Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable.
Después de tener las
políticas de seguridad en una empresa es importante implantar los controles.
Para realizar los
controles vamos a utiliza la norma ISO 27001 define cómo organizar la
seguridad de la información en cualquier tipo de organización, con o sin fines
de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta
norma constituye la base para la gestión de la seguridad de la información.
La ISO 27001 es
para la seguridad de la información lo mismo que la ISO 9001 es para
la calidad: es una norma redactada por los mejores especialistas del mundo en
el campo de seguridad de la información y su objetivo es proporcionar una
metodología para la implementación de la seguridad de la información en una
organización. También permite que una organización sea certificada, lo cual
significa que una entidad de certificación independiente ha confirmado que la
seguridad de la información se ha implementado en esa organización de la mejor
forma posible.
A raíz de la importancia
de la norma ISO 27001, muchas legislaturas han tomado esta norma como
base para confeccionar las diferentes normativas en el campo de la protección
de datos personales, protección de información confidencial, protección de
sistemas de información, gestión de riesgos operativos en instituciones
financieras, etc.
PROTECCIÓN CONTRA CÓDIGO MÓVIL Y
MALIGNO
El objetivo de este
control es la protección de la integridad del software y la información
almacenada en los sistemas.
El código móvil es aquel
que se transfiere de un equipo a otro para ser ejecutado en el destino final,
este empleo es muy común en las arquitecturas cliente-servidor, y se está
haciendo más común en las arquitecturas “víctima-gusano”, por supuesto con un
empleo no tan deseado. Sobre el empleo seguro de Código móvil, recomiendo que
el que esté interesado, profundice en una metodología que está haciendo las
cosas bien, que se denomina “Proof-Carring Code” (PCC), la cual propone la
implementación de medidas para garantizar que los programas que serán
ejecutados en el cliente lo hagan de forma segura. Se puede encontrar mucha
información al respecto en Internet.
ADMINISTRACIÓN DE LA SEGURIDAD DE
REDES
Los dos controles
hacen hincapié en la necesidad de administrar y controlar lo que sucede en
nuestra red, es decir, implementar todas las medidas posibles para evitar
amenazas, manteniendo la seguridad de los sistemas y aplicaciones a través del
conocimiento de la información que circula por ella. Se deben implementar
controles técnicos, que evalúen permanentemente los servicios que la red
ofrece, tanto propios como tercerizados.
MANEJO
DE MEDIOS
Como “medio” debe
entenderse todo elemento capaz de almacenar información (discos, cintas,
papeles, etc. tanto fijos como removibles). Por lo tanto el objetivo es, a través de sus cuatro
controles, prevenir la difusión, modificación, borrado o destrucción de cualquiera
de ellos o lo que en ellos se guarda.
Las medidas a
considerar para administrar medios fijos y removibles, su almacenamiento seguro
y también por períodos prolongados, evitar el uso incorrecto de los mismos y un
control específico para la documentación.
De todo ello, lo que
debe rescatarse especialmente, es el planteo de este problema de los medios,
procedimentarlo, practicarlo y mejorarlo con la mayor frecuencia que se pueda.
SERVICIOS
DE COMERCIO ELECTRÓNICO
Este grupo, supone que la empresa sea la
prestadora de servicios de comercio electrónico, es decir, no aplica a que los
empleados realicen una transacción, por parte de la empresa o por cuenta
propia, con un servidor ajeno a la misma.
La prestación de
servicios de comercio electrónico por parte de una empresa exige el cumplimiento
de varios detalles desde el punto de vista de la seguridad:
ü Metodologías seguras
de pago.
ü Confidencialidad e
integridad de la transacción.
ü Mecanismos de no
repudio.
ü Garantías de
transacción.
MONITORIZACIÓN
Este apartado tiene
como objetivo la detección de actividades no autorizadas en la red y reúne seis
controles. Los aspectos más importantes a destacar son:
ü Auditar Logs que
registren actividad, excepciones y eventos de seguridad.
ü Realizar revisiones
periódicas y procedimientos de monitorización del uso de los sistemas.
ü Implementación de
robustas medidas de protección de los Logs de información de seguridad. Se debe
considerar que una de las primeras enseñanzas que recibe cualquier aprendiz de
intruso, es a borrar sus huellas para poder seguir operando sin ser descubierto
el mayor tiempo posible. Por esta razón, es una de las principales tareas de
seguridad, la de proteger todo indicio o prueba de actividad sospechosa.
En casos de máxima
seguridad, se llega hasta el extremo de tener una impresora en línea, que va
registrando sobre papel en tiempo real, cada uno de los logs que se configuran
como críticos, pues es uno de los pocos medios que no puede ser borrado remotamente
una vez detectada la actividad.
Así como es vital,
ser estricto con el control de Logs, lo es también el saber lo antes posible,
si cualquiera de ellos está fallando, pues esa debe ser la segunda lección de un
aprendiz de intruso. Es decir, lograr que se dejen de generar eventos de seguridad
por cada paso que da. Por lo tanto, es necesario implementar un sistema de
alarmas que monitorice el normal funcionamiento de los sistemas de generación
de eventos de seguridad y/o Logs.
CONTROL
DE ACCESO A SISTEMAS OPERATIVOS
El acceso no autorizado a nivel sistema
operativo presupone uno de los mejores puntos de escalada para una intrusión;
de hecho son los primeros pasos de esta actividad, denominados “Fingerprintig
y footprinting”, pues una vez identificados los sistemas operativos,
versiones y parches, se comienza por el más débil y con solo conseguir un
acceso de usuario, se puede ir escalando en privilegios hasta llegar a encontrar
el de ”root”, con lo cual ya no hay más que hablar. La gran ventaja que
posee un administrador, es que las actividades sobre un sistema operativo son
mínimas, poco frecuentes sus cambios, y desde ya que no comunes a nivel usuario
del sistema, por lo tanto si se saben emplear las medidas adecuadas, se puede
identificar rápidamente cuando la actividad es sospechosa, y en definitiva es
lo que se propone en este grupo: Seguridad en la validación de usuarios del
sistema operativo, empleo de identificadores únicos de usuarios, correcta administración
de contraseñas, control y limitación de tiempos en las sesiones y por último
No hay comentarios:
Publicar un comentario