Escolar Documentos
Profissional Documentos
Cultura Documentos
FabianPortantier
www.portantier.com
Contenidos
Prlogo Elautoconocimiento Polticasyotrosdocumentos Usuariosyadministradores Segmentacindelared Estacionesdetrabajo Servidores MonitoreoyRespuesta Palabrasfinales 3 4 6 8 10 12 13 15 17
Prlogo
Hastahacepocosaos,lostrminosSeguridadInformticayPyMEparecan incompatiblesentres,pordiversosmotivos.Principalmente,porquelaSeguridad Informticasolaseralgocostoso,tantoanivelderecursosmonetarios,comohumanos ydetiempo.Aunquequizselproblemaresidaenquenosesabaexactamenteaqu nosreferamosconSeguridadInformtica. Esbiensabidoqueactualmentedependemosdelatecnologa,ynovamosa profundizarenelporquyenelcmoestoesas,porquesimplementenosotrosmismos (lossereshumanos)hemosrealizadotodoslosesfuerzosparaqueassea. Porestemotivo,nosolamentelasgrandesempresasnecesitanconsiderarlasmedidas deseguridadinformticadentrodesusplanes,sinotambinlaspequeasymedianas empresasdebenhacerlo. Obviamente,laspequeasymedianasempresastienenlagranventajadepoder utilizarsutamaocomopuntodiferencial,quelespermitehacermsconmenos recursos.Estoesalgoquelaspequeasempresasaprendieronautilizarbienenlos aspectosdemarketing,fidelizacindeclientesyventas,peroquetambinpuedeser llevadoperfectamentealaseguridadinformtica. Acontinuacin,analizaremoslasprincipalesmedidasdeseguridadquepuedeydebe tomarunapequeaomedianaempresa(deahoraenms,'PyME')paraaumentarla seguridaddesuinfraestructurainformtica.Haremosparticularhincapienlas empresasdeLatinoamrica,enlascualeshemosobservadoquelospresupuestosde inversinentecnologasonbastantemsbajosqueenotraspartesdelmundo. Esporesoque,teniendoencuentaloscostosdeinversin,hablaremosprincipalmente deherramientasdecdigoabiertoyotrotipoderecursosgratuitos,quepueden brindarnosgrandesbeneficiosapequeoscostos(oinclusoaningncosto).
Elautoconocimiento
Elprimerpasoqueunaempresadebedarsibuscaaumentarlaseguridaddesus sistemas,esconocerexactamenteculessonsussistemas.Estoparecealgoobvio,pero lagranmayoradelasempresas(inclusolasgrandes)notieneunbuenconocimiento deculessonsusactivosinformticos.Porlotanto,sinoconocemosqutenemos,no podemosimplementarseguridadcorrectamente. Seacualfuereeltamaodenuestraempresa,nopodemosconfiarsimplementeenla memoriadeunaomspersonas,sinoqueestamosobligadosamantenerun inventariodeactivos,utilizandoalgunaherramientadiseadaparaesto.Ytambin debemostenerencuentaquelasplanillasdeclculonofueroninventadasparaesto! Existenvariossistemasdesarrolladosexclusivamenteparamanteneruninventariode activosinformticos.Loscualesnosbrindanunexcelenterecursoparaconocer exactamentequesloquetenemosennuestrared.Comoentodosloscasos,algunas herramientassernmejoresqueotras,principalmentedependiendodenuestras necesidades. UnadelasherramientasdecdigoabiertomsreconocidasesOCSInventory (http://www.ocsinventoryng.org/en),quenospermiterpidamentecontarconun inventariodeactivosinformticosmuydetallado.Esunatpicaherramientadeltipo LAMP(Linux,Apache,MySQL,PHP/Perl)queesverdaderamentefcildeinstalary administrar.Cuentaconunaarquitecturaquepermiteextendersusfuncionalidadesa travsdeplugins,ypermitelainstalacindeagentesenlosservidoresyestacionesde trabajoparaobtenermsinformacindelosmismos. Cualquieraseanuestraeleccinaqu,esimportanteremarcarquenuestroinventario debecontar,porlomenos,conlosiguiente: Unlistadodeactivosclasificados(Servidores,EstacionesdeTrabajo,Routers,etc) Caractersticasdelosmismos(SistemaOperativo,Software,Hardware,etc) Posibilidaddedeteccindecambiosenlosactivos Capacidadparadetectarnuevosactivosennuestrared Unmuchoscasos,lasherramientasnocuentanconlacapacidaddedetectarnuevos activos(OCSInventoryspuedehacerlo).Encuyocasopodemoscomplementara nuestraherramientaprincipalconotrasutilidadesmspequeas,queseencarguen demonitorearlaredconstantementeenbuscadenuevosdispositivos.
