Seguridad informática y de la información en Grupo Plasencia Tabacos Honduras (página 3)
3. Aunque una maquina no contenga información valiosa, hay que tener en cuenta que pueda resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección.
4. Auditorias de seguridad y sistemas de detección
5. Mantenerse informado constantemente sobre cada una de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información.
6. Por último, pero quizás la más importante, la capacitación continúa del usuario y como ya dije capacitar lo más posible al personal encargado de seguridad.
Además de estas medidas también se deben tomar otras medidas que el administrador estime conveniente para la empresa.
Creación y difusión de virus
Quizás uno de los temas más famosos y sobre los que más mitos e historias fantásticas se corren en el ámbito informático sean los virus.
Pero como siempre en esta obscura realidad existe una parte que es cierta y otra que no lo es tanto. Para aclarar este enigma veamos porque se eligió la palabra virus (del Latín veneno) y que son realmente estos "Parásitos".
Técnicas de propagación de virus
Las técnicas más utilizadas por los virus para lograr su propagación y subsistencia son muy variadas y existen aquellos que utilizan varias de ellas para lograrlo y el personal de seguridad de la empresa debe conocerlas.
1. Medios extraíbles (desde el diskette, el CD, USB, HDD extraíbles): a la posibilidad de que uno de estos medios extraíbles contenga un archivo infectado se une el peligro de que integre un virus de sector de arranque (Boot) y esto sería más que peligroso para la empresa. Ya que en este caso, y si el usuario lo deja en uno de los puertos o dispositivo de estos, infectara el ordenador cuando lo encienda, ya que el sistema intentara arrancar desde un medio extraíble de estos.
2. Correo electrónico: el usuario no necesita hacer nada para recibir mensajes de correo electrónico que, en muchos casos ni siquiera ha solicitado y que pueden llegar de cualquier lugar del mundo. Los mensajes de correo electrónico pueden incluir archivos, documentos o cualquier objeto infectado que, al ejecutarse, contagia la computadora del usuario. En las últimas generaciones de virus y desde hace mas de una década lo que se envía en los e-mails no son mensajes si no que archivos adjuntos (con virus) que al abrirlos se ejecutan, esto podría pasar en la empresa inocentemente incluso un empleado de la empresa ni se daría cuenta que se ha ejecutado un virus y infectarían todo el sistema. Estos virus poseen una gran velocidad de propagación ya que se envían automáticamente a los contactos de la libreta de direcciones del sistema infectado. Todo el Grupo Plasencia mantiene la mayoría de las maquinas con antivirus con licencias originales y sus antivirus actualizados ya que toma en cuenta que todos los días salen nuevos virus y de nada serviría tener un antivirus crackeado o licenciado si no se actualiza, pero igualmente hay una cantidad minoritaria de maquinas que al no ajustarse las licencias se activan en modo de prueba o se piratean y esto no sería sano para la empresa independientemente de si la computadora maneja información importante o no. En los últimos años esta situación ha mejorado ya que antes de descargarse el archivo adjunto se analiza en busca de virus para evitar que dañe el equipo del usuario.
3. IRC O Chat: las aplicaciones de mensajería instantánea (ICQ, AOL, Yahoo Messenger, Chat del Facebook y hasta Skype) o Internet relay Chat (IRC), proporcionan un medio de comunicación anónimo (algunas veces cuando en su nombre de usuario no ponen su nombre real), rápido, eficiente, cómodo y barato. Sin embargo también son peligrosas, ya que los entornos de chat ofrecen, por regla general, facilidades para la transmisión de archivos, que conlleva un gran riesgo en un entorno de red.
4. Páginas web y transferencia de archivos vía FTP: los archivos que se descargan de internet pueden estar infectados, y pueden provocar acciones dañinas en el sistema en el que se ejecutan. La empresa podría implementar GPO (directivas de grupo) desde Windows Server 2008 para que usuarios no puedan descargar programas, documentos, etc. De otras páginas que no sea el correo electrónico de la empresa. Para evitar que virus infecten la maquina, la empresa está implementando un servidor Proxy para bloquear algunas páginas.
Algunos Tipos de virus
Un virus puede causar daño lógico (generalmente) o físico (bajo ciertas circunstancias y por repetición) de la computadora infectada y nadie en su sano juicio deseara ejecutarlo. Para evitar la intervención del usuario los creadores de virus debieron inventar técnicas de las cuales valerse para que su "programa" pudiera ejecutarse y que muchos empleados de la empresa pueda que no conozca a excepción del personal de TI. Estas son diversas y algunas de las más ingeniosas son estas:
Archivos ejecutables
El virus se adosa a un archivo ejecutable y desvía el flujo de ejecución a su código, para luego retornar al huésped y ejecutar las acciones esperadas por el usuario. Al realizarse esta acción el usuario no se percata de lo sucedido. Una vez que el virus es ejecutado se aloja en memoria y puede infectar otros archivos ejecutables que sean abiertos en esa máquina.
Virus en el sector de arranque (virus anterior a la carga del sistema operativo)
Si no se encuentra el sistema operativo y se tiene el orden de arranque una memoria, o un diskette. Se puede ejecutar un virus en el arranque que lo puede expandir a todo el sistema incluso infectar el servidor de la empresa.
Virus residente
Como ya se menciono, un virus puede residir en memoria. El objetivo de esta acción seria controlar los accesos a disco realizados por el usuario y el sistema operativo. Cada vez que se produce un acceso, el virus verifica si el disco o archivo objetivo al que se accede, está infectado y si no lo está procede a almacenar su propio código en el mismo. Este código se almacenara en un archivo, tabla de partición, o en el sector de booteo, dependiendo del tipo de virus que se trate.
Macro virus
Estos virus infectan archivos de información generados por aplicaciones de oficina, que cuentan con lenguajes macros. Su principal punto fuerte fue que termino con un paradigma desde finales de la década de los 90s "los únicos archivos que pueden infectarse son los ejecutables" y en aquel tiempo todas las tecnologías antivirus sucumbieron ante ese nuevo ataque en aquel tiempo principalmente en EEUU, ya que en las empresas de nuestro país era muy poco el uso de la tecnología.
Virus de Mail
El "último grito" a comienzos del 2000 en cuestión de virus. Su modo de actuar, al igual que los anteriores, se basa en la confianza excesiva por parte del usuario; a este le llega vía Mail un mensaje con un archivo comprimido (.ZIP por ejemplo), el usuario lo descomprime y al terminar esta acción, el contenido (virus ejecutable) del archivo se ejecuta y comienza el daño.
Virus de sabotaje
Son virus construidos para sabotear un sistema o entorno especifico. Requieren de conocimientos de programación pero también una acción de inteligencia que provea información sobre el objetivo y sus sistemas. Un virus de estos requiere muchos conocimientos en programación y podría implantarlo tal vez un empleado descontento.
