jueves 25 de octubre de 2007

Seguridad corporativa

No existe actualmente un estándar acabado que detalle para las empresas los procedimientos a seguir para asegurar la infraestructura tecnológica que poseen. La seguridad por sí misma, no es un producto, si no un conjuntos de procesos y procedimientos en constante cambio para adaptarse a las nuevas particularidades de los cambiantes entornos tecnológicos.

¿Por qué cambiantes? Los usuarios de las redes corporativas son migrados de Windows XP a Windows Vista o incluso a sistemas GNU/Linux o algún otro sistema operativo para satisfacer necesidades particulares. Por ejemplo, se ha abierto una nueva sucursal del negocio en una localidad remota geográficamente que necesita acceso a recursos internos de la oficina central (bases de datos, registros de clientes). O, el uso de dispositivos capaces de transportar enormes cantidades de datos (que podrían ser sensibles para la empresa) se han masificado - como las memorias flash y las computadoras portátiles.

Debido a la necesidad de garantizar la estabilidad de la plataforma tecnológica y que continúe operativa incluso en caso de desastres (incendios, tormentas, ataques masivos en caso de guerra convencional o incluso en caso de guerra atómica). Vale decir acá que Internet nació como proyecto de investigación avanzado del Departamento de Defensa de los Estados Unidos de América [1] y tenía como uno de sus objetivos que la conectividad de las redes de computadoras no se viera interrumpida por un desastre en algún punto particular de la red.

Viendo todo el bosque y no solo el árbol al que algunos se han acercado, la seguridad corporativa tiene como propósitos que estos elementos no se vean afectados:
  • Confidencialidad
  • Integridad
  • Disponibilidad
No siendo afectados, se garantiza la disponibilidad de datos y servicios. Esto haciendo referencia a la triada CIA [2] cuyo enfoque también es cuestionado [3].

Así, el término confidencialidad hace referencia a que los datos solamente sean conocidos por aquellos usuarios debidamente autenticados (José es quien dice ser, las pruebas biométricas, huella dactilar o identificación retinal lo han identificado positivamente como José) y autorizados a tener acceso al archivo del cliente X ubicado en Chinandega. Entendiendo por autorizado como "José (que ha sido debidamente identificado) tiene acceso al archivo del cliente X ubicado en Chinandega". Puede implementarse Redes Privadas Virtuales [4] para proteger la confidencialidad e integridad de los datos entre dos puntos remotos. La disponibilidad depende de la condiciones de la red entre todos los puntos que unirían las redes locales remotas.




Integridad se refiere a que los datos no sean alterados en su almacenaje o durante el envío, tránsito o recepción.

Disponibilidad, es más comprensible, los datos deben estar disponibles para cuando el cliente solicite o el personal deba consultarlos.

Para enumerar, los servicios de seguridad que deben proveerse a las corporaciones son:
  • Autenticación
  • Autorización
  • Monitoreo
  • Auditoría
En la mayoría de ambientes en nuestro país, sino en todos, la autenticación está basada en el par nombre_de_usuario/clave_de_usuario sin ningún protocolo criptográfico habilitado. Es decir, cualquiera, con solo el conocimiento de cómo se instala un programa, dentro del perímetro del usuario que intenta iniciar una sesión para tener acceso, por ejemplo, a un servidor de archivos puede lanzar un analizador de tráfico y capturar la pareja nombre_de_usuario/clave_de_usuario. Una autenticación diferente, basado en certificados de seguridad [5] puede ser usada pero también implica una complejidad mayor para la implementación dentro de la empresa.

La autorización en la mayoría de los entornos ni siquiera está considerada como un elemento importante; basta nada más que el usuario que intenta acceder a un recurso particular que ya ha sido identificado provenga de cualquier dirección de nuestra redes internas. Los accesos también pueden determinarse por rangos de direcciones ip, por una sola ip, por los campos del certificado de seguridad [5]. Es muy usual que cualquier usuario con una computadora portátil se acerca a nuestros enlaces inalámbricos se conecte a ellos y con ello a nuestra red y a nuestros recursos que están abiertos normalmente a todas las redes internas [6].