Polticasyotrosdocumentos
LasPyMEnosuelentenerlanecesidaddecumplirconestndaresinternacionalesde seguridadinformtica(comoISO27000),peronoporesodebemosasumirquelas polticasyestndaresnosonnecesarios.Siempreesunaexcelenteideacontarcon documentosquedetallencmoyporqudebenserrealizadaslastareasdentrodeuna organizacin. Aquesimportantequetengamosencuentaunaalineacinobligatoriaentrelos objetivosdelnegocioylaspolticasdeseguridadinformticaaaplicar.Sino conseguimosesto,noseremoscapacesdecontarconelapoyodelagerencia,yeso vuelveimposiblelaimplementacindecualquiermedidadeseguridad. Esporesoquedebemoscrear,porlomenos,tresdocumentos:
PolticadeSeguridaddelaInformacin
Eseldocumentoquemuestraelintersdelagerenciaporlaseguridaddela informacindesuempresa.Debeestarredactadoenconjuntoconlogerenciao,porlo menos,avaladoporlamisma,yexplicarcmolaseguridadinformticasealineacon losobjetivosdelaorganizacin.Notienequeserundocumentoextenso,perosdebe explicar,agrandesrasgos,quesloquelaempresaesperadelaseguridaddesu informacinyculessonlosdatosmsimportantesaproteger.Porejemplo:datosde clientes,proveedores,empleados,etc.
Polticadeusoaceptablederecursos
Estapolticadebeserfirmadaporcadaunodelosempleadosdelaorganizaci n,y debedictarqupuedehacerseconlosrecursosinformticosdelaempresa,ascomo tambinexplicarquenopuedensercompartidosconterceroslosdatosconfidenciales delaorganizacin,sinunaautorizacinpreviadelagerencia. Cabedestacarque,paraqueseaundocumentocompletamentelegal,debeestar avaladoporunabogado.Pero,encasodequenocontemosconlosrecursosparahacer esto,podemosutilizarunmodelodepolticadeusoaceptablebsico,paramantenera losempleadosinformados.
Estndaresdeequipamientoinformtico
Lainstalacinyelmantenimientodelosequiposinformticosdelaempresa,como servidores,estacionesdetrabajo,equiposdetelecomunicacionesyotros,debeestar reguladaporestndares.Noesnecesarioqueseandocumentoscomplejos,perosque expliquenculessonlasmedidasbsicasdeseguridadquedebenserimplementadas
Usuariosyadministradores
Granpartedelasvulnerabilidadesdeseguridadquesepresentanenlossistemas, tienecomorazlamalautilizacin,tantoporpartedelosusuarioscomodelos administradores.Esporesoquedebemosrealizarcapacitacionesconstantes,paraque cadapersonadelaorganizacintengabienenclaroculessonsustareasy responsabilidades. Enelcasodelosusuarios,esmuyimportantequeseanconscientesdetodoslos peligrosalosquepuedeestarexpuestalaorganizaci nenelcasodeunamala utilizacindelossistemasoladivulgacindeinformacinconfidencial. Lamejormaneradelograrestoesconcapacitacionesbrevesyconstantes.Enelcaso dequeseanpocosempleados,podemosrealizarlaspersonalmente.Sicontamoscon empleadosdispersosenvariasubicacionesdistintas,podemosimplementaralg n sistemadeelearning,comoDokeos(http://www.dokeos.com)quenospermiteinstalar rpidamenteunaplataformadeaprendizajeenlnea. Conrespectoalosadministradoresdesistemas,esrecomendablequeseencuentren constantementecapacitadosconrespectoalasnuevastecnologas.Parapoderlograr estoesnecesarioelapoyodelagerencia.Aunquenosiempreporcuestiones econmicas,sinotambinparapoderasignardasenlosquelosempleadospuedan asistiraseminariosyeventosgratuitosdeseguridad.Existenmuchosdeestoseventos enlosquesebrindancharlasyexposicionesdeproductosynuevastecnologas,los cualespermitenalosprofesionalesmantenerseactualizados. Tambinesnecesarioquesecreeuncanaldecomunicacinyunambientede confianzaentrelosadministradoresdesistemasylosusuarios,quepermitaaestos ltimosreportarincidentesyrealizarconsultasacercadecualquierdudaquepudiera surgirenrelacinalaseguridadinformtica.Estetipodeconsultassuelenno realizarse,principalmentepormiedoopordesconocimiento,sobretodosilos empleadospuedenllegarapensarqueselosvaacastigaronoselesvaaprestarla atencinquesemerecen. Esdesumaimportanciaquelosempleadossesientanresponsables,perotambi n partcipesfundamentalesdelaseguridadenunaorganizacin,yquesean recompensadosporunbuentrabajo,ascomotambinporunenfoquecorrectoen cuantoalcuidadodelosactivosdelaorganizacin. Desdeelpuntodevistatcnico,esprcticamenteobligatorioquetantolosusuarios comolosadministradorescuentennicamenteconelmnimoniveldepermisossobre
