Aplicación de la Disciplina de administración de riesgos de seguridad

Transcripción

1 Aplicación de la Disciplina de administración de riesgos de seguridad

2 La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. El cumplimiento de todas las leyes de derechos de autor aplicables es responsabilidad del usuario. Sin limitar los derechos de copyright, ninguna parte de este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Windows Server y Active Directory son marcas comerciales o marcas registradas de Microsoft Corporation en EE.UU. y otros países. Los nombres de las compañías y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios. Los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios. No se pretende indicar, ni debe deducirse, ninguna asociación con compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales.

3 3 Aplicación de la Disciplina de administración de riesgos de seguridad Aplicación de la Disciplina de administración de riesgos de seguridad Descripción del módulo En este módulo se proporciona un ejemplo práctico en el que se demuestra cómo utilizar la Disciplina de administración de riesgos de seguridad (SRMD) para analizar e identificar dichos riesgos. La SRMD (detallada en este módulo, "Comprensión de la Disciplina de administración de riesgos de seguridad" de esta guía) es una metodología comprobada, destinada a identificar y abordar posibles cuestiones de seguridad en una organización. El módulo utiliza una organización ficticia modelo denominada "Contoso Inc.", una compañía dedicada a la investigación de mercado, que cuenta con dos sedes principales y miles de empleados. Se identifican y establecen prioridades en cuanto a los problemas de seguridad que pueda enfrentar esta organización. Objetivos Utilice este módulo para: Identificar posibles amenazas a la seguridad de la tecnología de información (TI) y su factibilidad aproximada. Identificar el valor de los activos, incluido su valor indirecto en caso de daño o infracción. Identificar y establecer prioridades en cuanto a las posibles cuestiones de seguridad en su propia organización por medio de la SRMD. Marco de aplicación Este módulo se aplica a los siguientes productos y tecnologías Toda infraestructura de TI Uso del módulo Se proporciona una guía para ayudarlo a interpretar y aplicar la información de este módulo, "Comprensión de la Disciplina de administración de riesgos de seguridad". Lea el módulo para conocer las generalidades del uso de la SRMD en una organización genérica. Máximo aprovechamiento del módulo: Lea el módulo "Definición del panorama de seguridad de Windows 2000", que es la introducción a la terminología utilizada y los temas que aborda el módulo. Lea el módulo "Comprensión de la Disciplina de administración de riesgos de seguridad" como introducción al análisis de Riesgos de seguridad por medio de la SRMD.

4 4 Aplicación de la Disciplina de administración de riesgos de seguridad Contenido Introducción Generalidades del entorno Identificación de riesgos de seguridad Análisis y priorización de riesgos de seguridad Resumen Información adicional Introducción La Disciplina de administración de riesgos de seguridad (SRMD) es un proceso detallado y útil para determinar las amenazas y vulnerabilidades de mayor impacto potencial en una organización dada. Debido a que cada compañía tiene necesidades comerciales diferentes, es imposible crear una lista de vulnerabilidades que tengan el mismo impacto en cada entorno. Este proceso se describe detalladamente en el módulo "Comprensión de la Disciplina de administración de riesgos de seguridad". El módulo aplica el proceso a un cliente genérico. Se dan algunos detalles de alto nivel referentes al entorno destino, con el objeto de brindar un trasfondo adecuado para el ejemplo práctico. Al concluir el módulo se definen, describen y analizan detalladamente los riesgos específicos debatidos. Generalidades del entorno La solución gira en torno a una compañía de investigación de mercado denominada Contoso, Ltd. Contoso tiene dos oficinas: la sede central ubicada en Atlanta, Georgia, y una segunda oficina en Boston, Massachussets. Contoso es una empresa de cierta envergadura, y tiene miles de empleados que utilizan recursos informáticos. Las ganancias declaradas el año pasado fueron de $2 millones. La infraestructura de la compañía está totalmente actualizada al sistema operativo de servidor Microsoft Windows 2000 pero el desarrollo de sus clientes aún se encuentra en una etapa de transición. Actualmente, la compañía posee una combinación de Microsoft Windows SR2, Microsoft Windows NT Workstation versión 4.0, Windows 2000, y Windows XP. Modelo administrativo Contoso ha segmentado los grupos administrativos de la compañía y ha formado divisiones que se concentran en tecnologías específicas. Existe un grupo de administradores que supervisan todas las administraciones a nivel de dominio, incluida la administración de los controladores de dominio. Existe también un segundo grupo que administra los servicios de infraestructura de la compañía, tal como el Servicio de nombre de Internet para Windows [Windows Internet Name Service (WINS)], el Protocolo de configuración de host dinámico [Dynamic Host Configuration Protocol (DHCP)], y los Sistemas de nombre de dominio [Domain Name Systems [(DNS)], así como los servidores de archivo e impresión en la organización. Además, hay un grupo de servicios Web que maneja la administración de todos los servidores de Servicios de información por Internet [Internet Information Services (IIS)] en el entorno. IIS es el software de servidor Web de Microsoft que utiliza el protocolo de transferencia de hipertexto [Hypertext Transfer Protocol (HTTP)] y el protocolo de transferencia de archivos [File Transfer Protocol (FTP)]. Los grupos administrativos se detallan en la siguiente tabla.

5 5 Aplicación de la Disciplina de administración de riesgos de seguridad Tabla 1: Grupos administrativos de Contoso Nombre del grupo Ingeniería de dominio Responsabilidades Administración de dominio Administración del controlador de dominio DNS Operaciones WINS DHCP Servicios de archivo Servicios de impresión Servicios Web Administración IIS Diseño de infraestructura Diseño de redes Contoso posee dos centros de datos conectados a dos líneas T1. Parte del personal de ingeniería y operaciones de cada oficina tiene a su cargo servicios de infraestructura de redes. Todos los servidores Web están ubicados en el centro principal de datos de Atlanta. Cada sede posee conexiones de 0 megabits por segundo (Mbps) con todos los servidores y de Mbps con todas las estaciones de trabajo de los clientes. Los servidores presentan una subred propia. Los equipos de los clientes se encuentran en una subred aparte. Todos los equipos tienen acceso a Internet a través de la conexión de Atlanta. Diseño de Active Directory Contoso ha implementado un bosque único para Windows 2000 Server con raíz vacía y dominio secundario único. Un dominio raíz vacío es un dominio aparte que alberga sólo las cuentas de equipos correspondientes a los controladores de dominio en ese dominio y las cuentas de usuario predeterminadas. Puede crearse un dominio raíz vacío si se desea obtener dominios secundarios múltiples divididos equitativamente en límites geográficos y administrados por un grupo central. Un dominio raíz vacío no proporciona seguridad adicional alguna, pero puede evitar que los errores no intencionados afecten a todo el bosque al separar los Administradores de la empresa y los administradores de dominio regionales. Contoso creó una raíz vacía porque esperaba expandirse a otros países en el futuro.