Hoax los virus fantasmas
El auge del correo electrónico a comienzos de los 2000 genero la posibilidad de transmitir mensajes de alerta de seguridad. Así comenzaron a circular mensajes de distinta índole (virus, cadenas solidarias, beneficios, catástrofes, etc.) de casos inexistentes inclusive esto lo hacen ahora hasta por las redes sociales. En el caso por correo los objetivos de estas alertas pueden causar: alarma, la pérdida de tiempo, el robo de direcciones de correo, y la saturación de los servidores, con las consecuentes pérdidas de dinero que esto ocasiona.
Reproductores gusanos
Son programas que se reproducen constantemente hasta agotar totalmente los recursos del sistema huésped y/o recopilar información relevante para enviarla a un equipo al cual su creador tiene acceso.
Caballos de Troya
De la misma forma que el antiguo caballo de Troya de la mitología Griega escondía en su interior algo que los Troyanos desconocían, y que tenía una función muy diferente a la que ellos podían imaginar; Un caballo de Troya es un programa que aparentemente realiza una función útil pero además usa una operación que el usuario desconoce y que generalmente beneficia al autor del Troyano o daña el sistema huésped.
Consisten en introducir dentro de un programa una rutina o conjunto de instrucciones, no autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa actué de una forma diferente a como estaba previsto.
Bombas lógicas
Como ya había dicho, Este suele ser el procedimiento de sabotaje más comúnmente utilizados por empleados descontentos o que no se van de la empresa en buenos términos.
Tipos de daños ocasionados por los virus
Los virus no afectan (en su gran mayoría) directamente al hardware sino atraves de los programas que lo controlan; en ocasiones no contienen código nocivo, o bien, únicamente causan daño al reproducirse y utilizar recursos escasos como el espacio en el disco rígido, tiempo de procesamiento, memoria, etc. En general los daños que pueden causar los virus se refieren a hacer que el sistema se detenga, borrado de archivos, comportamiento erróneo de la pantalla, despliegue de mensajes, desorden en los datos del disco, aumento del tamaño de los archivos ejecutables o reducción de la memoria total.
Para realizar la siguiente clasificación se ha tenido en cuenta que el daño es una acción de la computadora, no deseada por el usuario:
1. Daño implícito: es el conjunto de todas las acciones dañinas para el sistema que el virus realiza para asegurar su accionar y propagación.
2. Daño explicito: es el que produce la rutina del daño del virus.
Con respecto al modo y cantidad de daño, encontramos:
daños triviales: daños que no ocasionan ninguna pérdida grave de funcionalidad del sistema y que originan una pequeña molestia al usuario. Deshacerse del virus implica, generalmente, muy poco tiempo.
daños menores: daños que ocasionan una pérdida de la funcionalidad de las aplicaciones que poseemos. En el peor de los casos se tendrá que reinstalar las aplicaciones afectadas, y esto sería pérdida de tiempo para la empresa y como en toda empresa el tiempo es oro.
daños moderados: los daños que el virus provoca son formatear el disco rígido o sobrescribir parte del mismo. Para solucionar esto lo que podría hacer la empresa seria utilizar la última copia de seguridad que se ha hecho y reinstalar el sistema operativo.
daños mayores: algunos virus pueden, dada su alta velocidad de infección y su alta capacidad de pasar desapercibidos, lograr que el día que se detecta su presencia tener las copias de seguridad también infectadas. Puede que se llegue a encontrar una copia de seguridad no infectada, pero será tan antigua que se haya perdido una gran cantidad de archivos que fueron creados con posterioridad.
daños severos: los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No se sabe cuando los datos son correctos o han cambiado, pues no hay unos indicios claros de cuando se ha infectado el sistema, la computadora o la red.
daños ilimitados: el virus "abre puertas" del sistema a personas no autorizadas. El daño no lo ocasiona el virus, si no esa tercera persona que, gracias a él, puede entrar en el sistema.
Cualquier daño de estos afectaría mucho a la empresa Clasificadora y Exportadora de Tabaco aunque sean daños triviales o daños menores que no afectan en forma tan drástica a la empresa, pero se perdería tiempo vital para la empresa.
Programa Antivirus
Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que mas contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no es para prevenir la creación e infección de otros nuevos.
En la empresa el primer requisito al comprar una computadora o formatearla es instalarle un programa antivirus (con licencia original en la mayoría de los casos) y actualizarle la base de datos de virus para estar totalmente protegido y posteriormente se procede a instalar programas o descargarlos de internet. Actualmente la mayoría de software antivirus brinda una nueva forma de "adelantarse" a los nuevos virus. Con esta técnica el antivirus es capaz de analizar archivos y documentos y detectar actividades sospechosas.
Debe tenerse en cuenta que:
un programa antivirus forma parte del sistema y por lo tanto funcionara correctamente si es adecuado y está bien configurado.
No será eficaz el 100% de los casos, no existe la protección total y definitiva.
Las funciones más comunes presentes en un antivirus serian:
Detección: puede afirmar la presencia y/o accionar de un virus en la computadora. Adicionalmente puede brindar módulos de identificación, erradicación del virus o eliminación de la entidad infectada.
Identificación de un virus
En conclusión en este tema de los virus es necesario tomar todas las medidas antes descritas y manejar todas las computadoras con antivirus originales y si se quiere se podría instalar un servidor de antivirus. Y ayudar a que los empleados hagan uso de su antivirus.
2.8
Administración de seguridad para la empresa
Administración de la seguridad en la empresa
Lo ideal en la empresa seria dividir las tareas de administración de seguridad en tres grandes grupos:
Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cómputo que cierto medio ambiente puede ofrecer.
Autorización: es el hecho que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio.
Auditoria: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este grupo al mantener estadísticas de acceso, estadísticas de uso, y políticas de acceso físico a los recursos.
Por regla general, las políticas son el primer paso con el que dispone esta empresa para entrar en un ambienté de seguridad, puesto que reflejan su "voluntad de hacer algo" que permita detener un posible ataque antes de que este suceda (pro actividad). A continuación se citan algunos de los métodos de protección más comunes que la empresa puedan emplear:
Sistemas de detección de intrusos: son sistemas que permiten analizar las bitácoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, sobre de la información con la que han sido previamente alimentados. Pueden considerarse como monitores.
Sistemas orientados a conexión de red: monitorizan las conexiones que se intentan establecer en una red o equipo en particular, siendo capaces de efectuar una acción sobre la base de métricas como: origen y destino de la conexión, servicio solicitado, permisos, etc. Las acciones suelen ir desde el rechazo de la conexión hasta alerta al administrador. En esta categoría están los cortafuegos (Firewalls).
