Auditoría de Seguridad, Evaluación de Seguridad y Pruebas dePenetración: tres paradigmas en la Seguridad Informática.Por Jeimy J. CANO (*) ::: En DerechoTecnológico.com :::

(Nota del autor: La palabra Paradigma proviene del griego. En el sentido más general, es el modo enque "vemos" el mundo, no en los términos de nuestro sentido de la vista, sino como percepción,comprensión, interpretación. [COVEY, S. (1996) Los siete hábitos de la gente altamente efectiva.Editorial Paidos. Pág. 28])

Resumen

Este documento ofrece una reflexión relacionada con la aplicación y difusión de prácticas como laauditoría de seguridad (AS), la evaluación de seguridad (ES) y las pruebas de penetración (PP),que busca compartir con los auditores, profesionales inquietos y consultores de seguridad, lanecesidad de incorporar estas prácticas como herramientas proactivas en la administración de laseguridad informática de las organizaciones modernas.

Introducción

La actual infraestructura de telecomunicaciones se ha encargado de generar nuevos y novedosos negocios, quehan permitido la expansión y generación de mercados antes desconocidos, y un crecimiento sostenido de lautilidades de múltiples compañías en el mundo.

En esta medida la información que viaja a través de millones de líneas, se ha convertido en uno de los mayorestesoros de las empresas, y en el motor de conocimiento para reconocer las fluctuaciones del entorno en el cualse encuentran. Por tanto, se hace necesario mantener y desarrollar posiciones y acciones claras y seguras frentea la información estratégica de la compañía: [1]

Información acerca de los mercados sensitivos: planes de productos, penetración en segmentos demercados, identificación de clientes.Información financiera: Estado de pérdidas y ganancias, estado de los proyectos, presupuestos deoperación e inversión.Secretos industriales: fórmulas de productos, diseños exclusivos.Procesos de aprovechamiento tecnológico: Relacionado con el cómo la empresa produce y distribuyesus productos o servicios, que por lo general no se encuentran documentados.Información acerca del personal: Contratos, retribución, pagos, seguridad social, seguros.Información de clientes: Productos o servicios que utilizan, estadísticas acerca de sus consumos.Información de productos: Diseños, propuestas, ideas y conceptos.Información interna: Memorandos, reportes definitivos, borradores, conversaciones.Información de seguridad: Dispositivos o mecanismos de seguridad utilizados, zonas de máximaseguridad, planes de seguridad.

21/07/2010 ::Jeimy J. Cano:: en Derecho Tecnologico.…

derechotecnologico.com/…/estrado003.h… 1/6

De acuerdo con lo anterior, la organización debe establecer ciertas directrices de seguridad informática [2] quele permitan valorar y proteger de la mejor manera sus activos. Así mismo, basados en esos planteamientos,formular y promover prácticas que soporten y verifiquen los lineamientos formulados en función de la seguridadde la información.

Por tal razón, han surgido ejercicios como la auditoría de seguridad (security audit), evaluación de la seguridad(security assessment) y las pruebas de penetración (penetration testing) que nos permiten conocer con ciertaprofundidad las debilidades y amenazas a las que puede estar sujeta la información crítica de una organizaciónalmacenada, creada o transportada por medios electrónicos.

Auditoría de Seguridad Informática

Una auditoría es un proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridaddesde la perspectiva organizacional. Tradicionalmente, los auditores limitan el alcance de sus trabajos y noincluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Sin embargo, es posible encontrarauditorías con un mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. Elproceso de auditoría generalmente se lleva a cabo por auditores EDP (Electronic Data Processing)certificados bajo las directrices de un comité, quién reporta a las directivas de la organización o a un ente externomandado por la ley. [3, pág.69]

Por definición, una auditoría tradicional no es lo suficientemente detallada para descubrir los detalles de losproblemas de seguridad de la infraestructura de la organización. Generalmente están orientadas pormetodologías basadas en listas de chequeo con una forma, contenido y audiencia definidas de acuerdo con laformalidad requerida por la organización. [idem, pág.70]

Evaluación de Seguridad Informática

La evaluación de seguridad está orientada a establecer mayores detalles técnicos de la seguridad delinfraestructura de una organización. Son menos formales y tienden a ofrecer mayor detalle y alcance que lasauditorías. [idem]

El proceso de evaluación usualmente se lleva a cabo por un equipo de expertos en tecnología (generalmente conexperiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado porpersonal de la organización, más que por auditores certificados. La evaluación es considerada un arte, encomparación con el enfoque estructurado que desarrollan los auditores. Al igual que las auditorías, lasevaluaciones siempre están limitadas en su alcance. Sin embargo, tienden a ser lo suficientemente flexibles paraabarcar detalles de bajo nivel. [idem]

La evaluación usualmente se encuentra enfocada a identificar los detalles técnicos de las debilidades deseguridad, que luego conforman las bases para las recomendaciones y correcciones en la infraestructura de lacompañía.

