Archivo diario: junio 8, 2011

Seguridad Física, El Gran Reto para IT

Continuando la serie de aportaciones en el desarrollo a detalle del modelo de Seguridad en Profundidad, se presenta lo que concierne a la capa de Seguridad Física, una, que generalmente el personal de IT deja de lado, o permite pasar por alto, comprometiendo en gran manera la seguridad de su información, la razón es sencilla, por tratarse de un aseguramiento físico, se asume que es responsabilidad de otra área de la organización y no se le da la importancia adecuada.

Una persona no Autorizada, no debe tener acceso físico a los equipos

De nada servirá tener una cantidad de políticas de uso, plan de contingencia, procedimientos y demás, si alguna persona ajena a nuestra organización tiene acceso físico a los servidores, o pueden sustraer con facilidad equipos portátiles, dispositivos de almacenamiento, o en algún caso tenga acceso a  líneas de comunicación o de interconexión de redes, o algo mas practico, utilizar un teléfono o equipo de otra persona para hacer una llamada, o enviar un correo en su nombre.

La cantidad de ataques que pueden hacerse con el simple hecho de tener acceso a un equipo dentro de la red, es sumamente peligrosa, dependiendo de los intereses del atacante, aprovechará el tiempo, es por eso que tenemos que asegurar que el riesgo físico sea el más mínimo posible.

Una de las primeras recomendaciones, es separar el área de servidores del acceso humano, y mantenerlos en un área acondicionada para tal fin, a la cual solo tengan acceso las personas autorizadas, y exista un control a modo de bitácora de las actividades que ahí se realizan (estos documentos deben ser creados en la capa 1) , es recomendable también implementar sistemas de vigilancia IP, métodos de acceso biométricos y sistemas de identificación avanzados, también debe asegurarse que el personal que tiene acceso a estas áreas, tenga solo el nivel de acceso lógico especifico de acuerdo a sus responsabilidades, y realizar una supervisión constante.

Identificacion biometrica

El Aseguramiento físico, no solo se debe garantizar para los servidores, sino también con la misma importancia, mantener protegidos los equipos de comunicación tales como routers, switch, etc. y el cableado debe estar estructurado de tal manera que los usuarios o posibles intrusos no tengan acceso físico a él, al menos no en la parte horizontal que es la que reparte hacia cada terminal en los puntos de trabajo.

También es objeto de implementación en esta capa, un sistema de emergencia, que es el plan de contingencia operativamente hablando, un sistema eléctrico confiable, un sistema contra incendios y evaluar según sea el caso particular de cada instalación física.

Para mitigar los riesgos físicos que se puedan tener es importante seguir las siguientes recomendaciones:

  • Almacenar debidamente computadoras portátiles si no se están utilizando
  • No dejar computadoras con la sesión abierta en momentos de descanso
  • No dejar puertas abiertas de oficinas, escritorios ni centros de datos
  • Implementar  sistemas de video vigilancia
  • Establecer niveles de acceso para el personal
  • No permitir la manipulación de equipos a personas ajenas a la organización
Vease tambien:
Anuncios

Nivel de Directivas, Procedimientos y Concientización

Siguiendo con el tema, escribiremos ahora sobre la primera capa del modelo de seguridad en profundidad, la primera, en todos los sentidos, prioridad, al menos así debería ser, pues es en esta fase donde se definirá todo el accionar y comportamiento de la organización, y los usuarios en todos los niveles de la organización.

Partiremos del hecho que, en la mayoría de casos, los usuarios son inconscientes de los riesgos a los que exponen su información, ya que a veces por desconocimiento o desobediencia, hacen procedimientos no autorizados peligrosos, y no logran comprender el impacto del posible daño que pueden causar, es por eso que en esta área, debe trabajarse contantemente, no solo la evaluación de la aplicabilidad de las directivas de seguridad, sino también la concientización del personal de las organizaciones, haciéndoles ver la importancia de mantener un comportamiento de uso ordenado y responsable de sus sistemas y equipos.

En la imagen se muestran situaciones características que se presentan en una organización.

 

La capa de Directivas, procedimientos y concientización es donde se definen las directrices generales que se aplicaran en el planeamiento de todos los demás procesos y etapas de la administración, y del resto de prácticas de seguridad, por lo tanto, estas directivas o políticas deben tener un margen de maniobra suficiente, como para que puedan ser aplicadas en cualquier posible escenario y en las distintas plataformas, marcas o tipos de sistemas que se tengan en la organización, además, la directiva deberá ser lo suficientemente específica para el personal de administración de IT, ya que esta área será la encargada de implementar y monitorear este tipo de directivas o políticas.

 

Diagrama de flujo de proceso de creación de Directivas de Seguridad

 

Otro punto importante será el ámbito en el cual será aplicable una directiva de seguridad, pero esto dependerá mucho del tamaño y las características particulares de cada Organización.

