se expone a un incendio y sufre daños a causa del humo, es probable que no se pueda recuperar ninguna de las partes y la pérdida sería total. En otros casos en los que parte del activo se recupera (por ejemplo, si un archivo de información se dañara y fuera posible recuperarlo parcialmente) la pérdida estaría limitada a la parte que no se recuperó. El porcentaje de pérdida se conoce como el factor de exposición. La fórmula de expectativa de pérdida simple es: - Valor del activo factor de exposición 277

14 Un mismo activo tendrá múltiples cálculos de expectativa de pérdida simple, uno por cada riesgo. De esta manera, además del riesgo por daños en incendio, el servidor del ejemplo anterior puede también estar sujeto a riesgos por desastres naturales, robo, daños eléctricos y otras amenazas. Expectativa de pérdida anual Al armar un presupuesto, generalmente es útil considerar el impacto de los riesgos en un cierto período de tiempo, como, por ejemplo, un año. La expectativa de pérdida anual es una fórmula para calcular esa medida y consta de dos partes: la tasa de incidencia anual y la expectativa de pérdida simple. La tasa de incidencia anual es la frecuencia estimada de un riesgo para materializarse en un período de un año. La fórmula de expectativa de pérdida anual es: - Tasa de incidencia anual expectativa de pérdida simple Por ejemplo, si se pronostica que un ataque de malware exitoso ocurrirá una vez cada 3 años y la expectativa de pérdida simple se ha calculado en $40,000, la expectativa de pérdida anual se estima en: X $40,000 = $13,200 Cada combinación de riesgo y activo tendrá una expectativa de pérdida anual independiente. Mitigación de riesgos Las medidas cuantificadas de los riesgos, especialmente la expectativa de pérdida anual, proporcionan un límite máximo en el monto que debe gastarse para la protección de un activo. Por ejemplo, si la expectativa de pérdida anual de un ataque de malware es $300,000, no debería gastarse más de esa suma para mitigar el riesgo (suponiendo que no haya daños del activo neto, la reputación u otro activo similar de la marca). En su lugar, los recursos deberían utilizarse para mitigar otros riesgos que disminuirían la exposición general de la organización. Las medidas cuantificadas también proporcionan un medio para establecer la prioridad de cada riesgo basándose en la exposición general. Por ejemplo, el daño causado por un solo incendio puede ser cuantioso, pero las posibilidades de que ocurra son tan bajas que el riesgo general puede ser menor al de otro riesgo con una expectativa de pérdida simple menor pero que tiene más posibilidades de ocurrir. La falta de información puede hacer que la estimación resulte difícil. Si la incidencia de los riesgos no ha sido frecuente, es posible que una organización no tenga información suficiente para estimar factores de exposición o tasas de incidencia anual. En estos casos, pueden utilizarse técnicas no cuantitativas como la opinión consensuada de expertos. Monitoreo y ajuste El último elemento de la administración de riesgos es el monitoreo. Por medio de la evaluación de cálculos hechos en el pasado con información de acontecimientos reales, se pueden ajustar los parámetros de las fórmulas de análisis de riesgos y reordenar las prioridades, según sea necesario. 278

15 Identificar Controlar Establecer prioridades Mitigar Gráfico 12.3: Proceso de administración de riesgos El proceso de administración de riesgos se basa en una completa comprensión de las amenazas y las vulnerabilidades que enfrenta una organización. Evaluación de amenazas y vulnerabilidades Cuando pensamos en seguridad de la información, lo primero que se nos ocurre son amenazas y vulnerabilidades. Las amenazas siguen evolucionando en manos de los escritores de malware y otros atacantes que desarrollan nuevas técnicas para comprometer dispositivos y aplicaciones, y evitar la detección y erradicación por medio de medidas de seguridad. La creciente complejidad de los sistemas mejora la funcionalidad, la confiabilidad, el rendimiento y muchas otras características de sistemas anteriores. Muchas veces estas mejoras traen aparejados nuevos tipos de vulnerabilidades que pueden ser explotadas por aquellos que buscan robar, destruir y desestabilizar. Para obtener más información sobre amenazas y vulnerabilidades, consulte los capítulos 2 y

