2004 - politicas de seguridad

8/7/2019 2004 - Politicas de Seguridad

1/26

Seguridad Informtica Polticas de SeguridadAmendolia, Diego; Cendagorta, Juan

Polticas de Seguridad Informticas

Polticas generales de seguridad

Qu son las polticas de seguridad informtica (PSI)?

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y losgerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con losrecursos y servicios informticos, importantes de la organizacin.

No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legalque involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los quedeseamos proteger y el por qu de ello.

Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos yservicios informticos crticos de la compaa.

Elementos de una poltica de seguridad informticaUna PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto,requiere de una disposicin por parte de cada uno de los miembros de la empresa para lograruna visin conjunta de lo que se considera importante.

Las PSI deben considerar entre otros, los siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.Es una invitacin de la organizacin a cada uno de sus miembros a reconocer lainformacin como uno de sus principales activos as como, un motor de intercambio ydesarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin.

Objetivos de la poltica y descripcin clara de los elementos involucrados en sudefinicin. Responsabilidades por cada uno de los servicios y recursos informticos a todos los

niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija

el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica. Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene

acceso.

Las PSI deben ofrecer explicaciones comprensibles acerca de por qu deben tomarse ciertasdecisiones, transmitir por qu son importantes estos u otros recursos o servicios.

De igual forma, las PSI establecen las expectativas de la organizacin en relacin con laseguridad y lo que ella puede esperar de las acciones que la materializan en la compaa.Deben mantener un lenguaje comn, libre de tecnicismos y trminos legales que impidan unacomprensin clara de las mismas, sin sacrificar su precisin y formalidad dentro de la empresa.Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, elrango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase desanciones que se puedan imponer. No debe especificar con exactitud qu pasara o cundo algosuceder; no es una sentencia obligatoria de la ley.

Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un procesode actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de laplanta de personal, cambio en la infraestructura computacional, alta rotacin de personal,desarrollo de nuevos servicios, cambio o diversificacin de negocios entre otros.

1


2/26


Espere lo inesperado

Imagine lo que sucedera si:

La informacin esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada oborrada.

Los sistemas de correo electrnico no funcionaran durante un da o ms. Cuntocostara esta improductividad? Los clientes no pudieran enviar rdenes de compra a travs de la red durante un

prolongado periodo de tiempo.

Se espera que los ejecutivos corporativos se interesen cada vez ms directamente en laprevencin de desastres fsicos y espionaje. Implementar una poltica de seguridad completa leda valor a su empresa. Tambin mejorar la credibilidad y reputacin de la empresa yaumentar la confianza de los accionistas principales, lo que le dar a la empresa una ventajaestratgica.

Cmo desarrollar una poltica de seguridad? Identifique y evale los activos: Qu activos deben protegerse y cmo protegerlos

de forma que permitan la prosperidad de la empresa: Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de

disco, computadoras personales, tarjetas, router, impresoras, lneas decomunicacin, cableado de la red, servidores de terminales, bridges.

Software: sistemas operativos, programas fuente, programas objeto, programasde diagnstico, utileras, programas de comunicaciones.

Datos: durante la ejecucin, almacenados en lnea, archivados fuera de lnea, back-up, bases de datos, en trnsito sobre medios de comunicacin.

Personas: usuarios, personas para operar los sistemas. Documentacin: sobre programas, hardware, sistemas, procedimientos

administrativos locales.

Identifique las amenazas: Cules son las causas de los potenciales problemas deseguridad? Considere la posibilidad de violaciones a la seguridad y el impacto quetendran si ocurrieran. Estas amenazas son externas o internas:

o Amenazas externas: Se originan fuera de la organizacin y son los virus,gusanos, caballos de Troya, intentos de ataques de los hackers, retaliacionesde ex-empleados o espionaje industrial.

o

Amenazas internas: Son las amenazas que provienen del interior de laempresa y que pueden ser muy costosas porque el infractor tiene mayor accesoy perspicacia para saber donde reside la informacin sensible e importante. Lasamenazas internas tambin incluyen el uso indebido del acceso a Internet porparte de los empleados, as como los problemas que podran ocasionar losempleados al enviar y revisar el material ofensivo a travs de Internet.

Evalu los riesgos: ste puede ser uno de los componentes ms desafiantes deldesarrollo de una poltica de seguridad. Debe calcularse la probabilidad de que ocurranciertos sucesos y determinar cules tienen el potencial para causar mucho dao. Elcosto puede ser ms que monetario - se debe asignar un valor a la prdida de datos, laprivacidad, responsabilidad legal, atencin pblica indeseada, la prdida de clientes o dela confianza de los inversionistas y los costos asociados con las soluciones para lasviolaciones a la seguridad.

2


3/26


Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude aidentificar las amenazas potenciales en todas las reas de la empresa. Sera ideal laparticipacin de un representante por cada departamento de la compaa. Losprincipales integrantes del equipo seran el administrador de redes, un asesor jurdico,un ejecutivo superior y representantes de los departamentos de Recursos Humanos yRelaciones Pblicas.

Establezca polticas de seguridad: Cree una poltica que apunte a los documentosasociados; parmetros y procedimientos, normas, as como los contratos de empleados.Estos documentos deben tener informacin especfica relacionada con las plataformasinformticas, las plataformas tecnolgicas, las responsabilidades del usuario y laestructura organizacional. De esta forma, si se hacen cambios futuros, es ms fcilcambiar los documentos subyacentes que la poltica en s misma.

Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen laexperiencia y son fuente principal para establecer el alcance y las definiciones deviolaciones a la PSI.

Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficiosy riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Recuerde que es necesario identificar quin tiene la autoridad para tomar

decisiones, pues son ellos los responsables de salvaguardar los activos crticos de lafuncionalidad de su rea u organizacin.

Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de laorganizacin, que permita una actualizacin oportuna de las mismas.

Un ltimo consejo: no d por hecho algo que es obvio. Haga explcito y concreto losalcances y propuestas de seguridad, con el propsito de evitar sorpresas y malosentendidos en el momento de establecer los mecanismos de seguridad que respondan alas PSI trazadas.

Implemente una poltica en toda la organizacin: La poltica que se escoja debeestablecer claramente las responsabilidades en cuanto a la seguridad y reconocer quines el propietario de los sistemas y datos especficos. Tambin puede requerir que todoslos empleados firmen la declaracin; si la firman, debe comunicarse claramente. stasson las tres partes esenciales de cumplimiento que debe incluir la poltica:

o Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y lasconsecuencias potenciales por incumplimiento.

o Funcionarios de seguridad: Nombre individuos que sean directamenteresponsables de la seguridad de la informacin. Asegrese de que no es lamisma persona que supervisa, implementa o revisa la seguridad para que no

haya conflicto de intereses.o Financiacin: Asegrese de que a cada departamento se le haya asignado los

fondos necesarios para poder cumplir adecuadamente con la poltica deseguridad de la compaa.

Administre el programa de seguridad: Establezca los procedimientos internos paraimplementar estos requerimientos y hacer obligatorio su cumplimiento.

Cuatro principios del ciclo vital de la seguridad de la informacin:Para convencer a los gobiernos de que un enfoque de lnea dura no es necesario, todas laspersonas que trabajan con sistemas de informacin, deben participar activamente en el

desarrollo y uso de las prcticas exitosas de la seguridad. Esto significa en realidad entender yadoptar los cuatro principios bsicos del ciclo de vida de seguridad de la informacin, los cualesse pueden resumir as:

3


4/26


1. Evaluacin de riesgos: Evaluar los riesgos de seguridad de la informacin ydeterminar niveles de riesgos aceptables. .

2. Diseo e implementacin de la seguridad: Incorporar las polticas, normas,procedimientos y la tecnologa de la seguridad como elementos esenciales en el diseoe implementacin de todos los sistemas y redes de informacin.

3. Manejo de la seguridad: Adoptar un enfoque completo para el manejo de laseguridad en todo el ciclo de vida de los sistemas y redes de informacin.4. Re-evaluacin: Estudiar y re-evaluar la seguridad de los sistemas y redes de

informacin y si es pertinente, modificar las polticas, normas, procedimientos ytecnologa.

Proposicin de una forma de realizar el anlisis para llevar a cabo un sistemade seguridad informtica

AmenazasPosibles

Consecuencias Factor HumanoMecanismosAmbiente

Base del Anlisis del Sistema de Seguridad

Revisin

Programa de Seguridad

Plan de Accin

Procedimientos y

Normativas

Controles yVigilancia

Auditoria de Sistemas

de Seguridad

LogfilesSimulacin

Tal como puede visualizarse, en el grfico estn todos los elementos que intervienen para elestudio de una poltica de seguridad.

Se comienza realizando una evaluacin del factor humano interviniente teniendo en cuentaque ste es el punto ms vulnerable en toda la cadena de seguridad -, de los mecanismos con

que se cuentan para llevar a cabo los procesos necesarios ( mecanismos tcnicos, fsicos lgicos), luego, el medio ambiente en que se desempea el sistema, las consecuencias quepuede traer aparejado defectos en la seguridad (prdidas fsicas, prdidas econmicas, en laimagen de la organizacin, etc.), y cules son las amenazas posibles.

Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra lospasos a tomar para poder asegurar el umbral de seguridad que se desea.

Luego, se pasa al plan de accin, que es cmo se va a llevar a cabo el programa deseguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buendestino.

Con el propsito de asegurar el cumplimiento de todo lo anterior, se realizan los controles yla vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurarun marco efectivo, se realizan auditoras a los controles y a los archivos logsticos que se

4


5/26


generen en los procesos implementados (de nada vale tener archivos logsticos si nunca se losanalizan o se los analizan cuando ya ha ocurrido un problema).

Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular eventosque atenten contra la seguridad del sistema. Como el proceso de seguridad es un procesodinmico, es necesario realizar revisiones al programa de seguridad, al plan de accin y a los

procedimientos y normas. Estas revisiones, tendrn efecto sobre los puntos tratados en elprimer prrafo y, de esta manera, el proceso se vuelve a repetir.

Es claro que el establecimiento de polticas de seguridad es un proceso dinmico sobre el quehay que estar actuando permanentemente, de manera tal que no quede desactualizado; que,cuando se le descubran debilidades, stas sean subsanadas y, finalmente, que su prctica porlos integrantes de la organizacin no caiga en desuso.

Cumplimiento de las polticas y normativas de seguridadLas empresas necesitan establecer polticas, estndares y procedimientos de seguridad parahacer cumplir la seguridad de la informacin de forma estructurada. Una evaluacin de riesgosle ayudar a identificar y administrar las vulnerabilidades de su entorno., Con base en esteanlisis, usted puede desarrollar un marco de polticas apropiado y empezar a construir unconjunto de polticas adaptadas a su empresa.

La norma ISO 17799 es una de las muchas regulaciones y estndares gubernamentales, o delsector, que las empresas estn incorporando a sus polticas de seguridad. Su empresa tambinpuede estar sujeta a normativas de seguridad especficas del sector, tales como HIPAA y GLBA.Estas polticas externas deben cumplirse, adems de las propias polticas internas de sucompaa. Una cosa es adoptar una poltica de seguridad y otra muy diferente es administrarlay cumplirla eficazmente. Actualizar los controles de acceso, y las medidas de autenticacin yautorizacin en todos los niveles de la red es una necesidad imperiosa para una poltica deseguridad eficaz. La omisin de esta informacin puede incrementar la exposicin a riesgos. Lascompaas pueden contar con polticas de seguridad de la informacin para proteger los activosimportantes y los datos crticos, pero muy rara vez cuentan con los medios para monitoreareficazmente el cumplimiento de esta poltica.

Por qu las polticas de seguridad informtica generalmente no consiguenimplantarse?Muchas veces, las organizaciones realizan grandes esfuerzos para definir sus directivas deseguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativoxito. Segn algunos estudios resulta una labor ardua convencer a los altos ejecutivos de lanecesidad de buenas polticas y practicas de seguridad informtica.

Muchos de los inconvenientes se inician por los tecnicismos informticos y por la falta de unaestrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos apensamientos como: "ms dinero para los juguetes de los ingenieros".

Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentrenexpuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometersu informacin sensible y por ende su imagen corporativa.

Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personasrelevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y estn deacuerdo con las decisiones tomadas en relacin con esos asuntos.

En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor ylo peor que podra ocurrir. Una intrusin o una travesura puede convertir a las personas que no

5
http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_1261.htmlhttp://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_1261.html


6/26


entendieron, en blanco de las polticas o en seuelos de los verdaderos vndalos. Luego, paraque las PSI logren abrirse espacio en el interior de una organizacin deben integrarse a lasestrategias del negocio, a su misin y visin, con el propsito de que los que toman lasdecisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de lacompaa.

De igual forma, las PSI deben ir acompaadas de una visin de negocio que promuevaactividades que involucren a las personas en su hacer diario, donde se identifiquen lasnecesidades y acciones que materializan las polticas. En este contexto, entender laorganizacin, sus elementos culturales y comportamientos nos debe llevar a reconocer laspautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones yfuncionalidad de la compaa.

A continuacin, mencionamos algunas recomendaciones para concientizar sobre la seguridadinformtica:

Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten laatencin de sus interlocutores.

Asocie el punto anterior a las estrategias de la organizacin y a la imagen que se tienede la organizacin en el desarrollo de sus actividades.

Articule las estrategias de seguridad informtica con el proceso de toma de decisiones ylos principios de integridad, confidencialidad y disponibilidad de la informacin. Muestreuna valoracin costo-beneficio, ante una falla de seguridad.

Justifique la importancia de la seguridad informtica en funcin de hechos y preguntasconcretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves dela organizacin.

Un software de seguridad muy bueno, pero muy difcil de administrarPuede ser difcil obtener informacin en tiempo real acerca de lo que sucede en su redempresarial. Si ha instalado varios dispositivos de seguridad en la red, usted sabe que senecesita tiempo para ordenar los datos que ingresan con millones de eventos y que encontrarlos problemas ms importantes a tiempo para poder actuar es todo un reto. Ms an, necesitaempleados calificados que posean la experiencia necesaria para interpretar dichos datos,independientemente de que se trate de un anlisis de tendencias o de simplemente separar unaserie de eventos importantes de los que son irrelevantes.

Una situacin tpica es cuando usted instala los componentes de seguridad por separado y cadauno de ellos viene equipado con su propia consola de administracin Usted sabe que el tiempoes vital puesto que los incidentes de seguridad no esperan a que el personal los descubra.Como usted no cuenta con una sola visualizacin de los eventos en todo el permetro de la red,

sucesos como los intentos de ingresar a su servidor corporativo, o una amenaza combinada quese atraviese en la red, pueden estar sucediendo en sus propias narices.

Control de las amenazas combinadasLas amenazas combinadas, como CodeRed y Nimda. Lo que diferencia a stas de los otrosgusanos de Internet es que utilizan mltiples mtodos de ataque o propagacin., Aparte deesto, estas amenazas nos han enseado que es anticuado el enfoque de "para cada amenaza,hay una cura". Para defender a la empresa de las amenazas combinadas, se requiereproteccin de toda la red y una capacidad de respuesta en los niveles del gateway, del servidory de los clientes. Generalmente las amenazas combinadas se aprovechan de lasvulnerabilidades conocidas, como los desbordamientos de bfer, las vulnerabilidades de la

validacin de entrada de http, las contraseas predeterminadas conocidas, entre otras. Todoesto puede atenuarse con los parches existentes de seguridad de aplicaciones y sistemas

6


7/26


8/26


estar: la realizacin de la firma con reconocimiento automtico por ordenador, el anlisis delfondo de ojo, la huella digital u otras.

Al margen de la seguridad, nos parece que el mayor riesgo, an teniendo un entorno muyseguro, es que la Informtica y la Tecnologa de la Informacin en general no cubran lasnecesidades de la entidad; o que no estn alineadas con las finalidades de la organizacin.

Limitndonos a la seguridad propiamente dicha, los riesgos pueden ser mltiples.El primer paso es conocerlos y el segundo es tomar decisiones al respecto; conocerlos y notomar decisiones no tiene sentido y debiera crearnos una situacin de desasosiego.

Dado que las medidas tienen un costo, a veces, los funcionarios se preguntan cul es el riesgomximo que podra soportar su organizacin. La respuesta no es fcil porque depende de lacriticidad del sector y de la entidad misma, de su dependencia respecto de la informacin, y delimpacto que su no disponibilidad pudiera tener en la entidad. Si nos basamos en el impactonunca debera aceptarse un riesgo que pudiera llegar a poner en peligro la propia continuidadde la entidad, pero este listn es demasiado alto.

Por debajo de ello hay daos de menores consecuencias, siendo los errores y omisiones lacausa ms frecuente - normalmente de poco impacto pero frecuencia muy alta - y otros, comopor ejemplo:

el acceso indebido a los datos (a veces a travs de redes), la cesin no autorizada de soportes magnticos con informacin crtica (algunos dicen

"sensible"), los daos por fuego, por agua (del exterior como puede ser una inundacin, o por una

tubera interior), la variacin no autorizada de programas, su copia indebida, y tantos otros, persiguiendo

el propio beneficio o causar un dao, a veces por venganza.

Otra figura es la del hacker, que intenta acceder a los sistemas sobre todo para demostrar (aveces, para demostrarse a s mismo/a) qu es capaz de hacer, al superar las barreras deproteccin que se hayan establecido. Alguien podra preguntarse por qu no se citan los virus,cuando han tenido tanta incidencia. Afortunadamente, este riesgo es menor en la actualidadcomparando con aos atrs. Existe, de todas maneras, un riesgo constante porque de formacontinua aparecen nuevas modalidades, que no son detectadas por los programas antivirushasta que las nuevas versiones los contemplan. Un riesgo adicional es que los virus puedenllegar a afectar a los grandes sistemas, sobre todo a travs de las redes, pero esto es realmentedifcil - no nos atrevemos a decir que imposible- por las caractersticas y la complejidad de losgrandes equipos y debido a las caractersticas de diseo de sus sistemas operativos.

