Conferencia sobre Seguridad Informática empresarial – Compliance Officer

INDICE DE CONTENIDOS

 1.- Antecedentes. De dónde venimos, hacia donde vamos

A.- Ciberincidentes a nivel Estado y empresarial

B.- Los movimientos hackers y el ciberactivismo

C.- La concienciación, base del problema global

D.- La protección de los “Datos”, no solo LOPD

2.- La seguridad en el entorno empresarial

A.- Ramificaciones de la seguridad empresarial. Análisis de los riesgos.

B.- Bastionado, compartimentación y heterogeneización de medios.

C.- La administración al rescate

D.- El internet de las cosas. Defensa en capas

3.- El usuario, “Caballo de Troya” de las organizaciones

A.- Fallos de la organización

B.- Motivación, concienciación y responsabilidad

C.- Protocolos y análisis de riesgos

D.- Monitorización y alerta temprana

1.- De dónde venimos, hacia donde vamos

Desde los comienzos de la informática tal y como la conocemos actualmente allá por el año 1980 de la mano de IBM, la informática doméstica ha sido el objetivo de las grandes empresas y corporaciones por su potencial comercial, por ello de la mano del procesador 8088 de Intel, se fabricó una primera serie de máquinas bajo el sistema operativo CP/M desarrollado por la empresa familiar Digital Research del californiano Gary Kildall con arquitectura de 8 bits, aunque dicho primer desarrollo no tuvo éxito comercial alguno al carecer de los necesarios canales de distribución y marketing que exigían vender máquinas para el entorno domestico y empresarial.

No tardaría mucho en implementarse el sistema operativo de 16 bits bajo el nombre de QDOS, que Microsoft adquirió antes que IBM y rebautizó como MS-DOS. Pero fue IBM quien comercializó el IBM PC en el año 1981 con el MS-DOS renombrado como PC-DOS al disponer de los canales de distribución, marketing y ventas para consolidar el entonces denominado workstation o estación de trabajo.

Sin duda el entorno empresarial, discurría por otros derroteros, donde solo las grandes empresas podían permitirse adquirir costosos terminales de 1500 $ que interactuaban mediante tarjetas perforadas con el código a cargar en un primer momento y disquetes posteriormente para trabajar con ellos. Pero en 1985 en el entorno empresarial IBM seguía predominando, aunque ya con competencia como Hewlet-Packard, Compaq, Dell y Apple, convirtiéndose en el referente para la industria.

Como quiera que sea, la informática ha avanzado más en tres décadas que en todo el periodo anterior y ello gracias sin duda al avance en los componentes y el abaratamiento de los mismos al existir más fabricantes.

Hasta el año 1984 no se implementó el uso del protocolo TCP/IP que fue el que normalizó las comunicaciones entre estaciones propiciando la existencia de Internet, verdadera revolución que propició el desarrollo de la informática de consumo al interconectar los hogares. Otros protocolos desarrollados por distintas industrias fueron desarrollados al no existir una norma, esperando que fuese el mercado el que determinase el fabricante más fuerte y el que impusiese su protocolos. Netbui de Microsoft, IPX/SPX de Novell y Appletalk de Apple son algunos de ellos, sin embargo en esta ocasión si hubo consenso impuesto en parte por DARPA la agencia norteamericana de defensa. Caracterizándose TCP/IP en su gran fiabilidad a la hora de transmitir y recibir información al incorporar en las mismas, medidas de verificación que garantizaban el envío y la recepción y si no se producía la recepción el reenvío mediante datos síncronos.

Aunque aún faltaba otro pilar fundamental en esta ecuación que permitiese el desarrollo de las comunicaciones entre ordenadores. La velocidad de conexión entre los hogares, empresas y centros de trabajo era realmente cara para las necesidades de comunicaciones existentes y hasta que no mejoraron las infraestructuras no se pudieron mejorar las comunicaciones y los precios. Además debemos sumar el retraso tecnológico sufrido siempre en nuestro país respecto a tecnologías ya consagradas en otras naciones de nuestro entorno, velocidades, cable o fibra, tecnología de portadora y compresión de la información, etc. han sido siempre un obstáculo en particular en nuestro país donde los ISP, siempre se han mostrado reticentes a invertir, en parte debido a la singularidad de nuestro país en el que hasta el finales de los años 90 realmente existía un monopolio de las comunicaciones.

Los Sistemas Operativos también debieron adecuarse a dichas necesidades y crear herramientas software que permitiesen la comunicaciones. Los Sistemas Operativos de Microsoft permitieron esa popularización de la informática domestica, en detrimento de otros sistemas operativos más elitistas como el OSX de Apple a pesar de la evidente simplicidad del segundo frente a la complejidad de configuración del primero. Anecdóticamente o a nivel académico también se encontraba MINIX o un tipo Linux primitivo que comercialmente era irrelevante. Pero serían el Windows 95 de 1995, el 98 y el Millenium del año 1999/2000 los que se impusieran en el mercado domestico gracias a los clónicos. Ordenadores que conjuntados por diferentes componentes y fabricantes conseguían a un precio muy inferior disponer de un equipo informático domestico, frente a los costosos Apple. En medio hubo una travesía en el desierto de diferentes fabricantes como Sinclair, Amstrad o Commodore y el primer intento de estandarización del MSX como sistema operativo multimarca que en la década de los 80 intentaron colonizar los hogares, ninguno llego hasta nuestros días.

Actualmente la informática empresarial está en pleno auge, implicada en diferentes modelos de negocio que precisan de diferentes estrategias y tecnologías, aunque todas ellas interconectadas.

  • Almacenamiento en la nube
  • vitalización
  • redes sociales
  • patrones de consumo
  • marketing online
  • mailing

Todo forma parte de una nueva conciencia comercial en la que la informática lo predomina todo. Hoy día es difícil entender la actividad comercial en la que no esté implicada al menos un dispositivo electrónico ya sea en el comercio minorista o una mega corporación.

La diversidad de medios, objetivos, estructuras y estrategias hacen imposible determinar hacia donde se dirige la industria tecnológicamente hablando, aunque en todos los casos siempre hay un denominador común ahorro de costes y procesos, donde antes participaban operadores ahora existen programas que automatizan los procesos, ya sea atención telefónica o soldaduras.

En la actualidad el uso del dinero en metálico en las transacciones comerciales se ha reducido a niveles históricos, eso no ha impedido el auge del comercio electrónico que hoy se sitúa como una opción muy valorada por los ciudadanos por su comodidad, libertad de elección y abaratamiento de costes. Ello implica que términos como TPV, transacciones electrónicas, Bitcoins, etc, se han convertido en términos usados a diario por millones de personas. De hecho el bitcoin es la primera criptomoneda creada independientemente de una nación, un desafío hacia el orden establecido de los Estados, basada en el uso y la desregularización de la misma. O sea se auto regula en función de la adquisición y venta de la misma, sin existir bancos centrales que la sustenten o apoyen lo que la hace también vulnerable a la especulación y muy volátil. La creación igualmente de la deep web o Internet profunda revela la imposibilidad de control de los contenidos en la red, ya que las naciones crean legislaciones nacionales para contenidos internacionales y cuando las naciones se ponen de acuerdo para regularizar los contenidos que pueden recibir los internautas, internet se crea asimisma dentro de ella con nuevas reglas y protocolos para eludir dichos controles como es el caso de la red TOR, que es una red dentro de Internet.