6 6 Aplicación de la Disciplina de administración de riesgos de seguridad La ilustración siguiente muestra un diagrama de dominio de alto nivel. Figura 1 Diseño de Active Directory para Contoso, Ltd. Contoso también ha dividido su red en dos Active Directories Microsoft sitios de servicios para directorios Atlanta y Boston. Las funciones de las operaciones maestras únicas flexibles (FSMO) se dividen en estos sitios. Cada sitio posee controladores de dominio Active Directory integrado con DNS, DHCP y servidores de archivo e impresión. Atlanta es la base de los servidores WINS para toda la organización. La mayoría de los servidores IIS de la organización se encuentra en Atlanta; sin embargo, algunos servidores Web de departamentos de menor importancia están en Boston. Actualmente, Contoso se encuentra en proceso de actualización de su red interna. Está migrando a una topología de red a base de conmutadores pero en algunos de los edificios todavía existe una gran cantidad de equipos conectados por concentradores.

7 7 Aplicación de la Disciplina de administración de riesgos de seguridad Figura 2 Diseño de servicio para Contoso Ltd. La ilustración anterior muestra la distribución de servicios a base de servidores en Contoso pero no representa con precisión la cantidad total de servidores dentro de la organización. Necesidades comerciales Tal y como se ha mencionado, Contoso es una compañía dedicada a la investigación de mercado. La investigación de mercado es una actividad que se concentra en el planeamiento y control de la suma de actividades involucradas en el flujo de artículos y servicios de los fabricantes a los consumidores, incluidos el envasado, la fijación de precio, la promoción y distribución física de los productos para satisfacer las necesidades de un mercado en particular. Los investigadores de mercado deben aprender lo máximo posible sobre sus clientes para descubrir las necesidades del mercado. Para facilitarles la tarea, Contoso les ofrece información detallada de sus mercados destino. La mayor parte de la información de mercado de Contoso está alojada en servidores IIS ubicados dentro de la organización. El personal de investigación de mercado utiliza los servidores Web internos para recolectar información detallada de sus clientes. Parte de esta información también se encuentra en recursos compartidos de archivo, pero la información de estos recursos es sólo una porción de la información disponible en los servidores de la intranet. Contoso desea garantizar la seguridad de sus datos internos. La investigación de mercado es un campo muy competitivo y los datos de la compañía representan una ventaja comparativa principal respecto de la competencia. Por ello, la prioridad máxima de la organización es mantener un alto nivel de seguridad de los datos de mercado de la compañía.

8 Aplicación de la Disciplina de administración de riesgos de seguridad Se ha iniciado un proyecto independiente para analizar la seguridad de la conectividad externa de Contoso y de su red perimetral. Estos temas quedan fuera del alcance de este proyecto. Identificación de riesgos de seguridad El primer paso en todo proyecto de seguridad es definir los riesgos de seguridad a debatir. Estos riesgos son una combinación de activos, las amenazas que pudieran afectarlos y las vulnerabilidades de dichos activos que puedan ser explotadas de modo alguno. Una buena analogía de estos tipos de relaciones es una casa. La casa es un activo. Tiene valor y debe ser protegida. Un ladrón representa un agente que amenaza la casa porque tiene el potencial de dañarla o robar elementos. Las ventanas de la casa son necesarias; sin embargo, toda ventana abierta se convierte en una vulnerabilidad porque el ladrón puede usarla para entrar a la casa. Este simple ejemplo muestra cómo un agente amenazante puede explotar una vulnerabilidad para obtener acceso a un activo. El primer paso para garantizar la seguridad total en el entorno de los equipos de una organización es identificar los activos, las amenazas que pudieran afectar el entorno y las vulnerabilidades de los activos identificados. Llevar a cabo este proceso en una organización ayuda a establecer un conjunto de riesgos de seguridad que se pueden analizar y clasificar por orden de prioridad adecuadamente. Identificación de activos Los activos pueden incluir una amplia gama de elementos. Este módulo sólo analiza un subconjunto de activos informáticos. Identificar estos activos puede ser muy simple en algunas organizaciones y muy difícil en otras, según los procesos de obtención y los mecanismos de seguimiento de activos utilizados. Conocer las funciones de los servidores es más importante que conocer la cantidad de servidores implementados en la organización. Por ejemplo, Contoso es una empresa de investigación de mercado que utiliza servidores Web para que sus empleados tengan acceso a datos de mercado. La compañía puede determinar que estos equipos son más importantes que un servidor de impresión. Sin embargo, Contoso también puede determinar que diferentes servidores Web del entorno poseen diferentes niveles de importancia en la estructura general de la organización. Además, los activos no son sólo hardware físico. En un entorno informático, los activos potenciales que deben ser evaluados incluyen servicios tales como los servicios de nombre provistos por un servidor DNS. Los activos también pueden incluir cuentas de usuario tales como cuentas de servicio o de administrador. Priorización de activos Si bien identificar activos es un proceso cualitativo, deben considerarse los beneficios generales de las metas comerciales de la organización al determinar el valor potencial de cada servidor o grupo de servidores. Al hacerlo, se puede definir una prioridad de activo (PA) para cada servidor o grupo de servidores. Entre los principales factores a considerar como parte de este proceso se incluyen: El valor financiero del activo. El coste de construcción del activo. El coste de protección del activo. El valor del activo para la competencia. El coste de recuperación del activo. Puede resultar muy difícil clasificar todos los activos de una organización en la misma escala. Por ello, resulta útil desglosarlos en tecnologías similares y luego clasificarlos. Este enfoque facilita la comparación del valor relativo de diferentes activos utilizando una escala similar en la organización.