Sistemas de análisis de vulnerabilidades: analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La "desventaja" de estos sistemas es que pueden ser utilizadas tanto por personas autorizadas como por personas que buscan acceso no autorizado al sistema.
Sistemas de protección a la integridad de información: sistemas que mediante criptografía o sumas de verificación tratan de asegurar que no ha habido alteraciones indeseadas en la información que se intenta proteger.
Sistemas de protección a la privacidad de la información: herramientas que utilizan criptografía para asegurar que la información solo sea visible para quien tiene autorización.
Resumiendo, un modelo de seguridad debería estar formado por múltiples componentes o capas que pueden ser incorporadas de manera progresiva al modelo global de seguridad en la empresa, logrando así el método más efectivo para disuadir el uso no autorizado de sistemas y servicios de red. Podemos considerar que estas capas son:
Política de seguridad de la empresa
Auditoria
Sistemas de seguridad a nivel de Router-Firewall
Sistema de detección de intrusos
Plan de respuesta a incidentes
Firewalls
Los Firewalls no tienen nada que hacer en técnicas como la ingeniería social que es algo muy frecuente en empresas Hondureñas.
Un Firewalls es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo la red interna de la empresa con el internet que es una red poco confiable).
Un Firewall dentro de la empresa puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
Todo el tráfico desde adentro hacia afuera, y viceversa, debe pasar atraves de él.
Solo el tráfico autorizado, definido por la política local, es permitido.
Gestión de claves seguras
Como lo exigen los sistemas de información y sistemas operativos como Microsoft que exigen una clave de 8 caracteres (ahora 12 es lo recomendable) de longitud de los 96 caracteres posibles. (Incluyendo mayúsculas, números y signos) un intruso podría tardarse 2,288 años en descifrarla atraves de un ataque de fuerza bruta.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas claves débiles.
Algunas otras normas que se recomiendan para las contraseñas de los usuarios serian:
No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personas de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
No usar contraseñas completamente numéricas con algún significado (teléfono, identidad, fecha de nacimiento, etc.)
Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas, minúsculas, números y signos)
Deben ser largas de 8, 12 caracteres o más.
Tener contraseñas diferentes en maquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas maquinas.
Deben ser fáciles de recordar para no verse obligado a escribirlas.
Normas para que la empresa pueda proteger una clave
La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario. Al comprometer una cuenta se puede estar comprometiendo todo el sistema.
Algunos consejos a seguir:
No permitir ninguna cuenta sin contraseña. el administrador del sistema, debería repasar este hecho periódicamente.
No mantener contraseñas por defecto del sistema, esto perjudicaría a la empresa ya que los intrusos se saben estas contraseñas.
Los usuarios y el administrador nunca deben compartir la contraseña con nadie. Si se hace por cualquier razón, cambiarla inmediatamente.
No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
No teclear la contraseña si hay alguien mirando. Es una muy buena norma de un buen usuario no mirar el teclado mientras alguien teclea su contraseña.
No enviar la contraseña por correo electrónico ni mencionarla en una conversación de mensajería instantánea y si se debe mencionar no hacerlo explícitamente diciendo "mi clave es…".
No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).
Como ya se dijo en todo el contenido de la investigación el primer paso que las empresas tienen que utilizar es políticas de seguridad, recientemente la empresa Clasificadora y Exportadora de Tabaco S.A. dio a conocer las políticas de seguridad para los usuarios de los centros de computo y quienes se encargan de que estas se cumplan son los jefes de cada centro de computo.
Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que recomiendan el uso adecuado de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
En este sentido, las políticas de seguridad informática, surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una empresa sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la empresa desarrollarse y mantenerse en su sector de negocios.
Si la empresa implementara todas estas acciones guiaría a la empresa a mantenerse en un nivel muy seguro. Y si en algunas medidas de tendría que invertir dinero como en: sistemas contra incendios, mejoras en la sala de servidores y otras. Estas inversiones salvarían a la empresa en casos de desastres informáticos que pudiera representar perdida de información, perdida de millones de lempiras y hasta que la empresa desaparezca. El tema de seguridad informática debe ser prioridad en el departamento de informática. Que como ya se dijo la información es el principal activo de una empresa ya que sin información no se podría operar y este documento investigativo seria de gran ayuda en mejorar sobre este tema en la empresa. Ya que en Clasificadora y exportadora de Tabaco no se ha profundizado en este tema. Tampoco la empresa está mal en esto. Se ha trabajado mucho, pero en esta investigación se identificaran las mejoras que necesitaran hacerse.
III
Entrevistas
Entrevista con Manuel Antonio Rodríguez (Jefe del departamento de Informática)
Se realizo una entrevista al jefe del departamento de informática de la empresa para conocer más sobre lo que hace la empresa sobre el tema de seguridad de la información y aquí presento la entrevista.
¿La empresa sabe la importancia de la seguridad de la información en la empresa?
Claro, la seguridad de la información es algo primordial en toda empresa, en el Grupo Plasencia tratamos que los datos que se manejan estén respaldados de forma segura y que no surjan problemas de robo de información, fraude o que personas ajenas a esta empresa accedan a la información de la empresa, en cuanto al sistema "Controles y Sistemas" aquí los usuarios de todas las empresas ingresan la mayoría de la información principalmente de materia prima y producción y de otras áreas y esta información se almacena en el servidor y se hace un BackUp semanalmente que se respalda en los servidores de navega que nos vende un espacio. Actualmente el equipo de desarrollo de la empresa ya diseño un nuevo sistema y se está a punto de implementar va a ser un sistema muy parecido al actual con la diferencia que este fue creado por la empresa y contamos con el código fuente para hacerle cualquier modificación.
¿El sistema de BackUp es únicamente para la información del sistema?
El sistema de BackUp es solo para esa información, otras informaciones como documentos de Excel, documentación de la gerencia y otros son respaldados con copias en medios extraíbles y las copias se guardan en distintas partes.
¿Se tiene en mente hacer cambios en el área de servidores?
Si claro, yo como jefe de informática sé que no es el lugar adecuado, pero son decisiones que no dependen de mi y en este caso ni de la gerencia, si no que de los propietarios de la empresa. Sabemos que yo tengo que cambiar de oficina o dividir la oficina, porque así hay muchos factores que afectan en este edificio la mayor parte se encuentran personas fumando ya que como es una empresa tabacalera, vienen clientes, los dueños y los ejecutivos de esta empresa fuman y ya que es prohibido tener la puerta cerrada todo ese humo del edificio entra aquí en la oficina mía que es donde está el servidor, yo estaré haciendo una propuesta sobre este tema, y como ya le dije todo dependerá de la disposición de los dueños más que todo.
¿Tiene la empresa y usted como el jefe de informática en mente incluir a Jamastran y Talanga que estén conectadas con red y datos atraves del sistema?