A la vez y como siempre lleva aparejada toda actividad humana, han crecido el número de delincuentes dedicados a explotar esas nuevas vías de comercio lícitas e ilícitas, con numerosas pérdidas económicas difícilmente rastreables e inevitablemente reflejadas en las cuentas de resultados anuales de las empresas. Por ello los conceptos de

  • ciberdelincuencia
  • ciberseguridad
  • hackers
  • crackers
  • ciberdefensa

se han extendido también en el entorno empresarial y ya no solo afectan a las administraciones y la información que manejan.

Los hackers, se han dividido en familias que se dedican a diferentes cosas cada uno, especializándose.

  • Carders, para la duplicación, venta y explotación de tarjetas de crédito.
  • Crackers, para la vulneración de software o sistemas informáticos con muy variados fines.
  • Phreakers, para aquellos que se dedican a vulnerar las comunicaciones móviles o alambricas.
  • Lamers, aquellos que son entusiastas de la tecnología y la seguridad, y que careciendo de conocimientos propios copian a otros usando scripts (automatismos de código para la explotación de vulnerabilidades).
  • Ramsonwarers, son los últimos en llegar a esta categoría de ciberdelincuentes y los que han conseguido mayores beneficios por su actividad ilícita al secuestrar millones de ordenadores en todo el mundo.

Pero existe una solución parcial para proteger los canales de información, protocolos y asegurar las redes, que permitan salvaguardar en parte la información que manejan nuestras empresas y garantizar que no sea tan sencilla la extracción de forma malintencionada o sin permiso. Para ello nos dotaremos de

  • Análisis de los riesgos
  • Sistemas heterogéneos (no un solo fabricante, ni un único sistema operativo)
  • Cifrado de las comunicaciones (mediante hardware o software)
  • Sistemas Operativos actualizados y diversificados
  • Procedimientos de bastionado recomendados por los fabricantes o agencias gubernamentales.
  • Hardware con ciclos de vida en vigor.
  • Sistemas antivirus de alerta temprana y mitigación

Y un control sobre los usuarios y sus actividades en la red corporativa que garanticen la operatividad de nuestras operaciones comerciales, sin olvidar que los datos que se manejan en la misma son propiedad de la empresa no de los empleados, que son meras herramientas en un sistema complejo para garantizar el éxito de nuestra actividad comercial. Para ello es necesario analizar el trafico que se mueve en el interior de nuestras empresas para averiguar si se ha instalado software no autorizado o se hace uso de la red corporativa para fines distintos de los autorizados por la empresa.

Igualmente la separación de responsabilidades en el seno de la organización ayuda a la misma a determinar los riesgos y repartir cometidos, ya que cada responsable visualizara su parte de la red desde su prisma complementando la seguridad de la red, por lo que no es bueno que la responsabilidad recaiga sobre un solo empleado sino sobre un equipo diversificado pero que actúa conforme a unas directrices comunes o estandarizadas.

A.- CIBERINCIDENTES A NIVEL ESTADO Y EMPRESARIAL

Los Estados no son ajenos a las actividades de los ciberdelincuentes o cibersoldados en este caso. Ya en el año 1999 el Capitán Serbio Dragan junto con 450 ciberactivistas o especialistas se lanzaron a atacar objetivos de la OTAN como el portaaviones norteamericano Nimitz, no el objetivo de explotar vulnerabilidades del sistema de a bordo sino como demostración de fuerza y potencial de dicha tecnología siendo destacable que toda la coordinación de esas 450 personas se realizó vía Internet, ello finalmente avocó a que Estados Unidos en el año 2009 crease el Cibercomando o USCYBERCOM, primera respuesta coordinada de un Estado integrada en la estrategia de Defensa para paliar en lo posible un ciberataque, ya que todo forma parte de la Defensa nacional de un país, sus infraestructuras criticas, transportes, conducciones de agua, sistema bancario, etc.

El sistema bancario fue el siguiente objetivo en Taiwan y posteriormente en Estonia en 2003 y 2007 respectivamente. Ambos ataques perpetrados por elementos afines a los estados de China y Rusia, que negaron su implicación como es evidente. Aunque el ataque a Estonia fue calificado por la OTAN como el más nocivo, al paralizar el país durante días y fue aprovechado para sustraer hasta 10 millones de dólares del banco Citibank, dado que el 98% de las transacciones se realizaban de forma electrónica la catarsis fue total. Ello llevó a la OTAN a instalar en dicho país y gracias a sus infraestructuras y digitalización del país, el CCDCOE o Centro de Ciber excelencia de la OTAN en la localidad de Tallin para situarse lo más cerca posible de las operaciones rusas presentes y venideras.

Rusia es la nación que cuenta con mas ciberoperaciones publicitadas y empleadas recurrentemente en sus conflictos territoriales, la de 2007 en Estonia solo fue la primera, la de Georgia en 2008 fue la siguiente y más recientemente en 2015. Aunque sin duda la nación más activa y silenciosa en sus ciberoperaciones es China, que abarcan no solo a sus intereses geoestratégicos contra Estados al haber atacado incluso a Canadá en el año 2011 o EEUU en 2013, sus ataques dirigidos contra grandes empresas y sus intereses a nivel mundial.

Sin embargo el ataque más complejo descubierto hasta el momento tuvo lugar en 2010 desde Estados Unidos contra Irán y su programa de enriquecimiento de uranio, al lograr introducir mediante un pendrive un virus en una red externa a los reactores nucleares, que termino duplicándose e introduciéndose en la red que controlaba los sensores de los reactores y falseando los resultados presentados a los ingenieros, provocando el aumento de la temperatura del reactor y debiendo realizar una parada de emergencia para impedir la fusión del núcleo, paralizando definitivamente el programa de enriquecimiento de uranio de Irán y delatando que Stuxnet fue la primera herramienta de ciberataque dirigida hacia un objetivo definido y con inteligencia del funcionamiento del sistema y una muy clara intención, modificar valores del reactor nuclear.

En España la creación del Mando Conjunto de Ciberdefensa en el año 2013 en papeles, pero no operativamente hablando hasta el año 2015 fija la respuesta de nuestro país a esta situación de ciberguerra latente y continua. No es que España no haya sufrido ataques durante esta década anterior, es que ni nos hemos enterado de lo que ocurría al carecer de las medidas de detección, análisis y mitigación que precisaban nuestras infraestructuras y empresas, por lo que desconocemos cual ha sido la información sustraída. Dotándonos primero de un marco jurídico para un territorio internacional y salvaje donde las leyes nacionales no importan y solo impera el caos, pero así somos en España. Poner puertas al campo es algo que no sirve para mitigar la ciberdelincuencia, de hecho el país que dispone de más agencias contra la piratería Estados Unidos, es base de algunas de las empresas de SPAM más grandes del mundo, conjuntamente con territorios más laxos jurídicamente hablando como Rusia, China, Ucrania y otras naciones menores desde las que ciberoperaciones se lanzan o dirigen sin mayor problema. De hecho existe un lucrativo mercado de alquiler de maquinas y servidores zombis, que puede ser alquilado para ataques o usado por la ciberdelincuencia, miles de maquinas interconectadas que desconocen que son usadas para dichos fines, alquiladas por días u horas.

El entorno empresarial sin duda tampoco se libra de la actividad de los ciberdelincuentes las empresas con frecuencia tienden a minimizar el peligro, al pensar que sus operaciones comerciales no presentan interés en el cibercrimen, pero no es así. Cuanto más fácil es la operación, mayor probabilidad tendremos de ser objetivo de los mismos. Igualmente la disparidad de objetivos comerciales en los que basan sus operaciones dichos ciberdelincuentes hace más difícil defender las operaciones comerciales.

