Por Beatriz Acosta Manzur
Revista Sistemas No. 85. Asociación Colombiana de Ingeniero de Sistemas (ACIS). Bogotá, Colombia; 2003.
Revista Sistemas No. 85. Asociación Colombiana de Ingeniero de Sistemas (ACIS). Bogotá, Colombia; 2003.
Probablemente
los dos cambios más importantes que afectan la seguridad de las redes son su
naturaleza expansiva y cambiante y las últimas técnicas de reingeniería de
negocios.
Aunque los administradores de sistemas no
logran manejar completamente la seguridad de sus sistemas, las necesidades de
los negocios hacen necesario que conecten sus sistemas internos a redes
abiertas como Internet por fuera de su área de influencia. Las organizaciones
deben protegerse de la creciente competencia, pues de acuerdo con los expertos
en sistemas de información no es poco común que las corporaciones hagan
intentos activos para acceder a los sistemas de información de sus competidores
como parte de su proceso normal competitivo.
¿Cómo
proteger la información manteniendo las condiciones aceptables de calidad de
servicio para los usuarios? Lo que se necesita es una manera de balancear la
conveniencia para el usuario y la protección adecuada en la
organización particular. Al hablar en términos de seguridad, no existe una
solución única para este tipo de sistemas. No basta con ver una solución o un
ejemplo de otra organización sino que es necesario hacer un análisis y un
diseño, para el sistema en estudio, lo cual se puede lograr a través del
análisis y el manejo de riesgos que permiten definir la seguridad en términos
de su propio ambiente. El objetivo de esta tarea es medir las amenazas,
vulnerabilidades e impactos sobre los recursos de un sistema computacional bien
definido y aplicar medidas de protección apropiadas para proteger los recursos
de la organización y para los usuarios quienes deben utilizar dichos recursos.
En este caso, el término "apropiado" cobija nivel de costo, tiempo de
implementación, esfuerzo requerido, nivel de protección y facilidad
de uso, entre otros. Este manejo de riesgos debe ser cualitativo para ajustarse
a la cultura del usuario, a las necesidades de la organización, etc., y
cuantitativo para garantizar que las medidas de protección no sean más caras que
el valor que el activo mismo tiene para la organización.
Las
herramientas para proteger la información apenas comienzan a evolucionar y los
especialistas en seguridad en general concuerdan en decir que las técnicas para
robar y/o dañar información pueden estar evolucionando más rápido que los
mecanismos y, en especial, la conciencia requerida para protegerla. Esta falta
de conciencia refleja fallas en los sistemas. El ciclo de vida de éstos
generalmente empieza como fruto de una necesidad corporativa y como tal incluye
las características de servicio requeridas pero se ignoran las medidas de
seguridad necesarias en el momento y hacia el futuro. De esta manera los
administradores de los sistemas se ven obligados a implantar sólo aquellas que
se van evidenciando como necesarias.
A
lo largo del tiempo han evolucionado dos estrategias para el análisis de
riesgos: la primera se inclina en la seguridad de la infraestructura de red
mientras que la segunda se construye a partir de la seguridad de las
aplicaciones que apoyan los procesos de la organización. A continuación se
explican ambas estrategias:
Seguridad basada en red
Se
centra en la seguridad de la red misma como un medio confiable y seguro para
las aplicaciones. Los datos se transmiten de forma segura, provienen de
usuarios autorizados de la red y son enviados al destino apropiado. Si la red
es segura, las aplicaciones que en ella corren no requieren de mecanismos
especiales ya que su entorno de ejecución es seguro. Simplemente se supone que
todas las funciones de seguridad son realizadas por la red. Esta filosofía es
similar al OSI. Las aplicaciones que corren sobre esta arquitectura de red no
se preocupan de la
secuencia de los paquetes,
la validación de direcciones IP, etc. Las aplicaciones suponen que capas
inferiores han cumplido con responsabilidades,
por lo tanto concentran en el contenido de datos.