9 Aplicación de la Disciplina de administración de riesgos de seguridad Determinación de los valores de los activos Al identificar activos es extremadamente importante determinar el Valor del activo (VA) para cada recurso. El VA es el valor monetario del activo. Al determinar el valor del activo es importante considerar una cantidad de elementos, incluidos el valor físico y el valor comercial de los datos alojados en dicho activo. El valor físico es fácil de calcular. El monto se genera en función de los siguientes costes: Costes de hardware Costes de software Costes de soporte técnico Costes de reemplazo El valor comercial de los datos contenidos en dichos activos puede ser muy difícil de expresar numéricamente. Puede basarse en su contribución a las metas financieras generales de la compañía o en el valor que un individuo o una organización externa pueda darles. Normalmente, este valor es muy debatible pero debería ocasionar un impacto relativo en la pérdida de datos en comparación con datos de activos similares. A menudo, el valor de los datos supera ampliamente el valor del hardware en sí. El valor indirecto del activo puede resultar lo más difícil de cuantificar. Esta cifra debe ser el valor que la compañía puede perder por publicidad negativa, acciones legales o lucro cesante si el activo se extravía o se pone en peligro. Además, este valor puede incluir el coste comercial de reemplazo o reparación por la pérdida del activo. Finalmente, se debe evaluar el valor que una organización externa le da al activo. Al igual que con el valor comercial indirecto, puede resultar difícil de calcular. Esta cifra debe reflejar el valor monetario que un agente externo pagaría por los datos reales contenidos en el activo. El Valor del activo es una suma en dólares que puede utilizarse al computar las expectativas de pérdida para el activo. El VA debe calcularse sumando el valor físico del activo, su valor comercial directo e indirecto y el valor del activo para una organización externa. Tal y como se ha mencionado anteriormente, esta cifra es muy difícil de determinar. EL valor físico de un servidor es sólo una fracción del valor total del equipo. El valor real de un activo dentro de la organización viene dado por su funcionalidad o por los datos que contiene. Lista de activos de Contoso Como parte del proceso de análisis de riesgos de seguridad, todo activo de una organización debe ser identificado y clasificado para proporcionar información a la evaluación general de riesgos de seguridad y un medio para calcular sus valores relativos dentro de la organización. El proceso de análisis de riesgos de seguridad ofrece un método para identificar riesgos y evaluar el daño que podría ocasionarse para justificar la protección de la seguridad. Contoso ha identificado varios grupos de activos que desea debatir en la primera fase del proyecto. Uno de ellos es la infraestructura de Windows Este agrupamiento incluye los controladores de dominio, los servidores de archivo e impresión, los servidores IIS y los servidores de infraestructura. Contoso también ha definido servidores de infraestructura de modo que incluyan específicamente los servicios DNS, DHCP y WINS. Estos servicios fueron clasificados en función de los criterios mencionados anteriormente. Como parte de este proceso, tanto la Ingeniería de dominio como las Operaciones, los servidores Web y los equipos de seguridad extendida, determinaron una prioridad de activo (PA) general para cada grupo de servicios. Para hacerlo, los equipos basaron sus calificaciones en la siguiente escala de 1 a, que puede utilizarse para designar activos clave para la compañía:

10 Aplicación de la Disciplina de administración de riesgos de seguridad 1 El servidor ofrece funcionalidad básica pero no representa un impacto financiero en los negocios. 3 El servidor almacena información importante pero los datos pueden recuperarse rápida y fácilmente. 5 El servidor contiene información importante que llevaría tiempo recuperar. El servidor contiene información importante para las metas comerciales de la compañía. La pérdida de este equipo tendría un gran efecto sobre la productividad de todos los usuarios. El servidor representa un gran impacto en los negocios de la compañía. La pérdida de este equipo ocasionaría una desventaja comparativa. La siguiente tabla ilustra las calificaciones de prioridad del activo otorgadas a algunos de los activos de Contoso. No es una lista completa de activos pero sí una muestra del proceso de calificación general realizado en el entorno Contoso. Tabla 2: Prioridades de activos de Contoso Clasificación de servidores Controladores de dominio raíz Cuentas del Administrador de la empresa Controladores de dominio secundario Cuentas del Administrador de dominio Norteamérica Cuentas del usuario de dominio Norteamérica Servicios DNS raíz Servicios DNS secundario Servidores WINS Servidores DHCP Servidores de archivo e impresión Servidores IIS de investigación Servidores IIS de departamento Servidores IIS de recursos humanos Prioridad de activo (PA) Además, se realizó la valuación de los activos para cada uno de los servidores de la siguiente tabla. Un detalle adicional de estos valores está disponible en la hoja de cálculo de Excel "JA0401.xls", incluida en esta solución. Tabla 3: Valuación de activos de Contoso Clasificación de servidores Valor físico Valor adicional Valor del activo (VA) Controlador de dominio raíz único $1.000 $.000 $2.000 Cuentas del Administrador de la empresa $0 $2 millones $2 millones