lossistemasqueserequieranpararealizarcorrectamentesusfuncioneslaborales.De estaformaseevitantantolosproblemascausadosporaccidentes,comolos relacionadosconaccionesmalintencionadas. Porltimo,sedebeteneruncontactoespecialmentecercanoconeldepartamentode recursoshumanos,afindeestaraltantodelasmodificacionesenlaplantillade empleados.Recordemosque,anteundespido,losaccesosalossistemasdelapersona afectadadebenserrevocadosinclusoantesdequelamismaseenteredesucondici n. Estoevitarcualquierposibleaccinqueelexempleadopudierarealizarencontrade laorganizacin.Enelcasodenuevascontrataciones,quesepamosdeantemanolos detalles,nosvaapermitirotorgarconantelacinlospermisosdeaccesonecesariosal empleadoqueseencuentraporingresaralaorganizacin.
Segmentacindelared
Laconectividadentrelosdispositivosinformticospermitetantolaoptimizacinde tareasyelaumentodelaproductividad,comolaposibilidaddeataquesdesdeun dispositivoaotro.Esporesoquedebemosmantenerunbuennivelentrelausabilidad delossistemasylasmedidasdeseguridadqueaplicamosalosmismos. Unadelasprincipalesmedidasdeseguridadparaunaredeslasegmentaci ndela misma,lacualnospermitedefinirpartesdelaredquetenganunaccesorestringido. Enlasredespequeas,puedendefinirsepocossegmentos,queserecomiendaestn separadosporalgndispositivodeseguridaddeltipofirewall.Podemosencontraruna listadedistribucionesdiseadasparasuusocomofirewallenWikipedia. Podemoscomplementarestasseparacionesutilizandoredeslocalesvirtuales(VLAN), aunquenosiemprepodremoscontarconequipamientoconsoporteparaesta tecnologa,debidoaquelosswitchesdegamabajanosuelensergestionables. Sibiencadaorganizacintienesusnecesidadespuntuales,podemosremarcartres segmentoscomunesquepuedenencontrarseencualquierred:
Redderealocal(LAN)
Eslaredenlaqueseencuentranlasestacionesdetrabajo.Enunaempresaconpocos dispositivos,puedeencontrarseunificaday,enredesmsgrandes,pueden segmentarseporsubredes,porsectordelaempresa.Enelcasodequecontemoscon accesosinalmbricos,podemosoptarpormantenerlosenestesegmentooasignaruno dedicadoaestatarea,dependiendoprincipalmentedesisetratadeunacceso protegido,slodisponiblesparalosempleados,oesunaccesoparaclienteseinvitados.
Reddeservidores
Losdispositivosqueprestanserviciosrequierenunniveldeproteccinmsavanzado quelasestacionesdetrabajo,asqueselesdebeasignarunsegmentopropio,elcual debemosmantenermuycontrolado.Enelcasodecontarcondispositivosqueexpongan serviciosaccesiblesatravsdeinternet,stosdebenserubicadosenunsegmento aparte,denominado'zonadesmilitarizada'(DMZ).
Enlaceconinternet
Nodebemosolvidarqueesteenlacedebeserprotegido,tantoparalasconexiones entrantescomosalientes.Enelcasodelasconexionesentrantes,debemossermuy restrictivos,ypermitirsolamentelomnimonecesarioindispensable.Y,enelcasode
Estacionesdetrabajo
Lasestacionesdetrabajosuelenserelpuntodeentradaparalosataques,debidoaque procesanunagrancantidaddeinformacinyaccedenamltiplesredesydispositivos, comoCD/DVD,pendrivesUSB,etc.Esporesoquedebemosprotegerlaseimplementar variasmedidasdeseguridad.Comolagranmayoradelasestacionesdetrabajoutiliza sistemasoperativosMicrosoftWindows,noscentraremosenlasmedidasms relevantesparaestaplataforma.
