La Seguridad Informtica enlas PyMEs

FabianPortantier
www.portantier.com

Contenidos
Prlogo Elautoconocimiento Polticasyotrosdocumentos Usuariosyadministradores Segmentacindelared Estacionesdetrabajo Servidores MonitoreoyRespuesta Palabrasfinales 3 4 6 8 10 12 13 15 17

LaSeguridadInformticaenlasPyMEs FabianPortantier 26deJuliode2011 EstedocumentoseencuentralicenciadobajoCreativeCommons.Params informacindelalicencia,visite:http://creativecommons.org/licenses/bync nd/3.0/deed.es_ES

Prlogo
Hastahacepocosaos,lostrminosSeguridadInformticayPyMEparecan incompatiblesentres,pordiversosmotivos.Principalmente,porquelaSeguridad Informticasolaseralgocostoso,tantoanivelderecursosmonetarios,comohumanos ydetiempo.Aunquequizselproblemaresidaenquenosesabaexactamenteaqu nosreferamosconSeguridadInformtica. Esbiensabidoqueactualmentedependemosdelatecnologa,ynovamosa profundizarenelporquyenelcmoestoesas,porquesimplementenosotrosmismos (lossereshumanos)hemosrealizadotodoslosesfuerzosparaqueassea. Porestemotivo,nosolamentelasgrandesempresasnecesitanconsiderarlasmedidas deseguridadinformticadentrodesusplanes,sinotambinlaspequeasymedianas empresasdebenhacerlo. Obviamente,laspequeasymedianasempresastienenlagranventajadepoder utilizarsutamaocomopuntodiferencial,quelespermitehacermsconmenos recursos.Estoesalgoquelaspequeasempresasaprendieronautilizarbienenlos aspectosdemarketing,fidelizacindeclientesyventas,peroquetambinpuedeser llevadoperfectamentealaseguridadinformtica. Acontinuacin,analizaremoslasprincipalesmedidasdeseguridadquepuedeydebe tomarunapequeaomedianaempresa(deahoraenms,'PyME')paraaumentarla seguridaddesuinfraestructurainformtica.Haremosparticularhincapienlas empresasdeLatinoamrica,enlascualeshemosobservadoquelospresupuestosde inversinentecnologasonbastantemsbajosqueenotraspartesdelmundo. Esporesoque,teniendoencuentaloscostosdeinversin,hablaremosprincipalmente deherramientasdecdigoabiertoyotrotipoderecursosgratuitos,quepueden brindarnosgrandesbeneficiosapequeoscostos(oinclusoaningncosto).

Elautoconocimiento
Elprimerpasoqueunaempresadebedarsibuscaaumentarlaseguridaddesus sistemas,esconocerexactamenteculessonsussistemas.Estoparecealgoobvio,pero lagranmayoradelasempresas(inclusolasgrandes)notieneunbuenconocimiento deculessonsusactivosinformticos.Porlotanto,sinoconocemosqutenemos,no podemosimplementarseguridadcorrectamente. Seacualfuereeltamaodenuestraempresa,nopodemosconfiarsimplementeenla memoriadeunaomspersonas,sinoqueestamosobligadosamantenerun inventariodeactivos,utilizandoalgunaherramientadiseadaparaesto.Ytambin debemostenerencuentaquelasplanillasdeclculonofueroninventadasparaesto! Existenvariossistemasdesarrolladosexclusivamenteparamanteneruninventariode activosinformticos.Loscualesnosbrindanunexcelenterecursoparaconocer exactamentequesloquetenemosennuestrared.Comoentodosloscasos,algunas herramientassernmejoresqueotras,principalmentedependiendodenuestras necesidades. UnadelasherramientasdecdigoabiertomsreconocidasesOCSInventory (http://www.ocsinventoryng.org/en),quenospermiterpidamentecontarconun inventariodeactivosinformticosmuydetallado.Esunatpicaherramientadeltipo LAMP(Linux,Apache,MySQL,PHP/Perl)queesverdaderamentefcildeinstalary administrar.Cuentaconunaarquitecturaquepermiteextendersusfuncionalidadesa travsdeplugins,ypermitelainstalacindeagentesenlosservidoresyestacionesde trabajoparaobtenermsinformacindelosmismos. Cualquieraseanuestraeleccinaqu,esimportanteremarcarquenuestroinventario debecontar,porlomenos,conlosiguiente: Unlistadodeactivosclasificados(Servidores,EstacionesdeTrabajo,Routers,etc) Caractersticasdelosmismos(SistemaOperativo,Software,Hardware,etc) Posibilidaddedeteccindecambiosenlosactivos Capacidadparadetectarnuevosactivosennuestrared Unmuchoscasos,lasherramientasnocuentanconlacapacidaddedetectarnuevos activos(OCSInventoryspuedehacerlo).Encuyocasopodemoscomplementara nuestraherramientaprincipalconotrasutilidadesmspequeas,queseencarguen demonitorearlaredconstantementeenbuscadenuevosdispositivos.

Porejemplo,podemosutilizarscriptsquerealicenpingsconstantementeo,mejora n, escuchareltrficoARPconalgnsoftwarecomoarpwatch(http://ee.lbl.gov). Tambindebemosasignarunaprioridadacadaunodenuestrosactivos.Para empezar,podemoshaceralgosimple,utilizandotresvalores:Alta,MediayBaja.Con estovamosatenerunexcelentepuntodepartidaparaseleccionarquactivosproteger primero.Laprioridaddebeserasignadateniendoencuentaqutanimportantepara elfuncionamientodenuestraempresaeseseactivo.

Polticasyotrosdocumentos
LasPyMEnosuelentenerlanecesidaddecumplirconestndaresinternacionalesde seguridadinformtica(comoISO27000),peronoporesodebemosasumirquelas polticasyestndaresnosonnecesarios.Siempreesunaexcelenteideacontarcon documentosquedetallencmoyporqudebenserrealizadaslastareasdentrodeuna organizacin. Aquesimportantequetengamosencuentaunaalineacinobligatoriaentrelos objetivosdelnegocioylaspolticasdeseguridadinformticaaaplicar.Sino conseguimosesto,noseremoscapacesdecontarconelapoyodelagerencia,yeso vuelveimposiblelaimplementacindecualquiermedidadeseguridad. Esporesoquedebemoscrear,porlomenos,tresdocumentos:

PolticadeSeguridaddelaInformacin
Eseldocumentoquemuestraelintersdelagerenciaporlaseguridaddela informacindesuempresa.Debeestarredactadoenconjuntoconlogerenciao,porlo menos,avaladoporlamisma,yexplicarcmolaseguridadinformticasealineacon losobjetivosdelaorganizacin.Notienequeserundocumentoextenso,perosdebe explicar,agrandesrasgos,quesloquelaempresaesperadelaseguridaddesu informacinyculessonlosdatosmsimportantesaproteger.Porejemplo:datosde clientes,proveedores,empleados,etc.

Polticadeusoaceptablederecursos
Estapolticadebeserfirmadaporcadaunodelosempleadosdelaorganizaci n,y debedictarqupuedehacerseconlosrecursosinformticosdelaempresa,ascomo tambinexplicarquenopuedensercompartidosconterceroslosdatosconfidenciales delaorganizacin,sinunaautorizacinpreviadelagerencia. Cabedestacarque,paraqueseaundocumentocompletamentelegal,debeestar avaladoporunabogado.Pero,encasodequenocontemosconlosrecursosparahacer esto,podemosutilizarunmodelodepolticadeusoaceptablebsico,paramantenera losempleadosinformados.

Estndaresdeequipamientoinformtico
Lainstalacinyelmantenimientodelosequiposinformticosdelaempresa,como servidores,estacionesdetrabajo,equiposdetelecomunicacionesyotros,debeestar reguladaporestndares.Noesnecesarioqueseandocumentoscomplejos,perosque expliquenculessonlasmedidasbsicasdeseguridadquedebenserimplementadas

encadatipodedispositivo.Esunaexcelenteideacontarconundocumentoparacada tipodedispositivo.Porejemplo,lapolticadeservidorespuedeexplicarque:Sedebe habilitarelfirewall,instalarunsoftwareantivirus,yrealizarcopiasdeseguridadde losdatosunavezporsemana.Obviamente,conunmejorniveldedetalle.

Usuariosyadministradores
Granpartedelasvulnerabilidadesdeseguridadquesepresentanenlossistemas, tienecomorazlamalautilizacin,tantoporpartedelosusuarioscomodelos administradores.Esporesoquedebemosrealizarcapacitacionesconstantes,paraque cadapersonadelaorganizacintengabienenclaroculessonsustareasy responsabilidades. Enelcasodelosusuarios,esmuyimportantequeseanconscientesdetodoslos peligrosalosquepuedeestarexpuestalaorganizaci nenelcasodeunamala utilizacindelossistemasoladivulgacindeinformacinconfidencial. Lamejormaneradelograrestoesconcapacitacionesbrevesyconstantes.Enelcaso dequeseanpocosempleados,podemosrealizarlaspersonalmente.Sicontamoscon empleadosdispersosenvariasubicacionesdistintas,podemosimplementaralg n sistemadeelearning,comoDokeos(http://www.dokeos.com)quenospermiteinstalar rpidamenteunaplataformadeaprendizajeenlnea. Conrespectoalosadministradoresdesistemas,esrecomendablequeseencuentren constantementecapacitadosconrespectoalasnuevastecnologas.Parapoderlograr estoesnecesarioelapoyodelagerencia.Aunquenosiempreporcuestiones econmicas,sinotambinparapoderasignardasenlosquelosempleadospuedan asistiraseminariosyeventosgratuitosdeseguridad.Existenmuchosdeestoseventos enlosquesebrindancharlasyexposicionesdeproductosynuevastecnologas,los cualespermitenalosprofesionalesmantenerseactualizados. Tambinesnecesarioquesecreeuncanaldecomunicacinyunambientede confianzaentrelosadministradoresdesistemasylosusuarios,quepermitaaestos ltimosreportarincidentesyrealizarconsultasacercadecualquierdudaquepudiera surgirenrelacinalaseguridadinformtica.Estetipodeconsultassuelenno realizarse,principalmentepormiedoopordesconocimiento,sobretodosilos empleadospuedenllegarapensarqueselosvaacastigaronoselesvaaprestarla atencinquesemerecen. Esdesumaimportanciaquelosempleadossesientanresponsables,perotambi n partcipesfundamentalesdelaseguridadenunaorganizacin,yquesean recompensadosporunbuentrabajo,ascomotambinporunenfoquecorrectoen cuantoalcuidadodelosactivosdelaorganizacin. Desdeelpuntodevistatcnico,esprcticamenteobligatorioquetantolosusuarios comolosadministradorescuentennicamenteconelmnimoniveldepermisossobre

lossistemasqueserequieranpararealizarcorrectamentesusfuncioneslaborales.De estaformaseevitantantolosproblemascausadosporaccidentes,comolos relacionadosconaccionesmalintencionadas. Porltimo,sedebeteneruncontactoespecialmentecercanoconeldepartamentode recursoshumanos,afindeestaraltantodelasmodificacionesenlaplantillade empleados.Recordemosque,anteundespido,losaccesosalossistemasdelapersona afectadadebenserrevocadosinclusoantesdequelamismaseenteredesucondici n. Estoevitarcualquierposibleaccinqueelexempleadopudierarealizarencontrade laorganizacin.Enelcasodenuevascontrataciones,quesepamosdeantemanolos detalles,nosvaapermitirotorgarconantelacinlospermisosdeaccesonecesariosal empleadoqueseencuentraporingresaralaorganizacin.

Segmentacindelared
Laconectividadentrelosdispositivosinformticospermitetantolaoptimizacinde tareasyelaumentodelaproductividad,comolaposibilidaddeataquesdesdeun dispositivoaotro.Esporesoquedebemosmantenerunbuennivelentrelausabilidad delossistemasylasmedidasdeseguridadqueaplicamosalosmismos. Unadelasprincipalesmedidasdeseguridadparaunaredeslasegmentaci ndela misma,lacualnospermitedefinirpartesdelaredquetenganunaccesorestringido. Enlasredespequeas,puedendefinirsepocossegmentos,queserecomiendaestn separadosporalgndispositivodeseguridaddeltipofirewall.Podemosencontraruna listadedistribucionesdiseadasparasuusocomofirewallenWikipedia. Podemoscomplementarestasseparacionesutilizandoredeslocalesvirtuales(VLAN), aunquenosiemprepodremoscontarconequipamientoconsoporteparaesta tecnologa,debidoaquelosswitchesdegamabajanosuelensergestionables. Sibiencadaorganizacintienesusnecesidadespuntuales,podemosremarcartres segmentoscomunesquepuedenencontrarseencualquierred:

Redderealocal(LAN)
Eslaredenlaqueseencuentranlasestacionesdetrabajo.Enunaempresaconpocos dispositivos,puedeencontrarseunificaday,enredesmsgrandes,pueden segmentarseporsubredes,porsectordelaempresa.Enelcasodequecontemoscon accesosinalmbricos,podemosoptarpormantenerlosenestesegmentooasignaruno dedicadoaestatarea,dependiendoprincipalmentedesisetratadeunacceso protegido,slodisponiblesparalosempleados,oesunaccesoparaclienteseinvitados.

Reddeservidores
Losdispositivosqueprestanserviciosrequierenunniveldeproteccinmsavanzado quelasestacionesdetrabajo,asqueselesdebeasignarunsegmentopropio,elcual debemosmantenermuycontrolado.Enelcasodecontarcondispositivosqueexpongan serviciosaccesiblesatravsdeinternet,stosdebenserubicadosenunsegmento aparte,denominado'zonadesmilitarizada'(DMZ).

Enlaceconinternet
Nodebemosolvidarqueesteenlacedebeserprotegido,tantoparalasconexiones entrantescomosalientes.Enelcasodelasconexionesentrantes,debemossermuy restrictivos,ypermitirsolamentelomnimonecesarioindispensable.Y,enelcasode

lasconexionessalientes,debemosrestringirelaccesoasitiosquepudieran representarcontenidomalicioso,comositiospornogrficosydedescargadesoftware noconfiable.

Estacionesdetrabajo
Lasestacionesdetrabajosuelenserelpuntodeentradaparalosataques,debidoaque procesanunagrancantidaddeinformacinyaccedenamltiplesredesydispositivos, comoCD/DVD,pendrivesUSB,etc.Esporesoquedebemosprotegerlaseimplementar variasmedidasdeseguridad.Comolagranmayoradelasestacionesdetrabajoutiliza sistemasoperativosMicrosoftWindows,noscentraremosenlasmedidasms relevantesparaestaplataforma.

SoftwareAntiMalware
Elmalware(queagrupasoftwarecomovirus,malware,spywareyotros)eslaprincipal causademalfuncionamientoenestacionesdetrabajo.Paraprotegerlas,debemos instalaralgnsoftwareantimalware.Enelcasodecontarconunapequeacantidad deestacionesdetrabajo,podemosoptarporinstalaralgunasolucingratuita,que generalmentetienecomodesventajanopodergestionarsedeformacentralizada.En otrocaso,podemoscontarconalgunaversindeltipoSmallBusiness,quesuelenser fcilmentegestionablesycuentanconunniveldeproteccinaceptable.

Redesinalmbricas
Elaccesoaredesinalmbricasdebeserbloqueado,salvoqueseaestrictamente necesarioparalarealizacindelastareaslaborales.Estetipodeconexionespodra permitirquedispositivosdeotrasredesintercambieninformacinconnuestras estacionesdetrabajo,atacndolasoinfectndolasconmalware.

PendrivesUSB
LospendrivesUSBdebenserbloqueadoso,porlomenos,protegidosdetalmaneraque nopuedaconectarsecualquierdispositivoyqueseanalicenlosdatosenbuscade malware.Muchosdelosvirusmspeligrosossetransmitenatravsdelospuertos USB,porloquetendremosquehacerunabuenaevaluacindesivaleonolapena permitirestetipodeconexiones.

Dispositivosporttiles
Losnotebooks,netbooks,tablets,smartphonesytodoslosdemsdispositivos porttilessehanvueltomuydemoda,perotraenconsigonuevosriesgosdeseguridad quedebemosconsiderarseriamente.Laprincipalamenazaquerepresentanesla capacidaddeconectarseavariasredesdiferentes,loquelosexponeavariostiposde ataquesymalware.Adems,sufacilidadparaserrobadohacequeseanecesario implementarmedidasdeencripcindediscos,comoTrueCrypt(www.truecrypt.org).

Servidores
Estetipodedispositivossoncrticosparatodaorganizacin,debidoaquesonlos encargadosdealmacenaryprocesarlosdatos,yunafallaenellospodr asignificarla prdidaoelrobodeinformacinconfidencial.Esporesoquedebemosimplementar medidasdeseguridadrigurosas,teniendoencuentaelpropsitodecadaservidor. Abajodetallaremosciertasconsideracionesgeneralesatenerencuenta:

Gestinremota
Lasherramientasyprotocolosdegestinremota(comoRDP,SNMPySSH)deben habilitarsedeformacontrolada,configurndolosdeformaquesolamentelaspersonas autorizadaspuedanaccederaestosequipos,yquequederegistrodetodaactividad realizada.Esrecomendableutilizarsolamenteprotocolosqueencripteneltr ficoque viajaporlared,paraevitarelrobodecontraseas.

Firewalls
Ademsdelosdispositivosdefirewallquepodamosutilizarennuestrared,es necesarioquecadaservidortengaconfiguradoensoftwarequefiltrelasconexiones entrantesysalientes,afindelimitarlosaccesosalmismo.Debemosconsiderar implementarlmitesparaquesolamentelosdispositivospertenecientesalos administradoresdesistemastenganlaposibilidaddeaccederalasinterfacesde administracindelosservidores.

Deteccindeintrusos
Deserposible,esrecomendablequeimplementemosalgnsoftwareparaladeteccin deintrusos,quebsicamenteseencargandemonitorearlosarchivoscrticosdel sistemayalertanacercademodificacionesalosmismos.Adem s,tambinpueden detectarotrostiposdecomportamientosextraos,quepodranrequerirlaatencindel administrador. UnabuenaopcinparaestetipodesoftwareesOSSEC(www.ossec.net),quecorre tantoenplataformasWindowscomoensistemastipoUnix(comoLinux,BSDyMac).

Copiasdeseguridad
Debemosasegurarnosdetenercopiasdeseguridaddetodosnuestrosdatos importantes.Elhechodequeunaprdidadedatospuedaocasionarseporvarios factores(comomalware,fallasdehardwareyerroreshumanos)hacequesea completamentenecesariocontarconunmtodopararecuperaraunqueseaunacopia parcialdelosmismos.Dependiendodelacriticidaddelosdatos,ylafrecuenciacon queestoscambian,deberemosrealizarlascopiasconmsomenosfrecuencia.Enel

casodequecontemosconvariosservidores,esunaexcelenteideaimplementaralgn servidoresdecopiasdeseguridad,comoBacula(www.bacula.org)oAmanda (www.amanda.org).

MonitoreoyRespuesta
Ademsdeimplementarmedidasdeseguridad,esnecesarioqueestemosen conocimientoconstantedelestadodenuestrosdispositivos.Poreso,sevuelve necesarioquecontemosconalgnsistemademonitoreo(aunqueseamuybsico)que nospermitaconocerelestadodenuestrainfraestructuraynosalerteanteposibles condicionesquerequierandenuestraatencinpersonal.

