 |
 |
|||
|
||||
 |
 |
 |
 |
 |
 |
 |
 |
 |
|
|
|
||
 |
||
Por Marco Tafur Coronado, Consultor Técnico de Global IT Solutions En el artículo anterior, se explico el concepto de seguridad informática, y se analizo el motivo de porque en las PYMES no se implementan. En esta segunda entrega, se tocara con mayor profundidad para que un sistema sea seguro: primero, el análisis de riesgos; segundo, la seguridad perimetral; tercero, la seguridad interna; y, finalmente pero no menos importante, el usuario y los procesos. Es natural para una Pyme preguntarse “¿Necesito establecer medidas o políticas de seguridad informática en mi empresa?”. Otros, además, se hacen una pregunta aun mas interesante: “¡¿Para que necesito esto si solo tengo 10 usuarios?!”. La respuesta para ambas interrogantes es simple: SÍ es necesaria una política de seguridad informatica, tengan los usuarios que tengan y con soluciones corporativas de pequeña o mediana empresa. Inclusive, es necesario recordar que la informacion y el conocimiento es, actualmente, uno de los activos intangibles mas importante de los últimos tiempos. Sin embargo, antes de implementar o proponer algún tipo de solución, es necesario realizar un análisis de riesgos. Pero, ¿Qué es un análisis de riesgos? ¿Cómo llevarlo a cabo? Primero, se debe establecer todas las maneras en que la informacion puede extraviarse, sea de forma deliberada o no (los llamados puntos de vulnerabilidad). Para ello, es importante resaltar que existe un triangulo en cuyos vértices encontramos los siguientes componentes: • La infraestructura, que es todo lo tangible e intangible (lease hardware
y software, etc) donde las personas corren o realizan procesos con
la informacion, Asimismo, dentro del triangulo, y unido a todos los vértices, encontramos las políticas, sean de acceso, de seguridad, entre otros las cuales son aplicadas a los tres y estan interrelacionadas. Todos estos componentes dependen entre si, y absolutamente todos son puntos vulnerables dentro de una organización. Por ejemplo, en el caso de la infraestructura, el acceso no autorizado a la sala de servidores a una persona (determinado por una falta de política de acceso) puede ser causa de perdida de informacion. Inclusive, otro ejemplo claro es la tan famosa ingeniería social. Las personas, en este último caso, son los puntos vulnerables ya que, si no se tiene una política de seguridad de informacion, individuos usando esta técnica pueden hacerse de las claves o de accesos no autorizados. En el caso de los procesos, estos pueden tener, en algún punto del flujo de trabajo, algún breach o agujero donde la informacion se puede extraviar (information leakage). Es asi que el análisis de riesgos observa estos tres puntos y determina las políticas de seguridad informática apropiadas para la organización, tanto de accesos (físicos y a los sistemas), como también la modificación de los procesos para hacerlos mas seguros y la capacitación a las personas de estas politicas. Luego de realizado el análisis de riesgos y generadas las políticas en un papel, se procede a la implementación de herramientas que ayuden a implementar, mantener y reforzar las políticas de seguridad. Es justo y necesario indicar que el primer vértice a atacar (lease asegurar) es la infraestructura ya que ahí se almacena y se procesa la informacion. Para ello existen herramientas muy poderosas, pero a la vez gratis en términos economicos. Si, son gratis. Gracias a un movimiento llamado Free Software Foundation y otros mas, existe lo que se denomina Software Libre. Es necesario resaltar que libre no es como obtener cerveza gratis: existe un grupo de desarrolladores detrás de aquellos paquetes que esperan, al menos, un reconocimiento de su trabajo. Asimismo, también existen herramientas que son también poderosas, pero tienen un costo (se les denomina de código cerrado, o software de pago). Si la Pyme esta en condiciones, puede evaluar alguna de estas dos opciones. No obstante, se recomienda las soluciones de Software Libre. En este vértice existen básicamente dos partes fundamentales: la seguridad perimetral y la seguridad interna. El primero es, por lo general, un dispositivo que limita el acceso al Internet, tanto de ella como hacia ella y evita los accesos no autorizados desde fuera, según las políticas establecidas. A este dispositivo se le denomina Firewall o muro de fuego. El Firewall puede ser tanto por software como por hardware (o una combinación de estos), y puede integrar un numero de utilidades adicionales para crear lo que se denomina un UTM (Unified Threat Management). Entre las utilidades que se integran estan los antivirus tanto de salida como de entrada para el trafico web e email; la limitación de accesos