16 Amenazas comunes contra la seguridad informática Existen amenazas de diferentes tipos: algunas son de naturaleza técnica y tienen como objetivo las vulnerabilidades del software; otras se basan más en factores humanos, como la utilización inapropiada de la infraestructura. Algunas de las amenazas más comunes incluyen: - Malware - Spam y phishing - Ataques a la red - Filtraciones de información - Uso inapropiado de la infraestructura Estas amenazas requieren una combinación de tácticas para ser controladas en forma apropiada, pero las técnicas utilizadas para contrarrestar una amenaza a menudo son beneficiosas para contrarrestar otras amenazas también. Malware El malware y el software espía son tan dominantes que es difícil imaginar conectar un dispositivo a una red sin contar con protección anti-malware. El malware ha evolucionado de una proeza de programación virtualmente inofensiva a una herramienta básica de los delitos cibernéticos. Algunas de las formas más predominantes de malware son: - Los virus y gusanos - Los troyanos, keylogger y software espías - Los botnet - Los rootkit Las técnicas para controlarlos varían y algunos de ellos, en especial los botnet y los rootkit son realmente problemáticos. Virus y gusanos Los virus fueron la primera forma de malware y causaron daños significativos al destruir información e interrumpir operaciones. Los gusanos, que se comportan de manera muy parecida a los virus en cuanto a sus efectos en el host comprometido pero que no requieren de otra aplicación para propagarse, han causado algunas de las interrupciones de servicios más difundidas. El infame gusano SQL Slammer se propagó a grandes secciones de Internet en minutos y causó una difundida negación de servicios. El malware ha ido más allá de la simple destrucción e interrupción para llegar a ataques más sofisticados que tienen como objetivo el robo de información y recursos. Los desarrolladores de malware siguen encontrando nuevas formas de distribuir virus y gusanos. Los virus pueden propagarse por correo electrónico, pero esa técnica ya está razonablemente protegida. Aún así, el malware tiene otros medios de abrirse paso en las computadoras. Por ejemplo, se han encontrado gusanos en archivos de música y video. Parte del problema es que, desde una perspectiva de ingeniería social, los usuarios han aprendido a tener más cuidado con el correo electrónico proveniente de desconocidos. Los grandes proveedores de servicios de internet (ISP) y las organizaciones con sistemas de correo 280

17 electrónico, comúnmente lo filtran para detectar malware. Sin embargo, muchos usuarios todavía confían en los archivos de música y video, lo que los convierte en objetivos ideales para la distribución de malware. Troyanos y keylogger Los troyanos son programas que parecen ser útiles pero que en realidad contienen un código malicioso. Se utilizan para distintos propósitos, incluyendo la recepción de comandos y la ejecución de otros programas. A menudo, se diseñan para capturar información como números de cuenta, nombres de usuario y contraseñas. Los keylogger interceptan mensajes del sistema operativo (SO) para capturar pulsaciones escritas en el teclado. Con el objetivo de evadir los keylogger, algunas aplicaciones utilizan teclados virtuales que permiten al usuario utilizar el mouse sobre la imagen de un teclado y hacer clic sobre los caracteres para ingresarlos. Sin quedarse atrás, los desarrolladores de malware han creado tarjetas de captura, las cuales pueden copiar los contenidos del buffer de video. A veces el código malicioso que compromete a una máquina es en realidad parte de una red mayor de dispositivos comprometidos conocida como botnet. Botnet Los botnet son redes de computadoras que han sido comprometidas por un programa que permite el control y comando remotos. Son esencialmente recursos de computación para la economía clandestina del crimen cibernético. Pueden utilizarse para distribuir spam, lanzar ataques DoS o enviar señuelos de phishing. Tradicionalmente, los botnet han utilizado canales de comunicación de uno a muchos (one-tomany), como el Internet Chat Rely (ICR), pero también funciona con protocolos todavía más simples. El modelo centralizado de la comunicación de los botnet proporcionó un camino para detener los botnet: si el servidor podía cerrarse, el atacante no podría controlar el botnet. Esta técnica podría interrumpir las operaciones, pero la persona que operara el botnet (conocido como "herder ) podía moverse a otro host con el sistema de control. Algunos botnet actualmente utilizan un modelo de red entre pares más distribuido para que pierdan eficacia las medidas en su contra dirigidas a un punto único. Los botnet son, y probablemente sigan siendo, una amenaza importante para la seguridad de la información. Sin embargo, no son la única amenaza significativa. 281

