Noticias Profesionales

Seguridad de la Información y Protección de Datos

Enviar a un amigo | Imprimir

Conozca a sus verdaderos enemigos informáticos

En un principio las empresas consideraban que tenían que protegerse de los agentes y ataques externos, como aquellos que son derivados por el uso de Internet; pero con el paso del tiempo, las empresas han advertido que no sólo existen este tipo de amenazas, sino que también hay peligros dentro de la organización y que éstos deberían ser contemplados a la hora de proteger la información.

 

Afortunadamente, en nuestro país esta situación ha comenzado a conceptualizarse, a tal punto, de que hoy día, los ataques internos, tienen incluso, un ligero nivel de importancia superior que los ataques externos; sin embargo, lo más importante es que, ninguna de las dos categorías se descuidan.

En este sentido, la mayor preocupación radica es saber quién es nuestro principal enemigo. La respuesta a esta pregunta, generalmente es: los hackers, quienes son el principio y el nivel más alto de la clasificación de intrusos. Sin embargo, veamos conceptualmente los protagonistas de los delitos informáticos:

• Hackers: Estos personajes son expertos en sistemas avanzados. En la actualidad se centran en los sistemas informáticos y de comunicaciones. Dominan la programación y la electrónica para lograr comprender sistemas complejos como la comunicación móvil. Su objetivo principal es comprender los sistemas y el funcionamiento de ellos. Les encanta entrar en computadores remotos, con el fin de decir "Su sistema ha sido vulnerado" pero no modifican ni se llevan nada del computador atacado. Normalmente son quienes alertan de un fallo en algún programa comercial, y lo comunican al fabricante. También es frecuente que un buen Hacker sea finalmente contratado por alguna importante empresa de seguridad.
• Crackers: Es el siguiente eslabón y por tanto el primero de una familia “rebelde”. Cracker es aquel fascinado por su capacidad de romper sistemas y software y que se dedica única y exclusivamente a crackear sistemas. Para los grandes fabricantes de sistemas y la prensa este grupo es el más rebelde de todos, ya que siempre encuentran el modo de romper una protección. Pero el problema no radica ahí, si no en que esta “rotura” es difundida normalmente por medio de Internet para conocimiento de otros; en esto comparten la idea y la filosofía de los Hackers.
• Lamers: Este grupo es quizás el que más número de miembros posee y quizás son los que mayor presencia tienen en la red. Normalmente son individuos con ganas de hacer Hacking, pero que carecen de cualquier conocimiento. Este es quizás el grupo que más peligro representa en la red ya que ponen en práctica todo el software de hacking que encuentran, sin tener experticia sobre ellos.
• Copyhackers: Es una nueva raza sólo conocida en el terreno del crackeo de hardware, mayoritariamente del sector de tarjetas inteligentes empleadas en sistemas de televisión de pago.
• Bucaneros: Son peores que los Lamers, ya que no aprenden nada ni conocen la tecnología. Comparados con los piratas informáticos, los bucaneros sólo buscan el comercio negro de los productos entregados por los Copyhackers. Los bucaneros sólo tienen cabida fuera de la red, ya que dentro de ella, los que ofrecen productos "Crackeados" pasan a denominarse "piratas informáticos".
• Phreaker: Este grupo es bien conocido en la Red por sus conocimientos en telefonía. Un Phreaker posee conocimientos profundos de los sistemas de telefonía, tanto terrestres como móviles. En la actualidad también poseen conocimientos de tarjetas prepago, ya que la telefonía celular ha cobrado un terreno importante en las comunicaciones.
• Newbie: Es un novato o más particularmente es aquel que navega por Internet, tropieza con una página de Hacking y descubre que existe un área de descarga de buenos programas de Hacking. Después se baja todo lo que puede y empieza a trabajar con los programas. Al contrario que los Lamers, los Newbies aprenden el Hacking siguiendo todos los cautos pasos para lograrlo y no se mofa de su logro, sino que aprende.
• Script Kiddie: Denominados Skid kiddie o Script kiddie, son el último eslabón de los clanes de la red. Se trata de simples usuarios de Internet, sin conocimientos sobre Hack o el Crack en su estado puro. En realidad son devotos de estos temas, pero no los comprenden. Simplemente son internautas que se limitan a recopilar información de la red. En realidad se dedican a buscar programas de Hacking en la red y después los ejecutan sin leer primero los archivos “Readme” de cada aplicación. Esta forma de actuar, es la de total desconocimiento del tema, lo que le lleva a probar y probar aplicaciones de Hacking. Podrían llamarse los “pulsabotones“de Internet. Los Kiddies en realidad no son útiles en el progreso del Hacking.