El ataque a la empresa de contactos extra matrimoniales Ashley Madison, fue buen ejemplo de ello, una empresa de contactos que no gestiona recursos económicos a nivel comercial, pero si datos fue objetivo de dichos ciberdelincuentes al atacar su base de datos con fines de extorsionar a los varones que frecuentaban dicha web, que se vanagloriaba de disponer de medidas que impedían dicho robo. El resultado fue la extorsión de decenas de datos de sus clientes y la revisión de miles de cuentas de correo electrónico en los que en algunos casos había cuentas de Fuerzas y Cuerpos de Seguridad del Estado, Fuerzas Armadas de distintos países, empresarios, ciudadanos anónimos, etc. pero todos con miedo a que sus esposas verificaran que sus datos estaban publicados o relacionados con dicha web.

Otros ataques más elaborados contra empresas han afectado a mega corporaciones como Paypal, mediante el envío de email y la suplantación casi exacta de su web salvo por el certificado digital de la misma (https) que permitían a los incautos internautas que les indicaban que existían problemas con su cuenta o su tarjeta, validarse frente a dicha web duplicada y robar las credenciales de acceso a la web. Este tipo de ataques es cíclico y de hecho se ha estado desarrollando de nuevo este pasado mes de septiembre de 2016.

La lista de empresas atacadas a nivel mundial es interminable y como hemos indicado antes igualmente los factores que propician dichos ataques. La empresa SONY, todopoderosa mega corporación del entretenimiento que maneja desde royalties por música, hasta las archiconocidas consolas de videojuegos PlayStation, sufrió en el año 2014 un ataque devastador para sus intereses comerciales, bajo la apariencia de un simple ataque hacker DDoS contra el servicio ofrecido en su plataforma online PlayStation Network, se escondía el robo posterior de documentos muy sensibles de la compañía y que a pesar de que en agosto fue cuando se produjeron las incidencias, hasta el mes de diciembre no se percataron de que habían sucedido una serie de ataques simultáneos con dicho objetivo. Igualmente las amenazas que lanzó el grupo hacker dependiente del gobierno norcoreano Guardianes de la Paz por el estreno de la parodia sobre el asesinato del presidente norcoreano Kim-Yong Un en la película “La entrevista” y la filtración de los documentos hicieron al departamento de defensa de Estados Unidos ver que el problema era más serio de lo que en principio se temían al amenazar intereses norteamericanos, por ello Sony cancelo el estreno de la película para parar la filtración de datos personales de su personal, actores y películas aun sin estrenar que también habían sido sustraídas.

Pero la banca no se iba a librar del acoso y operaciones de los delincuentes, en 2015 la empresa de Seguridad informática y antivirus denunció que bancos de diferentes países casi 30 entre los que se encontraban Estados Unidos, Rusia Alemania o China habían perdido mil millones de dólares en robos en sus operaciones bancarias desde el año 2013 cuando comenzó el ataque, la operación lanzada por la empresa de seguridad informática denominada Carbanak buscaba dos cometidos, denunciar el robo de dichos importes a las entidades bancarias y hacer saber a los ciberdelincuentes que conocían el modo en el que lo realizaban, basado en el envío de email maliciosos, procedentes supuestamente de los propios gerentes y directores, hacia los empleados de dichas entidades, hackeando dichos terminales, con el objetivo de controlar los Circuitos Cerrados de TV de las entidades, consiguiendo extraer las claves y usuarios de los empleados, movimientos de los empleados, etc. Igualmente controlaban las cámaras de los cajeros, llegando a hackear los mismos y permitir que sin introducir tarjeta alguna, los ladrones acudieran a los cajeros a recoger dinero.

La complejidad de los ataques informáticos entonces como hemos indicado van en consonancia con la recompensa a obtener por los mismos y son más complejos cuanto mayor es la recompensa, integrando numerosos tipos de ataques que incluyen creación de perfiles, suplantaciones de identidad, ataques de denegación de servicio, phishing, carding, etc.

B.- Los movimientos hackers y el ciberactivismo

La denominación de hacker según la RAE lo define como pirata informático, sin embargo dentro de la cultura underground, un hacker es un experto informático a secas, sin mayor motivación o connotación.

Si bien es cierto que los primeros expertos informáticos provenían del entorno académico sobre todo del MIT – Instituto Tecnológico de Massachusetts, hoy día existen numerosos hackers sin una carrera oficial, entusiastas de la informática, con amplios conocimientos adquiridos mediante el auto-aprendizaje, aunque casi siempre basados en conocimientos académicos, si bien con frecuencia la docencia tiende a incorporar de forma más lenta los nuevos conocimientos que se precisan en la seguridad informática por lo que el auto-aprendizaje dentro de la informática no solo es necesario sino indispensable para mantenerse actualizado.

Como norma general los hackers, se han subdividido en tres categorías:

  • Hackers de sombrero blanco. Que acostumbran a ser empleados por las empresas para descubrir sus fallos de seguridad y corregirlos antes de que sean explotados.
  • Hackers de sombrero gris. Que usan sus conocimientos para lograr un beneficio económico tras realizar un ataque.
  • Hackers de sombrero negro. Son expertos informáticos que usan sus conocimientos para sembrar el caos, ya sea con fines de lograr beneficios económicos posteriormente o simplemente como reto personal, por lo que se les denomina “crackers”.

Tal y como detallamos anteriormente, los hackers pueden subdividirse en los siguientes tipos:

  • Pheakers o expertos en seguridad telefónica
  • Lamer o script-kiddies que son aficionados que usan programas de otros para sus fines, pero que desconocen cómo se programan los programas que usan o cuáles son los procesos que se usan, siendo incluso víctimas del software que usan al desconocerlos. Tienden a alardear del dominio de los mismos con el fin de alcanzar un estatus dentro de la cultura underground.
  • Newbies, son informáticos recién aterrizados en el mundo de la seguridad informática y el hacking.

En cualquier caso los crackers, no solo tienen una meta económica, por lo que son mas imprevisibles que el resto de hackers, a estos se les ha unido recientemente debido a dicha imprevisibilidad los ciber activistas, que engloban a movimientos políticos o sociales contrarios a cambios normativos, como pudiera ser la ley SOPA de Estados Unidos o el TTIP de Europa.

El mundo cracker es también una subcultura peligrosa, lejos del anonimato y llevados por ese afán de notoriedad a veces los hackers se hacen famosos tras sus golpes al hacer público la forma de hacer el ataque informático o tras ser delatado por otros hackers mas metódicos y cuidadosos a la hora de salvaguardar su identidad, si otro puede cargar con tu culpa mejor. La subcontratación de los servicios crackers es otra forma ilícita de proceder para borrar rastros de operaciones e incluso el asesinato de los mismos por parte de sicarios integrados en bandas de delincuentes, como fue el caso del mejicano Raúl Robles. Así que lejos de la estética romántica del experto informático conectado a un terminal y realizando sus operaciones en absoluta soledad y con fines loables de destapar las injusticias empresariales o gubernamentales, esta la realidad que la conforman grupos de ciberdelincuentes especializados en realizar operaciones informáticas con fines ilícitos que se dividen los trabajos para los que fueron contratados y cada cual se emplea en su propia tarea, cuanto menos se conozca de la organización, compañeros, etc., más seguro estará el ciberdelincuente para continuar sus actividades. La industria unida a dichas tareas, alquiler de servidores, granjas de ordenadores y servidores zombis, venta o alquiler de malware por módulos en función del acto ilícito a realizar, etc. conforman una subcultura de la delincuencia única, internacional y casi desconocida para el público en general.