Adicionalmente, en una red segura, las aplicaciones pueden suponer que la
seguridad es manejada por las capas inferiores. La ventaja más sobresaliente de
esta estrategia es que no se requiere
que las aplicaciones sean seguras. Las aplicaciones que no tienen
mecanismos de seguridad para su ejecución pueden confiar en el ambiente red
seguro sin requerir modificaciones. Otro
elemento a resaltar es la estandarización. A través de
este esquema no existe la posibilidad que diferentes aplicaciones utilicen
sus propios esquemas de
autenticación, manejo de llaves, etc.
Seguridad basada en las
aplicaciones
Los
defensores de esta estrategia consideran que las aplicaciones conocen mejor sus
requerimientos de seguridad por lo cual, los controles que se implementen deben
ser responsabilidad de éstas. Consideran además que construir aplicaciones que
se responsabilicen de su propia seguridad no es una desventaja, sino una
consecuencia natural y razonable de la necesidad de aplicar seguridad a este
nivel. De esta manera argumentan que la seguridad basada en red no es
suficiente para la amplia gama de requerimientos de seguridad que puede
necesitar cada aplicación.
Metodología
A
continuación se muestra una manera de identificar las áreas de la organización
que requieren protección durante todo el ciclo de vida de sus sistemas (red o
aplicaciones). El planeamiento de la seguridad incluye el cálculo de riesgos y
amenazas, el manejo de estos riesgos, y el establecimiento de una política de
seguridad para la red. Una vez que los requerimientos de seguridad de red están
claramente definidos es mucho más sencillo implementar mecanismos y/o procedimientos
que satisfagan eficientemente estos requerimientos. El planeamiento de la
seguridad puede dividirse en cinco etapas como se muestra en la Figura 1.
En la primera
etapa preparación se definen el
alcance y los límites de la seguridad, inventario y evaluación de los recursos
y de la sensibilidad de la información residente y que trafica por la red. Otro
de los elementos a considerar en la seguridad es la definición de
responsabilidades, usuarios, administradores, entorno, etc. Seguidamente la fase
de análisis determina los recursos claves de la organización que apoyan los
procesos de la misma y se les asigna un valor. Estos recursos claves dependen
de la estrategia a utilizar mencionada previamente. Por cada recurso
identificado se determinan las amenazas, el impacto y la probabilidad de la
ocurrencia de la amenaza. Considerando el nivel de exposición a las amenazas de
los recursos, se analizan las vulnerabilidades y la efectividad de las
protecciones presentes para determinar el riesgo asociado. En el diseño se
prepara las políticas y se establecen las medidas, estándares, especificación
de tecnologías, procedimientos de seguridad para identificar los pasos que se
deben seguir para minimizar los riesgos a niveles aceptables.
En
la implementación se seleccionan, instalan, prueban y configuran todo elementos
necesarios para que las políticas, medidas y procedimientos entren en
funcionamiento. Además se realiza una certificación o especificación exhaustiva
de las características de seguridad del sistema de manera que se defina hasta
qué punto se satisfacen las necesidades de seguridad. Por último, en la fase de
operación y mantenimiento se hace uso del sistema verificando que su integridad
se conserve y se establecen esquemas para su auditoria. En la medida que se
requieran cambios significativos, debe repetirse el proceso, inclusive, si es
necesario, desde la fase de preparación.
1. PREPARACIÓN
La
preparación se divide en dos fases: La definición del alcance y los límites de
seguridad y la identificación de los recursos.
1.1 Definición del
alcance y los límites de seguridad.
Para
poder definir los alcances y límites de la seguridad, es necesario comenzar por
realizar un proceso que conduzca a establecer la identidad de la red. A
continuación se establece la información a identificar en esta etapa inicial.
Esta información está basada en un modelo desarrollado por Espejo y Bowling
(1993) para este propósito conocido como Modelo TASCOI [3] ; este modelo busca
responder las siguientes preguntas :
*¿Cuáles
son los procesos básicos que realiza la organización (su misión) y la forma en
que los hace.
*¿Quiénes
son las personas involucradas directamente con las tareas básicas identificadas
en el punto anterior, ignorando tareas secundarias o de soporte?
