Introducción | La seguridad... | Detección... | Comercio... | Mecanismos...
Hechos... | Caso práctico | Bibliografía

Supongamos que se nos contrata para auditar la seguridad de un sistemas desarrollado vía web. Qué factores se deben tomar en cuenta para auditar ese sistema.

1.- Auditar

La auditoria constituye la primera fase para dotar un sitio web de mecanismos de seguridad que le permitan llevar a cabo sus operaciones de forma segura. Permitirá la revisión y monitoreo de la eficiencia de los sistemas de información que se tienen en la organización y comprende tanto los equipos de cómputo, como los procesos de entrada y salida de los sistemas y la obtención de datos y archivos de estos.
Para auditar el sistema se deberían cubrir las siguientes fases (planteadas con anterioridad en el segundo apartado de este trabajo “Detección de vulnerabilidades…”):

Enumeración de las redes

Cantidad de redes, equipos, topologías, protocolos, cantidad de nodos, servidores, tipos de conexión, proveedor de servicios (si lo hay), mapa de distribución, medios de comunicación, tipo (intranet, extranet, etc.).

Identificación de sistemas y dispositivos

Sistemas existentes (contabilidad, nómina, personal, administrativo, etc.), dispositivos con los que se cuenta: concentradores, módems, routers, dispositivos de seguridad y cualquier otro que forme parte del conjunto bajo estudio.

Identificación de los Sistemas operativos instalados

Algunos sistemas operativos son más seguros que otros, algunos requieren de adecuaciones especiales, en fin, el SO determinará gran parte de las políticas de seguridad.

Análisis de servicios y aplicaciones

Servicios prestados (correo, listas de distribución, foros, chats, etc.), aplicaciones utilizadas, posibles vulnerabilidades, licencias, versiones, actualizaciones, etc.

Detección, comprobación y evaluación de vulnerabilidades

Se deberá planificar una serie de pruebas y someter los sistemas a las mismas con la finalidad de comprobar su desempeño, evaluar la eficiencia y, muy importante, conocer las vulnerabilidades que lo afectan.

Medidas específicas de corrección

Llevada a cabo la fase anterior, se podrán definir medidas específicas de corrección de todas las áreas débiles de sistema en estudio pero, principalmente de las vulnerabilidades.

Recomendaciones sobre implantación de medidas preventivas

Diseñar una política de medidas a seguir por los usuarios del sistema orientadas a protegerlos contra los diversos ataques de que son objeto y que fueron citadas en un apartado anterior. Estas recomendaciones no son más que el resultado del estudio hecho en todas las fases de la auditoria y cuya finalidad es dotar al sistema de seguridad.

2.- Implementar un Plan de seguridad

Este vendría a ser el segundo paso, luego de la auditoria. Con esta última se detectan, entre otras cosas, los puntos vulnerables del sistema y las posibles fallas, basados en eso, lo que sigue es darle seguridad al mismo.
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:

1. Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
2. Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.
3. Elaborar un plan para un programa de seguridad.

El plan debe elaborarse contemplando:

Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe contemplar:

1. El plan de seguridad debe asegurar la integridad y exactitud de los datos
2. Debe permitir identificar la información que es confidencial
3. Debe contemplar áreas de uso exclusivo
4. Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
5. Debe asegurar la capacidad de la organización para sobrevivir accidentes
6. Debe proteger a los empleados contra tentaciones o sospechas innecesarias
7. Debe contemplar la administración contra acusaciones por imprudencia

Consideraciones para con el Personal

Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto al sistema, que lleve a la persona a:

1. Asumir riesgos
2. Cumplir promesas
3. Innovar

Para apoyar estos objetivos se debe cumplir los siguientes pasos:

Motivar

Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.

Capacitación General

En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo.
Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos.

Capacitación de Técnicos

Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas.

Ética y Cultura

Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional.
De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual, relaciones humanas, etc.

Etapas para Implantar un Sistema de Seguridad en Marcha

Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos:

1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:

1. Aumento de la productividad.
2. Aumento de la motivación del personal.
3. Compromiso con la misión de la compañía.
4. Mejora de las relaciones laborales.
5. Ayuda a formar equipos competentes.
6. Mejora de los climas laborales para los RR.HH.