En 2014 la operación ONYMOUS coordinada por la Interpol puso de manifiesto lo que se movía dentro de la red TOR, que abarca drogas, pedofilia, asesinatos por encargo, venta de armas, venta de tarjetas de crédito y pasaportes, etc. todo un mundo oculto para los navegadores tradicionales, solo al alcance de herramientas especiales de navegación que usan protocolos de enrutamiento TLS sobre TCP/IP lo que la convierte en una red dentro de otra. Los hackers usan dicha red con frecuencia para evitar el rastreo de sus actividades, la lectura de sus emails y sus encargos o trabajos.

A la par que se creaba esta subcultura oculta, los colectivos políticos más radicales y los ciudadanos más descontentos con las acciones de los Estados se convierten en ciberactivistas, personas que sin un fin económico o lucrativo y con los conocimientos informáticos adecuados realizaban actividades igualmente nocivas contra los sistemas informáticos, empresas o contra el Estado para protestar por sus acciones u omisiones. Los más destacados y famosos actualmente por la repercusión de sus acciones han sido el colectivo “Anonymous”, sus actividades desde 2008 han llevado a las Fuerzas y Cuerpos de Seguridad del Estado a perseguirlos e incluso como en España el Cuerpo Nacional de Policía a indicar que los había desmantelado, algo cuanto menos curioso dado que se desconoce el número real de miembros, su estructura interna de liderazgo o los medios con los que cuentan, en cualquier caso pasaron al anonimato e irrelevancia a raíz de aquellas detenciones que es donde los hackers se mueven mas fluidamente, por lo que tal vez les hicieron un favor al quitar el foco mediático sobre ellos.

En cualquier caso existen asociaciones de hackers declaradas como la CCC alemana Chaos Computers Club que nació en 1981 y que han servido de base para otros movimientos hackers reivindicativos.

Dentro de dicho modelo de ciberactivistas podemos encontrar al ex asesor de la NSA Edward Snowden o al controvertido Julián Assange, a quienes los Estados temen más que a los ciberdelincuentes ya que atentan contra sus secretos y no contra los de otros, por lo que sus persecuciones incluyen a las naciones y sus servicios de información, ya que con frecuencia revelan los programas, metodologías y responsables que deberían dimitir o serían encarcelados si se supiese que vulneran los derechos fundamentales de sus ciudadanos. El caso del soldado Manning del Ejercito de Estados Unidos es el típico del chivo expiatorio que en el año 2013 fue inculpado de filtrar documentos a la prensa a los que tenía acceso en atención a su trabajo, sin embargo quedaba en evidencia que nadie más fue inculpado, ni superiores, ni receptores de la información, ni nadie más dado que bajo el amparo de la ley militar, el soldado fue condenado a 35 años de prisión como único responsable de la filtración de documentos y no se ofrecieron mayores detalles de su proceder, ni de quien supervisaba su trabajo.

C.- La concienciación, base del problema global

Abordamos por fin parte del problema que aqueja entonces al manejo de la información, ni todas las medidas de seguridad del mundo pueden evitar que una organización pierda información si sus miembros desde el más elevado cargo hasta el último incorporado, no son conscientes de que son un todo, forman parte de una maquina compuesta por engranajes en la que todos son necesarios y vitales para que funcione la maquina. De ahí que las modernas organizaciones se provean de diferentes capas de seguridad

  • Física
  • Informática
  • Y de Control

Una capa física que seleccione y aleccione al personal sobre sus cometidos y funciones dentro de la organización, procedimientos, protocolos de actuación y medios de denuncia en la vulneración de los mismos. No se trata de realizar ni implementar un estado para policial dentro de la organización pero si hacer consciente a los empleados, directivos y personal de soporte de que la estructura se sustenta entre todos y no solo sobre unos pocos. La vulneración de los procedimientos, la inobservancia en los protocolos de detección y puesta en conocimiento de los responsables de soporte o el adiestramiento del comportamiento inadecuado de empleados o equipos hace a la red y al sistema vulnerable.

La conciencia global de equipo, de pertenencia al sistema, de responsabilidad sobre el funcionamiento adecuado de la organización es la diferencia entre la eficiencia y el caos organizativo.

Con frecuencia quienes diseñan la organización se auto excluyen de su responsabilidad como parte de la misma o eluden cumplir los protocolos y procedimientos que les exigen a otros, no digamos de los medios de control sobre sus actividades, cuando realmente son ellos los que ostentan mayor responsabilidad en la pirámide organizativa y los principales objetivos de quienes precisan obtener acceso al sistema o a la red, ya que disponen de mayores privilegios en el seno de la misma, ello posibilita como vimos en el apartado anterior que el envío de un email fraudulento por ejemplo desencadene acciones en otros usuarios del sistema como la creación de nuevos usuarios, la cesión de privilegios o simplemente la instalación de software dado de ¿por qué debería desconfiar de mi jefe?, ese tipo de confianza en el sistema sin controles extras es lo que posibilita los errores. Dado que si a una petición de creación de un usuario, se implicase a mas empleados de la empresa como pudieran ser finanzas, recursos humanos e informática deberían suplantar la identidad de tres personas, si a ello se le suma una verificación telefónica o el uso de un certificado digital y verificación de la suma posterior del mensaje se optimizaría y garantizaría la legitimidad de las instrucciones.

Con frecuencia en las organizaciones la operatividad y la seguridad están reñidas y quienes ostentan la responsabilidad de la seguridad y sus recomendaciones son desdeñadas y tildadas de agoreras porque complican el día a día, hasta que un buen día se produce el desastre, es entonces cuando se revisan protocolos y procedimientos y se valora la pérdida económica.

Por lo que como podemos observar la concienciación es la base de todo, si un elemento de la maquinaria cede, el conjunto entero es vulnerable, no importa lo alto que se encuentre en la pirámide organizativa, las consecuencias alcanzaran a todos sin excepción.

D.- La protección de los “Datos”, no solo LOPD

La LOPD Ley de Protección de Datos fue la primera ley que introdujo una protección especial hacia los datos, en este caso personales, pero que afecta a otros muchos tipos de datos.

Legislaciones posteriores como la LPI Ley de Propiedad intelectual, vinieron a introducir protección sobre los datos informáticos y la autoría de los mismos, aunque nos enfrentamos al mismo problema ya detallado anteriormente, en un mundo globalizado con multitud de legislaciones nacionales donde lo que es delito en un Estado, en otro es una simple falta o simplemente no es delito, es como poner puertas al campo. Una sobre legislación además se ha mostrado altamente contraproducente contra los intereses de los desarrolladores, la llamada tasa “google” que los creadores de contenidos intentaron colarle a Google, se les volvió en su contra cuando la multinacional lejos de amilanarse y pagar a las pretensiones de unos pocos, cerro su servicio en España, el único cerrado en el mundo y comenzó a cobrar a dichos generadores de contenidos por indexarles y clasificarles los mismos. De dicha forma podemos observar claramente que a veces el mercado se regula el solo, no se trata de no poner herramientas jurídicas de protección a la autoría, pero si de crear herramientas de compensación o regulación realmente eficientes, confeccionadas o matizadas por especialistas en vez de impuestas por lobbies que finalmente acaban perjudicando a quienes supuestamente iban a ayudar. El hecho es que empresas como el diario digital “El Mundo” solo en el primer mes de cese del servicio de indexación de titulares de noticias de Google, perdió un 20% de tráfico y por consiguiente las empresas con las que mantenía contratos publicitarios vieron reducida la exposición de sus anuncios a posibles compradores, así que todos perdieron Google, su servicio, El Mundo anunciantes y los consumidores un servicio y todo como consecuencia de la regularización excesiva.

