disponible toda la informacin del siste-ma cuando as lo necesiten y/o deseen.

En resumen, la seguridad informtica es elconjunto de reglas, planes y acciones quepermiten asegurar la informacin quecontiene el sistema.

IMPORTANCIA Y OBJETIVOSLas amenazas de las que hablamos demanera genrica anteriormente puedendividirse en: Sabotaje Robo de informacin Espionaje intelectual Implantacin de virus informticos Chantaje o extorsin Fraudes y estafas Inhabilitacin de servicios

Mantener la confidencialidad, integridad ydisponibilidad de la informacin es esencialpara sostener un margen competitivo, altarentabilidad y buena imagen comercial.Carecer de una poltica de seguridad infor-mtica, o poseer una que no sea del todoadecuada, puede tener graves desenlaces:Consecuencias directas: Por el hecho en s mismo Por reparacin de los daos Para evitarlo en el futuro

Deterioro de imagen: Ante el pblico en general Ante el personal Ante clientes Ante inversores

Consecuencias legales: Juicios de terceros afectados Incumplimiento de normas y/o contratos

Las polticas de seguridad informticaayudan a definir lo que se considera devalor, y especifican las acciones que se

56 POWERUSR

pesar de su alta im-portancia y teniendoen cuenta que las

amenazas actualmente crecende manera exponencial, el por-centaje de inversin en seguri-dad informtica aportado porlas empresas es insuficiente enla mayora de los casos, qui-zs, en parte, por ignorancia odesconocimiento. En este art-culo intentaremos dar un pa-norama general de las polticasde seguridad que debera man-tener una empresa y analizare-mos el porqu de ellas.

INTRODUCCIONDado que la informacin esun bien, as como lo son

otros tantos activos econmicos, tieneun valor para la organizacin que hacenecesario mantenerla lo ms resguardadaposible. El campo de la seguridad infor-mtica se encarga de realizar esta tarea,de modo que, frente a cualquier posibleamenaza, sea posible mantener la conti-nuidad del negocio, minimizar el dao, ymaximizar las utilidades y oportunida-des, siempre recordando que el 100% deseguridad es una utopa.La seguridad informtica se basa en tresaspectos: Confidencialidad: slo los usuarios au-

torizados tienen acceso a la informa-cin de los sistemas.

Integridad: la informacin de los siste-mas slo puede ser creada y modificadapor los usuarios autorizados.

Disponibilidad: los usuarios deben tener

.hck

UN POCODE TEORIA

A

DENTRO DEL AREA DE TECNOLOGIAINFORMATICA, LA SEGURIDAD ES UNA PARTEFUNDAMENTAL, YA QUE SE OCUPA DEPROTEGER EL ACTIVO MAS IMPORTANTE QUECUALQUIER ORGANIZACION PUEDE POSEER:SU INFORMACION.

SEGURIDADINFORMATICA

FUNDAMENTOS DE LA

PABLO D. HAUSERSECURITY OPERATIONS CENTER, IMPSAT

ph@tectimes.com

ESQUEMA DE RED PROTEGIDA

UN ESQUEMA DERED CON ZONASDE INTERCAMBIOINTERNAS YEXTERNAS(DMZS) QUEBRINDAN MAYORSEGURIDADA LA LAN.

INTERNET FIGURA

01

SWITCH

FIREWALL

ROUTER

FIREWALL

LAN

DMZ INTERNA

DMZ EXTERNA

56-59-Seguridad-P12.qxd 8/31/04 11:40 Page 56

57POWERUSRPOWERUSR

deben tomar para salvaguardaresos bienes. La norma ISO17.799 muestra el procedi-miento para formar un plan deseguridad informtica precisoy acorde con las necesidadesde la organizacin.Las polticas, normas y proce-dimientos de seguridad sonparte fundamental de cualquieresquema de proteccin eficien-te. Desde el punto de vista deladministrador, se disminuyenlos riesgos y se permite actuarde manera rpida y acertadaen caso de surgir una emer-gencia; desde el punto de vistadel usuario, indican la maneraadecuada de usar un sistema,estableciendo lo que puede ha-cerse y lo que no es posible.Asimismo, tener el esquema depolticas preestablecido facilitala incorporacin de nuevo per-sonal, dado que ya se cuentacon una base escrita y claraque permite su capacitacin.Por otra parte, le da una ima-gen profesional a la empresa ysimplifica su auditora.