Si la verdad es que aunque en estas empresas no se maneja tanta información lo más es información del tabaco que sale y remisiones de productos que entran como repuestos de maquinarias, fertilizantes, etc. Pero con un centro de datos con dos computadoras en cada empresa se podría hacer. La verdad es uno de mis objetivos aurita es que todas las empresas del grupo estén conectadas al servidor.
¿Sabe usted la necesidad de capacitar al personal de la empresa en el tema de seguridad informática?
Si claro, el personal de la empresa no está tan comprometido con la seguridad informática y en muchas cosas las desconocen, actualmente se implementaron políticas de seguridad y luego de este aporte suyo como profesional intentaremos mejorar como una empresa responsable en todos estos temas. Pero a pesar de esto la empresa no puedo asegurar que no ha habido fuga de información, pero si nunca se ha cometido algún delito en la empresa relacionado con los delitos informáticos.
¿Las políticas de la empresa, las conocen todos los usuarios?
Las políticas fueron entregadas a cada jefe de cada centro de datos en cada empresa y este tiene el deber de hacer que los usuarios las cumplan y aquí en la administración yo me encargo de hacer que se cumplan. Si no cumplen se pueden tomar otras medidas como sanciones, vamos a instalar un servidor Proxy e implementar otras GPO desde Windows server 2008.
¿La empresa ha realizado análisis de riesgos?
La verdad es que no, hemos estado muy pendientes en los antivirus, que no salga información de la empresa, que el servidor este seguro. Pero no hemos hecho un trabajo de rastrear todas las vulnerabilidades que pueda haber. Pero ahora trataremos mejorar en ese aspecto ya que se ha ampliado el personal de informática y con esto tratare de profundizar en este tema.
¿En lo que es el la información por correo electrónico la empresa tiene su correo corporativo?
Si así es, los empleados solo pueden usar el correo de la empresa para el envió de información, nosotros adquirimos un dominio Plasenciatabaco.com y el servicio de correo nos lo da Navega la misma empresa que nos proporciona el servicio de internet y datos. Nosotros no tenemos configurado el servidor de correos en nuestro servidor, si no que esto lo administra Navega y el protocolo usado es el POP3, el correo de la empresa lo tienen solamente empleados que realmente lo necesitan.
¿Está en los planes de la empresa poder certificarla con la norma ISO 27001 Sistemas de Gestión de Seguridad en la Información?
La verdad que sería algo muy importante para la empresa, pero primero tenemos que trabajar mucho en mejorar la seguridad informática en la empresa y después verificaríamos la lista de entidades cercanas que pudieran certificarnos.
¿Cuentan toda las maquinas con antivirus con licencia?
Si a todas las maquinas se les instala cada año el Karspersky ahora tienen instalado el Karspersky 2013 con licencia por un año.
La empresa se encuentra protegida ante cortes de energía eléctrica?
Si cada computadora cuenta con un UPS, en el caso de Clasificadora y Exportadora en el servidor cuenta con un UPS con una duración aproximada de 12 horas y este Ups si yo lo dispongo le puedo dar energía a todas las computadoras de esta empresa desde este Ups, aquí en la oficina están los interruptores para activar, pero siempre lo tengo solo para el servidor, ya que cada computadora hasta con el Ups mientras entra el motor.
Cada empresa del grupo cuenta con una planta eléctrica, en el caso la planta eléctrica de Paraíso Cigars es la única que es automática que al irse la luz, entra automáticamente después de unos segundos, en las demás empresas se tienen que encender manualmente. Pero en ese aspecto de energía todas las empresas están protegidas. En caso de la luz cuando se va la empresa no corre el riesgo de sufrir perdida de datos.
¿Los equipos portátiles de los empleados de la empresa que cuentan con ellos, se lo pueden llevar para su casa o sacarlos de la empresa?
Los empleados que cuentan con computadoras portátiles es personal de la gerencia, jefes de contabilidad y personal de informática y mayormente se dejan en la empresa, pero en el caso que tengan que ir a las otras empresas del grupo y o las empresas del grupo en Nicaragua pueden llevarlas son casos de trabajo, pero no pueden llevarlas si no es algo estrictamente de trabajo.
La empresa tiene planes de mejorar en el acceso y sistemas de alarma o anti incendios los servidores?
Si ese es una de los prioridades ahora, lo que pasa es que primero tenemos que hacer es dejar en un cuarto exclusivo para ellos a los servidores o separarlos de mi oficina y después le voy a proponer a la gerencia un sistema de alarma en caso de algún acceso indebido, incluso cámaras, y ver la forma de instalar un sistema anti incendios y que también funcione como alarma en caso de un incendio. Y en lo que se refiere a los accesos actualmente como el servidor está en mi oficina hay mucha gente que tiene acceso, por eso al separar el servidor de mi oficina vamos a estudiar alguna opción para manejar el acceso. Que creo que el más factible para nosotros sería un control atraves de PIN o con tarjetas inteligentes.
Entrevista con Ibrahim Salmerón (Gerente Administrativo de Clasificadora y Exportadora de Tabaco S.A.)
¿Usted como gerente siente que hay necesidad de capacitar a los empleados de la empresa en el tema de seguridad de la información?
Si hay una necesidad de hacerlo, no se han dado casos de delincuencia informática, ni ha ocurrido desastres informáticos con pérdida de información. Pero no vamos esperar que esto pase, dentro de poco vamos a ponernos de acuerdo con la gente de informática para ver la forma de poder capacitar al personal en este tema.
¿Apoyaría la gerencia las decisiones del jefe de informática para el mejoramiento de la seguridad de la información?
Si el cuenta con nuestro respaldo, pero también depende del Gerente Propietario Néstor Plasencia principalmente cuando las medidas incluyen un presupuesto financiero. Pero si apoyaremos cualquier decisión que se tome para mejorar la empresa.
IV
Conclusiones Generales
Conclusiones Generales
Basado en las entrevistas al Gerente de TI y al Gerente Administrativo y las consultas que hice algunos empleados llegue a las siguientes conclusiones:
1. Pude descubrir y los ejecutivos aceptan la falta de conocimientos mínimos de los usuarios sobre la seguridad de la información.
2. La falta de cuidado al manejar la información entre otras cosas. El Gerente de TI hiso una autoevaluación y descubrió la falta de medidas como controles de acceso, falta de plan de contingencias, falta de un equipo del personal dedicado a la seguridad informática, plan de BackUp de documentación de la empresa entre otras cosas.
3. Ambos ejecutivos de la empresa al reconocieron la importancia de la información en una empresa y coincidieron que la inversión en este tema da seguridad a los datos y equipos de la empresa, y le ahorraría tiempo y sobre todo dinero.
4. La empresa está ampliando su departamento de informática con la contratación de más profesionales en esta área para mejorar en todos los aspectos incluyendo la seguridad de la información.