11 11 Aplicación de la Disciplina de administración de riesgos de seguridad Clasificación de servidores Valor físico Valor adicional Valor del activo (VA) Controlador de dominio secundario único $1.000 $ $6.000 Cuentas del Administrador de dominio Norteamérica $0 $2 millones $2 millones Cuentas del usuario de dominio Norteamérica $0 $1.000 $1.000 Servicios DNS raíz $1.000 $ $4.000 Servicios DNS secundario $1.000 $ $4.000 Servidor WINS $1.000 $0 $1.000 Servidor DHCP $1.000 $0 $1.000 Servidor de archivo e impresión $ $ $ Servidor IIS de investigación $ $ $ Servidor IIS de departamento $ $ $2.000 Servidor IIS de Recursos Humanos $ $ $ Comprensión de las prioridades y los valores de activos Los activos de una compañía pueden clasificarse de diversas maneras. En esta sección se detallan los criterios utilizados para tomar estas decisiones en el caso de los activos de Contoso. La información siguiente describe las decisiones tomadas en este ámbito en particular. El suyo puede ser muy diferente y se obtendrán diferentes resultados en función de las necesidades y los requerimientos comerciales. Estos valores son muy subjetivos y sólo ofrecen una descripción general del proceso realizado en el entorno Contoso. Controladores de dominio raíz Los controladores de dominio raíz son piezas importantes de la infraestructura; sin embargo, contienen pequeños datos difíciles de recrear. Contoso cuenta con diversos controladores de dominio en su dominio raíz, que ofrecen redundancia en los servicios que prestan. Representan un mínimo beneficio financiero directo a la compañía, pero gozan de un enorme poder. Por ello, se les asignó una prioridad de activo de. Los controladores de dominio raíz contienen poca información de valor financiero fuera de la compañía, pero un error en ellos limitaría la información de los usuarios. Por esta razón, se evaluó la información comercial que contienen en aproximadamente $.000. Conjuntamente con los costes de hardware, el VA total de los controladores de dominio se estima en $ Estas cifras se corresponden con un único controlador de dominio y no con la prioridad de los servicios generales de dominio. Las cuentas de dominio y del administrador de la empresa se evaluaron como recursos propios para calcular los riesgos asociados. Contoso podría haber realizado una evaluación adicional de la prioridad y del valor de los servicios generales de dominio para dar cuenta de cualquier riesgo que pudiera eliminar la funcionalidad del dominio. Esto se consideró no pertinente al alcance de este proyecto.

12 12 Aplicación de la Disciplina de administración de riesgos de seguridad Cuentas del Administrador de la empresa Las cuentas del grupo Administrador de la empresa son las más importantes dentro de la organización. Un administrador de la empresa puede controlar cualquier computadora del bosque. Estas cuentas deben usarse sólo cuando es necesario y deben contar con las máximas medidas de seguridad dentro de la organización. Debido al enorme poder de este grupo, se calificó la prioridad de estos activos con. Perder el control de estas cuentas podría originar un caos para la organización. El valor de las cuentas de este grupo es enorme. Equivale a toda la información almacenada o asegurada en el bosque Windows Por ello, el valor de las cuentas del Administrador de la empresa se estimó equivalente a las ganancias de la organización durante el último año $2 millones. El grupo debe gozar de una protección tal como si el funcionamiento integral de los negocios de la empresa dependiera de su seguridad. Controladores de dominio secundario Los controladores de dominio secundario contienen información clave sobre los usuarios de la organización, incluidas sus contraseñas. Si se perdiera o pusiera en peligro esta información podría generarse un importante impacto en la compañía. Contoso ha dispuesto controladores de dominio múltiples en todas sus sedes, con lo cual reduce el impacto de un error independiente. Gracias a ello, sería más fácil recuperar la pérdida de un controlador de dominio independiente. La combinación de estos factores ayudó a Contoso a calificar a los controladores de dominio secundario con una prioridad de activo de. La información de los controladores de dominio secundario se valuó en $ Esta estimación se basa en la suma que una organización externa pagaría por obtener los números telefónicos y las direcciones de correo electrónico de los usuarios. Conjuntamente con el valor del hardware, el VA de los controladores de dominio secundario se estimó en $ Tal como en el caso de los controladores de dominio raíz, estas cifras no toman en cuenta errores en la cuenta de dominio o la pérdida de todos los servicios de dominio. En cambio, la estimación se concentra solamente en la información y las funciones ofrecidas por un controlador de dominio independiente. Cuentas del Administrador de dominio Norteamérica Contoso posee un dominio secundario denominado "Norteamérica". Este dominio contiene la mayoría de los activos de la compañía, incluidos servidores, información y cuentas. Si bien son menos que las cuentas del grupo Administrador de la empresa, las cuentas del grupo del Administrador de dominio Norteamérica goza de un enorme poder. Debido a que los administradores de dominio tienen total control sobre todos los recursos del dominio, la prioridad de las cuentas de administradores del dominio Norteamérica se calificó con. Si bien el error de una de estas cuentas es levemente más grave que el error de una cuenta del grupo Administrador de la empresa, ambas pondrían en peligro a todos los equipos de la organización. Tal como se mencionó anteriormente, el valor de las cuentas del grupo Administrador de dominio es enorme. Por esta razón, el valor de las cuentas del grupo Administradores del dominio Norteamérica también es equivalente a las ganancias de la empresa durante el último año. Cuentas del Administrador de dominio Norteamérica Las cuentas de Administradores de dominio no son las únicas cuentas de interés dentro de una organización. Si bien las de usuario no representan el mismo poder inmediato que una cuenta de Administrador de dominio, son otro punto de apoyo que un atacante podría utilizar para tomar el control de la organización. La estabilidad e integridad de las cuentas de usuario es una de las principales preocupaciones de Active Directory. Por ello, se calificó la prioridad de las cuentas de usuario con 5. El valor físico de una cuenta de usuario independiente es mínimo. Se requeriría de cierto trabajo administrativo para recuperar la cuenta y se perdería cierta funcionalidad. Sin embargo, éste es uno de los activos de más difícil