En definitiva, las amenazas hechas realidad pueden llegar a afectar en los datos, en laspersonas, en los programas, en los equipos, en la red y algunas veces, simultneamente envarios de ellos, como puede ser un incendio.

Podramos hacernos una pregunta realmente difcil: qu es lo ms crtico que deberaprotegerse? La respuesta de la mayora, probablemente, sera que las personas resultan elpunto ms crtico y el valor de una vida humana no se puede comparar con las computadoras,las aplicaciones o los datos de cualquier entidad. Ahora bien, por otra parte, podemosdeterminar que los datos son an ms crticos si nos centramos en la continuidad de la entidad.Como consecuencia de cualquier incidencia, se pueden producir unas prdidas que pueden ser

no slo directas (comnmente que son cubiertas por los seguros) ms fcilmente, sino tambinindirectas, como la no recuperacin de deudas al perder los datos, o no poder tomar lasdecisiones adecuadas en el momento oportuno por carecer de informacin.

8


9/26


Sabemos que se producen casos similares en gran parte de entidades, pero en general noconocemos a cules han afectado (o lo sabemos pero no podemos difundirlo), porque porimagen estos no se hacen pblicos y el hecho de que se conozcan muchos ms referidos aEstados Unidos y a otros puntos lejanos que respecto de nuestros pases no significa queestemos a salvo, sino que nuestro pudor es mayor y los ocultamos siempre que podemos.

Los Problemas de la seguridadLos problemas de seguridad que surgen da a da llevan a que las altas gerencias se preguntensi el nivel de Seguridad Informtica alcanzado por la estructura existente es el que realmentenecesita la organizacin.

Los Penetration Test y el anlisis por medio de herramientas detectoras de vulnerabilidadesslo dan una foto parcial de la realidad de la Seguridad Informtica de una organizacin ,ya queno toman en cuenta la misin de negocio de cada uno de los sistemas, que es la que debedeterminar el grado de criticidad de los riesgos y el nivel de las contramedidas a implementardentro de una ecuacin econmica equilibrada.

Por lo tanto, la nica forma de evaluar la Seguridad Informtica de una Organizacin esconocer la misin de sus sistemas y aplicar metodologas de anlisis especficas.

Anlisis proactivo de Riesgos Informticos:Se revn los riesgos informticos de tipo Fsico, Tcnico y Administrativo con respecto a laIntegridad, Disponibilidad y Confidencialidad de la Informacin que manejan los Sistemas de laEmpresa.El resultado del diagnstico surge del anlisis del estado de los riesgos, de la eficiencia de lascontramedias especficas en funcionamiento y de la criticidad de la misin de cada parte delsistema.

Revisin analtica de las Polticas de Seguridad Informtica existentes:Se revn los conjuntos de normas y procedimientos implementados para la minimizacin deriesgos informticos o, en caso de que no existan de manera formal, de las soluciones deSeguridad Existentes.

El resultado del diagnstico surge del anlisis y comprobacin de la eficiencia de la Poltica paraminimizar riesgos en el marco de la problemtica informtica y necesidades de disponibilidad delos sistemas de la organizacin.

Revisin analtica de los Planes de Contingencia y Continuidad de Negocioexistentes:

Se revn los conjuntos de normas y procedimientos de recuperacin y mantenimiento deoperatividad mnima o, en caso de que no existan de manera formal, de los mecanismos decontingencia existentes.

El resultado del diagnstico surge del anlisis de la eficiencia de los planes en el marco deriesgo y de las necesidades de disponibilidad de los sistemas de la organizacin.

Revisin de Estndares y Mejores Prcticas de Seguridad Informtica:

Este servicio est pensado para las organizaciones que van a ser auditadas de manera externa

en su estructura de Seguridad Informtica, ya sea por su Casa Matriz, socios estratgicos,futuros clientes o proveedores o entidades reguladoras.

9


10/26


11/26


Anlisis del impacto generado por el personal en la variacin de los niveles deSeguridad.

Anlisis de los Planes de Contingencia y Continuidad de Negocios existentes. Desarrollo de un Plan de Reingeniera Acotada para llevar el nivel de Seguridad

Informtica de la empresa a un valor adecuado a la criticidad de las Unidades deNegocio y los Sistemas que la conforman.

Implementacin de la Reingeniera de la Poltica de Seguridad. Implementacin de la Reingeniera de los Planes de Contingencia y Continuidad deNegocios.

Capacitacin al personal. Implementacin de un sistema de Control por oposicin de la Seguridad Informtica de

la organizacin.

Este servicio tiene como objetivo, una vez realizada la reingeniera de la seguridad informticade la empresa, proveer un control peridico de los distintos componentes tecnolgicos yprocedimientos especficos que ante cambios propios del negocio puedan causar desviaciones oamenazas a la seguridad informtica.

Niveles de trabajo Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la informacin Consistencia Control de Acceso Auditora

ConfidencialidadConsiste en proteger la informacin contra la lectura no autorizada explcitamente.Incluye no slo la proteccin de la informacin en su totalidad, sino tambin las piezasindividuales que pueden ser utilizadas para inferir otros elementos de informacin confidencial.

IntegridadEs necesario proteger la informacin contra la modificacin sin el permiso del dueo. Lainformacin a ser protegida incluye no slo la que est almacenada directamente en lossistemas de cmputo sino que tambin se deben considerar elementos menos obvios comorespaldos, documentacin, registros de contabilidad del sistema, trnsito en una red, etc. Estocomprende cualquier tipo de modificaciones:

Causadas por errores de hardware y/o software.

Causadas de forma intencional. Causadas de forma accidental

Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificadosdurante su transferencia.

AutenticidadEn cuanto a telecomunicaciones se refiere, la autenticidad garantiza que quien dice ser "X" esrealmente "X". Es decir, se deben implementar mecanismos para verificar quin est enviandola informacin.No repudioNi el origen ni el destino en un mensaje deben poder negar la transmisin. Quien enva el

mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.

Disponibilidad de los recursos y de la informacin

11


12/26


De nada sirve la informacin si se encuentra intacta en el sistema pero los usuarios no puedenacceder a ella. Por tanto, se deben proteger los servicios de cmputo de manera que no sedegraden o dejen de estar disponibles a los usuarios de forma no autorizada. La disponibilidadtambin se entiende como la capacidad de un sistema para recuperarse rpidamente en casode algn problema.

ConsistenciaSe trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal maneraque los usuarios no encuentren variantes inesperadas.

Control de acceso a los recursosConsiste en controlar quin utiliza el sistema o cualquiera de los recursos que ofrece y cmo lohace.

AuditoraConsiste en contar con los mecanismos para poder determinar qu es lo que sucede en elsistema, qu es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones.En cuanto a los dos ltimos puntos resulta de extrema importancia, cuando se trata de losderechos de los usuarios, diferenciar entre espiar y monitorear a los mismos. La tica esalgo que todo buen administrador debe conocer y poseer.Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento deelaborar las polticas y procedimientos de una organizacin para evitar pasar por alto cuestionesimportantes como las que sealan dichos servicios. De esta manera, es posible sentar de formaconcreta y clara los derechos y lmites de usuarios y administradores. Sin embargo antes derealizar cualquier accin para lograr garantizar estos servicios, es necesario asegurarnos de quelos usuarios conozcan sus derechos y obligaciones (es decir, las polticas), de tal forma que nose sientan agredidos por los procedimientos organizacionales.

Elaboracin de un esquema de seguridadA pesar de que se le ha dado ms importancia al milenio de lo que debera, la preocupacin porlos siniestros causados por la tecnologa Y2K cre la necesidad de adoptar planes decontingencia. Aunque los siniestros pueden suceder cualquier da del milenio, es esencial contarcon un plan de contingencia que haga parte esencial de una efectiva estrategia de seguridadpara el departamento de TI.

Beneficios de un plan de contingencia para la seguridadLas ventajas de crear y contar con un plan de contingencia abarcan lo tangible e intangible as:

Reduccin de los costos por perjuicios si ocurre un siniestro. Las primas de seguro de bajo costo. Mayor comunicacin y mejores relaciones entre los departamentos. Una mayor conciencia entre el personal de seguridad sobre la importancia de la

seguridad y el valor de la propiedad que se est protegiendo.

Etapas clave en la elaboracin de planes de contingenciaLas partes involucradas en el desarrollo de un plan de contingencia deben saber escuchar ycomunicarse. Aunque existen algunas etapas importantes de desarrollo, mantener un buen plansignifica repetir continuamente estas etapas, volver a evaluar el plan y revisarlo.

1. Determinacin del objetivo: El punto de partida para el desarrollo de un plan decontingencia es determinar un objetivo claro. El departamento de TI y los funcionariosde nivel ejecutivo deben identificar el objetivo operativo en caso de una emergencia enmateria de seguridad. Por ejemplo, determinar si el objetivo es proteger ciertainformacin y bienes, es mantener operaciones comerciales o brindar un excelente

12


13/26


servicio al cliente. El objetivo ayudar al departamento de TI a definir un planestratgico de accin y determinar los recursos que se deben proteger primero.

2. Realizacin de un inventario completo: Se deben identificar las principalesherramientas de TI, los recursos y las tareas necesarias para realizar negocios y atenderlas funciones crticas establecidas en el objetivo de la elaboracin de planes de

contingencia. El inventario debe incluir recursos auxiliares como suministros de energay recursos de respaldo.

3. Anlisis de riesgos: Evale los perjuicios financieros, tcnicos jurdicos y operativostotales que pudieran ocurrir como resultado de una brecha del sistema de seguridad. Elriesgo abarcara perjuicios potenciales a los clientes y compaas. Tambin analiceamenazas a la seguridad y los perjuicios que potencialmente podran ocasionar a variosdepartamentos y operaciones. El software de administracin de riesgos a la seguridadpuede ayudar al personal de TI a evaluar el impacto de las amenazas a la seguridad dela compaa.

4. Desarrollo de un plan de accin: Repase los escenarios detallados de "qu pasarasi..." que implican diferentes amenazas a la seguridad y los efectos posibles en lasoperaciones. Para cada escenario potencial de disminucin de riesgos, tenga en cuentaa las personas involucradas, sus responsabilidades, las consideraciones presupuestales,etc.

5. Prevea un "Plan B": Aunque los mejores planes de contingencia encuentranproblemas tcnicos, trate de anticiparse a estos problemas y crear soluciones alternas.

6. Planeacin de las comunicaciones y compras: Los mejores planes son efectivos

solo si los empleados tienen en cuenta su importancia y entienden sus mensajes yprocesos. Los departamentos de recursos humanos, de aspectos jurdicos y finanzasdeben revisar y responder a los planes de contingencia de seguridad en cada etapa dedesarrollo.

Especificaciones del plan de accinLos planes de contingencia variarn dependiendo del tipo especfico de brechas del sistema deseguridad, como el ataque de virus que podra afectar las operaciones de la compaa demanera diferente a como lo hara una negacin de servicio.

Debido al rango de amenazas a la seguridad, los planes de contingencia deben ser adaptables.

Sin embargo, todos los planes efectivos deben responder por lo siguiente: Prdida de la informacin: Eventualmente las fallas en el fluido elctrico, los virus,

los hackers u otras fuerzas perjudicarn la informacin importante de una compaa o lahar inaccesible. Preprese para lo inevitable haciendo copias de seguridad del sistemay de la informacin.

A fin de garantizar que se realicen copias de seguridad peridicamente, desarrolle unapoltica de seguridad que establezca claramente lo siguiente:

o Los medios que utilizar el personal de TI para hacer las copias de seguridad.o Quin realizar las copias de seguridad.o Con qu frecuencia se realizarn las copias de seguridad.o

Los sitios de almacenamiento dentro y fuera del local destinados para las copiasde seguridad de la informacin.

Los servicios de copia de seguridad en lnea se estn volviendo ms comunes. Sin

13


14/26


embargo, el personal de TI debe investigar exhaustivamente las herramientas deseguridad de la compaa para el almacenamiento y la confiabilidad de lascomputadoras.

Respaldo del hardware: A las compaas con computadoras y servidores propios lesgustara contar con equipos de respaldo "rpido", que estn disponibles en caso que elservidor principal se dae. Si el servicio al cliente es la prioridad de la compaa, es

sensato tener equipos de respaldo. Las compaas con diferentes objetivos e interesespodran redistribuir los fondos para destinarlos a equipos de respaldo del hardware a finde proteger otras prioridades operativas.

Suministros de energa de reserva: Una falla en la energa puede daar lainformacin y afectar la capacidad de la compaa para prestar los servicios. Una fuentede energa ininterrumpida o UPS es un componente indispensable de todo plan decontingencia. Algunos modelos de UPS pueden suministrar proteccin contra los picos yfluctuaciones de corriente y la capacidad para calcular automticamente las necesidadesde energa del personal de TI. Los costos de las UPS varan dependiendo del "tiempo deejecucin" del modelo o del tiempo de energa disponible.

Proveedores del servicio y socios comerciales: La seguridad debe ser un aspectoclave que debe ser considerado por todo proveedor de servicio o estar estipulado en elcontrato del socio comercial, especialmente cuando las partes involucradas son parte deuna VPN o una cadena de suministros en red. El personal de TI debe estipular que todoslos socios tienen las mismas herramientas de seguridad. El control de la seguridad debeser un componente de las negociaciones de un contrato. Como parte de un plan decontingencia, el personal de TI debe evaluar las formas en que la red es vulnerable a lasbrechas de seguridad de la red de un socio.

Recursos de TI: En el caso de detectar una brecha de seguridad, el personal de TIpodra necesitar personal adicional. Establezca relaciones con una agencia temporal depersonal antes que ocurra una emergencia. El personal de TI tambin debe identificar alos consultores expertos de cuya experiencia se puedan beneficiar. Tambin puede sersensato negociar contratos de asistencia con los distribuidores antes que ocurra una

crisis en la seguridad. Prensa: El personal de TI debe trabajar con el departamento de relaciones pblicas a

fin de desarrollar una estrategia que solucione las brechas de seguridad. Debeespecificarse detalladamente en un plan de contingencia la cantidad de informacin quedebe revelarse (en caso de que se deba revelar) y quin debe comunicar estainformacin. Los planes tambin deben hacer asignaciones presupuestales para loscostos adicionales del departamento de relaciones pblicas. Evale si es necesarioestablecer relaciones con una agencia de relaciones pblicas que tenga experiencia encomunicar informacin relacionada con alta tecnologa.

Aprobacin de fondos: Las situaciones de emergencia requieren gastos que no estncontemplados en el presupuesto. Las partes responsables de elaborar un plan de

contingencia deben revisar los estatutos de constitucin y el reglamento de la compaapara determinar quien puede declarar cuando una situacin es una emergencia y quientiene autoridad para asignar los recursos de emergencias. En situaciones de emergenciase debe establecer un proceso de rpida asignacin de fondos para las emergencias conel fin de evitar procesos demorados de solicitud y aprobacin.

Creacin de un documento y equipo de respuestas a incidentesEl documento de respuesta a incidentes explica de manera resumida el "imperio de la ley" paralos procedimientos de emergencia y trata los siguientes aspectos:

Quin reporta a quin? Quin es responsable de qu? En qu circunstancias debera suspenderse un servicio de correo electrnico o un

servidor de Internet?

14


15/26


Cules son los procedimientos para la comunicacin y alerta de emergencias?

Un equipo de respuesta a incidentes realiza muchas de las acciones explicadas en el documentode respuesta a incidentes. Este equipo tiene papeles asignados previamente. En caso deidentificar una brecha de seguridad, los integrantes del equipo estn familiarizados con susresponsabilidades. Los siguientes son los aspectos clave que se deben tener en cuenta cuando

se conforma un equipo de respuestas a incidentes: Estn representados los integrantes de los diferentes departamentos? En qu condiciones actuaran los integrantes del equipo? Cul es la cadena de mando? Qu grado de autonoma tienen los integrantes para la toma de decisiones?

Medidas de seguridadLos planes de contingencia no son nicamente estratgicos. Mientras que los planes solucionanprincipalmente escenarios hipotticos, tambin necesitan que el personal de TI tome algunasmedidas en tiempo real.

Seguro: En caso de una brecha de seguridad, el seguro ciberntico puede ayudar acubrir los costos debido a la prdida de informacin, interrupcin de las empresas,gastos en relaciones pblicas, demandas de terceros como consecuencia de lanegligencia en seguridad, etc. Las primas de seguro varan dependiendo del tamao ynaturaleza de los negocios en lnea de la compaa. Las compaas de seguros casisiempre realizan auditorias de seguridad antes de dar cubrimiento a los solicitantes. Losplanes de contingencia pueden ayudar a disminuir los costos de las primas de seguro.

Aplicaciones de la seguridad: Los antivirus, la deteccin de intrusos y el softwarepara el filtrado de contenidos de Internet y del correo electrnico pueden ayudar aproteger la red contra una variedad de amenazas a la seguridad como las siguientes:

o

Ataques de pirataso Ataques de viruso Negacin de servicioo Intrusin de cdigos mviles maliciososo Fugas de informacin confidencialo Correo electrnico y contenidos calumniosos de los sitios web

Planes de contingencia especficosTodas las etapas de anlisis e implementacin de un plan de contingencia deben respaldar elobjetivo del plan. Debido a la variedad de brechas de seguridad, los planes de contingenciadebern ser adaptados a los diferentes escenarios. Sin embargo, el personal de TI debe planearalgunas constantes como el suministro de energa, los respaldos de la informacin, los recursosadicionales del personal de TI, etc. Los costos para el desarrollo e implementacin de un plande contingencia completo pueden ser significativos, aunque siempre sern mayores los costosde tiempo de inactividad de la compaa y detrimento a la reputacin debido a las brechas deseguridad.

15


16/26


DOCUMENTACIN ADJUNTA

ISO 17799: La nueva norma tcnica global de seguridad

Introduccin

Los gerentes de seguridad de la informacin han esperado mucho tiempo a que alguien tomarael liderazgo para producir un conjunto de normas de seguridad de la informacin que estuvierasujeto a auditora y fuera reconocido globalmente. Se cree que un cdigo de normas de laseguridad apoyara los esfuerzos de los gerentes de tecnologa de la informacin en el sentidoque facilitara la toma de decisin de compra, incrementara la cooperacin entre los mltiplesdepartamentos por ser la seguridad el inters comn y ayudara a consolidar la seguridad comoprioridad empresarial.

Desde su publicacin por parte de la Organizacin Internacional de Normas en diciembre de 2000, ISO17799 surge como la norma tcnica de seguridad de la informacin reconocida a nivel mundial. ISO17799 se define como "un completo conjunto de controles que incluye las prcticas exitosas deseguridad de la informacin".

El origen de ISO 17799

Durante ms de un siglo, el Instituto Britnico de Normas Tcnicas (BSI) y la Organizacin Internacionalde Normas Tcnicas (ISO) han brindado parmetros globales a las normas tcnicas de operacin,fabricacin y desempeo. Solo faltaba que BSI e ISO propusieran una norma tcnica para la seguridadde la informacin.

Finalmente en 1995, el BSI public la primera norma tcnica de seguridad, BS 7799, la cual fueredactada con el fin de abarcar los asuntos de seguridad relacionados con el e-commerce. En 1995,problemas como el Y2K y el la Unidad Monetaria Europea (EMU por su sigla en ingls) prevalecieronsobre otros. Para empeorar las cosas, la norma BS 7799 se consideraba inflexible y no tuvo granacogida. No se present la norma tcnica en un momento oportuno y los problemas de seguridad nodespertaron mucho inters en ese entonces.

Cuatro aos despus en mayo de 1999, el BSI intent de nuevo publicar su segunda versin de la normaBS 7799, la que fue una revisin ms amplia de la primera publicacin. Esta edicin sufri muchosmejoramientos y perfeccionamientos desde la versin de 1995. En este momento la ISO se percat deestos cambios y comenz a trabajar en la revisin de la norma tcnica BS 7799.

En diciembre de 2000, la Organizacin Internacional de Normas Tcnicas (ISO) adopt y public laprimera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma poca, seadopt un medio formal de acreditacin y certificacin para cumplir con la norma tcnica. Los problemasY2K y EMU y otros similares se haban solucionado o reducido a 2000 y la calidad total de la normatcnica haba mejorado considerablemente. La adopcin por parte de ISO de la Parte 1 - los criterios dela norma tcnica - de BS 7799 recibi gran aceptacin por parte del sector internacional y fue en estemomento que un grupo de normas tcnicas de seguridad tuvo amplio reconocimiento.

Marco de las recomendaciones

La norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la implementacin. ISO17799 hoy en da es una compilacin de recomendaciones para las prcticas exitosas de seguridad quetoda organizacin puede aplicar independientemente de su tamao o sector. La norma tcnica fueredactada intencionalmente para que fuera flexible y nunca indujo a las personas que la cumplan paraque prefirieran una solucin de seguridad especfica. Las recomendaciones de la norma tcnica ISO17799 son neutrales en cuanto a la tecnologa y no ayudan a evaluar y entender las medidas deseguridad existentes. As, la norma discute la necesidad de contar con cortafuegos, pero no profundizasobre los tres tipos de cortafuegos y cmo se utilizan, lo que conlleva a que algunos detractores de lanorma digan que ISO 17799 es muy general y que tiene una estructura muy imprecisa y sin valor real.

La flexibilidad e imprecisin de ISO 177999 es intencional por cuanto es difcil contar con una norma que

funcione en una variedad de entornos de tecnologa de la informacin y que sea capaz de desarrollarsecon el cambiante mundo de la tecnologa. ISO 177999 simplemente ofrece un conjunto de reglas a unsector donde no existan.

16


17/26


Las diez reas de control de ISO 17799:

Poltica de seguridad: Se necesita una poltica que refleje las expectativas de la organizacin enmateria de seguridad a fin de suministrar administracin con direccin y soporte. La polticatambin se puede utilizar como base para el estudio y evaluacin en curso.

Organizacin de la seguridad: Sugiere disear una estructura de administracin dentro laorganizacin que establezca la responsabilidad de los grupos en ciertas reas de la seguridad yun proceso para el manejo de respuesta a incidentes.

Control y clasificacin de los recursos de informacin: Necesita un inventario de los recursos deinformacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde unnivel adecuado de proteccin.

Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales ypotenciales sobre lo que se espera de ellos en materia de seguridad y asuntos deconfidencialidad. Tambin determina cmo incide el papel que desempean los empleados enmateria de seguridad en el funcionamiento general de la compaa. Se debe tener implementarun plan para reportar los incidentes.

Seguridad fsica y ambiental: Responde a la necesidad de proteger las reas, el equipo y loscontroles generales.

Manejo de las comunicaciones y las operaciones: Los objetivos de esta seccin son:

1. Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento dela informacin.

2. Minimizar el riesgo de falla de los sistemas.

3. Proteger la integridad del software y la informacin.

4. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de lainformacin.

5. Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte.

6. Evitar daos a los recursos de informacin e interrupciones en las actividades de lacompaa.

7. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian lasorganizaciones.

Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y losrecursos de aplicacin para proteger contra los abusos internos e intrusos externos.

Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnologa de lainformacin, se debe implementar y mantener la seguridad mediante el uso de controles deseguridad en todas las etapas del proceso.

Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar lasinterrupciones en las actividades de la empresa y para proteger los procesos importantes de laempresa en caso de una falla grave o desastre.

Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimientocon la norma tcnica ISO 17799 concuerda con otros requisitos jurdicos, como la Directiva de laUnin Europea que concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad delSeguro Mdico (HIPAA por su sigla en Ingls) y la Ley Gramm-Leach-Billey (GLBA por su sigla

en ingls). Esta seccin tambin requiere una revisin a las polticas de seguridad, alcumplimiento y consideraciones tcnicas que se deben hacer en relacin con el proceso deauditora del sistema a fin de garantizar que las empresas obtengan el mximo beneficio.

17


18/26


Beneficios de la norma tcnica ISO 17799

Una empresa certificada con la norma tcnica ISO 17799 puede ganar frente a los competidores nocertificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es unaspecto importante, por lo general optar por la empresa certificada. Adems una empresa certificadatendr en cuenta lo siguiente:

Mayor seguridad en la empresa.

Planeacin y manejo de la seguridad ms efectivos.

Alianzas comerciales y e-commerce ms seguras.

Mayor confianza en el cliente.

Auditoras de seguridad ms precisas y confiables.

Menor Responsabilidad civil

La norma tcnica ISO 17799

Actualmente ISO est revisando la norma tcnica 17799 para que se adapte mejor a su amplio pblico.ISO 17799 es la primera norma tcnica y se harn y ampliarn sus recomendaciones y sugerenciasbsicas en la medida en que sea necesario. Por ahora, ISO 17799 es la norma tcnica a seguir.

Si su organizacin no ha adoptado un programa de proteccin definido de la informacin, ISO 17799puede servir de parmetro para que lo defina. Incluso si decide no ser certificado, ISO 17799 le servirde gua para configurar la poltica de seguridad de su empresa. En todo caso, tenga en cuenta que ISO17799 es un buen esquema de seguridad que su empresa puede adoptar. No obstante, usted puededescubrir que la certificacin ofrece ms beneficios.

18


19/26


Cumplimiento de las polticas de seguridad para estaciones de trabajo mviles yremotas

IntroduccinPara el ao 2010, la firma de investigacin, Gartner Inc., pronostica que el 80% de los procesoscomerciales importantes requerir el intercambio de informacin en tiempo real de lostrabajadores mviles. Igualmente, la ms reciente edicin del Informe sobre las amenazas a laseguridad de Internet de Symantec (Symantec ) revel que hasta un 80% de lasvulnerabilidades descubiertas en el primer semestre de 2003 proviene de estaciones de trabajosusceptibles a ataques que se pueden ejecutar remotamente. Como lo seal el informe:Puesto que el acceso global es un mandato en el entorno empresarial actual, las compaashan creado numerosas aplicaciones para Internet.

Para los administradores de TI que estn en el actual entorno comercial de rpida evolucin, se trata deun desafo formidable y a menudo desconcertante: Cmo verificar la proteccin de las estaciones detrabajo mviles antes de conectarlos a las redes empresariales?

Ignore los riesgos de seguridad por su cuenta y riesgo

Como sabemos, la empresa en tiempo real hoy en da es cada vez ms mvil. Sin embargo, en laprecipitada carrera a la movilidad, muchas compaas ignoran la necesidad de proteger de maneraadecuada su fuerza laboral. Gartner resume acertadamente la situacin: Los appliances mviles puedenser pequeos, pero los problemas relacionados con su seguridad no radican en el hecho de que existenmuchos appliances, sino que las empresas tienden a no aplicar medidas rigurosas de seguridad y deadministracin.

Estos son algunos problemas de seguridad que afrontan las empresas mviles: susceptibilidad a losgusanos y virus ms complejos y conocidos en el sector de seguridad como "amenazas combinadas",que se estn convirtiendo en el ataque preferido de los atacantes de Internet. Dichas amenazas confrecuencia aprovechan diferentes fallas para aumentar la oportunidad de infectar un sistema informtico.El nmero de ataques que pueden clasificarse como amenazas combinadas en el primer trimestre de2003 aument un 20% con respecto al anterior semestre, segn el Informe sobre las amenazas a la

seguridad en Internet .

Estas noticias son especialmente preocupantes para los clientes que peridicamente viajan fuera delfirewall perimtrico y se conectan a la red. Por qu? Porque las amenazas combinadas como Nimda,Cdigo Rojo, SQL Slammer y Blaster tomaron especficamente como objetivo los equipos porttiles queestn fuera del firewall para obtener acceso no autorizado a la red empresarial durante una conexin alproveedor de acceso a Internet (ISP). Los usuarios de equipos porttiles tambin pueden convertirse envctimas involuntarias o zombis y son utilizados para los ataques de negacin distribuida de servicio oataques ms sofisticados.

Para ayudar a proteger a los usuarios mviles de las amenazas combinadas al igual que de recientesgusanos emisores de correo electrnico masivo como MyDoom y Netsky, es esencial que las empresasadopten y difundan polticas de seguridad con informacin explcita para que regulen el uso de los

appliances mviles. Desafortunadamente, muchas compaas no tienen estas polticas o tienen polticasque son difciles de entender, vagas, incompatibles con las polticas de otras compaas, difciles deimplementar o imposibles de cumplir. Las empresas en tiempo real no pueden permitirse que persistaneste tipo de deficiencias por razones obvias: la informtica mvil introduce riesgos significativos. Enefecto, Gartner ha identificado cinco grandes reas de riesgo relacionadas con la informtica mvil.

Riesgos sociales: Los procesos mviles pueden cambiar el comportamiento informticodel personal.

Riesgos tcnicos: Estn relacionados con tecnologas de rpida evolucin y que no hansido probadas.

Riesgos jurdicos: Relacionados con la la privacidad y proteccin de la informacin.

Riesgos de integracin: Hacen referencia a los sistemas de legado.

19


20/26


Riesgos financieros: Provienen de los hechos inesperados que pueden debilitar losmodelos de retorno de la inversin.

Adems, como muchos administradores saben, el surgimiento de la informtica mvil tom a muchosdepartamentos de TI por sorpresa. Como consequencia, fueron empleados individuales y grupos detrabajo, en lugar de los departamentos deTI u otros canales apropiados, quienes introdujeron muchos delos equipos en las organizaciones. El resultado de esta introduccin clandestina fue que el equipo mvil

no pas por el proceso normal de anlisis de sus capacidades y limitaciones antes de ser implementado.As, los esfuerzos por proteger miles de appliances se realizaron a ltima hora o no fueron losuficientemente rigurosos.

Por eso es muy importante que se implementen polticas explcitas para que los usuarios puedan impedirel ingreso de cdigos maliciosos a la red empresarial. Para conocer un mtodo detallado del diseo deuna poltica general de seguridad, consulte el manual de Symantec en la direccin La seguridadelectrnica empieza con slidas polticas de seguridad.

A nivel prctico, se recomienda que toda poltica de seguridad exija el uso de una solucin de seguridadpara estaciones de trabajo que integren las tecnologas de antivirus, firewall y de deteccin de intrusos.La tecnologa de firewall para estaciones de trabajo debe dar rdenes automticamente a los motores dedeteccin de intrusos y exploracin antivirus para que busquen todos los archivos que entran y salen. Sise detecta una amenaza, el motor de deteccin de intrusos o antivirus puede entonces dar rdenes alfirewall para que incremente las medidas de seguridad y bloquee la amenaza.

A nivel del personal, tenga en cuenta que traducir las polticas de seguridad de la informacin enprocedimientos manejables y cotidianos no es una tarea fcil. Tambin es recomendable que ustedtrabaje estrechamente con todos los trabajadores mviles que se vern afectados por estas normas.Como ha escrito Stuart Broderick de Symantec: Muchas organizaciones han descubierto que el personalque no participa en el desarrollo del proceso, no tiene sentido de pertenenciaen el proceso y cree quesus conocimientos sobre el funcionamiento de los sistemas son intiles. Por lo tanto, dicho personaltiende a ignorar el proceso y adoptar una actitud de yo s mucho ms o de siempre lo hemos hechoas.

Avances de la segunda parte: Iniciativas de cumplimiento de polticas para estaciones de trabajoQu ms pueden hacer las empresas para garantizar que el nmero creciente de sus trabajadores

mviles estn cumpliendo con las polticas de seguridad? Uno de los desarrollos recientes msimportantes en esta rea son las iniciativas de cumplimiento para estaciones de trabajo, que estndiseadas para promover el cumplimiento de polticas de seguridad para las estaciones de trabajomviles y remotas. Tales iniciativas reconocen que la creciente variedad de mtodos utilizados por losempleados para acceder a las redes, produce un nuevo nivel de riesgo para la seguridad corporativa.Por lo tanto, las iniciativas de cumplimiento de polticas para estaciones de trabajo permiten a losadministradores de TI verificar la seguridad de estos equipos antes de conectarlos a la red.

Los administradores pueden establecer polticas de control de admisin que incluyan la poltica deseguridad para las estaciones de trabajo que intentan agregarse a la red. A los equipos que no cumplencon las polticas, por ejemplo, que tienen deficiencias a nivel de parches para el sistema operativo o en elestado del antivirus, se les pueden negar el acceso, pueden ser puestos en cuarentena o enviados a unsitio aislado para recibir acciones correctivas, mientras que los equipos que cumplen con las polticas de

la empresa, tendrn acceso a la red.

Lo importante es que las iniciativas de cumplimiento de polticas para las estaciones de trabajo ayuden aimpedir que los usuarios mviles y remotos se conviertan en el eslabn ms dbil del entorno de lasredes empresariales. Las empresas pueden esperar mayores desarrollos en esta rea durante el ao2004.

ConclusionesUna poltica eficaz de seguridad de la informacin corporativa es esencial para el buen funcionamientode las empresas mviles. El cumplimiento de estas polticas es muy importante hoy ms que nuncapuesto que las amenazas a la seguridad continan multiplicndose en nmero y complejidad. El nmerocreciente de empresas mviles que intentan crear polticas de seguridad rigurosas deberan explorar lasnuevas iniciativas de cumplimiento para estaciones de trabajo. Estas iniciativas pueden ayudar a

garantizar la proteccin de los usuarios remotos y de las estaciones de trabajo sin poner en peligro lasredes empresariales.

20
http://enterprisesecurity.symantec.com/SecurityServices/factsheets/esecurityhandbook.pdfhttp://enterprisesecurity.symantec.com/SecurityServices/factsheets/esecurityhandbook.pdfhttp://enterprisesecurity.symantec.com/SecurityServices/factsheets/esecurityhandbook.pdfhttp://enterprisesecurity.symantec.com/SecurityServices/factsheets/esecurityhandbook.pdf


21/26


Soporte Ejecutivo y Seguridad de TIAutora: Linda McCarthyConsultora Ejecutiva de Seguridad, Gerencia de TecnologaSymantec Corporation

IntroduccinImagine que hace seis meses finalmente lleg a ocupar el cargo de Gerente de Informacin

(CIO) de una compaa importante. Como buen gerente de informacin, destaca la importanciade la seguridad una y otra vez a sus gerentes senior. De hecho, usted ha manifestadoclaramente que la red debe ser segura y basta. No se admiten preguntas.

Imagine la sorpresa que se llevara un lunes por la maana si viera a su compaa en los titulares de lasnoticias y no por sus sorprendentes resultados trimestrales, sino por la historia detallada que relata elataque de un hacker a su red empresarial. El hacker rob informacin patentada y la public en Internetpara que el mundo lo supiera. Se trata de una noticia de primera pgina; se pregunta si usted saldr enCNN y si esto afectar al precio de las acciones. Qu dirn los accionistas?

Con el transcurso de las semanas, el personal de soporte intenta mantener el control.Desafortunadamente, existen tantos riesgos de seguridad en la red que la labor parece casi insuperable.El grupo clandestino de hackers aparentemente lo sabe y parece estar usando su red para realizar

prcticas de ataque. Los ataques persistenno una o dos veces, sino constantemente.

Cmo sucedi esto? Usted le dijo a su personal senior que la seguridad es un asunto importante y quedebe ser una prioridad. Fue que no le oyeron? Cmo pudieron permitir que intrusos electrnicoshurtaran los secretos de la compaa? Peor an, los ataques continuos daan la reputacin de suempresa, una reputacin por la que usted ha luchado incansablemente. Como gerente de informacin,su reputacin tampoco sale bien librada. Se trata de la red de su empresa y usted es el centro deatencin.

Le parece imposible? Improbable? Esta situacin podra ser inventada, pero es real y la experimentancon frecuencia los nuevos gerentes de informacin. Los candidatos que aspiran al cargo rara vez tienenpleno conocimiento de la configuracin y estado de la red. Antes de aceptar el cargo, pocos candidatospreguntan si la red fue sometida recientemente a una auditora de seguridad y la aprob. Incluso a muy

pocos candidatos se les entrega un resumen ejecutivo que muestre el nivel de riesgo o se acostumbranrealmente a la seguridad que existe en los niveles inferiores de la organizacin jerrquica.

En las grandes compaas, los niveles de gestin usualmente separan a los gerentes operativos de losejecutivos. Por lo tanto, la comunicacin se ve afectada. No llega la informacin que proviene de losdirectivos e igualmente las comunicaciones que van en forma ascendente pueden ser fcilmente malempleadas o modificadas.

Obviamente ningn ejecutivo, gerente o supervisor realmente cree que su red ser la zona de hackeoque aparecer en la prxima edicin semanal del programa de televisin 60 Minutos. Sin embargo, amenos que usted sepa lo que est realmente sucediendo con la seguridad en los niveles inferiores de laorganizacin jerrquica, su compaa podra estar en peligro. Asegrese de que los ejecutivos de suempresa no impartan rdenes irreales desde arriba. Mantener abiertas las lneas de comunicacin en el

nivel ms alto de la jerarqua es uno de los aspectos ms importantes para garantizar la seguridad de lared. Tenga en cuenta lo siguiente

Compromiso ejecutivo

La Sra. Smith, gerente y fundadora de Internet Software Design (ISD), convirti su empresa en un xitode la noche a la maana a partir de una idea improvisada. Esta empresa que aparece en la revistaFortune 500, y de ltima tecnologa en Silicon Valley sobrepas las expectativas y le cerr las puertas ala competencia.. En el negocio de diseo de software para Internet, la compaa hizo de la seguridadinformtica una prioridad. La Sra. Smith continuamente resaltaba su compromiso con la seguridadinformtica ante el equipo ejecutivo de administracin. Fue famosa por su estilo sincero y siempreobtena lo que se propona, bueno casi siempre.

Como muchos altos ejecutivos (CEO) que imparten ordenes y esperan que se cumplan, la Sra. Smith

asumi que la red de su empresa mundial era segura, hasta que un da un hacker irrumpi en la redfinanciera de la compaa. Sin ser detectado por el personal de soporte, el hacker transfiri toda lainformacin financiera de la empresa a otro sistema en Internet. Cuando se hizo la transferencia, el

21


22/26


hacker envi un mensaje electrnico sobre el estado financiero de la Sra. Smith (incluyendo lasganancias esperadas) a los inversionistas Fishman & McDonald.

Afortunadamente para la Sra. Smith y su compaa, un gerente de la firma de valores informinmediatamente sobre el contenido del correo electrnico a Charles Winifred, gerente financiero de laSra. Smith. Este informe fue el primer indicio que tuvo Charles de una violacin a la seguridad de la redque lo dej con muchas preguntas sin respuesta. Charles deseaba saber cmo haba sido penetrado elsistema. Quera saber por qu su equipo de soporte no haba detectado el acceso no autorizado a lainformacin. Y por supuesto, deseaba saber quin era el responsable del hurto y divulgacin de lainformacin. Bsicamente, quera respuestas y las quera ya.

Charles haba asumido que la red de finanzas era segura. Despus de todo, no era para eso que lespagaban a los administradores de sistemas? Cmo podan ser tan negligentes? Y por qu no sepercataron de la violacin a la seguridad antes de que se revelara la informacin por Internet?

Sin embargo, Charles pas por alto un importante concepto en contabilidad. En ltima instancia lagerencia es responsable de la confiabilidad e integridad de la informacin de las redes corporativas, nolos administradores de sistemas. En particular, los gerentes ejecutivos son los responsables ante losauditores y accionistas. Si se publican las ganancias esperadas de la compaa en Internet, auditores,accionistas y periodistas perseguirn a los altos ejecutivos, no a los administradores de sistemas.

Para ilustrar mejor las funciones de la gerencia en relacin con la seguridad informtica, analicemos loshechos antes y despus de divulgarse la informacin financiera de ISD.

Da 1: sistemas desprotegidos

Por solicitud de Charles, se llam inmediatamente a Martin Patterson, experto de seguridad interna deISD, para que realizara una auditora de seguridad. Martin era uno de los cinco miembros del equipo deseguridad de ISD y podra decirse que el mejor gur en seguridad de la empresa. Tomaba en serio todaviolacin a la seguridad y siempre daba mxima prioridad en su agenda de trabajo a respuesta aincidentes. Bsicamente, Martin dejaba de hacer lo que estaba haciendo y se pona al frente de todos losincidentes de seguridad con la ferocidad de un pitbull.

Martin comenz su auditora realizando pruebas a la informacin de los sistemas financieros y a las

vulnerabilidades de seguridad en la red. Martin tard menos de una hora en obtener resultados, queresultaron sorprendentes. Para una compaa que deca estar tan comprometida con la seguridad, larealidad era sorprendente.

Martin encontr que los sistemas corporativos fueron instalados ciertamente tal como venan sinconfigurar la seguridad. Los sistemas de misin crtica estaban identificados incorrectamente ydesprotegidos, lo que pona a toda la red en una zona de alto riesgo. Adems, la red tena demasiadosagujeros de seguridad que hubiera podido ser el blanco de ataques al final de un da agitado de trabajo.Y estos sistemas eran los que guardaban la informacin financiera ms confidencial de la compaa!

Como dira Martin, los sistemas estaban abiertos y no tenan instalados mecanismos de auditora ymonitoreo. Haba fcil acceso a ellos y la oportunidad de ser descubiertos era casi ninguna. Cualquierpersona con pocos conocimientos de seguridad podra hacer su agosto en la red.

Charles tambin le pidi a Martin que averiguara dnde se haba originado el mensaje electrnico quecontena las utilidades esperadas. Despus de evaluar los sistemas, Martin intent rastrear el mensajeelectrnico. Se imaginaba que su esfuerzo sera en vano y as fue. Martin fracas en su intento porseguir al hacker hasta su origen.

Aunque los gerentes financieros dudaran en creer que un mensaje electrnico podra ser imposible derastrear, no me sorprendieron los resultados que obtuvo Martin. Es muy fcil falsear un Sendmail y hacerparecer que un mensaje electrnico es originado por otra persona. Mi hermana Laura de 13 aos podrahacerlo sin problema.

En cualquier caso, el correo electrnico falseado es casi siempre un callejn sin salida en la bsquedade un hacker. Cuando usted lo logra, simplemente califica la creatividad del hacker por inventar nombresde dominio y eso es todo. Esto fue lo que hizo Martin.

Martin termin la auditora y resumi sus hallazgos en un informe de gerencia confidencial. Luego seprepar para lo ms difcil: entregar el informe a la gerencia. Menos mal que ya pas a la historia cuandoliteralmente les disparaban a los mensajeros por dar malas noticias. Sin embargo, se pueden tomar

22


23/26


24/26


Despus de cavilar sobre el informe de Martin, supe en qu situacin estaban los sistemas de alto riesgode la red financiera. Primero realic un rastreo de informacin en estos sistemas. Luego, saqu unacopia del mapa de contraseas y comenc a ejecutar Crack en las contraseas. Me gusta comenzar pordescifrar las contraseas al principio de mi auditora nicamente para ver cuantas puedo adivinarrpidamente. Este mapa de contraseas era grande: tena 520 usuarios. Con seguridad podra obtenerunas cuantas contraseas y as fue. Cuando estaba revisando el archivo crack.out, ste mostr 10contraseas adivinadas de buenas a primeras. Haba imaginado algo parecido. Dej la revisin de losresultados adicionales de Crack para ms adelante y dediqu mi auditora a los sistemas de alto riesgo.

El administrador de sistemas me dio acceso a todos los sistemas. Cuando hago una auditora, prefieroentrar al sistema para probar la seguridad antes de ingresar desde la red. La primera vez que comencla auditora, me encant intentar entrar primero desde la red (prueba de penetracin) porque eraemocionante y me ayudaba a consolidar mis destrezas de penetracin. Cuando fui ms eficiente en laauditora, descubr que poda cubrir ms territorio de manera ms rpida y ms efectiva si le solicitaba aldueo del sistema que me diera su cuenta de ingreso. Luego, entraba al sistema para buscar lasvulnerabilidades de seguridad. Con este propsito, algunas veces no realizo la prueba de penetracin.Primero, busco informacin en los sistemas desde la Red (slamente para ver cunta informacin puedoobtener). Luego, pruebo las contraseas inseguras. Despus, ingreso y realizo pruebas en busca de lasvulnerabilidades y errores de configuracin. La ltima prueba de auditora que realizo es la depenetracin desde afuera (slo cuando es necesario).

Creo que no siempre se necesita la prueba de penetracin. Por ejemplo, cuando un sistema tiene unaversin antigua de Sendmail. Se sabe muy bien que se puede penetrar un sistema como ste. Para qudesperdiciar tiempo en probar que el agua moja?

En algunos casos, realizo una prueba de penetracin en sistemas que se sabe son vulnerables paramostrar la evidencia a la gerencia; en otros casos, no es necesario. Todo depende del alcance de laauditora, las prioridades de los clientes y las expectativas de la gerencia.