5. Existe la necesidad de mejoras en la infraestructura y la instalación de un servidor de seguridad o Proxy para la protección de perímetros.
6. Necesidad de instalar software original incluyendo sistemas operativos para evitar parches que contengan virus.
7. Es necesario implementar un análisis de riesgos para poder tomar las medidas de seguridad necesarias.
8. Al final la gerencia administrativa manifestó que el Gerente de TI cuenta con todo el respaldo de la gerencia para cualquier decisión que tome, igualmente lo harían los socios de la empresa si la inversión seria justificable y sabemos que la seguridad de la información es una inversión que nos va a garantizar la operación correcta de la empresa.
V
Recomendaciones
Políticas de seguridad
Está lejos de mi intención como estudiante proponer un documento estableciendo lo que debe hacer un usuario o la empresa para lograr la mayor seguridad informática posible. Pero Si esta dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características.
El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como muchos documentos en otras empresas son ignorados por contener planes y políticas difíciles de lograr, o peor aún, de entender.
Esto adquiere mayor importancia cuando el tema abordado por estas políticas es la seguridad informática.
He intentado dejar en claro que la seguridad informática no tiene una solución definitiva aquí y ahora, si no que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.
En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco".
La política debería reflejarse en una serie de normas, reglamentos y protocolos a seguir, donde se definan las medidas a tomar para proteger la seguridad del sistema; pero ante todo la política de seguridad es una forma de comunicarse con los usuarios…la empresa y todos tenemos que tener en cuenta que la seguridad comienza y termina con las personas. Y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se le ha cerrado con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
Ser temporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
El documento ya existente en la empresa puede ser mejorado, luego de esta investigación para fortalecer mejor la seguridad en la empresa. Tomando en cuenta los 4 puntos ya mencionados.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la integridad, disponibilidad, privacidad y adicionalmente, control, autenticidad, y utilidad.
Como ya se ha dicho en el cuerpo de la investigación, el análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas en la empresa:
Primeramente obtener la evaluación económica del impacto de estos sucesos. Este valor se podría utilizar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
Tenerse en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
Se debe conocer que se debe proteger, donde y como, asegurando que con los costos en los que se incurra se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
Debido a que en la empresa no se ha realizado un análisis de riesgos, dado que la empresa cuenta con un personal amplio en el departamento de informática, como ya dije al delegar un equipo para trabajar en la seguridad, luego de las políticas lo ideal sería realizar el análisis de riesgos y el administrador de seguridad debería ser sobre quien recaería esta misión junto al equipo que lo acompañara.
Identificación de una amenaza
El análisis de riesgos ayudara a la empresa a identificar las amenazas. Ya que una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la empresa es necesario identificar cada una de las amenazas y vulnerabilidades que puedan causar estas bajas en los recursos. Como ya se menciono existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco y esto es algo que la empresa debe tener muy claro.
Se suelen dividir las amenazas existentes según su ámbito de acción:
Desastre del entorno (Seguridad Física)
Amenazas del sistema (Seguridad Lógica)
Amenazas en la red (comunicaciones)
Amenazas de personas
Como ya se dijo la empresa la amenaza más latente es la amenaza de personas ya que en la seguridad Física, seguridad lógica y en comunicaciones esta en un nivel muy aceptable no al 100% pero si a un nivel algo seguro, pero en la seguridad de personas como ya se dijo el principal riesgo es la poca capacitación y concientización de los empleados en este tema.
La principal recomendación seria capacitar a los empleados del área informática sobre la seguridad informática y también capacitar a los demás usuarios en este tema principalmente en que hagan cumplir los tres principios básicos de la seguridad de la información: integridad, disponibilidad y confidencialidad. Principalmente hacer cumplir esta última con personas que no deban saber esa información, aunque sean de la misma empresa y no dar absolutamente ningún tipo de información a personas ajenas a la empresa. Yo no me plantee como objetivo el concientizar a los usuarios, jefes o la empresa en general pero si dar los lineamientos y reglas a seguir para que la empresa pueda hacerlo con sus usuarios porque cualquier información puede servir a un intruso, desde una hoja de Excel con inventarios sobre bultos de tabaco hasta un documento con el pago de una planilla, o información de sueldos de empleados o documentos de cuentas por cobrar o cuentas por pagar. Y el extravió de alguna información de estas, la empresa puede ser víctima de robo o fraude.
Y por razones como estas es que la empresa debe poner mucho cuidado en las personas ya que otras amenazas como: Terremotos, Huracanes, incendios, inundaciones, hackers, crackers, estafadores, sabotajes. Son menos probables debido a la protección o al no haber mucha amenaza de hackers o terremotos en la zona por ejemplo.
Todas las computadoras del área administrativa deberían contar con un BackUp en el servidor y en un medio extraíble como memorias USB, o disco duros extraíbles y estar guardados por el jefe de informática o la gerencia de la empresa para evitar fuga de información.
La empresa deberá disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar. Es necesario que los administradores de seguridad actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua. En la empresa Clasificadora y Exportadora de Tabaco no hay un administrador exclusivamente de seguridad en la empresa hay 3 empleados de informática incluyendo al jefe de informática y los 3 tienen que estarse actualizando del tema de seguridad, en este caso el jefe de Informática actualiza sus conocimientos ya que él es el encargado de velar por la seguridad informática.
Evaluación de costos
El desafío de responder la pregunta del valor de la información ha sido siempre difícil, y más difícil aun hacer estos costos justificables, siguiendo el principio que "si desea justificarlo, debe darle un valor". La información en todas partes tiene un valor, pero en esta empresa no se tiene un valor exacto de la información y en muchos casos ni del equipo de cómputo y dispositivos se tiene un valor, entonces para justificar los costos la empresa debe tener el valor que ellos consideren para la información.
Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso, que en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentación o las aplicaciones. Ya que generalmente la empresa tiene las facturas de los equipos y saben el precio exacto de estos, igualmente con el software o las licencias tienen los precios y facturas y así dan un valor a estos, pero con la información nunca se le da un valor o al menos un valor exacto.
Además las medidas de seguridad no influyen en la productividad del sistema por lo que las empresas dedican recursos a esta tarea. Por eso es importante entender que los esfuerzos invertidos en la seguridad son costeables.
El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
CP: valor de los bienes y recursos protegidos.
CR: costo de los medios necesarios para romper las medidas de seguridad establecidas.
CS: costo de las medidas de seguridad.
Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial énfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces, ocultos y no obvios (costos derivados).
Los costos derivados de la pérdida: una vez más deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la pérdida de algún componente del sistema. Muchas veces se trata del valor añadido que gana un atacante y la repercusión de esa ganancia para el entorno, además del costo del elemento perdido.