Los resultados de una evaluación generalmente se presentan en un reporte informal detallado de los hallazgos, alcomité ad-hoc como herramienta para las decisiones relacionadas con los planes y presupuestos de seguridad enla organización. Dentro de este documento se incluye el análisis de la infraestructura, detalles técnicos de bajonivel, estrategias utilizadas para el análisis, los hallazgos más significativos identificados y las recomendacionespara efectuar las correcciones necesarias sobre la infraestructura. [idem]

21/07/2010 ::Jeimy J. Cano:: en Derecho Tecnologico.…

derechotecnologico.com/…/estrado003.h… 2/6

Pruebas de penetración

Es un ejercicio en cual se encuentran involucrados expertos en tecnología o profesionales certificados enseguridad informática, quienes reportan a un comité ad-hoc seleccionado por la organización, que pretendedemostrar que una infraestructura es vulnerable, penetrando en ella a través de ataques controlados desdedentro o fuera de la organización. [idem, pág.71] Se pretende simular las actividades de un hacker, buscandomedios para evadir los controles e identificar y aprovechar puntos débiles del perímetro de comunicaciones de laempresa: [4]

Conexiones a la red pública - Internet.Sistemas TelefónicosMáquinas de fax, modems o cualquier mecanismo para transmisión de información a través de medioselectrónicos.

Este tipo de prácticas puede ser formales o informales. Las informales están orientadas por objetivos técnicos dela infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dichainfraestructura. Por otro lado, las formales están orientadas a verificar debilidades en las políticas de seguridad,soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización.[3, pág.71]

Generalmente el reporte de una prueba de penetración explica paso a paso cómo se llevó a cabo la actividadhasta alcanzar y penetrar la infraestructura de comunicaciones. Así mismo, documenta cómo se aprovecharon lasdebilidades de los programas o deficiencias en las configuraciones del hardware para ingresar de manera noautorizada al perímetro de comunicaciones de la empresa. [idem]

¿Porqué y cuándo utilizar alguno de los tres paradigmas?

Después de revisar cada una de las prácticas de seguridad expuestas, podemos establecer de manera intuitivaque existen necesidades técnicas, de seguridad y de negocio que promueven la utilización uno u otro tipo deejercicio.

Perspectiva de negocio: Cuando nos asalta la duda sobre la confiabilidad de nuestra infraestructura decomunicaciones, la diligencia en el manejo y administración de la misma, y el debido cuidado para mantener sudisponibilidad, integridad y confiabilidad, solicitamos una auditoría de seguridad que nos revise aspectosespecíficos de la misma, que permita mantener informado a las directivas y entes externos de la preocupación yactividades que se han realizado y evitar pronunciamientos legales que comprometan la imagen de laorganización en su entorno de negocio.

Perspectiva técnica: La inquietud surge por la necesidad de modernizar y verificar la fortaleza los elementostécnicos de seguridad actualmente instalados, dados los avances tecnológicos que se han identificado en elmercado. Ante esta incertidumbre, se hace necesario desarrollar un ejercicio de evaluación, que nos permitaconocer qué tan vulnerable somos con lo que actualmente tenemos, qué fallas a nivel de software y hardware sehan identificado y concientizar a todo el personal de que existen debilidades y es necesario salvaguardar de lamejor forma los activos de la organización.

Perspectiva de seguridad: La pregunta en esta posición, es qué pasaría si alguien quisiera ingresar de manerano autorizada en nuestra infraestructura? Cuestionamiento que responde de manera clara a una prueba de

21/07/2010 ::Jeimy J. Cano:: en Derecho Tecnologico.…

derechotecnologico.com/…/estrado003.h… 3/6

penetración, que permita valorar las seguridades actuales de la empresa, sus debilidades y limitaciones,identificar que tanto estamos preparados y resguardados de intrusos, y cuánto conocemos la infraestructura decomunicaciones.

¿Integración o especialización de los tres paradigmas?