13 13 Aplicación de la Disciplina de administración de riesgos de seguridad valoración. El coste necesario para recrear la cuenta y compensar la productividad perdida ayuda a estimar el VA de una cuenta de usuario en aproximadamente $ Servicios DNS raíz Los servidores DNS raíz ofrecen gran funcionalidad pero pueden recrearse muy fácilmente. Los datos contenidos en estos servidores no proporcionarían gran información a terceros y el impacto general de su pérdida sería mínimo. Sin embargo, si alguien infectara los servidores DNS, los usuarios serían redirigidos a otras ubicaciones y perderían el acceso a los recursos que necesitan. Por ello, se les asignó una prioridad de activo de 4. Un servidor DNS puro no contiene información comercial. Sin embargo, se podría ocasionar una pérdida de funcionalidad y productividad si estos servicios fueran alterados de modo alguno. En función del tiempo estimado que llevaría recuperar la funcionalidad y corregir cualquier inconveniente, conjuntamente con una estimación de las pérdidas de productividad, el valor adicional de los servicios DNS se estimó en aproximadamente $ En combinación con el valor del hardware, el VA de los servidores DNS se estimó en $ Tenga en cuenta que los servidores DNS de Contoso funcionan como parte de los controladores de dominio, pero se decidió tratarlos por separado. Servidores DNS secundarios Los servidores DNS secundarios contienen información de todos los servidores, las estaciones de trabajo de clientes y ciertos servicios de red del dominio secundario que podrían ser de interés para terceros. Los servidores no afectan directamente a las ganancias de la compañía pese a que tienen un elevado valor por su capacidad de conservar el buen funcionamiento de la red Contoso. Debido a que la información almacenada en estos servidores puede recrearse fácilmente en servidores DNS, se les asignó una prioridad de activo de 5. Al igual que con los servidores raíz, un servidor DNS puro no contiene información comercial. Sin embargo, podría ocasionarse una pérdida de funcionalidad y productividad si estos servicios fueran alterados en modo alguno. En función del tiempo estimado que llevaría recuperar la funcionalidad y corregir cualquier inconveniente, conjuntamente con una estimación de las pérdidas de productividad, el valor adicional de los servicios DNS del dominio Norteamérica se estimó en aproximadamente $ En combinación con el valor del hardware, el VA de los servidores DNS se estimó en $ Nuevamente, tenga en cuenta que los servidores DNS de Contoso funcionan como parte de los controladores de dominio, pero se decidió tratarlos por separado. Servidores WINS Los servidores WINS contienen información similar a la almacenada en los servidores DNS. Sin embargo, el uso de los servidores WINS está limitado principalmente a las estaciones de clientes más antiguas del entorno Contoso que aún poseen Windows y Windows NT Workstation 4.0. También en este caso y debido a que la información del servidor puede recrearse fácilmente, se les asignó una prioridad de activo de 3. Un servidor WINS no contiene información comercial. La única información contenida en servidores WINS es la información de nombre del servicio básico de entrada y salida de red (NetBIOS) para los hosts del entorno. Toda pérdida de productividad significaría la pérdida de todos los servicios WINS del entorno, pero gracias a la redundancia, el riesgo se mitiga. El VA total de un servidor WINS se estima en $ Tenga en cuenta que no incluye el valor de los servicios WINS de toda la organización, sólo el valor de un servidor WINS independiente. Servidores DHCP Los servidores DHCP contienen poca información de valor para otra organización. Estos servidores pueden recrearse fácilmente y no representan ganancias directas para la compañía. Por ello, se les asignó una prioridad de activo de 1.

14 14 Aplicación de la Disciplina de administración de riesgos de seguridad El servidor DHCP sólo contiene información de los equipos y sus direcciones IP, así como cierta información del ámbito DHCP. Estos servidores no contienen información alguna de valor comercial aunque sí proporcionan funcionalidad comercial. Contoso ha implementado servidores DHCP múltiples en su entorno y ha utilizado la regla 0/20 al crear sus ámbitos DHCP para permitir la pérdida de un servidor DHCP. Gracias a esto se reduce en gran medida el impacto de la pérdida de un servidor independiente. Siendo éste el caso, el VA de un servidor DHCP independiente se estimó en $ Tenga en cuenta que no incluye el valor de los servicios DHCP de toda la organización, sólo el de un servidor DHCP independiente. Servidores de archivo e impresión Los servidores de archivo e impresión contienen gran parte de la propiedad intelectual de la compañía. La pérdida de estos equipos significaría una gran suma de dinero tanto para la compañía como para la competencia. Sería costosísimo recrear la información almacenada en estos servidores. Debido a estos factores, se les asignó una prioridad de activo de. El valor promedio de la información almacenada en cada uno de los servidores de archivo e impresión se estimó en $ por servidor. Esta suma se basa en el valor que dicha información le rinde actualmente a la organización, así como en el coste de generación de la información. Servidores IIS de investigación Los servidores IIS de investigación de Contoso publican la mayoría de los datos de investigación de mercado para los usuarios internos de la compañía. Estos servidores contienen la información que representa la principal ventaja comparativa de la compañía. Por estas razones, los servidores IIS de investigación son clave y se les asignó una prioridad de activo de. Cada servidor IIS de investigación contiene información valuada en $ Esto también se basa en el valor que dicha información le representa actualmente a la organización, como así también en el coste de generación de la información. Además, el valor que una organización externa pagaría por esta información se estimó en aproximadamente $ En combinación con el coste del hardware, esto genera un VA de $ para cada servidor IIS reservado para información de investigación de mercado. Servidores IIS de departamento Los servidores IIS de departamento también contienen información de valor sobre proyectos presentes y futuros de Contoso, pero no almacenan gran cantidad de información con valor comercial neto. Estos servidores se utilizan principalmente como medios de comunicación. Por estas razones, se les asignó una prioridad de activo de 6. El valor promedio de la información almacenada en los servidores IIS de departamento se estimó en $ por servidor. Tal como se mencionó anteriormente, se basa en el valor que la información le representa actualmente a la organización, como así también en el coste de generación de la información. En combinación con los costes de hardware, el VA de los servidores IIS de departamento es $ Servidores IIS de recursos humanos Los servidores IIS de recursos humanos son los servidores cliente para otro sistema de servidores de RR.HH. Estos servidores pueden recrearse fácilmente y no almacenan gran cantidad de información comercial clave. Sin embargo, el desarrollo de estos servidores es costoso por lo que se les asignó una prioridad de activo de 7. El valor de la información comercial almacenada en los servidores IIS se ha determinado en $ Esta información incluye extensos datos personales e información interna de la compañía con dicho valor estimado para una organización externa. Además, se estimó un valor de $ para hacer frente a cualquier acción judicial o publicidad negativa potenciales por la divulgación de esta información. En combinación con el valor del hardware del servidor IIS, el VA de estos activos se estimó en $