El principal intruso: ¿los empleados?

En nuestras actividades diarias, nos topamos frecuentemente con situaciones en las cuales los empleados de nuestros clientes han incurrido en fraudes o actividades ilícitas que afectan a la organización. Es nuestra función pensar en el individuo y su potencial como un posible intruso al momento de evaluar su rango de acción, y nos encontramos que la cuantificación del riesgo es limitada por el conocimiento de su existencia o, y esto es peor aún, por la subestimación de la capacidad técnica de los usuarios.

Si nos planteamos el conocimiento de cada individuo que conforma la organización como una variable desconocida, surgen varias preguntas cuyas respuestas pueden sorprendernos:

• ¿Cuánto sabe el usuario de los procesos ejecutados en aquellas áreas ajenas a sus funciones?
• ¿Cuánto sabe del uso de las herramientas de trabajo?
• ¿Con quién comparte su conocimiento?
• ¿Conoce y posee herramientas no utilizadas por la organización?
• ¿Qué hacen estas herramientas?
• ¿Tiene acceso a Internet? ¿Qué busca en Internet?

Desde luego, pueden salir un sinnúmero de preguntas adicionales y cada una puede parecer inverosímil o no, pero existen realidades que usualmente son olvidadas y que conforman el bosque que se encuentra detrás de los arbustos.


Plan de acción

Algo que han demostrado los “hackers”, es que no cesan de aparecer brechas, y que el ingenio para identificarlas y utilizarlas en beneficio propio, es enorme. Queda entonces claro que esperar la ocurrencia de fallas para proceder a corregirlas es precisamente en lo que se apoyan los atacantes para indagar. Por otro lado, pretender detectar las debilidades antes de que ocurran, puede ser una labor costosa en personal y tiempo. La interrogante que se formula entonces es: ¿cuál es el plan de acción?

Sin embargo, una buena práctica para atender esta situación, es contar con un modelo de seguridad empresarial, en el que las actividades regulares del Chief Information Security Officer (CISO), deben apoyarse en políticas de seguridad de la organización que surjan del análisis del negocio y sus riesgos. Tal como lo demuestra el esquema jerárquico, las actividades estratégicas y operativas del CISO deben ser modeladas por políticas de seguridad, que a su vez surjan ajustadas a la misión y visión del negocio, el análisis detallado de sus amenazas y su estrategia en el uso de la tecnología.

Por otro lado, existen procesos intermedios importantes como son la creación de los modelos de seguridad y la definición de la arquitectura de seguridad y normas técnicas, que apoyarán el cumplimiento de las políticas, y que consiste en la definición detallada del conjunto de componentes automáticos y manuales que normarán las responsabilidades del CISO y su interacción con el usuario.