Si bien las tres prácticas responden a un último objetivo que es la seguridad informática y cada uno de ellospuede variar en alcance y profundidad, son ejercicios que como se anotaba en la sección anterior, se orientan anecesidades e inquietudes diferentes pero complementarias. Ver Figura 1.

De acuerdo con el planteamiento inicial, la información es un activo más de una organización y como talrepresenta la imagen de la misma en cualquier ámbito de sus negocios. En esa medida, la empresa y todo supersonal es responsable del cuidado, uso y distribución de la misma en el marco de todas sus actuaciones,situación que redunda en consecuencias legales que conllevan sanciones y obligaciones ante hechos intencionaleso no donde se encuentre comprometido el buen nombre de la compañía.

Basados en esta situación general, la corporación debe demostrar la diligencia suficiente y el debido cuidadopara mantener programas preventivos y correctivos que generen mayor conciencia, y aseguren actividadescontinuas con relación a la seguridad de la información.

Dichas actividades, al estar enmarcadas dentro de la perspectiva legal y competitiva de la organización, debenformular proyectos que materialicen las inquietudes generales de la empresa alrededor de la información, en lamodernización de la infraestructura tecnológica para mantener su confiabilidad, integridad y disponibilidad en eldesarrollo de sus funciones de negocio.

Por último, y como consecuencia de las actividades de actualización tecnológica, es prudente verificar losmecanismos de seguridad implantados en la infraestructura corporativa, con el propósito de obtener una visiónreal de sus limitaciones y ventajas, y evitar malos ratos que puedan ocurrir en el futuro. ¡Recuerde que si ustedno lo hace, otros lo harán por usted!

Como hemos visto a lo largo de esta presentación los tres ejercicios se complementan y giran de maneracontinua a lo largo de la organización (ver Figura. 1), como una postura de seguridad informática proactiva queimpacta la organización desde sus objetivos de negocio hasta la infraestructura técnica.

Figura 1. Visión Complementaria de tres paradigmas: Evaluación deseguridad, Auditoría de seguridad y Pruebas de penetración.

21/07/2010 ::Jeimy J. Cano:: en Derecho Tecnologico.…

derechotecnologico.com/…/estrado003.h… 4/6

Referencias

1. PARKER, D. (1997) The Strategic Values of Information Security in Business. Computers & Security.Vol.16. No.5. pág.572-582

2. CANO, J. (1998) Pautas y Recomendaciones para elaborar políticas de seguridad informática. Banco de laRepública, Departamento de Control Interno. Documento de Investigación. (Próximo a publicar en la FAQ(Frecuent Asked Questions) de lista de seguridad SEG-L)

3. KAPLAN, R. (1997) Penetration Testing: reward or ruin?. Computer Security Journal. Vol. XIII, No.1.pág.69-89

4. HARDY, G. (1997) The relevance of penetration testing to corporate network security. Information TechnicalReport. Vol 2, No.3. pág.80-86

Bibliografía

BAASE, S. (1997) A gift of fire. Social, Legal and Ethical Issues in Computing. Prentice Hall.

BAYUK, J. (1997) Security through process management. Price Waterhouse, LLP. Research Paper.

CHAPMAN, B y ZWICKY, E.(1997) Construya Firewalls para Internet. O’Really. Edición en Español porMcGraw Hill.

ICOVE, D., SEGER, K. y VONSTORCH, W (1995) Computer Crime. A crimefighter’s Handbook. O’reilly& Associates, Inc

KNIGHTMARE (1994) Secrets of a Superhacker. Loompanics Unlimited.

Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of InformationSystems. 1992.

SWANSON et al. (1996) National Institute of Standard and Technology (NIST). General Principles forInformation Systems Security Policies.

WILSON, M (1996) Marketing and Implementing Computer Security. NIST. Research Paper

Jeimy J. Cano, Ph.D: Ingeniero de Sistemas y Computación - Universidad de los Andes. Magister en Ingeniería de Sistemas y Computación - Universidad de los Andes Ph.D in Business Administration - Newport University, CA - USA IEEE Senior Member

::: Índice del Estrado ::: ¦¦ ::: Página Principal :::

21/07/2010 ::Jeimy J. Cano:: en Derecho Tecnologico.…

derechotecnologico.com/…/estrado003.h… 5/6

© 1997 - 2004. DerechoTecnologico.com

21/07/2010 ::Jeimy J. Cano:: en Derecho Tecnologico.…

derechotecnologico.com/…/estrado003.h… 6/6