Consejos Prcticos en Seguridad TI

Consejos Prcticos en Seguridad TI

Este texto tiene como objetivo ofrecer consejos prctico a las problemticas comunes relacionadas a la seguridad de las tecnologas de informacin, detectadas en las PYMES, donde los ambientes heterogneos son una realidad recurrente. Este artculo no busca profundizar en el tema de seguridad informtica, ya hay bastantes documentos al respecto, y muchos especializados en las diversas reas que comprende este tema. Tampoco se habla de las ventajas o desventajas del software libre vs software propietario, ya que tambin se ha debatido bastante al respecto. Sin profundizar en terminologa terica, se presentan consejos y herramientas de software libre que auxilian en estas tareas. Desgraciadamente la experiencia indica que es ms cmodo "vivir en la ignorancia", que enfrentar un tema aparentemente "complicado" e incmodo, por lo que les invito a involucrarse: El tema de la seguridad TI es un tema que por su importancia, para la continuidad de la operacin de las empresas, tiene que ser considerado por empresarios, directores, gerentes, profesionales TI y todo los involucrados del negocio.

El Escritorio del Usuario. Software Libre, Software No Libre, Software Pirata y Privacidad
Cuando se habla de los riesgos del software ilegal, uno de los elementos importantes a mencionar es el siguiente: Muchas veces, el software que se adquiere pirata es software que ha sido alterado por gente sumamente experta, que ha logrado eliminar los mecanismos de proteccin que el mismo software presenta para salvaguardar la propiedad intelectual del producto... me pregunto: si esas personas que alteraron la seguridad del software no tendrn "otros intereses" o no querran "aprovechar" la oportunidad de incluir en el software pirata "programas o herramientas" que posteriormente les permitan acceder a las computadoras de otros usuarios, o de otras empresas? o usar software pirata como camuflaje para robar informacin empresarial, bancaria, legal, biolgica, militar, etc.? Y s, en efecto. Los detractores del software libre, mencionan esta problemtica inherente al cdigo abierto, ya que no hay una empresa reconocida que garantice tal o cual producto, debilidad que se convierte en fortaleza, cuando las motivaciones de la comunidad de desarrollo del software libre es diferente y cuando el cdigo fuente de los programas esta a la vista y escrutinio de tantas personas. Es por ello siempre importante, determinar que el software que usamos provenga de una fuente confiable. Asegurarnos de haber descargado el software del sitio del proveedor o fabricante o comunidad de software libre, para ello nos podemos apoyar en realizar la verificacin de las sumas de integridad MD51 o SHA12. Estos son algoritmos especiales que toman como entrada un texto o un archivo completo, y generan una cadena de caracteres nica. Entonces, si la cadena de caracteres publicada en la pgina del proveedor, es la misma que la generemos de nuestro archivo descargado, tenemos el archivo genuino, ejemplo:

1 http://es.wikipedia.org/wiki/Md5sum 2 http://es.wikipedia.org/wiki/Sha1sum
Pgina 1 de 8

Consejos Prcticos en Seguridad TI

Tpica descarga del software libre MySQL, con su suma MD5.

Cajas de Arena
Sin embargo, muchas veces nos vemos obligados a descargar algn programa de dudosa procedencias, e instalarlo. Cuantas veces hemos tenido que formatear nuestras computadoras, debido a que se han llenado de basura o se ha corrompido la configuracin, debido a la multitud de programas que instalamos y desinstalamos. Para evitar estas situaciones, existen herramientas que permiten aislar cualquier actividad que realice un programa sobre nuestra computadora. Entre estos tenemos Sandboxie3 y Altiris Software Virtualization Solution (SVS, ahora parte de Symantec)4. Dependiendo de la necesidad, inclusive podemos crear una computadora virtual dentro de nuestra computadora, y ah hacer todas las pruebas que necesitemos, para este tema VirtualBox5 o VMWare6 son programas que emulan ser una computadora donde podemos definir memoria, discos duros, e instalar algn sistema operativo, arrancarlo, apagarlo, etc. Sumamente tiles si queremos probar alguna distribucin de Linux, sin tener que formatear nuestra computadora. Completadas nuestras pruebas, simplemente borramos la computadora virtual, y nuestra computadora seguir intacta.

La Importancia de las Actualizaciones

Si algo caracteriza al software libre es la velocidad con la que se encuentran y resuelven las vulnerabilidades que llegasen a aparecer en los programas. Es por ello muy recomendable realizar, con alguna frecuencia, la actualizacin de los programas y de los sistemas operativos. Cada sistema operativo, provee sus mecanismos distintos para la realizacin de las actualizaciones. Solo una advertencia: En algunos escenarios es recomendado probar primero, la realizacin de las actualizaciones, en otra computadora que no sea la que usen directamente los usuarios en produccin, porque la experiencia dicta, que algunas actualizaciones alteran las configuraciones personalizadas y/o la compatibilidad con algunos dispositivos de hardware. Una vez probado que las actualizaciones disponibles no afectarn nuestros sistemas en produccin, las podemos aplicar en todas las computadoras de nuestros usuarios.