a determinadas paginas web (Content Filtering) y a servicios de mensajería (Packet Inspecting); la auditoria de lo que se esta accediendo (Proxy/Cache); la detección de intrusos (IDS) etc. Inclusive, algunos agregan la capacidad de hacer de intermediarios para protocolos que no pueden ser restringidos tales como la video conferencia con equipos especializados (SIP Proxy) o el protocolo de transferencia de archivos. Y la lista sigue y sigue: VPN, DMZ, etc. ¿Productos? Infinidad: Cisco con su serie ASA 5000, Juniper Networks con su SSG 40, etc. Todos estos tienen un costo, de por lo menos dos mil dólares americanos y son soluciones por hardware, netamente. ¿Soluciones por Software? Pues, esta el ISA Server de Microsoft, los productos de Checkpoint, entre otros. Sin embargo, para las Pyme que no estan dispuestas a pagar mucho dinero por estas soluciones, estan los UTM de Open Source: IPCop, Untangle (muy interesante pero muy pesado en memoria), Vyatta (competencia de Cisco, no lo pierdan de vista), y el favorito del autor: Endian Firewall. Estos últimos vienen en variedades de hardware y software, estan basados en una plataforma muy estable (Linux) y lo mejor de todo, no tiene los problemas de licenciamiento que tienen los software de pago. Es mas, armar un UTM actualmente es muy barato (con un servidor HP ML110 G5 con 2GB de RAM y 160GB de disco duro bastan para 50 usuarios) y solo se cobra una vez (instalación, configuración y capacitación para el que lo administre). Un UTM basado en lo anterior, incluyendo la instalación, esta alrededor de los 800 dolares. Por otro lado, la seguridad interna también es otro aspecto de la parte de infraestructura. Ahí entra a talla el antivirus que vienen en dos formas: primero, la personal; segundo, la corporativa. El primero son los antivirus que se obtienen a través de los canales retail (Norton, Eset, etc.). El segundo es una solución administrada centralizadamente a través de una consola en un servidor, y los clientes (o agentes) obedecen las políticas que se determinan en el servidor central buscando de cuando en cuando algún cambio de las políticas de seguridad establecidas. Actualmente, estos también implementan varios modulos adicionales al tradicional antivirus: anti-spam, anti-spyware, firewall, escaneo de emails, entre otros. Sin embargo, no es simplemente ir e instalar el servidor y desplegar los agentes, es mas que eso. Es realizar primero si el producto es factible según el parque de PCs que se tenga, si existe la infraestructura física para instalarlo, etc. En pocas palabras, es realizar una consultoria previa antes de implementar el producto. Lamentablemente, aun no existen soluciones corporativas de Software Libre de este tipo. Por lo pronto, las soluciones que existen son de pago y estan las de Symantec (Endpoint Protection 11), McAfee, ESET, Kaspersky, entre otras. Lo que definitivamente siempre se ha de buscar es que el producto cuente con una base instalada grande, que sea probado antes de implementado y finalmente que cuente con el soporte tanto del canal de distribución como de la casa de desarrollo. El favorito del autor es, en definitiva, el primer producto indicado ya que ofrece también la posibilidad de evitar el robo de informacion a través de unidades extraíbles. Si bien no es parte de la informática, implementar políticas de acceso a la infraestructura también es necesario. Esto es para evitar ataques desde dentro de la empresa (extravio deliberado de la informacion) usando diferentes métodos. El mas común es el acceso a los servidores físicos o a las cintas de respaldo. No hace mucho, el autor se entero que dentro del edificio de oficinas donde se encuentra su centro de labores, se realizo un hurto de informacion a una empresa. Toda la informacion del servidor (el cual no se encontraba dentro de un gabinete con llave) y los respaldos (que NO deben de estar en el mismo sitio que la empresa) fueron hurtados y esta tuvo que comenzar literalmente de cero, causando casi su quiebra. Para cerrar este articulo un tanto extenso: implementar la seguridad informática y asegurar la informacion de la organizacion no es un gasto, es una inversión a largo plazo. Las herramientas mostradas para la protección de la infraestructura no son un gasto, son una inversión que toda empresa, por mas pequeña que sea debe hacer. En el siguiente capitulo, se verán los dos vértices restantes y se concluirá esta serie de artículos sobre seguridad informática. « regresar
|
||
Seguridad Informatica en las Pymes:
Parte 2 |
 |
COMUNIQUESE A NUESTRA NUEVA CENTRAL TELEFONICA: (511) 624-6132 www.enterese.net,
no esta afiliada a ninguna entidad gubernamental, esta es una entidad
comercial. Recomienda esta página a un amigo
|