En esta auditora, no era necesario realizar una prueba de penetracin. La gerencia saba que la redpoda ser penetrada. (Yo estaba all porque los hackers tambin lo saban!) El verdadero problema deesta auditora era por qu la red era todava vulnerable. Sabiendo esto, decid desechar la prueba depenetracin y continuar.

Proced a verificar el sistema financiero ms crtico. Estaba abierto de par en par y no tena parches deseguridad. Llegu a la raz aprovechando un error de seguridad muy antiguo. Fue fcil ver que estossistemas haban sido instalados sin configurar. Era evidente que no se haba configurado seguridadadicional. Prob un segundo sistema, luego un tercero y cuarto. Sucedi lo mismo. Hasta el momentopoda decir que absolutamente nada haba cambiado desde que se realiz la ltima auditora deseguridad. Aparentemente, el personal operativo (de nivel inferior en la organizacin jerrquica) no habasolucionado los problemas.

La pregunta de $64.000, era por supuesto por qu no? Ciertamente los problemas de seguridad en ISDdeberan haberse resuelto. La gerencia operativa no oy el mensaje que dio Charles desde arriba odecidieron no orlo.

La respuesta pareca ser que cuando Charles le dijo a sus subalternos: Arreglen los problemas de

seguridad ahora, l crey que el asunto estaba solucionado. Nunca verific que se ejecutara la orden.De todas maneras, los problemas no fueron solucionados y Charles no obtuvo los resultados esperados.

A propsito de resultados, me di cuenta en ese momento que yo todava estaba ejecutando Crack.Cuando me preguntaba cuntas contraseas ms Crack iba a revelar, revis de nuevo el archivocrack.out. Era increble! Se haban descifrado cien contraseas ms. Ms sorprendente an era queCrack no haba terminado! Todava estaba golpeando tratando de adivinar las contraseas. Era obvioque a los usuarios nunca se les haba enseado a escoger contraseas seguras. Era tambin evidenteque el administrador de sistemas nunca se haba preocupado por revisar las contraseas inseguras.

Me da rabia cuando los administradores de sistemas no capacitan a los usuarios. Con mucha frecuencia,los sistemas estn instalados y se les asignan cuentas a los usuarios sin siquiera ensearles laimportancia de seleccionar y cambiar las contraseas. Tambin es bastante comn que los

administradores de sistemas no hagan pruebas a las contraseas. Algunas veces, realmente no tienentiempo para hacerlo, aunque otras veces simplemente no saben cmo hacerlo y les da miedo overgenza preguntar.

24


25/26


Adems, las contraseas inseguras haban sido reportadas como un problema en el informe de auditoradel ao anterior. Y, a diferencia de algunos otros problemas reportados, se hubieran podido solucionarcon un esfuerzo mnimo. Supongo que nadie pens que esto haca parte de sus funciones.

Es una lstima que el informe de auditora del ao pasado no especificara el nmero de contraseasinseguras que se encontraron. Me cuesta trabajo creer que hubiera podido ser peor que este ao.Cuando Crack termin su trabajo, haba descifrado un total de 190 contraseas en un sistema de tansolo 520 usuarios. Casi todos los usuarios estaban usando una contrasea insegura. En esa proporcin,parece intil usar contraseas. Por qu no transmitimos las contraseas en Radio Pblica Nacionalpara recordrselas a los empleados que hayan olvidado su nombre compuesto o fecha de nacimiento?

Como era de esperarse las contraseas inseguras eran slo la punta del iceberg del problema deseguridad que enfrentaba la red de ISD. Sin embargo, todos los problemas principales parecancentrarse en un rea: riesgos de seguridad producidos por el hombre. Para llegar al meollo de estosproblemas, comenc a entrevistar a los trabajadores.

Para hallar dnde fallaba la comunicacin, comenc por el alto nivel de la gerencia hacia abajo. Por elcamino hice algunos descubrimientos esclarecedores:

El equipo ejecutivo de gerencia nunca solicit o recibi un informe sobre el estado delos cambios realizados para mejorar la seguridad de la red.

Los gerentes ejecutivos simplemente asumieron que se solucionaran los problemas deseguridad porque lo ordenaron.

El departamento de administracin de sistemas tena menos personal del necesario yno tena tiempo para reparar los sistemas.

Los administradores de sistemas trabajaban horas extras para instalar nuevos usuariosy conectar los sistemas de la compaa a Internet. Aunque quisieran solucionar losproblemas, simplemente no tenan tiempo para sortearlos.

Los administradores de sistemas tampoco saban cmo solucionar los problemas de

seguridad. Pidieron ayuda a la gerencia, pero este tipo de capacitacin no estabaconsiderado en el presupuesto de manera que la solicitud fue pospuesta para estudiarlams adelante.

Los gerentes operativos tambin solicitaron ms recursos de personal para proteger lared. Claro que esto tampoco se haba contemplado en ese momento en el presupuesto.Una vez ms se decidi posponer el adoptar medidas determinantes para analizarlasdetenidamente.

Despus de un ao, no se haba aprobado contratar nuevo personal. Por su parte, los gerentesoperativos pospusieron la decisin de solucionar los problemas de seguridad hasta que se aprobara lacontratacin de ms personal. En conclusin nadie hizo nada sino esperar.

Es increble todo lo que se sabe cuando se habla con el personal. Lo malo de todo esto es que losgerentes operativos saban que sus sistemas no eran seguros. Sin embargo, la alta gerencia parecaincompetente. Es por eso que la alta gerencia no solicit a nadie que informara sobre la solucin de losproblemas. La gerencia operativa saba que no haba solucin y no tomaron la iniciativa para informarlo.Por consiguiente, la gerencia fue incompetente y honestamente pens que ya haba solucionado elasunto y sigui como si nada hubiera pasado.

Lo que sucedi en este caso no es del todo poco comn. Como la mayora de compaas, ISD se estabareduciendo. Por esa razn, las solicitudes de crear ms puestos de trabajo eran automticamenterechazadas. Los gerentes operativos quizs tampoco explicaron claramente por qu el aumento depersonal era absolutamente necesario o posiblemente hubiera sido una de tantas solicitudes. Estoyseguro que usted sabe que cuando se presentan luchas internas por ocupar cargos limitados, cadacargo de responsabilidad solicitado se vuelve de repente absolutamente indispensable.

Tambin es posible que el gerente operativo que solicitaba ms personal tuviera razones para hacerlo,aunque el razonamiento se volviera confuso cuando pasara por los cuatro niveles de gestin desde queel gerente hiciera la solicitud hasta que el ejecutivo autorizara la asignacin de los fondos. Sin duda la

25


26/26


solicitud de recursos hubiera sido aprobada si el gerente de informacin hubiera recibido una solicitudque dijera: Esta asignacin de recursos es necesaria para reparar las vulnerabilidades de la seguridadporque la red entera est en peligro. Hasta que no se ocupe la vacante, la informacin puede serfcilmente robada, modificada y destruida.

Resumen: tome medidas

Cmo puede la red financiera de una de las compaas de la revista Fortune 500 ser tan vulnerable a

los ataques? Por su mala administracin, falta de capacitacin, falta de comunicacin y una estructuracomplicada para el flujo de la informacin (demasiados niveles de gestin).

Aunque los ejecutivos de la Sra. Smith claramente manifestaron la importancia de la seguridad, nuncatomaron medidas que garantizaban la existencia de la seguridad. No basta decirle al personal solucionelos problemas. Los gerentes deben tomar medidas de seguridad. Los gerentes deben por lo menossolicitar evidencia clara por escrito de que los problemas de seguridad se han solucionado. En este caso,dicho informe le habra permitido a la gerencia saber que no se estaban resolviendo los problemasporque no se haban aprobado los recursos para contratar ms personal.

En muchos casos, la seguridad est sujeta a los recursos, aunque la importancia de la informacin quese intenta proteger determina bsicamente la suma de dinero que se debe asignar para protegerla. Confrecuencia los sistemas estn en peligro todos los trimestres simplemente porque nadie piensa en

asignar un presupuesto a la seguridad hasta que ocurre un ataque.

En este contexto, la Sra. Smith tuvo mucha suerte. La informacin de la empresa podra haber sidodestruida y los sistemas incapacitados por varios das. La Sra. Smith tambin tuvo suerte de que elataque se hubiera mantenido en secreto. Este no es el tipo de titular periodstico que un gerente generalquisiera ver en CNN. La secuela que deja la mala propaganda podra ser peor que el dao causado porel ataque mismo.

Con frecuencia me piden hablar con los ejecutivos sobre la seguridad en Internet e intranet. Cuando lohago, generalmente me refiero al caso de ISD. Yo misma me repito: S, realmente sucedi yprobablemente suceder otra vez. Para resumir el problema, tambin sealo: ISD era una empresa quetena ganancias anuales de mil millones de dlares. Si esto pudo sucederle a esta compaa, por qucree que su red es inmune? Sabe cul es la seguridad de su red? Cundo fue la ltima vez que

recibi un resumen ejecutivo de seguridad? En este momento, muchas personas de la audiencia estnpreocupadas.

Para que est tranquilo, trate de evitar problemas irremediables despus de estos que ocurran. Encambio, tome medidas de seguridad.

2004 - politicas de seguridad

Documents