3http://www.sandboxie.com 4http://download.cnet.com/Software-Virtualization-Solution-SVS/3000-2651_4-10516806.html 5http://www.virtualbox.org 6 http://www.vmware.com/

Pgina 2 de 8

Consejos Prcticos en Seguridad TI

Virus, Antivirus, Firewalls

Hay mltiples productos antivirus en el mercado, para diferentes necesidades y tamao de empresas. Antivirus que se instalan directamente en los servidores que manejan los correos electrnico y las comunicaciones o en las computadoras de los usuarios (con la correspondiente carga que representan). Para proteccin de toda la red, existen soluciones integrales de software libre que adems de proveer proteccin, permiten el filtrado de contenido, balancear el uso de los recursos, etc. La empresa Endian ofrece su Community Firewall7, para aquellos profesionales TI que quieran probar una solucin completa de cortafuegos para nuestra red. Para proteccin de computadoras personales Filseclab Personal Firewall Professional Edition8 for Windows, a pesar de no ser el ms intuitivo para los usuarios finales, es muy til para que los profesionales TI sepan que programas y hacia donde envan informacin a Internet. La configuracin se puede definir, y se puede replicar en las computadoras de los usuarios. En el tema de antivirus, ClamAV9 se ha destacado para la proteccin de nuestros servidores, Kapersky10 nos presenta un antivirus para terminales de trabajo Linux y servidores, mientras que Avira11 ofrece buena proteccin para Windows y AVG12 inclusive ofrece un disco de rescate (basado en Linux), para desinfectar computadora Windows.

Navegacin Annima
Aunque no necesariamente sea de las cosas que utilizaremos en el da a da para proteger la infraestructura TI de nuestra empresa, existen dos herramientas sumamente interesantes para la proteccin de nuestra privacidad en la red: FreeNet13 es un proyecto que nos permite conectarnos a una red encriptada de computadoras que comparten informacin. Tor14 es otra herramienta de software libre que nos permite navegar en la red a travs de otras computadoras, a fin de que nuestras consultas viajen por otros caminos, y mantenernos annimos.

Estas herramientas son muy tiles en pases donde la libertad de expresin est siendo truncada por los gobiernos y/o los proveedores de servicios de Internet.

Manejo de Contraseas
En un mundo TI ideal, solo habra una contrasea que identifique al usuario, y que a travs de esta autentificacin se pudiera acceder a todos los servicios disponibles en la infraestructura TI. Sin embargo, la realidad en las PYMES es otra. A veces se requiere tener una contrasea para cada 7 http://www.endian.com/en/community/overview/ 8http://www.filseclab.com/eng/products/firewall.htm 9http://www.clamav.net 10 http://www.kaspersky.com/sp/anti-virus_linux_workstation 11 http://www.free-av.com/ 12 http://www.avg.com/ie-en/avg-rescue-cd 13http://freenetproject.org/ 14http://www.torproject.org/
Pgina 3 de 8

Consejos Prcticos en Seguridad TI servicio: una para el correo electrnico, una para el sistema de nmina, una para el sistema de produccin, una para acceder a los bancos, una para la mensajera instantnea, etc. Tanto el software libre como las soluciones no libres ofrecen mecanismos y estrategias para simplificar estos escenarios, por ejemplo la autentificacin a travs de directorios como LDAP, Active Directory, etc. Pero como dice el dicho, "la cadena se rompe por el eslabn ms dbil"... y en las seguridad TI, el eslabn ms dbil algunas veces son los usuarios y las contraseas que utilizan. Desde acciones irresponsables como dejarlas escritas en una "pedazo de papel" pegadas al monitor, hasta usar contraseas tan sencillas que cualquier persona cercana al usuario puede adivinarlas. Hay muchos mecanismos que nos ayudan a evitar el problema de la administracin de contraseas, sin embargo muchos implican esfuerzos y cambios en la infraestructura TI que usualmente no son aceptados. Como alternativa, casi siempre recomiendo el uso de "Claves Fsicas". Le llam "Claves Fsicas" a las contraseas que generan los usuarios, a travs del movimiento "aleatorio", pero "repetitivo" de las manos sobre el teclado. En vez de verbalizar una palabra, la idea es generar una contrasea escribiendo caracteres aleatorios, pero que para el usuario correspondan a un movimiento familiar sobre el teclado, algo repetitivo que puedan recordar como movimiento de las manos, no como una palabra. Ventajas: generas contraseas no identificables con tcnicas de diccionario, desventajas: requiere movimiento rpido de la mano, y representa un enfoque diferente a lo que estn acostumbradas los usuarios.

