lunes, 25 de enero de 2010

Reflexiones sobre la seguridad en la informática (Parte III)

La seguridad informática es considerada a veces como un concepto utópico, a pesar de todos los esfuerzos que se realizan para proteger un sistema, es prácticamente imposible llegar a conseguir un sistema completamente seguro. Aún así se contempla la definición de sistema seguro como aquel que cumple las cuatro siguientes condiciones:

  • Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada, nunca por un usuario sin las credenciales necesarias.
  • Confidencialidad: La información sólo debe ser legible para los usuarios autorizados.
  • Disponibilidad: La información debe estar disponible cuando se necesita.
  • No repudio: El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

image

No siendo respetadas las tres primeras condiciones, un usuario no autorizado en un sistema podría ser capaz de clasificar y desclasificar los datos, alterar la información, filtrar información, borrarla, usurpar datos y hojear información clasificada.

Es evidente que estos hechos no son solo un riesgo para la seguridad de la información de una organización sino que es un crimen tipificado por el código penal.

La meta que se debe llegar a conseguir para no sufrir este tipo de problemas viene resumida en una famosa frase que dice así: “lo que no está permitido debe estar prohibido". Es por tanto una prioridad la securización de un sistema informático, tomando una serie de medidas en forma de barreras que impidan el acceso a los datos a los usuarios sin credenciales.

Los consejos recomendados para mantener un sistema libre de riesgos se resumen en la siguiente lista:

  1. En primer lugar hay que restringir el acceso a los programas y archivos a las personas que no deben tener acceso a los mismos.
  2. Menos privilegios, menos riesgos. Asegurar que los usuarios de la organización tengan los permisos necesarios para ejecutar las operaciones que requieran en su oficio y nada más. Cualquier modificación en su sistema la realizará con la supervisión de un Administrador experto.
  3. Asegurarse que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
  4. La información enviada por usuarios debe ser recibida de la misma manera, sin ningún tipo de modificación y sin intermediarios.
  5. Deben existir sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
  6. Realizar un árbol jerárquico en la organización, para organizar el nivel de privilegios de cada usuario de acuerdo a su labor, con claves de usuario diferentes y permisos bien establecidos.
  7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Es por tanto necesario para mantener un sistema seguro mantenerse alerta en “modo paranoico”, y revisar todos los puntos de un sistema susceptibles de ser vulnerados. Aún así quedaran cabos sueltos difíciles de atar.

Uno de los mayores problemas que padecerá el sistema es el propio usuario, o también conocido en materia de redes como “la capa 8”, que por desconocimiento suele ser la mayor fuente de problemas de seguridad, instalando por mera inatención, malware en las estaciones de trabajo, que en gran parte de los casos abrirán puertas traseras en el sistema, allanando el camino a los usuarios verdaderamente malintencionados.

Otro problema con el que se puede encontrar un sistema es con la existencia de un intruso, que consigue penetrar a través de un fallo de seguridad (Cracker, Defacer, Script Boy, Viruxer, etc.) y que puede llegar a modificar cualquier dato de la organización para robarlos y desprestigiar a la organización, para venderlos en el mercado ilegal cual mercenario, por puro placer, para salir en puestos más altos en las “listas de hackers” de los foros de hacking, o la menor parte de las veces por desconocimiento, tropezándose con una vulnerabilidad.

Otro de los problemas para los que habrá que estar preparado es ante los desastres o siniestros como pueden ser incendios, inundaciones o robos, que pueden alterar el sistema e incluso hacer que se pierda información.

Finalmente, y un problema grave que sucede a veces en las organizaciones son las disputas entre personal, que alejan a los sectores, con el riesgo que ello supone para la seguridad informática.

Es de vital importancia por tanto ser precavidos, y adelantarse a los acontecimientos, por ello surgieron las auditorías de seguridad, procesos especializados y encargados en revisar todos los puntos de una organización, comprobando si son seguras e identificando las posibles vulnerabilidades de las mismas.

Estos procesos se encargan de revisar las vulnerabilidades del sistema en sus dos posibles vertientes, amenazas producidas desde dentro del sistema y amenazas producidas desde fuera del sistema:

  • Amenazas internas: Amenazas muy graves. Al realizarse desde dentro de la intranet de una organización los usuarios malintencionados tienen acceso físico al sistema y pueden hacer más daño que desde fuera de la intranet, ya que las barreras como los Firewalls y DMZs son solo protección frente a los ataques externos. Protección: Auditoría Interna de Caja Blanca y Caja Gris
  • Amenazas externas: Amenazas producidas desde fuera de la intranet de la organización. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla, estos pasos se denominan Footprinting y Fingerprinting. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos poniendo barreras como los Firewalls o las barreras perimetrales o DMZs. Protección: Auditoría Interna de Caja Negra y Auditoría de Aplicaciones Web.

clip_image004

En la figura anterior se puede ver una Arquitectura de red segura, formada por un Firewall con la instalación de tres patas, que Juan Luis Rambla siempre promulga :), separando en una DMZ la granja de servidores y por otro lado la LAN de máquinas internas.

Hasta el próximo post!

No hay comentarios: