Protección de datos y seguridad informática

seg_info_lopdPor Romina Florencia Cabrera

La seguridad de la información, en especial en el campo de la sociedad virtual y globalizada se ve afectada en estos últimos tiempos por diferentes incidentes de seguridad que menoscaban los sistemas informáticos y exponen sus vulnerabilidades, a un punto tal de generar , muchas veces, desconfianza en las empresas o instituciones afectadas.

En muchísimos casos, la fuga de datos personales como ser cartera de clientes o información clasificada y datos sensibles del personal de la empresa o institución vulnerada, como también ,archivos confidenciales o esenciales para el éxito del negocio o gestión gubernamental.

Dada mi experiencia en el campo de los recursos humanos y en el derecho informático, he llegado a comprobar, que la mayor fuga de información es generalmente vinculada al espionaje industrial por parte de empleados o miembros de la organización, mediante ataques perpetrados por medios tecnológicos, o simplemente por un descuido en la seguridad física de la institución o empresa. Después se debe comprobar la veracidad de los hechos y evaluar la evidencia, dado el derecho de defensa de los posibles sospechosos (Art. 18 Constitución Nacional Argentina; Art. 8 y 9 Pacto de San José de Costa Rica, etc.).

Por todo lo expresado anteriormente es necesaria una prevención correcta en la seguridad de la información, para que los posibles ataques informáticos no alteren la excelencia del trabajo.

También es necesario realizar una evaluación tecnológica, para comprobar el estado de los sistemas de la información, y proyectar las posibles alteraciones en el futuro. [1]

A continuación veremos algunas recomendaciones en seguridad de la información:

Penetration Test (Pruebas de Intrusión)

El Penetration Test conforma una serie de pruebas y análisis mayormente científico, basado en mejores prácticas seguridad, métricas aplicadas y fuertemente experiencia práctica de los especialistas involucrados.

El objetivo general es emular el comportamiento de un intruso malicioso (delincuente informático), de forma tal que se puedan encontrar debilidades y vulnerabilidades. La conjunción permite determinar determinados riesgos en la infraestructura informática de la organización. En base a ello el siguiente paso será tomar acciones preventivas, mitigantes o correctivas.

En particular el Penetration Test, determina cómo se encuentra el nivel de seguridad de la organización, los puntos críticos y las posibilidades de acción frente a estos[2]

¿Qué tipos de servicios Penetration Test existen?

Según la información a descubrir:

  • Black Box (Blind): El Security Tester, no cuenta con ninguna información del objetivo.
  • Double Black Box (Double Blind): El cliente NO tiene conocimiento de qué tipo de test se realizará, cómo se realizará ni cuándo.
  • White Box: El Security Tester tiene total conocimiento detallado sobre el objetivo. El cliente está alertado de las tareas a realizar por el Security Tester, al igual que la forma y el momento en que las realizará.
  • Gray Box: También conocido como Internal Testing. Examina el nivel de acceso desde la red interna (CEH Definition). El Security Tester, sólo conoce información parcial de los objetivos, la cual es seleccionada por el cliente.
  • Double Gray Box: El cliente tiene conocimiento de qué tipo de test se realizará pero NO tiene información sobre el cómo y cuándo

Según el procedimiento operativo a realizar:

  • Remote Network Hack: Simula un ataque a través de Internet.
  • Remote Dial-Up Network Hack: Simula un ataque lanzado contra el pool de módems del cliente (War dialing).
  • Local Network Hack: Simula el ataque de una persona con acceso físico tratando de obtener accesono autorizado a través de la red local.
  • Stolen Equipment Hack: Simula el hurto de un recurso que posea información crítica, como una laptop.
  • Social Engineering Attack: Simula un intento de obtención de información a través de dicha técnica.
  • Physical Entry Attack: Simula el intento de intrusión física a las facilidades de la organización.

Según el objeto bajo análisis puede ser:

  • Sistema Operativo: Instalaciones por default, servicios iniciados, bugs de desarrollo.
  • Aplicaciones: Aplicaciones mal desarrolladas, sin testing y/o sin mantenimiento.
  • Código Shrink-Wrap: Funcionalidades legales de una aplicación que pueden ser utilizadas con fines maliciosos. Ej: Macros, Scripts, etc.
  • Errores de Configuración: La mayoría de los sistemas presentan vulnerabilidades ocasionadas por configuraciones débiles o incorrectas[3]

¿Cómo se realiza este servicio de Penetration Test?

  • Reconocimiento (Reconnaissance):  Recolectar la mayor cantidad de información sobre la víctima como sea posible, utilizando todos los medios disponibles. Técnicas: Búsqueda de Información en la Web, Information Gathering, Dumpster Divinig (Pasivas), Network Scanning, Ingeniería Social (Activas), etc.
  • Escaneo (Scanning): Utilizando la información obtenida en el paso 1 se examina la red informática de la víctima en busca de potenciales vulnerabilidades. Técnicas: Dialers, Port Scanners, Network Mappers, Sniffers, VulnerabilityScanners, Wireless Detectors, Sweepers, etc.
  • Obtención de Acceso (Gaining Access): También llamado “Fase de Penetración”, es donde se efectiviza el ataque al hacer uso de las herramientas de explotación de Vulnerabilidades. Técnicas: DoS y DDoS, Exploiting, Session Hijacking, Password Cracking, BufferOverflow, Remote Access, etc.
  • Mantenimiento del Acceso (Maintaining Access): Una vez accedido al sistema, el atacante deberá establecer un método de reingreso simple y sin controles. Técnicas: Backdoors, Rootkits, Troyans, Reconfiguración del Sistema, inicio o baja de servicios específicos, atacar otros equipos dentro de la red, etc.
  • Eliminación de Rastros (Clearing Tracks): El atacante debe cubrir su historial de actividad para evitar ser detectado y nodivulgar las acciones realizadas para poder prolongar su ataque, lograr el reingreso y permanencia en el sistema, eliminar evidencias de su ataque yevitar acciones legales. Técnicas: Esteganografía, Borrado o modificación de los archivos de logs, implantación de túneles de acceso invisibles, indetectables o ilegibles, etc.[4]

Vulnerability Assesment (Evaluación de Vulnerabilidad)

Los servidores, sistemas y redes de datos constituyen la infraestructura elemental por donde fluyen los negocios de cualquier tipo de organización. Generalmente los tiempos, los contextos cambiantes y la complicada tecnología de hoy, provoca que la instalación de esta infraestructura no se encuentre optimizada, se configure con valores por defecto o no están preparadas de manera suficiente para afrontar los niveles de seguridad necesarios.

Mediante el proceso de Hardening se procede a optimizar y actualizar las plataformas según las evaluaciones de vulnerabilidad, en efecto, la criticidad de la infraestructura. El objetivo es que la información de la organización fluya de manera segura, por las redes internas y externas.[5]

¿Qué beneficio genera el servicio de Hardening?

  • Comprender el cuadro de riesgo que actualmente posee la infraestructura y el impacto que ella genera en la organización.
  • Implementar una solución integral efectiva, alineada a las nuevas prácticas de la industria y a la estrategia de la organización.
  • Mitigar las brechas bajo seguimiento entre lo detectado, lo mejorado y el objetivo determinado por la organización.
  • Proveer de recomendaciones al equipo de tecnología y seguridad en el plan de mejoras de las brechas detectadas.
  • Mejorar el nivel de rendimiento, funcionamiento y seguridad de la infraestructura existente.[6]

¿Cómo se realiza este servicio de Hardening?

  • Instalaciones por Default: Este tipo de instalaciones por general presentan vulnerabilidades, por lo cual, es sumamente necesario personalizar la instalación.
  • Servicios y aplicaciones innecesariamente iniciados de manera automática: Estando activos son un potencial vector de ataque, pueden darse de baja sin inconvenientes.
  • Actualizaciones de seguridad: El equipo requiere constante actualización, por ende, es necesario mantenerlo con los niveles de seguridad al dia, para evitar cualquier tipo de conflicto externo.
  • Políticas: Establecer políticas de seguridad a nivel local, de la red, o del dominio entero.
    Permisos de usuario: Restringir los permisos de usuario al mínimo necesario y no dar de alta usuarios que no se utilicen, y dar de baja usuarios que dejen de interactuar con el equipo.[7]

Consultoría en Seguridad de la Información

¿Qué es un activo de información?

Si nos tomamos unos minutos para analizar un día completo en las organizaciones, comprendemos que en cada una de las actividades que desarrollamos estamos en contacto con información que nos permite mejorar el conocimiento y aprender, reducir nuestra incertidumbre permitiéndonos decidir la mejor acción entre varias, o proporcionar una serie de reglas con fines de control o evaluación.

La información se convierte en un activo, tan importante como los activos económicos y humanos que posee la organización, y por consiguiente deben ser protegidos de un modo adecuado. Ninguna persona estaría de acuerdo en perder dinero, debido a un agujero en el bolsillo. Ningún líder de proyecto estaría conforme en perder uno de los talentos de su equipo, particularmente en medio de un proyecto. Ningún programador estaría motivado en comenzar su día laboral al enterarse que la última versión del código fuente finalizado ayer, se ha perdido debido a que el servidor que lo almacenaba quedó fuera de funcionamiento y la última copia de seguridad disponible es de un mes atrás.

Los tres pilares del valor de la información

¿Cuál es el valor de los activos de información para nuestra organización, para nuestro equipo de trabajo y para nosotros mismos? A fin de determinar el valor de estos activos, debemos conocer los tres pilares que clasifican la importancia y prioridad de los mismos:

  • Confidencialidad: solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
  • Integridad: la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento. Este pilar determina la manera en que es controlada la persona antes de acceder a la información.
  • Disponibilidad: la información estará disponible siempre que cualquier persona autorizada necesite hacer uso de ella. Clasificando este pilar de acuerdo a la velocidad de recupero necesaria para que la información esté disponible.[8]

Por todas las recomendaciones expresadas anteriormente, se deben tomar todos los recaudos necesarios para cuidar el activo más importante de las empresas e instituciones gubernamentales hoy en día: la información y los datos personales; quien tiene la información y el conocimiento tiene el poder y puede influir en la toma de decisiones, tanto en el   sector público como en el privado, solamente con acceder a una base de datos.

[1] Horacio H. Godoy, “Socialware”, Informática, Cooperativa, Desarrollo; Fundación Cuenca Del Plata, Primeras Jornadas Nacionales y Segundas Provinciales de Informática para el Cooperativismo Eléctrico Argentino. Luján, Provincia de Buenos Aires, Agosto 13/15, 1987.

[2] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[3] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[4] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[5] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[6] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[7] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[8] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html