| |
La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema computacional.
|
Áreas que cubre la seguridad informática:
- Políticas de Seguridad
- Seguridad Física
- Autentificación
- Integridad
- Confidencialidad
- Control de Acceso
- Auditoría
|
 |
| Hemos seleccionado los siguientes articulos para usted: |
SEGURIDAD INFORMÁTICA Y PROTECCIÓN DE DATOS
Protección de datos
Análisis de vulnerabilidades
Cortafuegos
Copias de seguridad
Antivirus
Otras mejoras
Conclusiones
Fuente:informativos.net
Aumenta un 600% el número de nuevos códigos maliciosos detectados en septiembre
Fuente:noticiaspyme.com
Existe un solo motivo por el cual se pierde información: la falta de backups
Para una correcta realización y seguridad de backups
Fuente:zonavirus.com
Seguridad Informática y Protección de Datos
|
¿Cuál es la selección de aplicaciones de seguridad informática para cualquier pequeña empresa u organización? Esta es la gran pregunta que se formulan todos los responsables con los que se suele hablar. Algunos lo tienen claro y aplican soluciones de seguridad informática antes de que se produzca algún problema más o menos grave, ya sea porque solicitan asesoramiento experto o porque poseen una base de conocimientos para emprender tales acciones.
Mientras que otros han oído hablar del miedo generalizado que hay sobre lo que podría ocurrir con los datos contenidos en sus sistemas de información si no se adoptan las medidas preventivas adecuadas. Y hay que tener en cuenta que, la mayoría de pymes y pequeñas organizaciones no poseen un responsable de tecnologías de la información.
En Seguridad0, a diario nos encontramos con estos casos. La mayoría de pymes españolas, por desgracia, pertenecen al segundo grupo expuesto anteriormente. Lo peor viene cuando preguntas si, al menos, han tomado alguna prevención. Las respuestas suelen ser desoladoras.
En realidad, para abordar la implantación de medidas de seguridad informática, existen algunas metodologías de trabajo. Una de las más usadas es la OSSTMM (Open Source Security Testing Methodology Manual) de Pete Herzog. En resumen, lo que se propone es medir la seguridad de los siguientes factores: revisión de privacidad y recolección de documentos, seguridad de los procesos físicos (personas confiables), verificación de posibles vulnerabilidades, identificación de sistemas y puertos, implantación de sistemas de seguridad de intrusos y cortafuegos, elaboración de políticas de seguridad, testeo de modems, seguridad inalámbrica, entre otros. El OSSTMM entrega plantillas para cumplimentar con los datos declarados por el responsable de sistemas, y así el consultor, en función de los resultados, conoce qué es lo que debe hacer.
A todo esto podríamos agregar un mayor control en las medidas de seguridad que se pueden adoptar para el correo electrónico corporativo, ya sea contra los virus entrantes como contra la continua avalancha de correo basura o spam.
Teniendo en cuenta lo anterior, ¿por dónde deberíamos comenzar?
Protección de datos
Para la revisión de privacidad y cumplir con la legislación, la LOPD obliga a la declaración de los ficheros electrónicos que contengan datos de carácter personal (para evitar posible usos fraudulentos y abusivos) ante la Agencia Española de Protección de Datos (AGPD). También existen una serie de medidas ocasionales en páginas web para cumplir con la legislación vigente en materia de la LSSI. En ambos casos lo mejor es dejarse asesorar por despachos de abogados que traten estos temas.
El problema de la mayoría de empresas es la especulación que se ha generado en torno a la LOPD. Algunos despachos de abogados aprovechan la ocasión, y se han limitado a ofrecer un “completo servicio”, consistente en cumplimentar senillas plantillas con documentos de seguridad de nivel bajo, medio y avanzado. Por último, presentan las bases de datos (no su contenido) a la AGPD y cobran auténticas fortunas por un proceso que habría costado unas pocas horas de la vida de cualquier profesional informático con unos conocimientos adecuados. Por fortuna, la mayoría de despachos de abogados tratan el asunto con excelente profesionalidad.