Sistemasdemonitoreo
Paraestopodemosoptartantoporsistemasdemonitoreo(comoZabbixo PandoraFMS),comoporpequeosscriptsautomatizados.Deloscuales,essiempre recomendablecontarconunsistemademonitoreo,porquenospermitentenerun mejorcontrol,sonfcilesdeadministrarysuelenmostrarreportesquepueden utilizarseparaobservarprogresosycomportamientoshabitualesdenuestrosequipos. Considerandoquenuestrainfraestructuraespequea,bastarconunnicosistema, queseencarguedemantenernosaltantodelosvaloresquemsnosinteresande nuestrosdispositivos,comolaconectividaddered,elespaciolibreenlasparticionesy lacargadelosprocesadoresylamemoriaRAM.Conestoyatendremosunexcelente panoramadelosquesucedeennuestrosservidoresydispositivosde telecomunicaciones. Obviamente,losreportesydatosgeneradosporlossistemasdemonitoreodebenser revisadosperidicamente.Deserposible,esrecomendablequeguardemoslosdatosde cadames,parapoderrealizarcomparativasyanalizarcambiosenlastendencias,lo quenosvaapermitiranticiparnosalacompradenuevohardwareoaotrostiposde modificacionesqueseannecesariasparaajustarnosanuestrasnecesidades.

Respuestaaincidentes
EnlasPyMEnosueleexistirelniveldeburocraciaqueexisteenlasgrandes corporacionespero,anas,debemosdejarregistrodetodoslosincidentesimportantes quesucedanennuestrainfraestructura.Estonosbrindareldoblebeneficiodepoder hacerunseguimientodelosproblemasocurridos,ypoderjustificarlaadquisici nde nuevosrecursos,yaseanhumanos,desoftwareodehardware. Tambindebemosconsiderarque,alcontrariodeloquemuchasvecessepiensa,es mejormantenerdocumentadostodoslosincidentesdeseguridad(comoataquesde malware,fallasdediscosdealmacenamiento,ataques,etc).Intentarsimplemente hacerdecuentaqueestetipodecosasnosucedennocreamsqueunafalsasensacin deseguridad,quepodrallegarameternosengrandesproblemas.

Conrespectoalsistemaquepodemosutilizarparaelseguimientodecasos,noes necesarioqueinstalemosalgomuycomplejo,sinosimplementealgnsistemade ticketsquenospermitaabrircasos,darlesseguimientoycerrarlosparaquequedenen elhistorialparaposterioresrevisionesyreportes.Unodelosmejoressistemasde ticketsdecdigoabiertoesMantis(www.mantisbt.org).

Palabrasfinales
Siimplementamostodaslasmedidasrecomendadasenestelibro,tendremosgran partedelabatallaganada.Perodebemosrecordarquelaseguridadinform ticaesuna tareaconstante,querequieredeatencinpermanenteydemantenernosaltantode losnuevastendenciasytecnologasdisponiblesenelmercado. Estedocumentodistamuchodesercompleto,yessimplementeunaguade recomendacionesquecadaadministradordebetenerencuentaparasupropia infraestructura.Dependiendodecadacasopuntual,podrasernecesarioimplementar medidasadicionalesalasaqudescritas. Comolograrunainfraestructuracompletamenteseguraesimposible,ynuestros recursosparaimplementarmedidasdeseguridadsuelenserlimitados,debemostratar deimplementarlasquenosaportenmsbeneficiosaunmenorcosto.Podramos afirmarqueel80%delaseguridadselograconel20%delesfuerzo,sisabemos gestionarestasmedidasadecuadamente.Porloquedeberasersumamentefcilpara nosotroslograrunbuenniveldeseguridad,basndonosenestaguaylas herramientasdecdigoabiertoqueaquserecomiendan. Conrespectoaotrasmedidasdeseguridadadicionales,deberemoshacerunan lisis correspondientedecosto/beneficio,paradeterminarsiverdaderamentesonloque necesitamosennuestraorganizacin.Perolomsimportanteesquesiempre mantengamosunaactitudproactivaybusquemoslamejoraconstante,locualnosvaa llevararesolverlosproblemas,inclusoantesdequestosocurran.