18 Dirección y control centralizados Dirección y control entre pares Gráfico 12.4: Los botnet se han superado, pasando del uso exclusivo de estructuras de comando centralizado a modelos de redes entre pares que no están sujetos a un único punto de falla. Rootkit Los rootkit son programas que esconden su presencia y la de otros programas. No son siempre directamente destructivos, pero pueden evitar que los sistemas de seguridad detecten programas que sí lo son. Los rootkit eliminan el concepto de la base informática confiable. A pesar de que pueda desconfiar de su sistema de correo electrónico y de que las aplicaciones de base de datos puedan estar comprometidas, todavía es necesario que haya una base segura dentro del sistema operativo que siempre funcione como se espera. Por ejemplo, el sistema de prevención de intrusos (IPS) en el host puede configurarse para que controle que no se hayan manipulado ciertos archivos esenciales. Esto puede hacerlo en parte al acudir a la función del sistema operativo (SO) que indica el tamaño del archivo. Si el sistema operativo está comprometido y la función ha sido reemplazada por un código que siempre devuelve un valor falso para el tamaño de los archivos que han sufrido cambios, es posible que el IPS del host nunca detecte que el archivo ha sido manipulado. Los rootkit utilizan otras tácticas como la alteración de las funciones que enumeran los procesos que se están ejecutando en un sistema para que ciertas funciones no aparezcan. Los rootkit son difíciles de descubrir, pero su presencia puede detectarse con herramientas como el Rootkit Revealer de Microsoft. Además de las amenazas de malware, existen amenazas a la infraestructura de la red que deben enfrentarse. Para obtener más información sobre ataques de malware, consulte el capítulo

19 Ataques a la red Los ataques a la red son amenazas que tienen como objetivo la infraestructura de los sistemas informáticos. Dos ejemplos son los ataques DoS y el envenenamiento de sistemas de nombres de dominio (DNS poisoning). Los ataques DoS ocurren cuando un atacante inunda un servidor con más solicitudes de red de las que éste puede manejar. Por ejemplo, un formato simple de ataque parece iniciar sesiones de protocolo de control de transmisión (TCP) con el servidor pero no completa el protocolo de enlace, lo que deja al servidor víctima esperando y reservando recursos de la red hasta que finalmente se vence el tiempo de la sesión. Los router y los IPS pueden detectar algunos ataques de DoS, pero los de gran volumen, especialmente en formato de ataques DoS distribuidos (DDoS) pueden ser difíciles de contrarrestar. El envenenamiento de DNS toma como objetivo la base de datos utilizada para administrar las operaciones en Internet. La idea fundamental es que cuando un nombre de dominio, tal como mybanksite.com, se traduce a una dirección de protocolo de Internet (IP), se devuelve una dirección de IP falsa. Esto envía el tráfico de la víctima a un servidor del atacante que se hace pasar por un servidor legítimo. La infraestructura de la red siempre será víctima probable de ataques, al igual que la información almacenada y transmitida en la infraestructura. Si desea obtener información detallada sobre los ataques a la red, consulte el capítulo 2. Robo y filtraciones de información La información es valiosa y por lo tanto es un blanco del delito cibernético. El robo de información puede producirse de varias maneras, entre las que se incluyen: - El robo de computadoras portátiles y dispositivos móviles - Las fallas en las bases de datos y los sistemas de archivos - La transferencia intencional de documentos e información realizada por un empleado, contratista u otra persona con acceso interno a la información - La divulgación accidental causada por el uso de canales de