En algunos casos, los procedimientos están mejor elaborados. Se suele presentar una auditoría con los ficheros encontrados y las medidas organizativas del archivo. Todo ello se entrega en una carpeta con esta auditoría, los documentos de seguridad, y el resguardo de la presentación de los ficheros ante la AGPD. Se añade a ello un mantenimiento anual por la posible modificación de datos a lo largo del año. Y ya está. Empresas como Efenet/Adhec han elaborado un software llamado Hécate, funcionando bajo licencias, y con un negocio de partners que implica un elevado desembolso inicial para comenzar a trabajar con ellos, más una cantidad monetaria por cada auditoría realizada.
Todo un negocio esto de la LOPD. Nuestra recomendación es ponerse en manos de consultores o asesores especializados en la seguridad informática y la protección de datos, en quines se pueda confiar, para evitar ser víctimas de posibles abusos.
Análisis de vulnerabilidades
Para la verificación de posibles problemas de seguridad en ordenadores, sistemas y aplicaciones, lo ideal es utilizar un analizador de vulnerabilidades. Existen algunos que son excelentes y que ofrecen informes finales que no sólo detallan los posibles agujeros de seguridad detectados, sino que aconsejan las soluciones a adoptar. En el mundo Linux, Nessus es un excelente software de código abierto. Sin embargo, si se prefiere una solución comercial que cuente con el soporte técnico de un fabricante y una serie de consultorías especializadas, Shadow Security Scanner constituye una elección idónea, tanto por sus prestaciones como por su precio contenido.
Cortafuegos
Una vez obtenido el informe y parcheados los posibles agujeros de seguridad, debe acometerse la implementación de algún cortafuegos e IDS. Aquí el abanico de elección es amplio. En el espectro de firewalls de nivel 1, tanto en software como en hardware, encontramos a Checkpoint y a Cisco. Sin embargo, sus precios pueden resultar inasumibles para las pymes y pequeños despachos, con lo que éstas suelen dirigirse a aplicaciones como McAfee Firewall, Noton Internet Security y, en algunos casos, Zone Alarm.
Una elección excelente la constituye una solución como Securepoint Firewall & VPN Server. Se trata de un cortafuegos avanzado, en español, que se instala en una máquina independiente, gestiona redes privadas virtuales externas, bloquea contenidos considerados inapropiados, realiza informes en tiempo real, detecta intrusos, filtra el spam del correo electrónico y, además, hace de antivirus.
Copias de seguridad
La elaboración de políticas de seguridad es algo sencillo. Consiste en saber cómo actuar en un plan de contingencia, redactando un documento para ello. Por ejemplo, qué hacer en caso de pérdidas de datos, dónde se localizan las copias de seguridad, y cuáles son las contraseñas para acceder a cada uno de los ordenadores de una red. Este Manual de Calidad debe estar redactado en su totalidad y puesto a salvo en un archivador bajo llave. Así, en caso de necesidad, el manual es consultado en aquello que se precisa, y la rapidez de actuación conlleva a la restauración inmediata ante un desastre.
Dicho esto, sobra decir que es necesario establecer una política de copias de seguridad. Aquí es donde el abanico de aplicaciones es inmenso. Acronis True Image es una solución que genera imágenes de disco completas e incrementales, y que permite la programación de tareas. El acceso a un menú restaura una imagen previa, sin arrancar el sistema operativo, dejándolo todo tal y como estaba.
El testeo de modems y la seguridad inalámbrica deberían dejarse en manos de unos auditores de seguridad informática o para el administrador de sistemas.
Antivirus
En la parte final de la pirámide se encuentran los antivirus. Existen tantos que uno nunca saber por cuál decantarse. Lo ideal es que el antivirus se encuentre centralizado y, si es posible, integrado con el propio protocolo que cubre. Por ejemplo, puede utilizarse un antivirus de servidor y, además, uno integrado con el propio servidor de correo, ya que constituye la principal vía de contagio.
La oferta es variada. Todo el mundo conoce un antivius u otro, gracias a su divulgación a través de revistas especializadas. Sin embargo, Avast!, es un antivirus nada conocido en el mercado español, pero que opera en versiones servidor para Windows y Linux, estaciones de trabajo y PDA. Por descontado, también está en español. Como punto negativo, no dispone de distribuidor en España.