*¿Quiénes
proveen las materias primas y las herramientas necesarias para llevar a cabo
las tareas identificadas?
*¿Quiénes
son los clientes de la organización y cómo los procesos apoyan a las relaciones
business-client?
*¿Quiénes
son los propietarios (personas, entidades, dependencias u otras organizaciones)
a las cuales se debe la existencia y la misión del sistema anal-izado?
*
¿Quiénes se pueden identificar como competidores, o gente que se ve afectada
por la obtención de los servicios o productos de la organización?
Una
vez contestadas estas preguntas se tienen los elementos necesarios para
determinar cuánto de la red y a qué nivel de detalle deben ser definidos los
requerimientos de seguridad.
Estos limites deben incluir la red como un todo o partes de la red como
los componentes de hardware, software (aplicaciones), la información más
significativa que se procesa en la red, su flujo sobre la red y el personal
involucrado en su mantenimiento. El producto de este proceso debe incluir
además una configuración detallada de la red así como sus usos.
1.2 Identificación y
valoración de los recursos.
La
valoración de recursos identifica y asigna una escala de valores a los
recursos a proteger. Todas las partes de
una red deben tener un valor ya que existen
ciertos recursos mucho
más valiosos que otros. Este paso ofrece el primer indicativo de las
áreas donde se debe enfocar el análisis de seguridad. Los recursos a evaluar
dependen de la estrategia de análisis de riesgos por la se opte: seguridad
basada en red o seguridad basada en aplicaciones. En cualquier caso los
recursos que se identifiquen seguirán el mismo proceso de análisis de riesgo
que se muestra en la sección 2.
El
valor de un bien puede ser representado en términos de la pérdida potencial de
ese bien. Esta pérdida puede basarse en el valor de reemplazo, el impacto
inmediato de la pérdida, o las consecuencias para la organización. Esta etapa
de identificación de los recursos debe apoyarse en la etapa de preparación y
debe concentrarse en las actividades identificadas que apoyan la misión de la
organización y las personas involucradas en estos procesos, pues conocer las
tareas básicas o primarias para las cuales está diseñada la red (las cuales
justifican su existencia), y conocer (e interrogar) las personas directamente
involucradas en su operación, permiten descubrir de manera fácil y directa
cuáles son los recursos que se manejan, evitando caer en la inclusión de
recursos ajenos o de soporte que no corresponden directamente a la red o
aplicaciones a evaluar.
2. ANÁLISIS DE RIESGOS Y
AMENAZAS
La
etapa de análisis sigue varias sub-etapas que conllevan a la determinación de
los riesgos asociados a los recursos identificados en la sección 1. A continuación se explica
cada una de estas sub-etapas.
2.1 Identificación de
amenazas.
Cualquier
cosa que pueda causar un efecto dañino o no deseado sobre algún recurso debe
ser identificado como "amenaza". Una amenaza puede ser humana o
ambiental, accidental o intencional, natural o fabricada, y puede causar daños de
distintas formas. Las amenazas existen por la naturaleza misma de la red y el
ambiente en el cual opera, y no por alguna debilidad específica. Una amenaza es
cualquier acción o herramienta que exponga o se aproveche de una vulnerabilidad
para comprometer la seguridad del sistema [5]. Las amenazas siempre entran
dentro de una de las siguientes categorías: natural (terremotos, rayos, etc.),
accidental (borrado accidental de archivos) o deliberada (virus, worms,
hackers, etc.). El proceso de identificación de amenazas no debe considerarse
como un proceso estático, sino como una tarea periódica para informar cualquier
cambio que tenga que ver con las amenazas actuales o nuevas [4].
2.2 Estimación del
impacto potencial.
El
impacto potencial inmediato sobre un recurso resulta de la probabilidad de
ocurrencia de la amenaza, incluyendo el posible nivel de impacto sobre la red
y/o sobre la organización si se materializa. La ocurrencia de una amenaza puede
implicar más de un impacto sobre un recurso. El nivel de impacto (nivel de
perjuicio) debe ser estimado para cada posible amenaza. Estos datos son
importantes para catalogar el nivel de exposición de los recursos frente a las
amenazas.