Encriptacin
Encriptacin es la codificacin de nuestra informacin en un dialecto que no sea legible por terceros, al menos que compartamos la contrasea para decodificarlo. En las PYMES, se mueve mucha informacin sensible en equipos porttiles, lo cual se vuelve una vulnerabilidad si uno de estos equipos es robado o perdido. Suponga que le roban la laptop al director de finanzas. Este tipo de ataques es comn y en el mejor de los casos el atacante solo estar interesado en el hardware, formatearlo y revenderlo. Sin embargo, si la intencin es extraer informacin, estamos en problemas. Una alternativa que tenemos es encriptar los discos duros, de tal manera que no sea posible leerlos a pesar de que no hayan sido borrados. TrueCrypt15 nos ofrece esta posibilidad, desde proteger contenedor de archivos, particiones, e inclusive el disco duro completo. Tambin se aplica en la proteccin de memorias USB.

Respaldos
Casi nadie nos acordamos de este tema, hasta que nos enfrentamos al problema de tener que recuperar desde un archivo hasta un equipo completo, pasando por servidores daados, bases de datos "accidentalmente" borradas o alteradas, etc. Existen mltiples herramientas y estrategias para la realizacin de los respaldos, dependiendo de la plataforma, la infraestructura, las redes y dems. rsync16 es una herramienta efectiva en el manejo deteccin de cambios y transferencias de informacin entre equipos remotos. Areca17 es una herramienta que nos permite la realizacin de respaldos completos, incrementales y diferenciales. Tambin podemos optar por la nueva generacin de servicios de almacenamiento en lnea como SpiderOak18. 15 http://www.truecrypt.org/ 16 http://rsync.samba.org/ 17 http://www.areca-backup.org/ 18 https://spideroak.com/
Pgina 4 de 8

Consejos Prcticos en Seguridad TI Recordemos que los respaldos deben de ser almacenados en una ubicacin fsica diferente a donde se encuentran los equipos respaldados.

Los Red Local e Internet La Red Inalmbrica

En trminos sencillo, el router es ese aparatito que nos da nuestro proveedor de servicios de Internet para que podamos conectar a la red nuestras computadoras. Muchas veces las configuraciones de fbrica no traen activados los parmetros de seguridad, por lo que vale la pena revisar la documentacin o solicitar apoyo de un profesional en TI. Tenemos que verificar que para utilizar nuestra red inalmbrica nos pida una contrasea. Muchas veces, tenemos computadoras desconocidas en nuestra red local, e incluso el consumo de nuestro ancho de banda por personas que se meten a nuestra red, esto la mayora de las veces, debido a que nuestra red inalmbrica no cuenta con la proteccin mnima. Adems, hay que estar pendientes de las actualizaciones que se liberen para nuestros routers, ya que muchas veces nos proveen de mejores protecciones y/o mayor rendimiento de nuestra conexin a Internet. No olvidemos lo crtico que es verificar en nuestras computadoras y/o routers tengan cerrados todos los puertos, y solamente abrir aquellos que, explcitamente, necesitemos usar.

Proteger el Acceso a Internet

Muchas veces, queremos prevenir que nuestra conexin a Internet se use para navegar en pginas que pongan en peligro nuestra red o que no sean apropiadas (por ejemplo para nuestros hijos pequeos). OpenDNS19 es un servicio de DNS que nos permite filtrar las pginas que son accesibles, a travs de la clasificacin de sus contenidos. El servicio es gratuito, y si se requiere un mayor control sobre el filtrado de las pginas, tiene un costo. Es altamente recomendado para escuelas y negocios ya que con una sencilla configuracin del router por el que se sale a Internet, se protege toda la red. Este es un ejemplo de los niveles de proteccin que permite filtrar OpenDNS:

19http://www.opendns.com/
Pgina 5 de 8

Consejos Prcticos en Seguridad TI

Tambin se puede personalizar, si se desea dar acceso o no a pginas en especfico, todo desde un sencillo panel de configuracin a travs de Internet.