Puntos de equilibrio
Una vez que están evaluados los riesgos y los costos en los que está dispuesto a incurrir y decidió el nivel de seguridad a adoptar, podrá obtenerse un punto de equilibrio. Uno de los principales problemas que se puede dar en esta empresa es la poca inversión que los empresarios hacen en la Seguridad de la Información.
Estrategia de seguridad
Para que la empresa establezca una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar: Física, Lógica, Humana, y la interacción que existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia proactiva y otra reactiva.
La estrategia proactiva (proteger y proceder) o de prevención de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinación del daño que un ataque va a provocar en un sistema de la empresa y las debilidades y puntos vulnerables explotados durante este ataque ayudara a desarrollar esta estrategia.
La estrategia reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencias desarrollado en la estrategia proactiva, a documentar y a aprender de la experiencia, y a conseguir que las experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:
Lo que no se permite expresamente está prohibido: significa que la empresa proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa esta prohibida.
Lo que no se prohíbe está expresamente permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás si lo estarán.
Estas posturas constituyen las bases de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir que acciones se toleran y cuáles no.
Implementación de las políticas de seguridad
La implementación de las medidas de seguridad, es un proceso técnico administrativo. Con este proceso se debería abarcar toda la empresa, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
El sector gerencial y socios de la empresa deben de apoyar todas las decisiones del jefe de informática para mejorar la seguridad informática en la empresa ya que por más que el jefe de informática o administrador de seguridad quiera implementar políticas de seguridad, políticas de grupo desde el servidor, etc. Pero si la gerencia o socios de la empresa no se le permiten muy poco se va a avanzar en temas de seguridad de la información, a pesar de que esta empresa ha sufrido muy poco, prácticamente nada en problemas de seguridad.
Se deberá tener en cuenta que la implementación de políticas de seguridad, trae aparejados varios tipos de problemas que afecten el funcionamiento de la empresa. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la empresa, tanto técnica como administrativamente.
Como ya se dijo anteriormente la política de seguridad, es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y darlas a conocer al resto de la empresa con el fin de otorgar visibilidad a los actos de la administración, no dárselas a conocer solamente a los jefes del personal.
La política de seguridad informática de la empresa debería abarcar:
Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición
Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la empresa.
Responsabilidades de los usuarios con respecto a la información de la empresa que generan y a la que tienen acceso, se considere o no importante.
Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
Definición de violaciones y las consecuencias del no cumplimiento de las políticas
´por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud que pasara o cuando algo sucederá; ya que no es una sentencia obligatoria de la ley.
Explicaciones comprensibles (Libre de palabras muy técnicas y términos legales pero sin sacrificar su precisión) sobre el porqué de las decisiones tomadas.
Finalmente, como documento dinámico de la empresa, debe seguir un proceso de actualización periódica sujeto a los cambios de la empresa relevantes: crecimiento de personal, cambio en la infraestructura computacional, alta y rotación de personal.
Para las políticas, se comienza realizando la evaluación del factor humano, el medio en donde se desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.
Luego de evaluar estos elementos y establecida la base del análisis, se originan un programa de seguridad, el plan de acción y las normas y procedimientos a llevar a cabo.
Con el fin de confirmar que todo lo creado funciona en un marco real, se debe realizar una simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulación y los casos reales registrados generan una realimentación y revisión que permiten adecuar las políticas generadas en primera instancia.
Por último el plan de contingencias debería ser el encargado de suministrar el respaldo necesario en caso que la política falle. Es importante destacar que la seguridad debe ser considerada dentro de la empresa desde la fase de diseño de un sistema.
Si la seguridad es contemplada luego de la implementación del mismo, el personal se enfrentara con problemas técnicos, humanos, y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de seguridad.
e) Auditoría y control
Se considera que la auditoria son los "ojos y oídos" de la dirección, que generalmente no puede, no sabe o no debe realizar las verificaciones y evaluaciones.
La auditoria consiste en contar con los mecanismos para determinar qué es lo que sucede en el sistema, que es lo que hace cada uno y cuando lo hace.
En cuanto al objetivo del control es contrastar el resultado final obtenido contra el deseado a fin de incorporar las correcciones necesarias para alcanzarlo, o bien verificar la efectividad de lo obtenido.
En la empresa se han realizado algunas auditorias pero no se ha logrado el final deseado ya que al final se logran muchas recomendaciones que deben hacerse dentro de la empresa, pero debido a la poca disposición de la gerencia general de la empresa no se llega al objetivo deseado.
Plan de contingencia
Como ya se ha explicado anteriormente, pese a todas las medidas de seguridad que la empresa pueda llegar a tomar, puede (va a) ocurrir un desastre.
Por tanto, es necesario que el plan de contingencias se incluya en un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles.
Un plan de contingencia de seguridad informática consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, consta de reemplazos de dichos sistemas.
La empresa debe entender por recuperación "tanto la capacidad de seguir trabajando en un plazo mínimo después que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información"
La recuperación de información se debe basar en el uso de una política de copias de seguridad (Back Up) adecuadas. En la empresa la información del sistema se guarda en el servidor y la información de otros documentos y otra información no del sistema en algunos casos se guarda en el servidor, en otros no, alguna información de algunas computadoras esta respalda en Memorias USB, o en disco duros extraíbles, pero la empresa no maneja una política de copias de seguridad adecuada para respaldar otra información por ejemplo: documentos de Word.
Equipos de respuesta a incidentes
Es aconsejable que en la empresa se pueda formar un equipo de respuesta a incidentes. Este equipo debe estar implicado en los trabajos proactivos del profesional informático encargado de la seguridad. Entre estos se incluyen:
El desarrollo de instrucciones para controlar incidentes.
Creación del sector o determinación del responsable por parte de la empresa; usualmente la designación del administrador de seguridad.
La identificación de las herramientas de software para responder a incidentes y eventos.
La investigación y desarrollo de otras herramientas de seguridad informática.
La realización de actividades formativas y de motivación.
La realización de investigaciones acerca de virus
La ejecución de estudios relativos a ataques al sistema de la empresa.
Estos trabajos proporcionaran a la empresa los conocimientos que puede utilizar y la información que hay que distribuir antes y durante los incidentes.
BACKUPS
El BackUp de archivos permitirá a la empresa tener disponible e integra la información para cuando sucedan los accidentes. Sin un BackUp, simplemente, es imposible volver la información al estado anterior al desastre.
Como siempre, será necesario realizar un análisis costo/beneficio para determinar qué información será almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realización, el servidor que cubrirá el Back Up, etc.
Para una correcta realización y seguridad de Back Ups la empresa debería tener en cuenta estos puntos:
Se debe de contar con un procedimiento de respaldo de los sistemas operativos y de la información de los usuarios, para poder reinstalar fácilmente en caso de sufrir un accidente.