15 15 Aplicación de la Disciplina de administración de riesgos de seguridad Identificación de amenazas Luego de identificar y evaluar los activos a tener en cuenta en el proyecto de seguridad de Contoso, se debe determinar las amenazas a debatir para protegerlos. Las amenazas se presentan de diversas maneras y cada una conlleva diferentes riesgos para los activos de la compañía. Existe una cantidad ilimitada de amenazas para los activos dentro de una organización. Se analizan en detalle dichas amenazas en el módulo "Definición del panorama de seguridad de Windows 2000." En resumen, las amenazas pueden dividirse en tres categorías principales: naturales, mecánicas y humanas. Amenazas identificadas en el entorno Contoso Como parte de su proyecto de seguridad de Windows 2000, Contoso decidió considerar sólo ataques maliciosos potenciales. Los procedimientos operativos y las directivas de capacitación de la compañía ayudan a reducir las amenazas por mal uso accidental del entorno del sistema. El diseño físico de la red de Contoso y sus requerimientos de sistema también ayudan a reducir las amenazas mecánicas. Además, Contoso ha desarrollado planes de contingencia bien definidos en caso de un desastre natural. Al reducir la cantidad de amenazas que se debatirán en el proyecto de seguridad se facilita la comprensión total de la superficie de ataque y los límites del proyecto necesarios para establecer las directivas y los procedimientos de seguridad. Sin embargo, establecer estos límites también puede significar que se necesiten proyectos adicionales para hacer frente a todas las amenazas al entorno de la organización. Análisis de riesgos de seguridad determinación de probabilidades de amenazas Determinar las probabilidades de amenazas específicas es muy importante para el proceso general de análisis de riesgos de seguridad. Al crear una valoración de riesgos de seguridad para su organización, estas cifras ayudan a determinar la gravedad de cada riesgo. Contoso definió la probabilidad de amenaza (PAm) como la probabilidad de que se materialice una amenaza. Desarrolló una escala para todas las amenazas de alto nivel y las calificó de 0 a 1,0. De acuerdo con esta escala, una amenaza calificada 0,1 tiene pocas probabilidades de materializarse, mientras que otra calificada 1,0 es de segura materialización, tal lo detallado en la siguiente tabla. Tabla 4: Probabilidades de amenazas de Contoso Amenaza Incendio Inundación Vientos fuertes Terremoto Corte del suministro eléctrico Error de hardware Error de red Usuarios desinformados Código malicioso (virus) Espías industriales Probabilidad 0,05 0,025 0,025 0,001 0,0002 0,1 0,3 0,2 0,1

16 16 Aplicación de la Disciplina de administración de riesgos de seguridad Amenaza s internos s externos Probabilidad 0,4 Las probabilidades correspondientes a atacantes internos y externos se basan en una combinación de los resultados del "Computer Crime and Security Survey" ("Relevamiento sobre delitos y seguridad informática") y las experiencias previas de Contoso durante el último año. Éste es sólo un subconjunto de amenazas que pudieron identificarse, pero ilustra cómo puede confeccionarse una lista en función de la experiencia pasada, las condiciones del entorno, la geografía y la industria de la organización. Evaluación de la seguridad Tal como ocurre en la mayoría de los proyectos de sistemas de información, el mejor modo de programar un proyecto de seguridad es inspeccionar el panorama existente. Se deben revisar las directivas y los procedimientos e investigar el uso de la tecnología en los niveles físico, perimetral, de red, de host, de aplicación y de datos. Existen diversas metas en lo que hace a la evaluación de la seguridad, por lo que se dispone de diversas categorías de acciones a realizar para alcanzarlas. Se incluyen: Evaluación operativa. Pruebas de penetración. Evaluación de vulnerabilidad. Auditoría de detección de intrusos. Ciertos socios de Microsoft ofrecen estos servicios. Para conocer los socios certificados de Microsoft, consulte: Aquí se describen las tres categorías de evaluación de seguridad en mayor detalle. Evaluación operativa La seguridad se inicia con una directiva bien definida. El primer paso para garantizar la seguridad de una organización debe ser una revisión completa de las directivas documentadas de la organización. Una evaluación operativa suele generar una investigación detallada de las directivas y los procedimientos de la compañía. Ciertas evaluaciones operativas pueden extenderse hacia el uso de tecnología de alto nivel. El objetivo de una evaluación operativa es ayudar a identificar el estado actual de la seguridad de la organización y garantizar la disponibilidad de la administración operativa. Además, debe identificar tanto las recomendaciones generales como las específicas que mejoren la disponibilidad de la seguridad y reduzcan el coste total de propiedad (CTP) de la organización. Pruebas de penetración Las pruebas de penetración pueden ayudar a identificar las vías de acceso que un individuo no autorizado puede utilizar para ingresar a la organización. Pueden incluirse: Exploración de recursos externos para identificar blancos potenciales.

17 17 Aplicación de la Disciplina de administración de riesgos de seguridad "War dialing" (técnica de "marcado") para identificar accesos telefónicos no seguros. Un "war dialer" ("marcador de guerra") es una herramienta utilizada por los intrusos para obtener acceso no autorizado a un número telefónico de módem. "War pinging" ("técnica de detonación") para identificar cualquier host disponible exteriormente. Estas máquinas pueden utilizarse para pruebas adicionales. "War driving" ("manejo de guerra"), un concepto relativamente nuevo que representa el proceso de localización de cualquier punto de acceso inalámbrico de una organización. Ingeniería social para localizar personas que pudieran ser engañadas y revelen sus contraseñas o algún tipo de información de seguridad que pueda proporcionar información confidencial accidentalmente. Ingreso al edificio para determinar la sencillez de acceso físico a las instalaciones. Estas pruebas son útiles para incrementar la atención que una organización le presta a las directivas de seguridad. Una de las consideraciones más importantes al realizar una prueba de penetración es solicitar los servicios de una organización externa de conocida reputación. Toda prueba de penetración debe contar con autorización escrita antes de su inicio. En el caso de muchas compañías, acciones no autorizadas como ésta pueden dar pie a la extinción del contrato. Evaluación de vulnerabilidad Una evaluación de vulnerabilidad profundiza la prueba de penetración. En vez de identificar algunas de las posibles rutas de acceso, una evaluación de vulnerabilidad define todos los posibles puntos de entrada a la organización. Dentro de la organización, el equipo responsable del proyecto de seguridad sigue adelante con la evaluación de vulnerabilidad al identificar otras debilidades de activos internos. Este procedimiento suele realizarse por recursos internos con privilegios administrativos en todos los equipos. Una vulnerabilidad es una debilidad de un sistema de información o sus componentes (por ejemplo, procedimientos de seguridad del sistema, diseño de hardware y controles internos) que puede ser utilizada para generar un inconveniente relacionado con la información. En general, las vulnerabilidades se generan a raíz de la configuración actual de un activo. Al modificar la configuración de un activo, se debe repetir la evaluación de seguridad para validar el sistema actualizado y garantizar que sigue siendo seguro. Las vulnerabilidades pueden originarse por debilidades en cualquier punto del modelo de defensa en profundidad. Este modelo ofrece una estrategia para proteger los recursos de amenazas externas e internas. El término defensa en profundidad (también llamado seguridad en profundidad o seguridad multicapa) tiene su origen en un término militar usado para describir el sistema de capas de contramedidas de seguridad destinado a generar un entorno de seguridad cohesivo sin puntos de error. Este modelo incluye hacer frente a problemas con personas, procesos o tecnología y puede identificarse utilizando la estrategia de evaluación. El análisis de vulnerabilidad puede realizarse con herramientas o mediante procesos manuales. Puede utilizarse una exploración automática para identificar cada computadora o componente de la red. Una vez identificados los blancos potenciales, el análisis ejecuta una serie de pruebas para determinar las posibles vulnerabilidades del activo. Los análisis manuales pueden utilizar la información provista por una herramienta de evaluación para obtener información más detallada sobre el blanco. Profundizando aún más, el proceso manual puede identificar áreas de debilidad no percibidas en el proceso automático. Auditoría de detección de intrusos Una auditoría de detección de intrusos suele combinar los resultados de varias de las demás pruebas y confirmar que las herramientas de detección de intrusos de una organización funcionan tal cual lo esperado. La agencia