3.- Proteger la intranet

A pesar del título, las medidas aquí descritas se aplican a cualquier red a la que se quiera dotar de cierta seguridad.
Cualquier Intranet es vulnerable a los ataques de personas que tengan el propósito de destruir o robar datos empresariales. La naturaleza sin límites de Internet y los protocolos TCP/IP exponen a una empresa a este tipo de ataques. Las Intranets requieren varias medidas de seguridad, incluyendo las combinaciones de hardware y software que proporcionan el control del tráfico; la encriptación y las contraseñas para convalidar usuarios; y las herramientas del software para evitar virus, bloquear sitios indeseables, y controlar el tráfico.
La Agencia de Protección de Datos destacó en su memoria del año 2001 algunas de las resoluciones relativas a la actividad de Internet que vulneran principios de privacidad de las personas:

1. Divulgación a través de la Red de imágenes personales.
2. Infracciones por dejar al descubierto en Internet datos personales.
3. Transferencia de información confidencial.
4. Retención de datos personales, como puede ser las contraseñas de usuarios.

Las medidas que generalmente se recomienda adoptar para proteger un red son a grandes rasgos las siguientes:

La creación de unas Políticas de Seguridad a nivel corporativo

Las Políticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se está tratando de protege. Las políticas son parte fundamental de cualquier esquema de seguridad eficiente.

Crear un Control de Acceso

El objetivo de este procedimiento persigue establecer unas normas que regulen la gestión de las contraseñas y los privilegios de acceso a los sistemas de información, aplicaciones y datos de la empresa en cuestión. Varias técnicas de seguridad, incluyendo la encriptación, ayudan a asegurarse de que las contraseñas se mantienen a salvo. También es necesario exigir que las contraseñas se cambien frecuentemente, que no sean adivinadas fácilmente o palabras comunes del diccionario, y que no se revelen simplemente. La autenticación es el paso adicional para verificar que la persona que ofrece la contraseña es la persona autorizada para hacerlo.

Implantar medidas técnicas que eviten la propagación de virus por el sistema informático

Para proteger la información corporativa delicada, y para asegurar que los piratas no perjudican a los sistemas informáticos y a los datos, la empresa deberá implantar todas las medidas que estén a su alcance como el uso de barreras de seguridad denominadas firewalls que protegen a una Intranet de Internet.
Otra medida técnica de fundamental importancia y quizás sea la más extendida es el uso de programas antivirus, pues bien éstos deberían ejecutarse en los terminales individuales dentro de la Intranet porque es posible que se pueda introducir un virus en la Intranet por disquetes, por ejemplo. Además de la protección contra virus, puede detectar virus y extirpar cualquier virus que encuentre.
Como se puede ver existen varios y diversos métodos para implementar una Intranet segura, pero ninguno por sí sólo puede brindarnos la suficiente seguridad, sino que es la combinación de todos estos elementos junto con una acertada planeación de políticas de seguridad, unos requerimientos específicos y las características propias de la empresa, son los que podrían ayudarnos a definir una eficiente estrategia de seguridad sin que todo esto interrumpa o entorpezca las actividades de los usuarios que son para los que finalmente la Intranet se construyó.

4.- Adquirir un Certificado de seguridad

La adquisición de un Certificado de Seguridad - SSLCertificate (Verign, Thawte, etc.) vendría a ser el último paso dotar se seguridad a un sistema, existen muchas otras medidas que se pueden implementar pero este grupo de cuatro podría decirse que son las más comunes. En un apartado anterior se trató el tema de los certificados, por lo que aquí sólo se hará una referencia a los mismos para concluir.
Mediante la instalación de un Certificado de Seguridad SSL adquirido a través de empresas como veriSign, Geotrust, Thawte entre otras,  cualquier información enviada al servidor es encriptada, imposibilitando su intercepción o robo. Además muestra la identidad del individuo o empresa responsable del sitio web y el nombre de la autoridad independiente que ha verificado dicha identidad,  el Certificado de Seguridad se conectará a través de 128 bit, 56 bit o 40 bit dependiendo de la capacidad del navegador del cliente y permitirá asegurar la transmisión de la información financiera en un comercio electrónico. Si realizan transacciones financieras a través de un sitio Web, no cabe duda que se necesita un certificados SSL. Si se manejan datos sensibles los clientes, vale la pena considerar seriamente el uso de certificados SSL, especialmente si la seguridad y privacidad de sus clientes o miembros ocupa uno de los primeros lugares en las prioridades de la empresa.

Realizado por: Jorge Eliecer Jaimes Jimenez - Junio 2008