comunicación inseguros como las comunicaciones inalámbricas no cifradas La información sujeta a robo varía desde los datos financieros personales, tales como los números de cuenta bancaria y de tarjeta de crédito, hasta documentos confidenciales y secretos comerciales. Como en el caso de otras amenazas, el robo y la filtración de información son posibles debido a diversas vulnerabilidades. Vulnerabilidades de seguridad No existe un sólo tipo de vulnerabilidad de seguridad. Éstas pueden encontrarse en varios aspectos de los sistemas de información y de las prácticas de administración, incluyendo: - Vulnerabilidades de las aplicaciones - Vulnerabilidades de la arquitectura de los sistemas políticas y prácticas insuficientes - Insuficiente administración de vulnerabilidades 283

20 Vulnerabilidades de las aplicaciones Las vulnerabilidades de las aplicaciones son condiciones que no permiten que éstas funcionen de manera adecuada en ciertas circunstancias, como, por ejemplo, el manejo inapropiado del rango de entrada; o condiciones que permiten que un atacante realice funciones para las que no está autorizado. Una revisión apresurada de bases de datos de vulnerabilidades mostrará la variedad de aplicaciones con vulnerabilidades conocidas y los tipos de vulnerabilidades que pueden surgir, como, por ejemplo: - Desbordamiento de búfer en numerosas aplicaciones - Vulnerabilidad del explorador que permite la ejecución de JavaScript arbitrario - Aplicaciones que no restringen el acceso anónimo a través de conductos denominados; reproductores de multimedia que manejan de manera inapropiada algunos formatos de archivo - Vulnerabilidades de bases de datos que no hacen cumplir las autorizaciones de seguridad de las tablas - Utilidades de bases de datos que exponen información importante Nuevos tipos de aplicaciones traerán aparejadas nuevas vulnerabilidades. Por ejemplo, los dispositivos móviles pueden ser vulnerables al robo de información si los componentes de la comunicación inalámbrica no están configurados de manera adecuada. Si desea ver una lista de las vulnerabilidades conocidas, consulte recursos públicos como la Base de Datos Nacional de Vulnerabilidades National Vulnerability Database, la Base de Datos de Vulnerabilidades del CERT (CERT Vulnerability Database) y la Base de Datos de Vulnerabilidades de Fuente Abierta (Open Source Vulnerability Database). Vulnerabilidades de la arquitectura del sistema Las vulnerabilidades de la arquitectura del sistema surgen a partir de la debilidad en la forma en que los dispositivos y las redes se utilizan juntos. Considere una red con un perímetro bien delimitado, con servidores de seguridad cerrados para permitir el tráfico sólo en un reducido número de puertos, con proxy de aplicaciones que filtran el tráfico y escanean el tráfico no reconocido a través de protocolos permitidos, y con controles de acceso establecidos en los servidores para proteger la información. Los mecanismos de seguridad clave se encuentran en funcionamiento y sus características se complementan. Sin embargo, pequeños cambios pueden dar lugar a importantes vulnerabilidades, por ejemplo, la adición de soporte para dispositivos móviles y la capacidad para descargar información importante y confidencial a estos dispositivos. La información que estaba protegida por mecanismos de defensa de la red y del servidor se encuentra ahora almacenada en dispositivos que pueden ser extraviados, robados o comprometidos. El uso de redes inalámbricas también presenta vulnerabilidades potenciales. Se sabe que los primeros protocolos de cifrado de las redes inalámbricas son débiles y fáciles de quebrar. A menos que todos los puntos de acceso inalámbricos estén configurados de manera adecuada con un cifrado firme, la red puede verse comprometida. 284