18 1 Aplicación de la Disciplina de administración de riesgos de seguridad que realiza la auditoría de detección de intrusos utilizará la información de la evaluación operativa para comprender las directivas y los procedimientos vigentes dentro de la organización. Los resultados de la prueba de penetración permiten tener un pantallazo de las diferentes áreas expuestas de la organización. La evaluación de vulnerabilidad permite comprender los problemas existentes en la organización. La empresa contratada para realizar dicha auditoría puede utilizar todo su conocimiento y poner en práctica un intento de intrusión desde fuera de la organización. Lo que más la diferencia de la evaluación de vulnerabilidad es que este procedimiento suele realizarlo una agencia externa sin derechos administrativos. Si este proceso se lleva a cabo con éxito, la compañía blanco debe reevaluar la implementación de su sistema de detección de intrusos. Si la penetración tiene éxito, quienes realizaron la prueba repetirán el proceso dentro de la organización para determinar qué información adicional pueden obtener sin que se enteren los administradores o el sistema de detección de intrusos. La auditoría de detección de intrusos es la prueba más completa y sólo organizaciones de conocida reputación pueden llevarla a cabo. Tal procedimiento requiere la autorización de los ejecutivos del más alto nivel y se debe evaluar exhaustivamente el impacto total antes de su inicio. Herramientas de evaluación de la vulnerabilidad Es posible que ciertas compañías deseen adquirir una herramienta de evaluación de la vulnerabilidad, antes que confiar a un tercero la realización de los análisis. Ambos enfoques presentan ventajas y desventajas. Es muy útil que un tercero revise la infraestructura de la compañía. Sin embargo, el coste puede ser un factor limitante. Si una organización desea utilizar una herramienta de evaluación de vulnerabilidad por sus propios medios, debe considerar las siguientes cuestiones para asegurarse de que la herramienta incluya la mayor cantidad posible de las prestaciones descritas a continuación. Listas de base de datos de vulnerabilidad La herramienta de evaluación de la vulnerabilidad debe ser capaz de utilizar múltiples recursos de listas de vulnerabilidad. Por ejemplo, se pueden incluir los Microsoft Security Bulletins (Boletines de seguridad de Microsoft), la base de datos Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones habituales) o BugTraq. Capacidad de actualización La herramienta debe actualizar automáticamente los resultados de la prueba. La lista de vulnerabilidades analizada por una herramienta y las pruebas que ejecuta son tan útiles como la última actualización que proveen. Realizar el análisis utilizando una herramienta que requiera actualizaciones manuales incrementa las posibilidades de que el administrador pueda estar omitiendo algunas posibilidades. Capacidad de personalización La herramienta debe poseer cierta capacidad de personalización. Cada entorno es diferente. Hay vulnerabilidades con las que ciertas organizaciones están dispuestas a convivir debido a la configuración de sus entornos. Es posible que tales organizaciones no deseen recibir alertas cada vez que se identifique una cuestión ya conocida. Además, es posible que deseen investigar otros elementos específicos no habituales en otros entornos. Seguridad de red La herramienta de análisis de vulnerabilidad debe verificar la seguridad de la red. Como parte de estas pruebas, debe buscar puertos abiertos que puedan identificar servicios no asegurados correctamente. Seguridad del host La herramienta debe verificar la seguridad del sistema operativo del host. Esto incluye buscar servicios innecesarios que puedan estar activos y analizar grupos y cuentas del equipo y utilidades innecesarias del servidor. Debe garantizar que las listas correctas de control de acceso (LCAs) se apliquen en los registros de eventos, que se