Se debe determinar el medio y las herramientas correctas para realizar las copias, basándose en análisis de espacios, tipos de Back Up a realizar, etc.
El almacenamiento de los Back Ups debe realizarse en locales diferentes de donde reside la información primaria. De este modo se evita la perdida si el desastre alcanza todo el edificio.
Se debe verificar, periódicamente, la integridad de los respaldos que se están almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que están incompletos, dañados, mal almacenado, etc.
Se debe contar con un procedimiento para garantizar la integridad física de los respaldos, en prevención de robo o destrucción.
Debe la empresa contar con una política para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios. Por ejemplo la información se debe encriptar antes de respaldarse.
Se debe contar con un procedimiento para borrar físicamente la información de los medios de almacenamiento.
Todo lo anterior referente a correos, documentos de office, etc.
En el Backup del sistema la empresa se encuentra protegida al contar con un sistema de Backup en el servidor de Navega (empresa que presta el servicio de internet y transmisión de datos).
Los Backup deben de realizarse solamente por el equipo de informática de la empresa.
Consejos de la Guía de Seguridad para el resguardo de información (ESET)
De acuerdo al Laboratorio de Investigación de ESET Latinoamérica, se deben tener en consideración los siguientes puntos antes de implementar una solución de Backup:
– Necesidades de cada usuario: Si desea mantener una copia de seguridad de toda la información contenida en la computadora, se recomienda realizar un Backup completo utilizando un software adecuado y efectuar respaldos periódicos de los archivos nuevos y modificados. Asimismo, si no se desea un respaldo de todo el sistema, se puede copiar aquellos ficheros esenciales en otro lugar de forma manual.
– Medios de almacenamiento: El espacio físico en donde se guarde el soporte de respaldo también debe estar protegido. Por ejemplo, no es recomendable transportar el medio de almacenamiento utilizado para el respaldo en el mismo bolso de la computadora portátil, ya que en caso de extraviarlo se perderían ambas cosas. Los medios de almacenamiento pueden ser: un disco duro, un dispositivo de almacenamiento USB, medios ópticos (CD, DVD, Blu-Ray) o la nube (Internet).- Frecuencia de respaldo: Esta decisión debe adoptarse considerando la frecuencia con que se modifican, eliminan y crean archivos. Si se trabaja todos los días en un proyecto, será necesario realizar una copia de seguridad a diario.
i) Pruebas
El último elemento de las estrategias de seguridad, las pruebas y el estudio de sus resultados, se debería llevar a cabo después que en la empresa se han puesto en marcha las estrategias reactiva y proactiva.
La realización de pruebas y de ajustes en las directivas y controles de seguridad en función de los resultados de las pruebas es un proceso iterativo de aprendizaje. Nunca termina, ya que debe evaluarse y revisarse de forma periódica para que puedan implementarse las mejoras.
Como ya se ha mencionado, los fundamentos aquí expuestos pueden ser tomados en cuenta (si así lo desea la empresa) y pueden ser adaptados más a la necesidad, requisitos, y limitaciones de la empresa, y posteriormente requerirá actualizaciones periódicas asegurando el dinamismo sistemático ya mencionado.
Nivel Físico
El primer factor considerado, y el más evidente debería ser asegurar el sustrato físico del objeto a proteger. Es preciso establecer un perímetro de seguridad a proteger, y esta protección debe adecuarse a la importancia de lo protegido.
La defensa contra agentes nocivos conlleva a medidas proactivas (limitar el acceso) como normativas de contingencia (que hacer en caso de incendio) o medidas de recuperación (realizar copias de seguridad). El grado de seguridad solicitado establecerá las necesidades: desde el evitar el café y el Tabaco en las proximidades de equipos electrónicos (principalmente en la sala del servidor), hasta el establecimiento de controles de acceso a la salas de equipos.
Lo más importante es recordar que quien tiene acceso físico a un equipo tiene control absoluto del mismo. Por ello solo deberían accederlo aquellas personas que sean estrictamente necesarios.
En la sala del servidor al encontrarse dentro de la misma oficina del jefe de informática, habitualmente no se fuma, pero en el resto del edificio si lo hacen principalmente (puro) y aunque no se fume dentro de la oficina del servidor, esto no sirve de nada ya que el humo de las otras oficinas y el resto del edificio entra en la sala del servidor y por disposición de los socios de las empresas no se puede mantener las puertas cerradas de las oficinas.
Por esta razón como ya explique anteriormente la empresa puede dividir la oficina del jefe de informática con pared y puerta de vidrio para que así el servidor este protegido de agentes nocivos como el Tabaco.
Amenaza no intencionada (desastre natural)
Es necesario contar con un sistema de detección y protección de incendios en la sala de servidores. Y como ya se menciono con un plan en caso de huracanes y cualquier otro evento de la naturaleza.
L)
Nivel Humano
El Usuario
Estas son algunas de las consideraciones que la empresa debería tener en cuenta para la protección de la información:
Quizás el usuario contempla todas las noticias de seguridad con escepticismo, pueden pensar que los administradores de seguridad son paranoicos. Quizás tenga razón, pero se debe recordar que el mundo virtual no es más que una pequeña muestra del mundo físico, con el agregado que es el campo ideal de impunidad y anonimicidad.
Generalmente se considera que la propia maquina es poco importante para que un atacante la tenga en cuenta. Se debería recordar que este atacante no sabe quien está del otro lado del monitor, por lo que cualquier objetivo (en principio) es tan importante (O no) como cualquier otro. Como ya se ha dicho en este documento en la zona oriental son prácticamente nulos los delitos informáticos como hackeos atraves de la red, o insertar virus que formateen las maquinas, etc. Los delitos más comunes son el robo de información entrando físicamente a la maquina o atraves de ingeniería social.
Convencerse de que todos los programas existentes tienen vulnerabilidades conocidas y desconocidas es muy bueno. Esta idea permite no sobrevalorar la seguridad del sistema.
La regla de oro debe ser que todo usuario debe tomar como obligación (y su responsabilidad) es tomar la seguridad de su computadora en serio. Recordar que el eslabón más débil de una cadena equivale a la resistencia de la misma es muy bueno en este momento.
Otra recomendación en este nivel seria la implementación de un servidor Proxy para evitar que los empleados ingresen a páginas que no traen ningún beneficio a la empresa, y el Gerente de TI, tiene este plan para implementarlo en estos meses en la empresa.
Otra de las medidas de seguridad que debería de tomar en cuenta el gerente de Ti, aparte del servidor Proxy seria políticas de grupo desde Windows server como ya habíamos en este documento.