21 Políticas y prácticas insuficientes Las políticas y prácticas insuficientes representan otra área en la que una sola debilidad puede presentar vulnerabilidades importantes. La administración de TI, particularmente la seguridad de la información, requiere un gran número de políticas que cubran el espectro de actividades de TI. Las políticas clave con las que una organización debe contar incluyen: - Política de uso aceptable - Política de cifrado - Política de acceso remoto y uso de dispositivos no administrados - Política de uso y retención de correo electrónico - Política de clasificación de la información - Política de autenticación - Política de seguridad de dispositivo de cliente y servidor - Política de seguridad inalámbrica y dispositivos móviles Las políticas y los procedimientos son necesarios pero no suficientes para mitigar los riesgos de la seguridad de la información. Éstos desempeñan un rol fundamental al definir la estrategia general de una organización para abordar los riesgos de seguridad y, con administración adecuada, para proporcionar una respuesta consistente e integrada ante esos riesgos. Considerando las limitaciones que tienen las organizaciones, los desarrolladores de software y los arquitectos de sistemas, virtualmente no existe la manera de eliminar todas las vulnerabilidades que enfrenta una organización. Por el contrario, el énfasis debe ponerse en la administración de las vulnerabilidades. Administración de vulnerabilidades La administración de vulnerabilidades está estrechamente relacionada con la administración de riesgos. Esta última comienza en un nivel estratégico y determina la combinación óptima de procedimientos y tecnologías para mitigar los riesgos. Uno de esos procedimientos es la administración de vulnerabilidades. El objetivo de la administración de vulnerabilidades tiene tres aspectos: - Identificación de vulnerabilidades - Evaluación del impacto potencial de una vulnerabilidad - Corrección o compensación de la vulnerabilidad Identificación de vulnerabilidades Las vulnerabilidades pueden identificarse de distintos modos. Existen recursos públicos, tales como las bases de datos de vulnerabilidades, que proporcionan listas consolidadas de vulnerabilidades en distintas aplicaciones y plataformas. Los proveedores brindan sus propias alertas de seguridad, como así también lo hacen los proyectos de fuentes abiertas más maduros. Las publicaciones de la industria constituyen también una fuente de información sobre vulnerabilidades de amplio impacto, pero definitivamente no son una fuente integral. Otra forma en la que se conocen las vulnerabilidades es, por supuesto, cuando ocurre un fallo de seguridad. Una vez que se han identificado las vulnerabilidades, el siguiente paso es evaluar su impacto potencial. 285

22 Evaluación del impacto de vulnerabilidades No todas las vulnerabilidades pueden corregirse dentro de un período de tiempo y con un presupuesto que sean razonables. Las opciones se ven limitadas por la disponibilidad de parches para las vulnerabilidades de software, las dependencias dentro de las aplicaciones y en las plataformas, y las implicaciones de la administración de cambios de una corrección. Por ejemplo, un administrador de bases de datos puede descubrir una vulnerabilidad en una función principal de una base de datos, como, por ejemplo, el listener (servicio que recibe las solicitudes para la base de datos). Es posible que no haya un parche para la versión de listener que se está utilizando, y corregir la vulnerabilidad requeriría la actualización del software de la base de datos. Esto puede ser problemático porque una aplicación externa podría requerir la versión actual de la base de datos y la nueva versión de la aplicación todavía no ha sido certificada. Con toda seguridad la aplicación se ejecutaría con la actualización pero el proveedor no respaldaría esa configuración. El desafío está en la decisión de obtener el beneficio de eliminar la vulnerabilidad de la base de datos a cambio del costo de perder el respaldo para una aplicación. Estas situaciones generalmente tienen como resultado el tener que elegir entre opciones poco satisfactorias. Tratamiento de vulnerabilidades Una vez evaluado el impacto de una vulnerabilidad, el siguiente paso es corregirla, compensarla o seguir con ella. Si la vulnerabilidad va a ser corregida, entrarán en juego procesos de administración de cambios y, posiblemente, de desarrollo de software. El parche que corrige la vulnerabilidad debe adquirirse o desarrollarse, probarse y enviarse a producción. Si el parche no existe o tiene un impacto negativo en otros servicios, compensar la vulnerabilidad podría ser la mejor opción. Por ejemplo, si se descubre una vulnerabilidad del día cero en un explorador, se puede utilizar un explorador alternativo. (Esta solución supone que las aplicaciones han sido desarrolladas y