2.3 Probabilidad de
ocurrencia de amenazas.
Después
que las amenazas y los impactos han sido identificados, la medida de
probabilidad debe ser asociada con cada escenario de recurso / amenaza /
impacto. Por ejemplo, para un recurso individual, se debe responder cuál es la
probabilidad que una amenaza en particular
ocurra, y el impacto que generaría. Se deben asignar
medidas de probabilidad, lo cual puede ser un proceso subjetivo. Un método para
obtener consenso en el establecimiento de probabilidades es basarse en la
información histórica. Sin embargo, otros atributos que deben considerarse son
la motivación (colecta de información, reto que representa), oportunidad
(acceso físico o lógico), etc. que además pueden mezclarse (en empleado
descontento con privilegios de acceso dentro de la organización).
2.4 Nivel de exposición.
Después
de estimar el nivel de impacto y la probabilidad de ocurrencia se debe definir
el nivel de exposición de cada recurso ante las amenazas. El nivel de
exposición no debe considerar vulnerabilidades de la red o protecciones ya que
no es un nivel de riesgo. En su lugar, esta medida le permite determinar a la
organización a cuáles escenarios se encuentra más expuesta.
2.5 Identificación de
vulnerabilidades.
Una
vez que se determina el nivel de exposición, se debe identificar la
vulnerabilidad para cada amenaza y cómo puede afectar esto a la red. Una
vulnerabilidad puede definirse como una característica o debilidad de la red o
en alguno de sus componentes que tiende a facilitar la ocurrencia de una
amenaza. Todos los bienes son vulnerables de diferentes maneras, dependiendo
del tipo de amenaza y por ello estas vulnerabilidades deben ser identificadas y
analizadas por separado para cada grupo de recurso/amenaza/nivel de exposición.
El resultado de este proceso es un resumen de los elementos recursos, amenazas
y vulnerabilidades.
2.6 Análisis de
protecciones presentes.
Las
protecciones (controles) de seguridad que existen en la red deben ser
analizadas para determinar si proveen una adecuada protección contra las
amenazas específicas. Las protecciones presentes deben ser identificadas para
cada escenario recurso/amenaza. Un servicio, mecanismo o procedimiento ruede
considerarse de protección si consiste de medidas que prevengan o reduzcan la
probabilidad de ocurrencia de una amenaza que explota alguna vulnerabilidad
[4]. Una vez que se ha identificado tanto las vulnerabilidades como las
protecciones de un recurso, la efectividad de las protecciones presentes debe
ser medidas para estimar el riesgo asociado por cada escenario
recurso/amenaza/nivel de exposición-/vulnerabilidad/medida de protección.
2.7 Medición de Riesgos
Con
una lista de amenazas potenciales, el nivel de exposición y los riesgos
relacionados para cada recurso, se puede determinar un indicativo de la
situación de seguridad actual de la red. El riesgo puede ser definido como el
escenario activo/amenaza/nivel de exposición/nivel de
vulnerabilidad/efectividad de protección, el cual final-mente determina las
necesidades concretas de seguridad. El nivel de riesgo pretende establecer la
probabilidad y consecuencia de una amenaza o acto que puede comprometer algún
recurso de la red, considerando las vulnerabilidades y las protecciones
efectivas presentes. El producto de este proceso debe indicar a la organización
el nivel de riesgo asociado a los recursos identificados. Estos datos son
importantes ya que pueden servir de base para un proceso de selección de
mecanismos de protección y de decisión de mitigación de riesgos [4].
El
proceso de mitigación de riesgos identifica metas y estrategias y estima los
recursos necesarios para evaluar estas estrategias. En la Tabla 1, se muestra los
pasos y actividades que se deben seguir si se ha seleccionado la estrategia de
reducir un riesgo determinado.
