Escrito por CXO Community Latam Lunes, 26 de Octubre de 2009 00:00
Blog - Seguridad | Corporativa
Por Raúl Presa, CISA, MCP, AIRM (Socio Horwath Argentina)
Son pocas las empresas que abordan este problema en forma sistemática y estructurada.
La información anhela ser libre. No importa a quién se la confíe ni el esfuerzo realizado para asegurarla. Siempre encontrará un hueco para salir. Todos los días hay noticias de pérdidas de datos, tanto pequeñas como importantes. Muchas son conocidas sólo porque las empresas que las sufren están obligadas a informar al público. Otras salen a la luz por su impacto en la trayectoria de una empresa.
Si no desea que su nombre forme parte de esta destacada elite, comience por informarse sobre cómo suceden las cosas. Muchas compañías sufren las consecuencias de fuga de información de su negocio, incluyendo bases de datos de clientes, información financiera, planes estratégicos, fórmulas y diseños, etc.
Las principales causas de la pérdida de información son:
- Robo de equipos móviles.
- Información enviada por medios inseguros (correo electrónico, mensajería instantánea).
- Uso de dispositivos de almacenamiento removibles (memorias usb, discos usb, grabadoras externas, etc.)
- Destrucción insegura de información (disposición de equipos obsoletos, documentación arrojada a la basura sin destruir, etc.)
- Reparación de equipos de computación por terceros.
- Falta de concientización del personal (que divulga información, contraseñas, deja documentos confidenciales en su escritorio, etc.)
Son pocas las empresas que abordan este problema en forma sistemática y estructurada.
¿Es la suya una de ellas?
Como abordar el tema
Robo de equipos móviles
La información contenida en los equipos móviles (computadoras portátiles, PDA, teléfonos celulares, etc.), debe estar cifrada, de forma tal que si cae en poder de terceros la misma no pueda ser leída. Existen múltiples herramientas, algunas gratuitas y otras comerciales para cumplir con este requisito.
Otro punto importante es llevar a cabo un resguardo de los datos en forma periódica, especialmente antes de efectuar viajes.
También es posible incorporar dispositivos de seguridad físicos, que aseguren los equipos o disparen alarmas en caso de hurto.
Información enviada por medios inseguros
Muchas empresas utilizan aplicaciones de mensajería instantánea para mantenerse comunicados con trabajadores remotos, clientes y proveedores. El uso de este canal es muy variado, llegando al intercambio de datos específicos de productos, listas de precios, e incluso concretar operaciones de compra, venta, solicitud de servicios, etc.
Sin entrar a considerar los aspectos legales sobre las operaciones y vínculos que se generan para la empresa a través de este medio informal, espontáneo y carente de estructura y procedimientos, es necesario tomar conciencia de que más del 80% de la mensajería instantánea es realizado sobre servicios públicos, como MSN, YAHOO y AOL.
Mucho peor si consideramos que las “conversaciones” por estos medios pueden ser grabadas por otros usuarios, y para colmo de males, los registros de estos intercambios (único medio de verificar las operaciones realizadas), deben ser mantenidos en forma totalmente insegura y sin ningún tipo de respaldo.
Por otra parte, estas aplicaciones requieren la apertura de un canal a través de los dispositivos de seguridad de la compañía (por ejemplo los firewalls), y son utilizados por muchos atacantes para identificar las direcciones de Internet de la empresa, posibilitando futuros ataques.
Todas estas consideraciones están llevando a que las empresas prohíban a sus empleados el uso de esta mensajería, canalizando lo que es relativo al giro del negocio a través del correo electrónico de la empresa, lo que si bien es una mejora, en muchos casos sólo constituye un mal menor.
Efectivamente, si el correo electrónico no se encuentra asegurado en todo su recorrido, desde que es escrito hasta que es recibido, corre el riesgo de ser interceptado, leído e incluso modificado. Por ello es necesario que la empresa asegure el circuito completo, incluyendo las formas en que los usuarios acceden a la red y al servicio de correo, la forma de cifrado del mensaje y el debido resguardo de los archivos con los correos enviados y recibidos.
Uso de dispositivos de almacenamiento removibles
Sin duda que uno de los pilares de la seguridad es la restricción al acceso físico. Desde siempre, cualquier atacante que accediera a un servidor o a una computadora puede vulnerar casi todos los mecanismos de seguridad que se puedan establecer.
Hasta no hace mucho sin embargo, para sustraer un buen caudal de información era necesario que el intruso se apropiara de un disco rígido de un equipo en uso, o de un medio de almacenamiento masivo, como ser una cinta de backup. De lo contrario, debía conectarse físicamente a un equipo o a una red y dedicar un tiempo sustancial a la copia de datos.
Hoy en día, las facilidades de conexión de dispositivos a los puertos USB de los equipos ha tirado por tierra las precauciones tradicionales, y no pensemos sólo en las memorias o pen drives, sino en discos externos plug & play, que pueden almacenar 160 Gygabytes de información sin siquiera requerir instalación, con tamaños de apenas centímetros y con velocidades de transferencia de varios cientos de megabytes por segundo.
Asimismo, el tomar conciencia no basta, dado que en la mayoría de los casos no es posible deshabilitar completamente los dispositivos USB de las estaciones de trabajo, dado que muchos son utilizados para conectar periféricos como impresoras, teclados, mouse e incluso para sincronizar PDAs o celulares.
La solución granular pasa por instalar aplicaciones que permitan controlar el uso de estos puertos de conexión en forma discriminada, por usuario y por dispositivo a conectar.