Ms all de las Computadoras. "Dumpster Dyving"

Muchas empresas exponen de manera inconsciente informacin sensible, a travs de la basura: Estados de Cuenta, Cuentas Bancarias, Manuales Tcnicos, Directorios, etc. Dumpster Dyving se trata de buscar entre la basura de la empresa, informacin sensible y/o que ayude a realizar ataques ms elaborados, especialmente de los conocidos como "Ingeniera Social", tcnica ampliamente utilizada en nuestros das para comprometer la integridad de las personas y las organizaciones. Un triturador o incinerador de basura, soluciona el problema. En el tema de la basura, tambin entra la manera en la que nos "aseguramos" que la informacin de un equipo que se "desecha" o "cambia de manos" sea correctamente limpiado. Suponga que un director de su empresa cambia de laptop, ha pasado la informacin de la laptop vieja a la laptop nueva, y ha formateado la laptop vieja. Sin embargo, actualmente existen mltiples herramientas que permiten recuperar y extraer informacin de discos duros an y cuando estos hayan sido formateados. Para evitar este tipo de ataques, la mejor manera es sobreescribir la informacin en lugar de simplemente borrarla, existen herramientas que nos ayudan a sobreescribir ya sea un archivo, el espacio libre, hasta discos duros completos, ayudndonos a que sea sumamente complicado recuperar cualquier informacin. Entre estas herramientas tenemos Eraser20 y Wipe21.

20 http://sourceforge.net/projects/eraser/ 21 http://freshmeat.net/projects/ya-wipe/
Pgina 6 de 8

Consejos Prcticos en Seguridad TI

Seguridad Fsica
Al final del da, cualquier configuracin de software y/o hardware se puede vulnerar, si los dispositivos estn al alcance de las personas, que con un poco de conocimiento tcnico, o un buen tiempo de investigacin en la red, pueden encontrar el botn "reset". Es por eso que el acceso a servidores, routers, antenas, y dems dispositivos tiene que estar protegido, fuera del alcance de cualquier curioso que altere estos equipos causando cadas en los servicios. De la misma manera, los respaldos tienen que resguardarse en otra ubicacin fsica de donde estn los equipos respaldados. Suponga que exista algn dao fsico en el rea de servidores (por ejemplo un incendio o inundacin), el respaldo siempre estar seguro en otra oficina, o en otra ciudad. En alguna ocasin tuvimos que (literalmente) "sellar" los gabinetes de las computadoras de escritorio, para evitar que el personal abriera los equipos, reiniciara el BIOS y/o extrajera partes de la computadora como memorias, unidades de disco, etc.

El Enemigo Interno
Por increble que parezca, la mayora de los ataques informticos, las violaciones a la seguridad, el robo de contraseas y la suplantacin de identidades, entre otros problemas, se originan por los mismos usuarios de nuestra red. Esto sucede por malicia de los usuarios y/o como muestra de rebelda haca el personal TI, por la implantacin de medidas de seguridad, que no son amablemente aceptadas por los usuarios, y que en muchos de los casos sienten que les han sido quitados privilegios como descargar msica ilegal... En estos escenarios, la implantacin de los mecanismos de seguridad TI, tiene que estar acompaado de un fuerte compromiso por la direccin de la empresa, y de la creacin de una cultura de la importancia de la seguridad y lo que representa.

Polticas y Procedimientos
Hay muchas definiciones alrededor de estos dos conceptos, de manera sencilla podemos entender a las polticas como el conjunto de lineamientos que se establecen un orden, y los procedimientos son los mecanismos a travs de los cuales logramos el cumplimiento de las polticas. En este artculo hemos hecho nfasis en las herramientas gratuitas o de software libre que nos permiten mejorar nuestros escenarios de "Seguridad TI", sin embargo, el uso de estas herramientas siempre ser ms efectivo si en nuestra empresa hemos definido claramente las polticas y procedimientos que involucren y creen una cultura de responsabilidad entre los usuarios. La seguridad es cultura. La seguridad no se puede confiar ni en un solo proveedor (empresa o herramienta) ni en una sola persona (el "encargado de sistemas"), la seguridad se aplica con diversas herramientas, en diferentes estrategias y con el apoyo de las personas, el trabajo conjunto dar sus resultados.

Pgina 7 de 8

Consejos Prcticos en Seguridad TI

Resumen de Herramientas
Areca AVG Avira ClamAV Endian Firewall Eraser Filseclab Firewall FreeNet Project Kapersky OpenDNS rsync Sandboxie SpiderOak Altiris SVS Tor Project TrueCrypt VirtualBox VMWare Wipe http://www.areca-backup.org/ http://www.avg.com/ie-en/avg-rescue-cd http://www.free-av.com/ http://www.clamav.net http://www.endian.com/en/community/overview/ http://sourceforge.net/projects/eraser/ http://www.filseclab.com/eng/products/firewall.htm http://freenetproject.org/ http://www.kaspersky.com/sp/anti-virus_linux_workstation http://www.opendns.com/ http://rsync.samba.org/ http://www.sandboxie.com https://spideroak.com http://download.cnet.com/Software-Virtualization-Solution-SVS/3000-2651_410516806.html http://www.torproject.org/ http://www.truecrypt.org/ http://www.virtualbox.org http://www.vmware.com http://freshmeat.net/projects/ya-wipe/

Pgina 8 de 8