Nuestro país es además experto en esto de la regularización, como detallamos también anteriormente, se legisla de puertas hacia dentro para un mercado internacional. Es como pretender que las patentes de Estados Unidos sean respetadas por China, que literalmente las obvia y clona sus productos y tecnologías, usando otras reglas del juego comercial, por lo que se demuestra totalmente ineficiente dicho planteamiento que además es costoso para los ciudadanos, las empresas y el propio Estado. Sin embargo para el mercado nacional y domestico es cierto que es útil saber que es legal y que es ilegal, aunque debemos matizar que nos movemos en un entorno común dentro de la Unión Europea y que con frecuencia nuestra legislación incumple normativa de mayor rango de la Unión Europea o la matiza, introduciendo problemas en las empresas de gestión de la legislación en vigor, lo que hace que el Compliance Officer sea una figura plenamente vigente y necesaria para evitar caer en errores legales de costes cuantiosos.

La LOPD al igual que el resto de la normativa comunitaria se ha actualizado y no tardaremos en ver una reforma de la Ley 15/99 de protección de datos personales por el endurecimiento de la misma desde la Unión Europea. E igualmente serán reformadas las legislaciones sobre la protección intelectual, frente a un mundo más globalizado y una política europea mas consensuada y común, frente a las actuales legislaciones nacionales que velan en exclusiva por sus intereses patrios.

2.- La seguridad en el entorno empresarial

El actual entorno empresarial español es diverso, predominado por las PYME y como único objetivo el comercio nacional, no dispone de planes de expansión comercial, ni se arriesga en nuevos mercados, por lo que tampoco crece y diversifica.

Ello hace a nuestras empresas competir en un entorno domestico altamente exigente pero en el que la única razón de innovación es el ahorro de costes, por lo que tampoco se crece, de ahí que el tejido productivo nacional sea tan reducido. Con esas estructuras nos encontramos que las empresas quieren conectividad a bajo coste y ahorrar al máximo invirtiendo muy poco, de ahí que ni se plateen la expansión a nuevos mercados, el comercio electrónico o la diversificación de los productos a ofrecer a los consumidores con carácter general.

Así pues, normalmente se instalan medidas de conectividad sin seguridad o con seguridad de muy bajo nivel y no se disponen de planes, procedimientos o protocolos de control, lo que las hace muy vulnerables a ataques malintencionados.

Hace una década, recién introducida la tecnología WiFi, hackers y entusiastas de dicha tecnología recorrían las calles y los polígonos industriales, recopilando contraseñas de acceso predeterminadas, cacerías denominadas warchalking o wardriving en función de si el desplazamiento del equipo era a pie o en vehículo, con la meta de hacerles llegar posteriormente a dichas empresas los resultados de sus análisis de vulnerabilidades con la esperanza de ser contratados, dado que la legislación ya tildaba por entonces de ataque informático dicha metodología de trabajo de llevar el resultado al empresario en vez de esperar a que este demandase el servicio, fueron muchos los que usaron los datos finalmente sin permiso y sin comunicárselo a las empresas en otro claro ejemplo de que cuando las leyes impiden el desarrollo perjudican más que benefician. El resultado es que miles de empresas tienen dispositivos con claves por defecto, equipos anticuados, procedimientos inexistentes y un nulo conocimiento de sus problemas informáticos. Las empresas de soporte tampoco colaboran, sustituyen equipos por otros nuevos, pero no abordan el problema global, ya que éste requiere inversión. Inversión que es interpretada por el empresario como un desperdicio de recursos económicos sino se visualiza el problema y normalmente no se visualiza el problema hasta que ya es demasiado tarde y se han perdido datos, dinero o ambos.

Así pues el análisis no puede ser mas catastrófico, la empresa se preocupa poco o nada de la seguridad, no cree ser objetivo, ni disponer de nada que los hackers deseen, por lo que obvia que cualquier empresa, asociación, corporación, cooperativa o lo que sea que este en Internet es un objetivo si es fácil vulnerar su seguridad. Servidores, routers, switches, firewalls, estaciones de trabajo, CCTV, impresoras y escáneres en red, fotocopiadoras, repetidores de WiFi e incluso nuestros terminales móviles conectados a la red corporativa son un objetivo goloso para cualquiera que deseoso o curioso de lo que tenemos en nuestra red quiera inspeccionarla y ver que provecho puede sacar de lo que allí hay.

Todo lo que dispone una empresa es parte de sus activos, desde el personal hasta el último bolígrafo adquirido, por alguna extraña circunstancia, no se percibe que poner a disposición de los empleados de la empresa una red implica una exposición externa, ya que pendrives usados en el entorno domestico y laboral, smartphones, ordenadores portátiles que se conectan en casa y en el entorno laboral, etc., suponen un alto riesgo para la empresa por la exposición de dichos agentes a distintos vectores de ataque, emails personales, tratados en la empresa con vínculos a paginas extrañas, sin proxy que filtre los contenidos, centenares de puertos abiertos para que la conectividad no de problemas, que permiten decenas de tipos de ataques informáticos, etc. hacen la vida más fácil a los atacantes y mucho más compleja a sus defensores y al soporte informático de la empresa.

A.- Ramificaciones de la seguridad empresarial. Análisis de los riesgos.

En cualquier sociedad civilizada las empresas forman parte de la misma en la forma en que prestan servicios a los ciudadanos que éstos demandan y cuanto más compleja es la sociedad mayor es el nivel de exigencia hacia las empresas y mayores los servicios que las mismas prestan. Pagos electrónicos en sede física o electrónica, stocks actualizados, variaciones de modelos, múltiples servicios, atención post-venta, etc., etc. medios que la empresa pone a disposición de los consumidores para permitir el desarrollo de la sociedad y de sus empresas.

Las empresas como contrapartida a la prestación de dichos servicios se organizan en estructuras internas de marketing, ventas, atención al cliente, redes sociales, atención a los proveedores, departamento legal , laboral o jurídico, etc. y todo ello conlleva un esfuerzo organizativo que permite a la empresa destacar sobre otras que ofrecen productos similares, cuanto más compleja sea la estructura interna de la empresa mejor repartidos están los cometidos y funciones de cada departamento y mejor se realizan los trabajos, además de poder focalizar a los responsables de que algo no marche bien o como se estimaba. Trasladada dicha estructura interna al soporte técnico de la misma, esto requiere un gran control sobre los activos que la empresa pone a disposición de empleados, proveedores, directivos y clientes y es necesario trasladar dicho control a una plantilla automatizada en la que no se nos olvide nada para evitar el caos organizativo.