Tabla
1. Actividades relacionadas con la mitigación de riesgos
3. POLÍTICAS DE
SEGURIDAD DE RED
Una
política de seguridad debe ser definida una vez sean identificados y
comprendidos los riesgos sobre la red y se especifiquen los requerimientos de
seguridad. Una política de seguridad de red es un conjunto de normas y requerimientos
de protección, manejo de la información, responsabilidades, etc. Estas
políticas se utilizan para describir la protección del sistema y sus perímetros
físicos y lógicos. El propósito de esta sección es resaltar los aspectos que se
deben considerar en el desarrollo de una política de seguridad de red.
Como
mínimo la política de seguridad de red debe incluir:
Objetivos.
Los objetivos y metas de la red y que es lo que constituye el ambiente de la
red, cuales son sus partes, etc.
Activos.
Activos de valor de la red, amenazas a estos activos como se definió en la
etapa de preparación.
Requerimientos
para los procedimientos de seguridad. Procedimientos que deben ser
implementados sobre la red para reducir los riesgos identificados a niveles
aceptables.
Roles
y responsabilidades. Responsabilidades técnicas y administrativas de las
personas involucrados en la protección de la red y/o de la información que se
encuentra almacenada o en transito. Entre estas personas se encuentran: el
administrador de la red, el administrador del sistema, el auditor, los
usuarios, y personal de mantenimiento.
Compromisos
u obligaciones. Las obligaciones de la organización de mantener protegida la
información de la red.
Protección
de virus y detección. Las políticas de seguridad deben ser claramente
definidas, y establecer responsabilidades de la información que es procesada,
almacenada y transmitida. Este documento debe definir claramente el rol de los
individuos envueltos en la operación de la red. La elaboración del documento
puede ser delegado a un comité que tenga la capacidad de sintetizar y plasmar
los resultados del proceso realizado. Para apoyarse en este proceso puede
apoyarse en el documento desarrollado por la ISO 17799 para el establecimiento de políticas de
seguridad [6].
4. CONSTRUCCIÓN E
IMPLEMENTACIÓN
Una
vez que los requerimientos de seguridad han sido identificados y las
estrategias de protección han sido seleccionadas, se pasa a la fase de
construcción e implementación. Los procedimientos de seguridad aceptados
aseguran que el riesgo después de la implementación de la medida seleccionada
estén a niveles aceptables. Este proceso debe incluir una actividad que compare
la medida de riesgo actual (el nuevo valor de riesgo obtenido después de la
solución de seguridad ha sido implantada y evaluada) con los niveles de riesgo
aceptables definidos previamente. Para considerar una solución de seguridad
como aceptable deben considerarse factores como: efectividad, costo, política
organizacional, legislación y regulación, confiabilidad, rendimiento entre
otros aspectos técnicos. Consideraciones de costo incluyen, el costo inmediato
de adquisición e instalación, los costos operacionales y los costos indirectos
como la pérdida de funcionalidad o productividad.
Cuando
las propiedades de un candidato a solución de seguridad son conocidas, la
organización debe determinar si se han alcanzado niveles de riesgo aceptables;
si no, se debe tomar la decisión de aceptar ese riesgo más alto que refleja la
solución conocida o se debe buscar otra alternativa, seleccionando otra medida
de protección o cambiando de estrategia de protección. Cuando un riesgo no es
aceptable puede existir numerosos mecanismos para reducir potencialmente,
inclusive hasta eliminar la vulnerabilidad o mejorar los mecanismos existentes,
reduciendo de esta manera la amenaza. Después que todas las soluciones de
seguridad son implantadas, los riesgos deben ser reevaluados. Los riesgos
asociados con cada recurso deben haber sido reducidos a niveles aceptables o
eliminados.
Al
finalizar este proceso se debe haber seleccionado e implementado las medidas de
protección que cumplen con las estrategias de seguridad definidas en las
políticas. Una lista no exhaustiva de las herramientas de seguridad más comunes
utilizadas se muestra a continuación:
Firewalls
Estas
herramientas proveen un control de acceso basado en reglas definidas en las
políticas de seguridad de la organización.
Virtual
Private Networks (VPN)
Permiten
a los empleados de una organización o los pares de negocio confiables acceder
remotamente y de forma segura los sistemas internos a través de Internet.