Finalmente, el proceso de control y el proceso de recuperación ante fallas son dos actividades vitales en la consolidación del modelo de seguridad, donde los procesos de control regulares conforman el elemento que permitirá evaluar que los procedimientos de seguridad y la configuración del hardware y software, son suficientes para cumplir con los objetivos de seguridad de la organización. Este objetivo se obtiene con ejecución frecuente de revisiones de la infraestructura tecnológica y/o la ejecución de estudios de penetración, los cuales demostrarán que tanto los elementos de control, como las estrategias proactivas y reactivas para la detección de brechas de seguridad y ataques, están cumpliendo con el objetivo para el cual fueron desarrollados. La Figura N° 1 hace referencia a detalle de las actividades que se realizan normalmente como parte de los procesos de control
La creación de elementos para sustentar un nivel razonable en la continuidad de las operaciones del negocio, así como el establecimiento de elementos de contingencia para solucionar situaciones que atenten contra la continuidad del servicio, es otro elemento fundamental que conforma este modelo, y que se incluye en éste bajo la premisa de que la continuidad del servicio es una característica que debe formar parte de los activos de información.

Luego de establecer el modelo de seguridad de la organización, el CISO debe volcar sus esfuerzos en tres vertientes: controlar, probar los controles y actualizar.

Controlar: Como se describió al principio, todo ataque está precedido por un período de aprendizaje y prueba. Las funciones de control del CISO, deben estar orientadas a incorporar controles desde el desarrollo/implantación de los sistemas de información y crear controles que permitan identificar las desviaciones en el flujo de las transacciones, en los resultados financieros diarios o en el comportamiento de los sistemas de información y los usuarios. En la medida que estos controles dependan menos de la actividad humana e incorporen estrategias de análisis automatizado (como software de detección de intrusos, analizadores de logs, herramientas de análisis de conductas, entre otros), su efectividad se verá incrementada y permitirá al CISO afianzar su rol con el desarrollo de otras actividades.

Probar: Los controles son efectivos por un tiempo, y su efectividad puede reducirse por cambios en el entorno, por la detección de nuevas brechas o por el incumplimiento de los controles por parte del personal responsable. Es importante entonces efectuar revisiones orientadas a la evaluación de la configuración de los componentes, la adecuación de los procedimientos y ejecución de estudios que pongan a pruebas las herramientas de control de la organización.

Actualizar: Sobre los resultados de las pruebas y la notificación de fallas reportadas en otras organizaciones, el CISO procede a la aplicación de cambios en los controles y la configuración del hardware y software, con el fin de reducir el tiempo entre la detección de una falla y su corrección. De esta forma se reduce la oportunidad de los atacantes.

Fuente: PC News
01.08.05

Noticias relacionadas:

* El «phising» crece un 50% en todo el mundo (10.08.05)
* Cuando las empresas se lucran con los 'crackers' (11.07.05)
* Los programas espía de nueva generación explotan el punto más débil de la seguridad informática: el factor humano (01.07.05)
* Espías empresariales en la Red (30.06.05)
* Un virus provoca que se difundan en Internet datos secretos sobre centrales nucleares de Japón (24.06.05)
* Washington pide a Londres la extradición de un pirata informático (15.06.05)
* Detienen a un 'pirata' informático por entrar en ordenadores militares de EEUU (10.06.05)
* La eclosión de virus informáticos obliga a las instituciones a invertir partidas millonarias en seguridad (08.06.05)
* Tres Ingenieros de Belt Ibérica S.A., consiguen la certificación CISSP (Certified Information Systems Security Professional) (02.06.05)
* Malware, el troyano diseñado para el espionaje industrial (01.06.05)
* «Piratas» en la Asamblea de Madrid (25.05.05)
El riesgo de tener a un 'hacker' como empleado (07.04.05)
* Sevalcabor, el virus que roba las claves personales (31.03.05)
* Symantec fulmina el 'mito de Firefox' al recalcar que sufre más fallos de seguridad que Explorer (23.03.05)
* Cómo no escoger una contraseña (y cómo sí) (15.03.05)
* ‘Phishing’, el arte de engañar incautos en la banca electrónica (09.03.05)
* ¡Cuidado!, se ha colado un espía en su PC (03.03.05)
* La banca española se une contra el timo en línea (17.02.05)

© BELT.ES  Copyright. Belt Ibérica, S.A. Madrid - 2004. belt@belt.es