Según la inefable Wikipedia, el análisis de riesgos o evaluación de riesgos es “el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.”. Para el Centro Criptológico Nacional es algo más que unas palabras es un programa diseñado por el CERT nacional de referencia con la meta de que nada se escape al control de los activos y la evaluación de sus posibles consecuencias. La herramienta conocida como PILAR, forma parte de una serie de herramientas que dicho centro pone a disposición de la administración, pero que como es obvio si la empresa demandase dichos servicios la administración debería proporcionarlas como parte de la inteligencia comercial. Cada vez mas son las naciones que asocian su bienestar como sociedades a su desarrollo comercial, ello ha llevado a todas a analizar desde sus Delegaciones Diplomáticas las estructuras comerciales de los países donde los embajadores prestan sus servicios, el concepto no es nuevo y no se va a descubrir nada que no se haya hecho en estos últimos siglos. Lo que sí ha cambiado respecto a la visión informativa de las estructuras comerciales de cada país es su análisis a nivel de inteligencia como una visión de conjunto de sus fortalezas y debilidades, de su innovación u atraso como sociedades a los fines de prestar apoyo a la expansión de las empresas propias.

¿Pero qué evaluamos en el análisis de los riesgos? Pues se evalúa todo, bienes tangibles o intangibles, propios y ajenos sobre los que se apoya la estructura, posibilidades, eventualidades y márgenes de respuesta. Evaluar el riesgo es conocer cuánto tiempo, dinero y consecuencias puede desencadenar un ataque de Denegación de Servicio a nuestro servidor, el incendio del Centro de Datos o almacén o las consecuencias de la huelga de una parte de nuestra plantilla. Todo forma parte del análisis del riesgo y de cuánto tiempo estamos dispuestos a estar desconectados, inoperativos y sin ganar dinero. ¡ Vamos el paraíso del agorero!, que podría ponderar todas las consecuencias y posibilidades negativas para la empresa, sin necesidad de ser tildado de derrotero.

¿Pero es estrictamente necesario disponer de un análisis de riesgo? Es evidente que no, ya lo hemos indicado anteriormente, cuanto más compleja es la estructura empresarial más precisa valorar y ponderar sus riesgos. Para cualquier jefe de departamento no hay nada más negativo que no poder ofrecer una respuesta a una pregunta de tu jefe, porque te desarma como empleado y demuestra dejación o falta de iniciativa y responsabilidad. Así pues ¿que podríamos hacer para solventar dicha posibilidad? Pues por ejemplo ponderar nuestros propios riesgos, los de nuestro departamento, evaluar la posibilidad de que nuestro departamento sea infectado por un virus, los terminales queden inoperativos y los empleados desocupados. Para evitar dicha eventualidad deberemos proponer procedimientos conocidos de detección, denuncia o comunicación, desconexión de terminales infectados antes de su propagación o simplemente comunicación a escalón superior para su conocimiento y descarga de responsabilidad. Los que no es una opción es encubrir una situación, eludir la responsabilidad o demorar la información cuando se disponga de ella, ya que con frecuencia el análisis forense posterior de los incidentes detalla adecuadamente cuando se produjeron los mismos y se hace un recorrido completo por todo el mismo hasta llegar a las consecuencias, poniendo de manifiesto e identificando a todos los actores participantes, por lo que esconder la realidad no ayudará.

Cuando la empresa es la que teme por el valor de sus activos y las consecuencias de una posible desconexión, robo o sabotaje, todo es más fácil, al integrar a todos los departamentos en el análisis de riesgo, pidiendo a cada cual que evalúe los suyos en integrándolos en un documento conjunto que detalle riesgos, procedimientos, responsables , posibles vectores y cuantía económica de dichos riesgos para que se incorporen a la memoria económica de la empresa que cuantifica los riesgos de la actividad comercial.

A modo de ejemplo y trasladado a la realidad es la estimación diaria de un responsable de seguridad de un centro comercial que valora la cuantía de los hurtos a pequeña escala producidos a diario en su tienda y su traslado al balance mensual en el stockaje y resultados de ventas. Básicamente cualquier encargado de tienda realiza de forma individual un análisis de riesgo y propone procedimientos para impedir que se produzcan o reproduzcan sin una respuesta.

B.- Bastionado, compartimentación y heterogeneización de medios.

Bastionar, según las empresas de seguridad informática y los desarrolladores de software y hardware, es fortificar algo ya sean programas o aparatos con la meta de impedir su uso ilegitimo o hacerlo más difícil a quien no deba tener acceso.

Con frecuencia los diseñadores de programas buscan que sus creaciones sean fiables, rápidas y en mucha menor medida seguras. El motivo es claro, la seguridad presenta reservas a la disponibilidad, facilidad de uso o distribución ya que cuanto más sencillo sea de usar, menores medidas de seguridad implementará, menos requisitos de identificación y garantías de la identidad de quien hace uso de la misma. Igualmente ocurre con quienes diseñan aparatos, se tiende a la sencillez, al uso del protocolo más sencillo, al menos complejo en la identificación en el numero de caracteres a usar para simplificar el acceso o a simplemente eludir la identificación. Ello posibilita a quienes desean hacer un uso ilegítimo de recursos garantizar el éxito de sus incursiones en software o hardware de las empresas o medios privados. Contraseñas de menos de 12 caracteres, uso de certificados, creación de Redes Privadas Virtuales, uso de elementos biométricos, etc. impiden que con mucha facilidad se vulnere la seguridad de la empresa o el domicilio de los empleados para poder posteriormente atacar a la empresa.

Las empresas emiten habitualmente recomendaciones de bastionado o hardening de sus productos, si bien ello solo se produce en productos de gama superior a la básica y siempre sin soporte técnico, ya que el soporte orientado hacia la seguridad es caro, mientras la hora de un técnico en soporte informático ronda los 25 €/h, el coste de personal de seguridad informático es del triple como mínimo, ya que es personal altamente cualificado que sabe que busca y donde buscarlo.

Por lo que si lo que se busca el bastionado de la empresa es mejor contratarlo y tenerlo en plantilla, que subcontratarlo y se pague por hora trabajada. Expertos en Unix, programación, hacking, etc., son especialistas muy escasos que requieren de formación continua y retos constantes en su labor para mantenerse actualizados.

Así pues hay empresas que antaño como le ocurría a Microsoft sus medidas de seguridad brillaban por su ausencia y en los últimos años y versiones de sus herramientas más populares han incorporado medidas de autoprotección y análisis de funcionamiento con el fin de paliar la pérdida de clientes que abandonaban la plataforma por carecer de medidas de bastionado.

Ese era el caso de las Bases de Datos Microsoft SQL que presentaban carencias importantes de protección y análisis, que posibilitaron que empresas como Oracle con su programa Database 10, 11 u 12 con arquitecturas más complejas se implementasen en los servidores de Microsoft Windows Server 2003, 2008 o 2012, perdiendo parte del negocio. Ello llevó a Microsoft a implementar al menos dichas medidas de protección, y análisis que posibilitaran además gráficamente frente al complejo proceso de bastionado de Oracle a fortalecer la seguridad de sus productos.

¡¡ Y es que no hay nada como la sana competencia para mejorar los productos !!

La heterogeneización por otra parte es la cualidad de disponer en un sistema de múltiples marcas y modelos que impidan que un problema de la empresa suministradora se convierta de un problema para nuestra empresa. Con frecuencia cuando un departamento de soporte técnico desea adquirir productos pregunta a varias empresas y adquiere varios productos de la misma a los fines de ahorrar los costes de mantenimiento y soporte por lo que cobra la suministradora, ello lleva a que en el caso de que la empresa suministradora tenga problemas, sus problemas sean los nuestros, cosa que no ocurre cuando disponemos de varias marcas, modelos y soluciones a los fines de evitar que el problema de la empresa suministradora se transforme en nuestro. Para imaginarnos dicha problemática solo tenemos que mirar que en nuestra empresa se dispondrá casi con total seguridad de productos de interconexión de Cisco, es el estándar y la marca por excelencia, sin embargo este mismo verano pasado declararon tener problemas con el certificado de cifrado SSL en sus versiones 1 y 2 implementados en sus productos. No quiere decir que Cisco sea insegura, la realidad lo que nos traslada es que en el caso de que dispongamos solo de productos de Cisco, toda nuestra red tendrá problemas, en cambio si en el seno de la misma, nuestro soporte técnico adquirió distintas marcas, dicho problema afectara solo a una parte de la misma y no al todo.