Afortunadamente, en la actualidad se cuenta con una amplia gama de recursos que pueden ahorrarnos muchos dolores de cabeza, cuando se trate de implementar la seguridad a nivel de directivas y políticas de seguridad, podemos aprovechar los aportes hechos por diferentes organizaciones que se encargan de fortalecer la aplicación de la seguridad, por ejemplo tenemos a nuestra disposición el kit de materiales documentales que ofrece Microsoft, con el cual se puede ejecutar el programa de concientización en seguridad a los usuarios, podemos hacer uso de formatos pre creados y aplicarlos al proceso en nuestra organización.

Estos documentos pueden ser descargados de este Link: http://technet.microsoft.com/es-SV/security/cc165442.aspx

Es imperativo mencionar, que las políticas o directivas de seguridad deben contar con algunas características que propicien su aplicación efectiva, entre las cuales tenemos:

• El uso aceptable.

• El acceso remoto.

• La protección de la información.

• La copia de seguridad de los datos.

• La seguridad del perímetro.

• La seguridad de los dispositivos y hosts básicos.

 

Aunado a esto, la directiva deberá contar con el fundamento para que puedan realizarse las acciones correspondientes (legales o internas) al comprobar que ha sido violada o comprometida, y debe ser incluido en este proceso de creación, para cada directiva un procedimiento especifico para cada posible incidente que pueda generarse, esto es parte de un plan de contingencia, que debe ser implementado y probado en escenarios de laboratorio para mayor seguridad.

También es importante estudiar el mapa de procesos de seguridad, para identificar el orden de prioridades que deben tomarse en cuenta en la implementación de esta capa de seguridad: http://technet.microsoft.com/es-ar/security/cc451907


Modelo de Seguridad en Profundidad

Apuesta de Microsoft para la Seguridad de los sistemas Informáticos.

Siguiendo en la línea de la seguridad, dedicamos estas líneas a conocer el llamado modelo “Seguridad en Profundidad” el cual es promovido por Microsoft como un conjunto necesario de prácticas para mantener seguro un sistema o una red de sistemas.

Este modelo plantea la concepción de la seguridad como el efecto de una eficiente administración del riesgo, y propone una estructura definida en capas en las cuales se pueden implementar acciones estratégicas para asegurar cada una de estas capas, y en el caso que alguna amenaza logrará filtrar la seguridad de alguna de estas capas, la siguiente capa, contara son sistemas de protección diferente y a otro nivel, logrando así mitigar los riesgos y evitar que el ataque pase a una siguiente etapa.

El modelo en profundidad por Microsoft es descrito por la siguiente imagen:

Modelo de Defensa en Profundidad

La imagen anterior simboliza con cada color cada una de las capas en las cuales se pueden definir estrategias acordes a la naturaleza de los posibles riesgos que hay en cada una de ellas, en la siguiente serie de post, donde definiremos cada capa del modelo y las acciones o estrategias que se aplican en cada capa, como un adelanto  podemos observar la siguiente imagen, que ejemplifica acciones estratégicas en cada una de las capas.

Acciones a Ejecutar en cada Capa

Este diagrama descriptivo, asegura por sus cualidades que al tener varios niveles de defensa, si un nivel se ve comprometido, no implica necesariamente que los siguientes niveles corran riesgos de comprometerse, pero es muy importante tomar en cuenta que la planificación de todas estas acciones, o estrategias deberán hacerse con el supuesto que la seguridad de  cada una de las capas ha sido comprometida.

Existen muchas maneras de asegurar un nivel individualmente, dependiendo cual sea y sus particularidades, se utilizan tecnologías diferentes, o estrategias que apliquen para cada uno.

Es importante mencionar, que cada acción de protección tiene un costo, por lo que en cada caso en particular debe evaluarse el valor de la información a proteger  y los costos que implicaría la pérdida o el sufrimiento de un ataque, y en este sentido planificar las acciones pertinentes para la protección de tal información.

A continuación se presenta como ejemplo un breve resumen de acciones o estrategias que podrían aplicarse en cada una de las capas:

  1. Nivel de directivas, procedimientos y concienciación: programas educativos de seguridad para los usuarios
  2. Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento
  3. Nivel perimetral: servidores de seguridad de hardware, software o ambos, y creación de redes privadas virtuales con procedimientos de cuarentena
  4. Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red
  5. Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts.
  6. Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus
  7. Nivel de datos: listas de control de acceso (ACL) y cifrado.
Como material de apoyo a este tema, se comparte una presentación oficial de Microsoft en la cual se ve a mayor detalle la explicación del modelo en Defensa a Profundidad en el siguiente enlace.  Defensa en Profundidad-Microsoft ó http://es.scribd.com/doc/57403910
Continuaremos con las entregas en las que se desarrollarán cada una de las capas.