Hay que mencionar la insuficiencia o inexistencia total de sistemas automatizados de monitoreo dentro de las empresas que notifiquen de ataques en progreso o de anomalías en el comportamiento del tráfico en la red o de intentos de inicio de sesión fallidos o inicios de sesión fuera de horas de trabajo o en horas inusuales. No hay - al menos en mi apreciación empírica del estado del arte en mi país - una conciencia clara en los administradores de sistemas y administradores de red de que los sistemas de monitoreo ayudarían a decrementar las estadísticas de incidentes de seguridad. Incluso, los programadores tampoco se preocupan de las buenas prácticas de programación y no existe un diálogo de equipo entre desarrolladores y administradores sobre la implementación de los sistemas informáticos que incluyan consideraciones de seguridad para los sistemas informáticos empresariales y para los sistemas de servidores en los cuales descansan las aplicaciones y servicios empresariales. Una configuración mínima podría ser:



La auditoría es un tema ligado también al tema de monitoreo. La mejor analogía es hacer referencia a las auditorías contables que se realizan. Se debe verificar que cada registro de error o de advertencia, para poner un ejemplo, sea debidamente evacuado para reportar la naturaleza de la falla, notificarla y repararla de acuerdo a planes de contingencia.

Claro, parte de la temática de seguridad es el análisis de riesgos y la creación de planes de contingencia.

Teniendo experiencia, conocimientos y habilidad en todos los aspectos referidos acá, espero que este artículo ayude a crear conciencia sobre la necesidad de establecer como un propósito de las empresas, el establecimiento de estándares de seguridad corporativos.


[1] http://en.wikipedia.org/wiki/Darpa
[2] http://en.wikipedia.org/wiki/CIA_triad
[3] http://en.wikipedia.org/wiki/Parkerian_hexad
[4] http://en.wikipedia.org/wiki/Vpn
[5] http://en.wikipedia.org/wiki/Public_key_certificate
[6] http://en.wikipedia.org/wiki/Local_area_network
Publicado por Jorge Dávila en 15:28
Etiquetas: , , , ,

4 comentarios:

Noel dijo...

Totalmente de acuerdo. Tomando en cuenta que la mayoría de empresas en el país contrata a un informático para desarrollo y soporte principalmente, no piensan en la definición políticas para la plataforma tecnológica; entonces prevalecen únicamente las normas operativas del negocio, dándole a los recursos tecnológicos (computadoras, dispositivos de red, etc.) un tratamiento como simples activos.

Las empresas que nacen pequeñas y van agregando capas y capas de tecnología son las más susceptibles a esto, a diferencia de aquellas que nacen con un diseño global de los flujos de información, identificando los puntos de riesgos y definiendo las políticas de acceso a equipos e información.

Un gran obstáculo se da cuando la misma gerencia o dirección de la empresa u organización no apoya el establecimiento de las políticas, o pasa por encima de ellas, en lugar de identificar las excepciones y agregar el procedimiento adecuado para ellas.

La gente tiembla cuando escucha la palabra "Auditoría", casi como sinónimo de "Acusación", cuando más bien debería ser traducido a "Oportunidad de mejorar".

25 de octubre de 2007 18:01
Fitoria dijo...

excelente tu articulo, yo creia que la CIA thriad era algo de la agencia central de inteligencia XD

25 de octubre de 2007 20:26
evollution dijo...

Mis comentarios

"La seguridad por sí misma, no es un producto, si no un conjuntos de procesos y procedimientos en constante cambio para adaptarse a las nuevas particularidades de los cambiantes entornos tecnológicos."

Completamente de acuerdo. Por esa razón se llaman "políticas de seguridad"

"¿Por qué cambiantes? Los usuarios de las redes corporativas son migrados de Windows XP a Windows Vista o incluso a sistemas GNU/Linux o algún otro sistema operativo para satisfacer necesidades particulares. Por ejemplo, se ha abierto una nueva sucursal del negocio en una localidad remota geográficamente que necesita acceso a recursos internos de la oficina central (bases de datos, registros de clientes). O, el uso de dispositivos capaces de transportar enormes cantidades de datos (que podrían ser sensibles para la empresa) se han masificado - como las memorias flash y las computadoras portátiles."