Concientizar como he recalcado en todo el documento al personal de la empresa en:
La importancia de la información que maneja a diario
Lo que se puede hacer con ella
La utilidad que le puede dar a un tercero
Las consecuencias de un uso indebido
Los errores que cometen por descuido
Las brechas que abre en la protección de la información
Capacitar a todos los usuarios de la empresa en:
El actual escenario y conceptos de seguridad informática
Las amenazas a las cuales están expuestos
Los riesgos que conllevan dichas amenazas
Las buenas prácticas para la protección de la información que asegure la continuidad del negocio.
Mantener y Mejorar: el nivel de concientización en SI del personal de la empresa.
Evaluar indicadores sobre la evolución del comportamiento de los integrantes de la empresa.
Emitir comunicaciones periódicas-actualizaciones, recordatorios, carteleras, etc.
Analizar cambios de escenario que implican definir, y corregir planes o estrategias.
El foco es lograr un cambio en la conducta del personal de la empresa, no se trata de informar se trata de formar para garantizar una exitosa incorporación de la seguridad de la información.
Según un estudio
El 63% que representa la principal brecha en la seguridad de IT es causado por la ignorancia o falta de capacitación del usuario.
Estas capacitaciones y formación a los empleados y usuarios de la empresa pueden ser implementadas por Profesionales de la informática que la empresa asigne para esto, o también contratar a una empresa dedicada a brindar estos servicios.
M)
Mejoramiento de información en fincas
Capacitar al personal de Jamastran y Talanga para el manejo de información. Mantener unas 2 computadoras en cada finca con scanner e impresora para poder enviar documentos, órdenes de compra y remisiones escaneadas entre otros. Atraves de correo electrónico o atraves del sistema informático de la empresa ingresar información de este tipo.
N)
Certificar la empresa
ISO 27001 Sistemas de Gestión de Seguridad en la Información
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la empresa. El hecho de disponer de la certificación según ISO/IEC 27001 le ayudaría a gestionar y proteger sus valiosos activos de información. Incluyo este tema en las recomendaciones, pero la empresa debe de saber que este requiere una inversión económica y esto no garantiza que la empresa va a ser certificada, si la empresa cumple con los requerimientos en aspecto de seguridad, vale la pena buscar la entidad certificadora autorizada para que la empresa haga esta inversión.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. Además daría la empresa un alto nivel de seguridad.
¿A quiénes aplica?
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, recursos humanos y tecnología de la información (TI).
ISO/IEC 27001
Es un estándar para la seguridad de la información ISO/IEC 27001 fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organización for Standardization y por la comisión International Electrotechnical Commission.
Beneficios
Puede aportar las siguientes ventajas a la organización:
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
Certificación
La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
Pasos como la empresa puede ser certificada por ISO 27,000
Implantación del SGSI
Evidentemente, el paso previo a intentar la certificación es la implantación en la empresa del sistema de gestión de seguridad de la información según ISO 27001.
Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación.
El momento en que ISO 27001 exige que el SGSI contemple los siguientes puntos:
• Implicación de la Dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.
• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
• Monitorización constante y registro de todas las incidencias.
• Realización de auditorías internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
• Mejora continua del SGSI.
La documentación del SGSI deberá incluir:
• Política y objetivos de seguridad.
• Alcance del SGSI.
• Procedimientos y controles que apoyan el SGSI.
• Descripción de la metodología de evaluación del riesgo.
• Informe resultante de la evaluación del riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.
• Registros.
• Declaración de aplicabilidad (SOA -Statement of Applicability-).
• Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:
• Política de seguridad.
• Asignación de responsabilidades de seguridad.
• Formación y capacitación para la seguridad.
• Registro de incidencias de seguridad.
• Gestión de continuidad del negocio.
• Protección de datos personales.
• Salvaguarda de registros de la organización.
• Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…).
La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico.
En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra.
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:
• Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe (fundamentalmente centrada en el listado de la cláusula 4.3.1 del estándar ISO/IEC 27001) y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 puede ser de 6 meses con carácter general, aunque supeditado en cualquier caso a los procedimientos internos que cada entidad de certificación disponga para el desarrollo del proceso (conviene por tanto aclarar con la entidad de certificación previamente y antes de inciar el proceso).
• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
• Certificación: en el caso de que se descubran durante la auditoría no conformidades (clasificadas como "mayores" y/o "menores"), la organización deberá presentar un Plan de Acciones Correctivas (1 PAC para cada desviación localizada) que incluya un análisis de las causas raíz que originaron la desviación. El auditor jefe debe revisar todos los PAC que la empresa envié, incluso verificar la implantación de las acciones correctivas en base al PAC en el caso de las "Mayores" y, una vez verificados los PAC y/o dicha implantación en el caso de las no conformidades mayores, el auditor podrá emitir un informe favorable de recomendación para la certificación a la comisión de certificación, que validará y emitirá el certificado correspondiente al alcance del SGSI de la organización que ha sido verificado en relación a los requisitos del estándar ISO 27001.
• Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
• Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación para que la empresa pueda verificar esta lista en caso que quiera certificarse para ver entidades acreditadas cercanas que puedan hacerlo.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.
La entidad de certificación
Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior documento.
VI
Recomendaciones en resumen
Recomendaciones en resumen
El Tema de seguridad de la información y seguridad informática es un tema muy extenso y que abarcan muchas cosas dentro de la empresa.
1. como ya se dijo la protección de la información físicamente, debe contarse con personal con conocimientos en la seguridad informática y capacitar a los empleados de informática ya existentes,
2. capacitación al personal de administración sobre este tema.
3. Todas las computadoras de la empresa deben tener contraseña con los requerimientos internacionales (8 a 12 caracteres, mayúsculas, minúsculas, números, símbolos),
4. todos los documentos del paquete office con información delicada debe estar cifrado,
5. la información debe estar respalda en el servidor y en medios de almacenamiento extraíbles y guardados en diferentes lugares por si un desastre natural provocara daños en la empresa,
6. unir las empresas de Jamastran y Talanga al servidor aunque se maneje poca información pero así todo el Grupo estaría conectado al servidor y la información estaría siempre disponible,
7. el área de servidores como ya se dijo debe estar ubicada en una sala exclusiva para el servidor y con acceso restringido y por lo menos dividir la oficina del jefe de informática con pared y puerta de vidrio para que el servidor se encuentre aparte de la oficina ya que en todo el edificio se fuma y por ser una empresa tabacalera es muy poco probable que se prohíba o dejen de hacerlo,
8. los usuarios de administración deben solamente usar el correo corporativo de la empresa (en esto los empleados lo saben) pero se debería de bloquear las páginas de los web mails (Yahoo, Gmail, Hotmail) para estar más seguros,
9. los documentos de planillas no deberían borrarse un plazo tan corto como dos semanas,
10. no debe tener acceso al sistema personas que no trabajen en el o personas ajenas a la empresa,
11. implementar directivas de grupo desde Windows server 2008,
 Página anterior | Volver al principio del trabajo | Página siguiente  |