SoftwareAntiMalware
Elmalware(queagrupasoftwarecomovirus,malware,spywareyotros)eslaprincipal causademalfuncionamientoenestacionesdetrabajo.Paraprotegerlas,debemos instalaralgnsoftwareantimalware.Enelcasodecontarconunapequeacantidad deestacionesdetrabajo,podemosoptarporinstalaralgunasolucingratuita,que generalmentetienecomodesventajanopodergestionarsedeformacentralizada.En otrocaso,podemoscontarconalgunaversindeltipoSmallBusiness,quesuelenser fcilmentegestionablesycuentanconunniveldeproteccinaceptable.
Redesinalmbricas
Elaccesoaredesinalmbricasdebeserbloqueado,salvoqueseaestrictamente necesarioparalarealizacindelastareaslaborales.Estetipodeconexionespodra permitirquedispositivosdeotrasredesintercambieninformacinconnuestras estacionesdetrabajo,atacndolasoinfectndolasconmalware.
PendrivesUSB
LospendrivesUSBdebenserbloqueadoso,porlomenos,protegidosdetalmaneraque nopuedaconectarsecualquierdispositivoyqueseanalicenlosdatosenbuscade malware.Muchosdelosvirusmspeligrosossetransmitenatravsdelospuertos USB,porloquetendremosquehacerunabuenaevaluacindesivaleonolapena permitirestetipodeconexiones.
Dispositivosporttiles
Losnotebooks,netbooks,tablets,smartphonesytodoslosdemsdispositivos porttilessehanvueltomuydemoda,perotraenconsigonuevosriesgosdeseguridad quedebemosconsiderarseriamente.Laprincipalamenazaquerepresentanesla capacidaddeconectarseavariasredesdiferentes,loquelosexponeavariostiposde ataquesymalware.Adems,sufacilidadparaserrobadohacequeseanecesario implementarmedidasdeencripcindediscos,comoTrueCrypt(www.truecrypt.org).
Servidores
Estetipodedispositivossoncrticosparatodaorganizacin,debidoaquesonlos encargadosdealmacenaryprocesarlosdatos,yunafallaenellospodr asignificarla prdidaoelrobodeinformacinconfidencial.Esporesoquedebemosimplementar medidasdeseguridadrigurosas,teniendoencuentaelpropsitodecadaservidor. Abajodetallaremosciertasconsideracionesgeneralesatenerencuenta:
Gestinremota
Lasherramientasyprotocolosdegestinremota(comoRDP,SNMPySSH)deben habilitarsedeformacontrolada,configurndolosdeformaquesolamentelaspersonas autorizadaspuedanaccederaestosequipos,yquequederegistrodetodaactividad realizada.Esrecomendableutilizarsolamenteprotocolosqueencripteneltr ficoque viajaporlared,paraevitarelrobodecontraseas.
Firewalls
Ademsdelosdispositivosdefirewallquepodamosutilizarennuestrared,es necesarioquecadaservidortengaconfiguradoensoftwarequefiltrelasconexiones entrantesysalientes,afindelimitarlosaccesosalmismo.Debemosconsiderar implementarlmitesparaquesolamentelosdispositivospertenecientesalos administradoresdesistemastenganlaposibilidaddeaccederalasinterfacesde administracindelosservidores.
Deteccindeintrusos
Deserposible,esrecomendablequeimplementemosalgnsoftwareparaladeteccin deintrusos,quebsicamenteseencargandemonitorearlosarchivoscrticosdel sistemayalertanacercademodificacionesalosmismos.Adem s,tambinpueden detectarotrostiposdecomportamientosextraos,quepodranrequerirlaatencindel administrador. UnabuenaopcinparaestetipodesoftwareesOSSEC(www.ossec.net),quecorre tantoenplataformasWindowscomoensistemastipoUnix(comoLinux,BSDyMac).