Otras mejoras
Colasoft Capsa es un estupendo sniffer que analiza todo el tráfico de red, y resulta ideal para conocer en todo momento qué está sucediendo en la LAN. Lo que más sorprende a las empresas usuarias es que el administrador de la red puede conocer en todo momento por dónde navega cada estación de trabajo o a dónde se están enviando correos electrónicos.
Linspire, por su parte, es un sistema operativo Linux Debian, con un entorno similar al de Windows y tan fácil de usar como éste. Lo mejor de este sistema operativo es que puede ejecutar aplicaciones Windows a través de un emulador, que se conecta a cualquier entorno de red de Windows (compartiendo aplicaciones, recursos e impresoras), y que instala cualquier aplicación de Internet open source o gratuita con un simple clic de ratón (uno solo, aunque parezca mentira) a través de una lista o catálogo que se actualiza desde Internet (llamado CRN).
Linspire cuenta con las ventajas de seguridad informática de Linux. No le afectan para nada la entrada de virus que sólo operan con Windows, es muy fácil de usar y muy amigable. Se instala en apenas 10 minutos de reloj (comprobado), y ya viene preinstalado con OpenOffice. Los más necesitados pueden instalar el cliente de correo Ximian, compatible con Outlook y con plug-in para Exchange.
Conclusiones
Con todo lo anterior, cuando menos, ciertas medidas de seguridad informática pueden darse por adoptadas. Nunca se puede dogmatizar que la seguridad perfecta existe. Eso no es cierto, lo afirme quien lo afirme. Pero, al menos, si que se pueden adoptar medidas preventivas y políticas de seguridad que impidan o minimicen una hecatombe.
Lo explicado aquí es lo mínimo que debería conocer el responsable de una red o el asesor externo de una empresa, para poder implementar el software necesario. Eso sí, teniendo siempre presente que todo esto es sólo la punta del iceberg.
Aumenta un 600% el número de nuevos códigos maliciosos detectados en septiembre
|
Trend Micro, líder en servicios y software antivirus para redes y de seguridad de contenidos de Internet, detectó 1.485 nuevos códigos maliciosos durante el mes de septiembre, una cifra que contrasta claramente respecto a los 250 detectados durante el mismo período de 2003. Del total de código detectados, los programas Troyanos representan el 61% (se incluyen las puertas traseras, que son fundamentalmente “Troyanos remotos”), mientras que los gusanos representan el 29%, informó hoy jueves.
Es de destacar el hecho de que el 79% (más de 400 ejemplares) de los gusanos que TrendLabs ha detectado en septiembre sean programas “robot”, lo que muestra la difusión de redes “zombi” controladas remotamente.
Existen diversos factores que podrían explicar este hecho. Es evidente el cambio de motivación en la creación de virus. Mientras que en el pasado los autores de virus buscaban sus “15 minutos de gloria”, actualmente hay pruebas de que su inspiración responde más a ganancias y recompensas monetarias. Ello queda ilustrado en el creciente numero de códigos maliciosos diseñados para crear redes “zombi”, que pueden darse en cualquier momento al mejor postor (véase más adelante), así como por los sucesivos lanzamientos de Troyanos capaces de robar información, como las variantes de TROJ_BANKER y TROJ_BANCOS, que intentan hacerse con información confidencial (datos bancarios, etc.) de los usuarios infectados.
Existe un solo motivo por el cual se pierde información: la falta de backups
|
Un Plan de Contingencia de Seguridad Informática consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas. Se entiende por Recuperación, tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información.
Esto es la teoria
Así, la recuperación de la información se basa en el uso de una política de copias de seguridad (Backup) adecuada. La realidad indica que al no respetarse este enunciado, en la práctica, sólo existe un motivo por el que se pierde información: la falta de backups.
El Backup de archivos permite tener disponible e íntegra la información para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la información al estado anterior al desastre.
La falta de concientización de los usuarios en este sentido es muy alta. Más allá de lo que cabe esperar, y de lo que sería normal; un alto porcentaje de usuarios sabe lo que es un Backup o Copia de Seguridad pero nadie sabe como hacerlo, o peor aún: saben como hacerlo pero NADIE LO HACE.