REQUISITOSY ALCANCESNo es nada sencillo armar unmanual de polticas de seguri-dad informtica, ya que msall de los objetivos citados,hay que tener en cuenta va-rios requisitos: Contar con el consentimien-

to y el apoyo de los directi-vos de la organizacin.

Ser normas nicas. Ser claras (explcitas). Ser concisas (breves). Estar bien estructuradas. Estar escritas. Darse a conocer. Ser comprendidas por los usuarios. Mantenerse actualizadas.

El objetivo del manual de seguridad escrear un marco de referencia que reguletanto el comportamiento del personal co-mo el de terceros en el uso de la informa-cin brindada por la organizacin.Estas polticas NO deben omitir: Aclarar qu es lo que se quiere proteger

y por qu. Establecer de manera clara la responsa-

bilidad para lograr esa proteccin. Proveer la base sobre la que se inter-

preta y/o resuelve cualquier conflictoposterior.

Las polticas de seguridad informtica(sus riesgos y consecuencias) alcanzantanto al personal de tecnologa como alresto de los trabajadores de la empresa,principalmente porque, en mayor o me-nor medida, todos ellos estn expuestosa los riesgos y vulnerabilidadesde la compaa.Para lograr ese compromiso del personalno tcnico, la principal herramienta de laque disponemos es la educacin, median-te cursos de concienciacin de los usua-rios, en los que se explican los riesgos alos que estn expuestos, sus posiblesconsecuencias y, fundamentalmente, lasmedidas de seguridad que deben tomarsepara minimizarlos, como la no divulga-cin de las contraseas utilizadas paraingresar en los sistemas.Entre los principales aspectos que debecubrir este manual de seguridad, seencuentran: Polticas de seguridad Normas de seguridad fsica Normas de copias de resguardo Normas de autentificacin de usuarios Normas de integridad de los datos Normas de confidencialidad de la

informacin Normas de control de acceso Normas de registro de eventos de

seguridad Procedimiento de generacin de copias

de resguardo Procedimiento de administracin de

usuarios y recursos

CUANDO UNCERTIFICADODIGITAL SE ESTAPOR INSTALAREN NUESTRA PC,VEMOS UNAVENTANA SIMILARA ESTA.

CERTIFICADO DIGITAL

EJEMPLO DE UNA OPERACION EN LA QUE INTERVIENE UNCERTIFICADO DIGITAL.

PROVEEDOR

(2) CONSULTA IDENTIDADDEL FIRMANTE.

(3) DATOSDEL PROVEEDOR.

(1) ENVIA COTIZACIONFIRMADA Y ENCRIPTADA.

COMPRADOR

CERTIFICADOR

FIGURA

03

FIGURA

02

ENCRIPTA COTIZACIONCON LLAVE PUBLICA DEL

DESTINATARIO (OBTENIDADEL CERTIFICADOR).

DESENCRIPTACOTIZACION CON SU

LLAVE PRIVADA.

56-59-Seguridad-P12.qxd 8/31/04 11:40 Page 57

58 POWERUSR

Aqu se incluyen los tan populares ata-ques de DoS y DDoS (ms informacinen la revista POWERUSR #03).

Humanos: abarca los aspectos de activi-dades de ingeniera social (obtencin deinformacin de escritorios desordenados,cajones abiertos, impresoras, etc.).

Es responsabilidad del personal de segu-ridad informtica tomar las medidas pre-ventivas para cada una de estas catego-ras de riesgos.

HERRAMIENTAS PARAPROTECCION Y EVALUACIONExisten varias herramientas al alcance delprofesional de IT que intenta encarar unproyecto de seguridad informtica. Ningu-na de ellas, por s misma, es suficiente pa-ra evitar que se quiebre alguna de las ba-ses de la seguridad (confidencialidad, inte-gridad y disponibilidad), de modo que elresponsable deber estudiarlas y seleccio-nar la combinacin que mejor se adapte ala realidad de su organizacin. Penetration Testing: los intentos de pe-

netracin se realizan para evaluar lasvulnerabilidades que posee un sistemaen cuanto al acceso no autorizado a re-cursos. Existen dos tipos de tests: Internos: se realizan desde la red decomunicaciones propia de la compa-a. Lo que se debe medir es la posibi-lidad de acceso a recursos sin autori-zacin, a fin de evitar el accionar deun empleado o personal contratadopor la organizacin. Externos: el objetivo es lograr el in-greso a la red de comunicaciones dela compaa desde una conexin deInternet o bien de una lnea telefnicaexterna.