Copiasdeseguridad
Debemosasegurarnosdetenercopiasdeseguridaddetodosnuestrosdatos importantes.Elhechodequeunaprdidadedatospuedaocasionarseporvarios factores(comomalware,fallasdehardwareyerroreshumanos)hacequesea completamentenecesariocontarconunmtodopararecuperaraunqueseaunacopia parcialdelosmismos.Dependiendodelacriticidaddelosdatos,ylafrecuenciacon queestoscambian,deberemosrealizarlascopiasconmsomenosfrecuencia.Enel
MonitoreoyRespuesta
Ademsdeimplementarmedidasdeseguridad,esnecesarioqueestemosen conocimientoconstantedelestadodenuestrosdispositivos.Poreso,sevuelve necesarioquecontemosconalgnsistemademonitoreo(aunqueseamuybsico)que nospermitaconocerelestadodenuestrainfraestructuraynosalerteanteposibles condicionesquerequierandenuestraatencinpersonal.
Sistemasdemonitoreo
Paraestopodemosoptartantoporsistemasdemonitoreo(comoZabbixo PandoraFMS),comoporpequeosscriptsautomatizados.Deloscuales,essiempre recomendablecontarconunsistemademonitoreo,porquenospermitentenerun mejorcontrol,sonfcilesdeadministrarysuelenmostrarreportesquepueden utilizarseparaobservarprogresosycomportamientoshabitualesdenuestrosequipos. Considerandoquenuestrainfraestructuraespequea,bastarconunnicosistema, queseencarguedemantenernosaltantodelosvaloresquemsnosinteresande nuestrosdispositivos,comolaconectividaddered,elespaciolibreenlasparticionesy lacargadelosprocesadoresylamemoriaRAM.Conestoyatendremosunexcelente panoramadelosquesucedeennuestrosservidoresydispositivosde telecomunicaciones. Obviamente,losreportesydatosgeneradosporlossistemasdemonitoreodebenser revisadosperidicamente.Deserposible,esrecomendablequeguardemoslosdatosde cadames,parapoderrealizarcomparativasyanalizarcambiosenlastendencias,lo quenosvaapermitiranticiparnosalacompradenuevohardwareoaotrostiposde modificacionesqueseannecesariasparaajustarnosanuestrasnecesidades.
Respuestaaincidentes
EnlasPyMEnosueleexistirelniveldeburocraciaqueexisteenlasgrandes corporacionespero,anas,debemosdejarregistrodetodoslosincidentesimportantes quesucedanennuestrainfraestructura.Estonosbrindareldoblebeneficiodepoder hacerunseguimientodelosproblemasocurridos,ypoderjustificarlaadquisici nde nuevosrecursos,yaseanhumanos,desoftwareodehardware. Tambindebemosconsiderarque,alcontrariodeloquemuchasvecessepiensa,es mejormantenerdocumentadostodoslosincidentesdeseguridad(comoataquesde malware,fallasdediscosdealmacenamiento,ataques,etc).Intentarsimplemente hacerdecuentaqueestetipodecosasnosucedennocreamsqueunafalsasensacin deseguridad,quepodrallegarameternosengrandesproblemas.
Palabrasfinales
Siimplementamostodaslasmedidasrecomendadasenestelibro,tendremosgran partedelabatallaganada.Perodebemosrecordarquelaseguridadinform ticaesuna tareaconstante,querequieredeatencinpermanenteydemantenernosaltantode losnuevastendenciasytecnologasdisponiblesenelmercado. Estedocumentodistamuchodesercompleto,yessimplementeunaguade recomendacionesquecadaadministradordebetenerencuentaparasupropia infraestructura.Dependiendodecadacasopuntual,podrasernecesarioimplementar medidasadicionalesalasaqudescritas. Comolograrunainfraestructuracompletamenteseguraesimposible,ynuestros recursosparaimplementarmedidasdeseguridadsuelenserlimitados,debemostratar deimplementarlasquenosaportenmsbeneficiosaunmenorcosto.Podramos afirmarqueel80%delaseguridadselograconel20%delesfuerzo,sisabemos gestionarestasmedidasadecuadamente.Porloquedeberasersumamentefcilpara nosotroslograrunbuenniveldeseguridad,basndonosenestaguaylas herramientasdecdigoabiertoqueaquserecomiendan. Conrespectoaotrasmedidasdeseguridadadicionales,deberemoshacerunan lisis correspondientedecosto/beneficio,paradeterminarsiverdaderamentesonloque necesitamosennuestraorganizacin.Perolomsimportanteesquesiempre mantengamosunaactitudproactivaybusquemoslamejoraconstante,locualnosvaa llevararesolverlosproblemas,inclusoantesdequestosocurran.