No solamente eso. A veces actualizaciones menores de un sistema, o paquete, o programa, traen consigo nuevos problemas de seguridad que antes no se tenían.

El resto, me parece muy bien ..

26 de octubre de 2007 14:10
Anónimo dijo...

Wanna Get HIGH? Running out of Supply? Then Check Out My Shit!
>>>>> http://bestlegalhighsdrugs.info <<<<
If you have questions, you can email my boy at online.mentor [at] gmail.com


[size=1] IGNORE THIS----------------------------
salviaa divinroum lwgal busd [url=http://bestlegalhighsdrugs.info] legal herbal highs [/url] ssalvia divinorjm slavia divinnorum [url=http://buybudshoplegalherbs.info] legal herb[/url] deep red flowers Hawaiian Herbal Hydro Buds [url=HTTP://BUYINGMARIJUANASALE.INFO] Order Marijuana [/url] amahita mmuscaria amainta musxaria [url=HTTP://BUYLEGALBUDSCOMREVIEWS.INFO] legal buds reviews [/url] alvia divinoru drug test detection [url=HTTP://CANNABISHIGH-PILLSHIGH.INFO] Ganja Effects[/url] ecstaay piills amaniga musscaria [url=HTTP://HOWTOBUYWEED-BUYINGWEED.INFO] how to buy marijuana online[/url] body hair drug test ecstash pills [url=http://legalbud.drugreviews.info] legal bud [/url]

ecstash ills shrooms [url=http://legalweed.lamodalatina.com] legalweed [/url] salvoa diginorum chia salvia columbariae [url=http://buysalvia.lamodalatina.com] get salvia extracts[/url] amainta muscaroa aloe rid shampoo

examples of root words crystal meth recovery rate [url=http://legalweed.lamodalatina.com] legal weeds [/url] meth houses meth recovery [url=http://buysalviacheap.com] buy salvia powder[/url] kratom vendors amantia muscariaa
[url=http://guaranteedheightincrease.info/]height enhancement[/url] - http://guaranteedheightincrease.info/
height enhancement - http://guaranteedheightincrease.info
[url=http://provenpenisenlargement.info/]proven penis enhancement[/url] - http://provenpenisenlargement.info/
proven penis lengthening - http://provenpenisenlargement.info/
[url=http://provenskincareadvice.info/]skin care techniques[/url] - http://provenskincareadvice.info/
skin care techniques - http://provenskincareadvice.info/
[url=http://getrichgambling.info/]get money gambling[/url] - http://getrichgambling.info/
get rich gambling - http://getrichgambling.info/
[url=http://herpesoutbreak-gentalwarts.info/]herpes outbreak[/url] - http://herpesoutbreak-gentalwarts.info/
herpes outbreaks - http://herpesoutbreak-gentalwarts.info/
[url=http://STOP-PREMATURE-EJACULATION-SOLUTIONS.INFO]cure premature ejaculation[/url] - http://STOP-PREMATURE-EJACULATION-SOLUTIONS.INFO
cure premature ejaculation - http://STOP-PREMATURE-EJACULATION-SOLUTIONS.INFO
[url=http://3GMOBILEPHONESFORSALE.INFO]3g mobile phones for sale[/url] - http://3GMOBILEPHONESFORSALE.INFO
mobile cellphones for sale - http://3GMOBILEPHONESFORSALE.INFO
[url=http://internationaloddities.reviewsdiscountsonline.com] international oddities reviews[/url]
international oddities scams
[url=http://drobuds.reviewsdiscountsonline.com]dro buds review [/url]
dro buds reviews
[url=http://bestacnetreatmentreviews.info] acne treatment reviews[/url] http://bestacnetreatmentreviews.info
acne treatment reviews http://bestacnetreatmentreviews.info
[url=HTTP://LEARN-HYPNOSIS-ONLINE.INFO]learn hypnosis online[/url]
learn hypnosis online

7 de febrero de 2010 23:31

Publicar un comentario en la entrada

Suscribirse a: Enviar comentarios (Atom)