Los motivos para esto son muy variados pero siempre podemos concluir que hacer una copia de seguridad es molesto, tedioso e involucra una pérdida de tiempo que nadie está dispuesto a afrontar.
Estos son motivos válidos, pero entonces el usuario pierde su disco y su preciada carpeta "mis documentos" y no la puede recuperar por lo pensamos que ya aprendió la lección. Pero no... no es así: el hombre es el único animal que comete el mismo error n veces.
Como indicaba más arriba los motivos por los cuales no hacer backup pueden ser muchos y muy variados pero nunca superarán al beneficio de tener un backup funcional en el momento de perder la información (cosa que siempre acurrirá, tarde o temprano... Ya lo decía nuestro amigo Murphy).
Observar que digo backup funcional; porque también es muy normal hacer backups en lugares en los cuales no estamos 100% seguros que podemos recuperarlos. Esto es:
· Hacer copias en disquetes o cintas que pueden estar dañados;
· Hacer copias en CD "más baratos". Recordar que lo barato sale caro.
· Hacer backups parciales porque "creo que eso ya lo copie";
· Hacer backup "cada 6 meses mas o menos";
· Hacer backup y guardarlo en "lugar seguro" más allá de lo que cualquiera entienda por lugar seguro.
· Hacer backup no es una tarea trivial, e involucra recursos y costos que generalmente ni los usuarios finales ni las empresas consideran.
En el caso de los usuarios es relativamente fácil hacer backup, pero como ya mencioné lo difícil es crear una concientización adecuada.
Las posibilidades para realizar un backup son muchas, si bien unas mas adecuadas que otras según se considere el caso:
· Se puede realizar una simple copia con el viejo, conocido y querido COPY/CP de DOS/UNIX.
· Se puede grabar un CD.
· Se puede grabar una cinta.
· Se puede copiar la información a un disco removible/PC espejo del original.
· Se puede subir la información a la web a hostings que cuenten con backups.
Aunque parezca obvio, todas estas posibilidades SIEMPRE deben contemplar que la copia se realizó correctamente y como requisito extra esta verificación debe realizarse cada cierto tiempo prudencial.
En lo que respecta a empresas las acciones a realizar son un poco más complejas pero el concepto es el mismo: hacer backup es ahorrar tiempo y dinero.
En este caso será necesario realizar un análisis costo/beneficio para determinar qué información será almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realización, las estaciones de trabajo que cubrirá el backup, etc.
Para una correcta realización y seguridad de backups se deberán tener en cuenta estos puntos:
· Se debe contar con un procedimiento de respaldo de los sistemas operativos y de la información de los usuarios, para poder reinstalar fácilmente en caso de sufrir un accidente.
· Se debe determinar el medio y las herramientas correctas para realizar las copias, basándose en análisis de espacios, tiempos de lectura/escritura, tipo de backup a realizar, etc.
· El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la información primaria. De este modo se evita la pérdida si el desastre alcanza todo el edificio o local.
· Se debe verificar, periódicamente, la integridad de los respaldos que se están almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que están incompletos, dañados, mal almacenados, etc.
· Se debe contar con un procedimiento para garantizar la integridad física de los respaldos, en previsión de robo o destrucción.
· Se debe contar con una política para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios. Por ejemplo, la información se puede encriptar antes de respaldarse.
· Se debe contar con un procedimiento para borrar físicamente la información de los medios de almacenamiento, antes de desecharlos.
· Mantener equipos de hardware, de características similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres físicos. Puede optarse por:
- Modalidad Externa: otra organización tiene los equipos similares que brindan la seguridad de poder procesar la información, al ocurrir una contingencia, mientras se busca una solución definitiva al siniestro producido.
- Modalidad Interna: se tiene más de un local, en donde uno es espejo del otro en cuanto a equipamiento, características técnicas y capacidades físicas. Ambos son susceptibles de ser usados como equipos de emergencia.
En todos los casos se debe asegurar reproducir toda la información necesaria para la posterior recuperación sin pasos secundarios ni operación que dificulte o imposibilite la recuperación.
|