probadas con múltiples exploradores.) En otros casos, la mejor opción es limitar la exposición de la vulnerabilidad. Una aplicación a la que se ha accedido desde fuera de un servidor de seguridad puede ubicarse dentro de este servidor, permitiendo sólo el acceso interno a la misma. El resultado sería que los socios que no tengan acceso VPN no podrían acceder a la aplicación pero el sistema aún estaría disponible para el personal interno. La evaluación de amenazas y vulnerabilidades seguirá siendo una tarea fundamental en la administración de seguridad de la información. El alcance de este esfuerzo crecerá a medida que la informática sea cada vez más dominante con mayor incorporación de dispositivos y tecnologías móviles, tales como la identificación por radiofrecuencia (RFID). Si desea ver ejemplos de las vulnerabilidades que puede encontrar con mayor frecuencia, consulte el artículo de Guardian Cracked It! sobre cómo se vio comprometida la información electrónica cifrada en los nuevos pasaportes británicos. Otra tarea fundamental en la seguridad de TI es la administración de identidades. Administración de identidades La administración de identidades es un conjunto de procesos que incluye el establecimiento de registros de identidad para su utilización con servicios de aplicaciones, el mantenimiento de dichos registros, la asociación de información de identidades con mecanismos de control de 286

23 acceso y el establecimiento de relaciones de confianza entre los sistemas de administración de identidades para facilitar la federación de servicios. A los fines de este resumen se explicarán los siguientes aspectos de la administración de identidades: - La necesidad de una administración de identidades - Los elementos de la administración de identidades - Los problemas especiales relacionados con la administración de identidades federadas Para obtener más información sobre administración de identidades y controles de acceso, consulte los capítulos 5 y 6. La necesidad de una administración de identidades Existen dos factores que impulsan la necesidad de un método integral y formal para tratar las identidades. En primer lugar, la diversidad de tipos de usuarios: empleados, contratistas, consultores y socios de negocio que pueden requerir acceso a recursos de TI. Aunque se pueden implementar controles de acceso en sistemas individuales, todos requieren algún tipo de información acerca de la identidad del usuario, como, por ejemplo, el rol de la persona dentro de la organización. En segundo lugar, estos usuarios necesitan acceder a múltiples componentes de la infraestructura de TI. Un mismo usuario puede requerir acceso a un sistema de administración de clientes, a un sistema de administración de documentos, a diferentes servidores de archivos, a un sistema de correo electrónico, a un portal de empleados y a diferentes estaciones de trabajo. Ya no es práctico ni económico administrar identidades en cada uno de estos sistemas. Elementos de la administración de identidades La administración de identidades incluye distintos elementos, entre ellos: - El abastecimiento y la administración de ID - La administración de acceso - La auditoría - La administración de directorio La administración de identidades federadas, que implica el uso de múltiples sistemas de administración de identidades, introduce otras complicaciones que se tratarán luego. El abastecimiento y la administración de ID es el proceso de creación de un registro de identidad para un individuo que luego le permite acceder a ciertos sistemas o recursos (por ejemplo, aplicaciones). Parte del proceso de abastecimiento es determinar el rol del individuo para otorgarle autorizaciones adecuadas. Por ejemplo, un analista financiero en el departamento de auditoría puede recibir autorización para consultar una base de datos de administración financiera, pero no para actualizarla. El ciclo de vida del abastecimiento también implica actualizar la información de identidad cuando el individuo cambia de rol y quitarle el acceso cuando ya no lo necesite. Los controles de acceso determinan lo que puede hacer un usuario basándose en los roles, privilegios y características definidas para esa persona. Los sistemas de control de acceso utilizan la información que se maneja dentro de los sistemas de administración de identidades para 287