Intrusion
Detection Systems (IDS)
Ninguna
de las herramientas de seguridad existentes en el mercado pueden garantizar
accesos no autorizados, sin embargo, los sistemas IDS pueden apoyar el proceso
de detección de intrusiones, detectarlas e inclusive detener un ataque en
progreso.
Infraestructura
de Llaves Públicas (PKI)
Permiten
a la organización implementar funciones de seguridad cruciales a través del
manejo de llaves públicas y privadas como son la confidencialidad, la
autenticación, la integridad y la no repudiación.
Soluciones de
Autenticación
Dentro
de esta categoría existe una variada
gama de herramientas
en el mercado como son los
dispositivos biométricos. certificados digitales, tarjetas inteligentes o el
tradicional esquema de passwords.
Soluciones
generales de encripción
Permiten
ofrecer servicios de seguridad adicionales a la autenticación como
confidencialidad, integridad de la información.
5. CERTIFICACIÓN
La
certificación consiste en la evaluación de las características técnicas y no
técnicas de las medidas implantadas para establecer que dichas medidas
satisfacen los requerimientos de seguridad especificados. Esto debe incluir:
*Validación de requerimientos de seguridad.
La
validación de los requerimientos de seguridad involucra la traducción de las
políticas de seguridad del sistema específico en los requerimientos funcionales
de seguridad implementados con el fin observar exhaustivamente si las políticas
se han considerado en su totalidad.
*Verificación
de las protecciones de seguridad.
Una
vez implantadas las medidas de protección, la verificación de los
requerimientos de seguridad confirma que las protecciones propuestas han sido
implantadas correctamente y que cumple con lo requerimientos de seguridad. Para
protecciones no técnicas, debe incluir una revisión de la seguridad
organizacional, y confirmar que los procedimientos operacionales serán
seguidos. La verificación de las protecciones técnicas incluye la confirmación
de que el sistema ha sido configurado apropiadamente, y establecer que las
protecciones cumplen con los estándares.
*Pruebas
y Evaluación de Seguridad.
Es
importante entender las diferencias entre las pruebas y la evaluación de
seguridad. El objetivo principal de las pruebas de seguridad es el de
determinar si las protecciones técnicas se encuentran funcionando
correctamente, mientras que el de la evaluación de seguridad es el de
determinar si el sistema tiene vulnerabilidades que pueden ser explotadas.
*Determinación
del Riesgo Residual.
Se
revisa el riesgo residual determinado en la etapa de construcción e
implementación, para determinar si se alcanzaron los niveles de riesgo
aceptables. Si el nivel de riesgo no es aceptable, el diseñador debe demostrar
por qué el riesgo no puede ser reducido a niveles más bajos.
6. OPERACIÓN Y
MANTENIMIENTO
En
esta etapa se hace uso del sistema verificando que su integridad se conserve.
Además se establecen controles de auditoria para su inspección y verificación.
A medida que se descubran nuevas amenazas, vulnerabilidades, o se introduzcan
nuevos recursos, la metodología debe reiniciarse desde la fase donde se
involucren estos nuevos factores.
7. RESUMEN
Cuando
se trata de integrar seguridad en el diseño de una red, se hace necesario la
utilización de una metodología ya que la existencia de recursos claves,
amenazas, vulnerabilidades, personas involucradas, y otra gran cantidad de
factores, hacen difícil que una o varias personas aborden los problemas sin
ignorar algún elemento del proceso. La seguridad es una proceso cíclico o
continuo y es útil contar con un esquema de trabajo que facilite la obtención
de un consenso o una medida de la correctitud del proceso realizado.
Cada
etapa se encarga de recolectar nueva información o de organizar la información
capturada en etapas anteriores para permitir el desarrollo de una siguiente
fase; al llegar al punto final, se debe reiniciar el proceso si así se requiere
en la etapa de operación y mantenimiento. Esta metodología permite la
implementación y consecución de la seguridad en una red ajustándose a las
restricciones políticas, operacionales, económicas, etc. de la organización a
través de la los mecanismos más apropiados y que cumplan las políticas de seguridad
definidas.
No hay comentarios.:
Publicar un comentario