Como recomendación importante para nuestras empresas, debemos contar con varios tipos de servidores y Sistemas Operativos distintos, mas de una solución antivirus, arquitecturas diversas de 32 y 64 bits, medidas de seguridad de empresas distintas, dispositivos biométricos, centrales de alerta temprana, etc. todo ello hará la vida más difícil al departamento de soporte técnico y aun mas difícil a los hackers que intenten asaltar nuestra empresa y como hemos expresado anteriormente salvo que nuestra información merezca la pena, los hackers buscan la sencillez en sus operaciones.

C.- La administración al rescate

Como hemos expresado anteriormente, la administración tiene mucho que decir en el mantenimiento de nuestro tejido empresarial como parte de la forma en la que defiende los intereses de la nación y con una visión global. Por ello desde los distintos ministerios de la AGE – Administración General del estado, se presta apoyo a las empresas en distintos niveles, tanto a nivel ministerial como las administraciones regionales o locales, unas veces en forma de ayudas y subvenciones y otras con medios y conocimientos.

El Ministerio de Industria mediante el INCIBE o Instituto Nacional de Ciberseguridad, presta apoyo a las empresas para que sus dudas queden solventadas desde una perspectiva general, mediante guías, celebración de reuniones, kits y formación se pretende que todo el conocimiento que existe sobre la seguridad de nuestras empresas llegue a los responsables de las mismas y se invierta en seguridad, porque la seguridad de una sola empresa puede considerarse desdeñable, pero cuando es el tejido empresarial completo el vulnerable como sociedad tenemos un problema.

El mismo INCIBE provee de un CERT o Centro de Respuesta ante Incidentes de Seguridad a las empresas para que estas mismas remitan sus problemas a la administración y esta mediante el apoyo de empresas especializadas y la misma provean de soluciones a las empresas para solventar sus problemas. El ya antes mencionado CCN-CERT dependiente del Centro Nacional de Inteligencia o CNI, es igualmente centro de soporte para las empresas relacionadas con la seguridad, que pueda afectar a la Defensa Nacional.

E igualmente algunas Comunidades Autónomas se han provisto de CERT para las empresas que tienen sede en sus demarcaciones, como pudiera ser Cataluña con su CESICAT, aunque ésta ha estado mas involucrada en escándalos políticos que en su labor de apoyo a las empresas, poniendo en tela de juicio su funcionalidad.

Por su parte la iniciativa privada no se ha inhibido a dicha oportunidad de negocio y ofrece sus servicios de apoyo y respuesta temprana a las empresas con departamentos de soporte en seguridad informático 24 h al día y 365 días al año, conscientes de que los recursos de las empresas tienen un coste económico.

Desde el INCIBE como indicábamos se nos proveen de herramientas para ayudarnos a solventar los problemas, no solo la comunicación de los incidentes, sino de herramientas de auto detección, análisis de las vulnerabilidades e información como base de la detección temprana de nuestros problemas.

Pero la comunidad de internautas, también ayuda en estos cometidos, poniendo software gratuito a disposición de quien lo precise, aunque es evidente que para ello deberemos previamente verificar dichas herramientas dado que la procedencia, intereses en la difusión gratuita y soporte nos son desconocidos por lo que no podemos obviar los riesgos y las ventajas de usar algo gratis, pero que desconocemos que pretenden sus autores con su difusión, la prudencia debe adueñarse de nuestras acciones antes de instalar nada en nuestros sistemas y probarlos con anterioridad en una auditoría de caja negra que nos haga sospechar de todo, protocolos de uso, puertos abiertos, procesos iniciados, bibliotecas o recursos compartidos, etc. todo debe ser cuestionado antes de ser usado en nuestro sistema en producción. Lo contrario sería una negligencia y un riesgo innecesario.

D.- El internet de las cosas. Defensa en capas

A nadie se le debe escapar que desde hace tiempo los aparatos electrónicos nos rodean y forman parte de nuestras vidas y del entorno laboral, el smartphone es el principal pero no el único, relojes inteligentes, pulsera biométricas, sensores, etc. Toda clase de gadgets que usamos a diario y que damos por sentado nos ayudan a saber cuánto hemos corrido, dormido, andado, que clima hace, consultado las noticias que nos gustan, sugerido búsquedas en base a anteriores búsquedas, etc., etc.

El Internet de las cosas lo engloba todo, dispositivos que hasta hace poco eran analógicos como nuestro reloj de pulsera de repente se convirtió en digital y nos registra múltiples parámetros de nuestra vida ordinaria, patrones de sueño, frecuencia cardiaca y miles de datos más que se nos escapan porque a pesar de ser biometrizables, las app o herramientas de consulta no nos muestran los resultados. La consecuencia es que hoy día las empresas que gestionan dichos datos saben más de nosotros, que nosotros mismos, adultos o niños, nadie se libra del control.

¿Cuál es el problema de esto ? Donde se depositan dichos datos sometidos a nuestro idioma por aceptación de las condiciones legales pero a los que no les afectan nuestras leyes porque tienen su base en otros territorios o naciones con protección a dichos datos más laxas o inexistentes. El resultado es que hemos perdido el control sobre nosotros como individuos y ello solo en el plano personal. Si evaluamos las consecuencias de la cesión de datos a los elementos disponibles en nuestras empresas veremos que son igualmente peligrosos.

  • Routers inalámbricos a los que nos conectamos en la empresa para ahorro de nuestros datos
  • Impresoras y escáneres en red
  • TV con Sistema Operativo o smartTV
  • Maquinas de vending

Toda una serie de aparatos disponibles dentro de la empresa que posibilitan la interconexión entre el mundo personal y empresarial y que además comparten recursos.

Como norma general todo dispositivo personal presente en la empresa debería quedar excluido del uso de la red de la misma, sin embargo todos conocemos los casos en lo que los empleados hacen uso de los medios de la misma, al carecerse como indicamos anteriormente de concienciación, protocolos, procedimientos y análisis de los riesgos. Lo que nos lleva al fracaso en el soporte técnico, incapaz de sortear tantos problemas y posibles vectores de ataque.

Pero no debemos olvidar que el soporte técnico debe siempre disponer de medidas alternativas y estructuras solidas, por ello a la hora de afrontar los riesgos debe estructurarse su defensa en capas de la siguiente forma.