Encriptacin: significa transformar unmensaje en otro, que puede ser com-prendido nicamente luego de la apli-cacin del proceso inverso: la desen-criptacin (las VPNs tambin son unaforma de encriptar datos; ms adelan-te hablaremos de ellas). Para realizarel proceso de encriptacin se utilizaun algoritmo matemtico que involu-cra el uso de claves. Cuando ambosprocesos utilizan la misma clave, elalgoritmo de generacin recibe elnombre de simtrico; si se empleanclaves distintas para cada etapa, en-tonces se lo denomina asimtrico. Es-

Para minimizar los riesgos, la seguridadde la informacin brinda dos niveles deproteccin: Nivel fsico: se deben establecer ade-

cuadas medidas de proteccin de ac-ceso a donde estn alojados los servi-dores, elementos de comunicaciones,etc., para lo cual hay que controlar losingresos y egresos mediante los meca-nismos adecuados.

Nivel lgico: se deben establecerapropiadas medidas de seguridad paraprevenir y evitar que se pueda accedero daar la informacin de la empresa,ya sea desde la propia red interna odesde otras redes externas.

ASPECTOS FINANCIEROSCualquier movimiento o apertura de reaen una organizacin trae implcito el au-mento del presupuesto requerido. Asimis-mo, si los directivos deben aportar ms di-nero, seguramente esperan un retorno dela inversin o ROI (Return Of Inversion).El clculo del ROI de cualquier inversin essiempre engaoso, y en el entran en consi-deracin muchos aspectos subjetivos o des-conocidos que debern ser evaluados segnel criterio de quien lo est realizando.El ROI en seguridad informtica no es unaexcepcin a la regla (es ms, puede quenunca se llegue a comprobar un retornodel presupuesto, ya que no estamos ha-ciendo el clculo sobre las bases de algotangible). El clculo se facilita si la empre-sa tiene valorados sus activos informticosy si lleva un registro de costo por inciden-te, entre otros aspectos.Por eso es necesario evaluar el grado de ex-posicin del sistema. Existen varias manerasde realizar ese clculo, desde algunas muysencillas hasta otras extremadamente com-plejas. En definitiva, todas necesitan realizarun diagnstico previo del estado de situa-cin en que se encuentra el sistema.Una frmula sencilla que se utiliza comn-

mente es la siguiente: RIESGO =AMENAZA + VULNERABILIDAD +COSTO DEL INCIDENTE

El valor que toma la variableAMENAZA se correspondecon el rango de ocurrencia deun incidente, expresado enalguna medida de tiempo(das, horas o minutos). Lavariable VULNERABILIDAD esla probabilidad de ocurrenciadel incidente; finalmente,COSTO DEL INCIDENTE debeexpresarse en dinero.Es as que podemos observarque es imprescindible conside-rar todas las amenazas a lasque est expuesto el sistema, yevaluar sus consecuencias.Una vez calculada la variableRIESGO, es necesario categori-zar en qu nivel est el siste-ma, para lo cual podemos ar-mar categoras de riesgo, comolos siguientes: Electrnicos: son riesgos

generados por ataques rea-lizados utilizando compu-tadoras, como hacking osniffing.

Malware: tambin conoci-dos como cdigos malig-nos, incluye virus, worms ytroyanos.

Fsicos: por problemas na-turales, elctricos, etc.;tambin incluye el robo dehardware y la toma de ter-minales.

Divulgacin de la informacin. Downtime: es la falta de

disponibilidad de recursosinformticos debido a pro-blemas provocados por per-sonas o a eventos naturales.

EN EL ESQUEMA OBSERVAMOS QUE ES LO QUE NOS BRINDAUNA FIRMA DIGITAL Y COMO ESTA COMPUESTA.

FIRMA DIGITAL

CRIPTOGRAFIAASIMETRICA

CONFIDENCIALIDAD

FUNCIONESRESUMEN (HASH)

AUTENTIFICACION

INTEGRIDAD

NO-REPUDIACION

FIRMA DIGITAL

FIGURA

04

56-59-Seguridad-P12.qxd 8/31/04 11:40 Page 58