19 1 Aplicación de la Disciplina de administración de riesgos de seguridad hayan restringido adecuadamente los permisos de registro y que se hayan otorgado sólo las asignaciones necesarias de derechos de usuario. Seguridad de la aplicación La seguridad de la aplicación también debe incluirse en la prueba. Esto incluye configuraciones de sistema operativo de línea de base, análisis del controlador y la configuración de dominio y análisis del servidor Web. Específicamente, si se utiliza IIS en la organización, la herramienta debe supervisar la configuración de metabase IIS que contiene la información de configuración del servidor IIS, además de verificar que se ha movido el directorio a otro volumen y que se hayan ejecutado tanto el IIS Lockdown Tool como las direcciones URL. Seguridad de la información El escáner de vulnerabilidad debe verificar la seguridad de la información. Los elementos a considerar incluyen: seguridad en archivos principales de sistema operativo, niveles de Service Packs, revisiones instaladas y permisos de archivos compartidos. Las revisiones son paquetes acumulativos compuestos por uno o más archivos destinados a solucionar un defecto de un producto. Atienden situaciones específicas del cliente y no pueden ser distribuidas fuera de la organización del cliente sin autorización legal por escrito de Microsoft. Las revisiones de seguridad son levemente diferentes ya que deben aplicarse inmediatamente a todo servidor que reúna los criterios especificados. No requieren autorización legal y pueden distribuirse según sea necesario. Priorización Finalmente, la herramienta debe ayudar a definir las cuestiones de alta prioridad identificadas. Por ejemplo, el Microsoft Security Response Center (Centro de Respuestas de Seguridad de Microsoft) identifica las revisiones basadas en las vulnerabilidades identificadas y luego les asigna una calificación. El centro es una unidad comercial de Microsoft responsable de la investigación y solución de toda vulnerabilidad de seguridad que involucre productos de Microsoft. Las calificaciones incluyen: crítica, importante, moderada y baja. Si bien son muy generales, pueden ayudar a establecer prioridades en cuanto a las revisiones a aplicar inmediatamente a la vez que determinar cómo deben encararse con diferentes grupos de equipos. Requisitos del proceso de Análisis de riesgos de seguridad Como parte del proceso de Análisis de riesgos de seguridad, debe evaluarse cada vulnerabilidad utilizando diversos criterios. Estos requisitos ayudan a determinar el riesgo general al que cada amenaza expone a la organización. Esto puede hacerse creando una valoración concisa de riesgos para cada atacante, cada exploit (programa para sacar provecho de los errores), cada vulnerabilidad y cada combinación de activos. Si bien esto puede significar mucho trabajo, ayuda a definir por completo las cuestiones que hay que abordar como parte del proyecto general de seguridad para su organización. Valoración de riesgos Al realizar una valoración de riesgos de seguridad debe encararse cada posibilidad por separado y describirse la consecuencia específica de cada riesgo. De haber consecuencias múltiples, la valoración de riesgos puede resultar muy extensa y debe definirse más en profundidad. Toda valoración de riesgos debe contar con una condición que conduzca a una consecuencia. Según lo establecido en el módulo "Definición del panorama de seguridad de Windows 2000", la valoración de riesgos de seguridad que desarrolle debe basarse en la siguiente forma: SI un agente amenazante utiliza una herramienta, técnica o método para explotar una vulnerabilidad, ENTONCES la pérdida de confidencialidad, integridad o disponibilidad de un activo puede generar un impacto.

20 20 Aplicación de la Disciplina de administración de riesgos de seguridad Determinación de factores de gravedad El factor de gravedad (FC) es una medida del daño que un exploit en particular puede ocasionar en un activo al utilizar las vulnerabilidades en cuestión. Una vulnerabilidad en particular puede presentar varios exploits diferentes que pueden utilizarse para atacar el activo. Cada exploit puede tener diferentes efectos sobre el equipo blanco. Por ello, debe investigarse para evaluar los exploits potenciales de cada vulnerabilidad. El factor de gravedad debe medirse en una escala de 1 a, donde 1 indica un mínimo impacto del exploit y indica que podría generarse un daño irrevocable de importancia. Determinación de esfuerzos para explotar vulnerabilidades identificadas El esfuerzo (E) es la cantidad de trabajo, conocimiento o experiencia que un atacante debe utilizar para un exploit en particular. El nivel de esfuerzo para utilizar el exploit específico debe medirse por la simplicidad del ataque. Existe una amplia gama de atacantes maliciosos. Pueden variar desde "script kiddies" ("jóvenes intrusos") con poco conocimiento de cómo o por qué funcionan los ataques (pero saben qué herramientas pueden ayudarlo a obtener información) hasta verdaderos "crackers" con profundos conocimientos técnicos de seguridad. Un cracker es una persona que burla las medidas de seguridad de un sistema informático para obtener acceso no autorizado. El esfuerzo de un exploit específico debe medirse con la misma escala del factor de gravedad: de 1 a, donde 1 indica una habilidad mínima requerida para utilizar un exploit en particular y indica que se requieren las habilidades de un programador experto en seguridad. Determinación de factores de vulnerabilidad El factor de vulnerabilidad (FV) es la medida de susceptibilidad a una forma de ataque en particular. El factor de vulnerabilidad de un activo también debe medirse según una escala de 1 a, donde 1 indica que el activo no es particularmente susceptible a la vulnerabilidad y indica que se encuentra extremadamente expuesto a la cuestión en particular. Máximas vulnerabilidades identificadas en el entorno Contoso Contoso utilizó una herramienta de análisis de vulnerabilidad en su red para identificar algunas de las cuestiones de mayor importancia dentro de su configuración. La herramienta devolvió una amplia lista de elementos priorizados como vulnerabilidades de alto, mediano o bajo riesgo. Contoso ha decidido tratar de encarar las vulnerabilidades de alto y mediano riesgo inmediatamente durante esta fase del proyecto de seguridad. Muchas de las vulnerabilidades pueden agruparse en categorías más amplias. Estos agrupamientos se debaten conjuntamente con las vulnerabilidades específicas identificadas. Además, cada vulnerabilidad se califica por el esfuerzo, como así también por los factores de gravedad y vulnerabilidad. Desbordamientos de búfer El escáner de vulnerabilidad utilizado en el entorno Contoso determinó que ciertos servidores eran susceptibles a desbordamientos de búfer relacionados con IIS. Un desbordamiento de búfer es un tipo de exploit que utilizan los atacantes para obtener acceso a un sistema. Específicamente, la herramienta identificó el desbordamiento de búfer no revisado ida/idq que es explotado por el gusano Code Red. Un gusano es un programa independiente y auto-replicante que suele consumir memoria, lo que hace que el equipo deje de funcionar. Valoración de riesgos Si los atacantes utilizan Code Red para explotar las vulnerabilidades ida/idq, ENTONCES una pérdida de integridad y disponibilidad de los servidores IIS de investigación puede ocasionar un incremento en el tráfico de la red. Debido a que las valoraciones de riesgos deben ser creadas para cada activo vulnerable, deben construirse valoraciones de riesgos similares para los servidores IIS del departamento y de recursos humanos.