Destrucción insegura de información
Paradójicamente, mucha de la información sensible que se fuga desde su empresa lo hace a través de su basura o de la disposición de equipos obsoletos.
Se sorprendería al saber que muchas personas obtienen importantes ingresos a partir de la información que extraen de las bolsas de residuos de las organizaciones. Incluso hay quienes pagan al personal de limpieza para que les entregue cualquier informe o documento (incluso facturas y recibos a su alcance) que pueda extraer durante su labor.
Si bien muchas empresas han implementado métodos seguros de destrucción de papeles, no ocurre lo mismo con los datos que se almacenan lógicamente, lo cual sucede principalmente por desconocimiento de la forma en que se almacena y borra la información en un disco rígido. Veamos el proceso haciendo abstracción de términos y precisiones técnicas:
La información se graba en los discos en dos partes, la primera, un índice con los datos del archivo y su ubicación; la segunda, conteniendo la información en sí, ya sea en forma continua o en distintas partes libres del disco. Cuando decidimos que esa información no es de utilidad y la borramos, por ejemplo desde la ventana del explorador de Windows, el sistema simplemente procede a modificar el índice, mostrando que el espacio donde está contenida la información está vacío. Sin embargo, los datos permanecerán sin modificarse hasta que sean sobrescritos por un nuevo archivo, lo cual abre una ventana de tiempo hasta que ello ocurre (e incluso si el nuevo archivo es más pequeño, no serán sobrescritos en su totalidad).
¿Quiere preocuparse aún más? El formateo rápido de un disco hace exactamente esta misma operación de borrado de índices, e incluso después de un formateo de disco completo (que reescribe ceros en todo el disco), es posible recuperar información anterior.
Para estar seguro de que se ha borrado la información tiene dos caminos: la destrucción del disco (por ejemplo la desmagnetización) o la utilización de programas de borrado especiales, que reescriben el disco en forma completa y aleatoria entre 7 y 35 veces (el estándar actual más alto de seguridad).
Sólo para ejemplificar, recordamos el caso de público conocimiento del estudio desarrollado por alumnos del Instituto de Tecnología de Massachusetts (MIT), que adquirieron 158 discos rígidos en un sitio de subastas on line de Internet, y utilizando software ampliamente disponible para recuperación de datos, reconstruyeron la información de 68 de esos discos, obteniendo miles de números de tarjetas de crédito, datos personales y financieros, ficheros médicos, archivos personales de email y abundante pornografía.
Recuerde estos datos la próxima vez que decida entregar a sus empleados los equipos viejos, o donarlos o venderlos.
Reparación de equipos de computación por terceros
Si la recuperación de datos supuestamente borrados le resultó preocupante, con esta nueva perspectiva piense en el riesgo de los equipos entregados a servicio técnico para su reparación fuera de su oficina.
En este caso, su información le es entregada a un tercero que no necesita ni siquiera aplicar herramientas especiales para recuperar los datos, e incluso puede reemplazar su disco por uno nuevo sin que nadie en su empresa lo advierta.
Son muy pocas las empresas que exigen al menos un convenio de confidencialidad a sus proveedores de servicio técnico.
Desconfíe incluso de las increíbles ofertas para renovar/canjear su parque de PC, para reparar gratuitamente el equipamiento actual a cambio de otro servicio, sobre todo si el equipo debe ser retirado de su oficina, y especialmente si usted no tiene suficientes referencias de su proveedor.
Si no le asusta la sensibilidad de la información que almacena en su equipo, piense si le agradaría que alguien observe o copie sus fotos, o las reenvíe a un sitio de Internet.
Falta de concientización del personal
De todos los eslabones que constituyen la cadena de seguridad, sin duda el más débil es el humano. Si bien existe una fuerte mística alrededor de los conocimientos de un hacker, en muchos casos el penetrar en un sistema no requiere conocimientos técnicos. La explotación de las debilidades humanas es la principal vía de ataque a las organizaciones, y se han desarrollado muchas técnicas para valerse de ella. Este conjunto de técnicas se conoce como ingeniería social.
Las tres grandes debilidades son:
- Curiosidad.
- Ambición.
- Ingenuidad.
La primera de ellas, la curiosidad, lleva a descargar y ejecutar archivos de origen desconocido, ingresar en sitios potencialmente peligrosos, instalar programas para obtener mejoras en rendimiento o presentación, etc.
La ambición es el principal motor de muchas estafas, que con la promesa de obtener sumas increíbles de dinero exige entregar datos personales y financieros e incluso algún aporte monetario.
Por último, la ingenuidad de la gente al recibir llamados telefónicos que solicitan datos personales o blanqueo de contraseñas, el respeto por las autoridades y los uniformes (incluido los trajes), etc.
Todas estas flaquezas humanas, sumadas a algunas otras (falta de compromiso o de interés, falta de motivación o de conocimiento), componen los principales portales de ingreso para los ataques que sufren las organizaciones actualmente.
Los pasos necesarios en esta área son la elaboración de políticas de seguridad en la organización, que incluyan las responsabilidades de cada uno de los individuos que la componen, su adecuada comunicación a todos los niveles y una capacitación continua a todos los usuarios, que incluya una descripción de los sucesos más comunes que comprometen la seguridad de la empresa y de su información, y el rol de los usuarios en la detección y reporte de estos sucesos.
| < Prev | Próximo > |
|---|
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 3 registrados
Este mes: 12 registrados
Visitas
 | Hoy | 2684 |
 | Ayer | 5873 |
 | Esta semana | 23257 |
 | Ultima semana | 49831 |
 | Este mes | 118895 |
 | Ultimo mes | 238584 |
 | Todos los días | 8350444 |
Hoy: May 18, 2012