  • Protección mediante la evaluación de lo que se debe salvaguardar mediante copias de seguridad, replicación o integridad a los fines de evitar su manipulación y su cifrado.
  • Aplicación. Protección de las aplicaciones, mediante software que lo proteja o detecte fallos de seguridad en su funcionamiento.
  • Protección del servidor o servidores y disposición de medios de detección de intrusión por software como pudieran ser firewalls.
  • Red Interna.
  • Perímetro
  • seguridad física
  • Directivas y procedimientos

3.- El usuario, “Caballo de Troya” de las organizaciones

En la actualidad casi la totalidad de las organizaciones empresariales está compuesta por diferentes departamentos en el que quedan encuadrados diferentes tipos de empleados, quedando los cometidos de cada departamento circunscritos exclusivamente a sus cometidos profesionales, si bien hay un departamento que tiene acceso a toda la información de la empresa y ese es el departamento de soporte técnico al poder acceder a toda la información de la misma. Pues bien con casi total seguridad ese es el departamento más sensible de la empresa y también el que debe seleccionar a su personal con mayor cuidado al poder realizar todo tipo de operaciones informáticas en la red de la empresas sin que nadie les supervise los trabajos por lo que una vez superado el escollo de la selección de dicho personal queda por abordar la del resto de la empresa con la premisa de que todos los usuarios de la red, son enemigos de la misma, pero no enemigos porque conscientemente deseen sabotear la red, sino que por la falta de concienciación sobre su papel vital en la misma es lo que los hace peligrosos. Igualmente tal y como detallamos en anteriores temas, los jefes de los departamentos y órganos directivos de la empresa representan el mayor desafío y necesidad de supervisión ya que disponen de acceso, control y recursos para desactivar y hacer ineficientes las medidas programadas para la protección de la red.

Como base del funcionamiento de la red interna de la empresa debemos presuponer que nadie debe tener mayores privilegios en la red que el administrador de la misma y que la defensa en capas implementada en nuestra estructura impedirá que personal ajeno a la empresa acceda a la misma o personal de la misma sin privilegios de acceso pueda escalar su acceso a contenidos o información que le están vetados. Por lo que pondremos especial supervisión e interés sobre los usuarios y sus actividades, patrones de conducta, horarios de impresión o extracción de información, etc. Presuponiendo que si el horario comercial de nuestra empresa finalizó a las 21:00 h por ejemplo y la impresora normalmente recibe paquetes de información que imprime, no es muy lógico que una noche se ponga a preguntar cuales son los activos de la red, ya que ello delatará que se ha usado un activo de la red como la impresora para mapearla y atacar la red posteriormente con la información sustraída.

Así pues debemos elaborar patrones de conducta, revisar la información que se maneja en nuestra red y verificar que no se producen patrones anómalos o que cuando se produzcan se realicen en base a operaciones previstas. Sustituciones programadas de discos duros, sustitución de hardware de red como routers, switches o firewalls, actualizaciones del Sistema Operativo, etc. si se dispone de la información se debe evaluar cuando se producirán las variaciones en el patrón de conducta de la red.

Como hemos indicado, salvo el personal de soporte imprescindible, el resto del personal debe catalogarse por el sistema como peligroso y entre el personal de soporte debe existir procedimientos rígidos de control de medios extraíbles que impidan la extracción de la información y el cifrado de las comunicaciones para salvaguardar lo más importante de una empresa, su información comercial, proveedores, clientes, datos personales, datos económicos, facturación, etc. toda información sensible que sirva para poder dejar inactiva nuestra actividad empresarial.

Se debe recordar que instalar una red perimetral externa a la empresa en la que testear drivers, parches del Sistema Operativo, actualizaciones de antivirus, etc., permiten a la red implementar dicha información corriendo los mínimos peligros, en cambio una empresa conectada a internet en una única capa, es un objetivo fácil y sencillo para cualquier hacker que desee realizar varios tipos de ataques hasta alcanzar su objetivo.

Igualmente la exposición de nuestros cometidos, contactos y amigos a las redes sociales pone en peligro nuestra labor de defensa de la red, ya que tanto si compartimos la información nosotros, como si son nuestros empleados se pone en peligro la misma al identificar a responsables de los servicios o departamentos. Pero impedir su uso es imposible, por lo que solo nos queda la concienciación y divulgación de los riesgos como herramientas en nuestra lucha contra la difusión de la topología de nuestra red y las labores de inteligencia previa que se realizan antes de un ataque programado. Recibir solicitudes de amistad de amigos de amigos, es también otra de las vías usadas habitualmente por los hackers, ya que lo lógico es que nuestra gente este concienciada con las medidas de seguridad a observar en las redes sociales, no así nuestra familia o amigos, que casi con total seguridad admitirán solicitudes de amistad de personas desconocidas para ampliar su círculo de amistades. La divulgación de estas medidas de concienciación a nuestro circulo más directo y la indagación primero a nuestra familia y amigos sobre el origen de dicha persona nos ayudaran a determinar si es un riesgo para nosotros y nuestra información personal. Debemos recordar como norma general, que cuanto mayor sea nuestra responsabilidad sobre el sistema, mayores deberán ser nuestras precauciones profesionales y personales.

A.- Fallos de la organización

En ocasiones no son los usuarios los que fallan en la organización y defensa de los intereses de la empresa, sino la propia empresa en su diseño y departamentos. Empresas como Nokia que fueron el referente en los años 90 de la expansión de la tecnología móvil en Europa y en el mundo, murieron de éxito bajo sus mismos fallos de organización, ya que en ocasiones la falta de crítica hacia la labor desempeñada y la ausencia de las “medidas aprendidas” posteriores a cada fracaso, privaban a la organización de la necesaria regeneración y corrección de errores.

El término “medidas aprendidas” proviene de la conciencia de la empresa de que se producirán errores con total seguridad, pero solo de la capacidad de aprendizaje sobre dichos errores se proveerán las necesarias acciones correctivas, unido a ser un documento vivo y no fiscalizador e inquisitorio las medidas aprendidas ayudan a identificar los fallos y a promocionar soluciones, pero no con fines depurativos, sino a los efectos de mejorar la infraestructura. Como quiera que fuese en Nokia se carecía de dicha medida y en cambio se gozaba de un grado de autocomplacencia departamental en el que se ocultaban o matizaban los errores y así no se depuraban responsables que perdieran su puesto de trabajo, ello llevo a la Nokia a la desaparición tras su absorción por parte de Microsoft en el año 2013.

El símil por lo tanto de lo acontecido en Nokia es la ausencia de medidas y procedimientos de auto detección de errores de la organización lo que puede llevarla a su autodestrucción. En nuestro modelo informático se situaría en que las negligencias cometidas por individuos de la empresa o por ataques externos a la misma se ocultasen para impedir su corrección. No es necesario tampoco la publicidad de los mismos, pero si el conocimiento de las estructuras de dirección para que se impulsen medidas correctoras. Ello solo es posible como hemos detallado anteriormente mediante la concienciación, el análisis de los riesgos, la instauración de medidas y procedimientos, la creación de protocolos de alerta y comunicación y por supuesto el control sobre todos los departamentos. Solo el auto control sobre todos y cada uno de los departamentos de la empresa evitará que un problema generado por la perdida en la custodia de credenciales, se transforme en la perdida de los datos contenidos en una base de datos.

¿Quiénes deben proveer las medidas de auto corrección? Todos los departamentos deben rendir cuentas de sus acciones en una memoria a los fines identificar patrones habituales que permitan al departamento de soporte identificar las actividades usuales y discriminarlas de las inusuales a los fines de establecer una base de datos de conocimiento de lo que se hace en la empresa con los datos, programas usados, puertos TCP y UDP, protocolos habituales y usuarios que disponen de ciertos privilegios con la meta de que el día de que se produzca la incidencia en el servicio bien por negligencia propia de los usuarios ya sea de forma malintencionada o negligente, o cuando sea por agentes externos a la misma aprovechando una vulnerabilidad detectada, esta sea identificada por las medidas de alerta temprana con las que cuente la organización.

Igualmente la empresa debe obligar a los usuarios al fortalecimiento de sus contraseñas mediante el uso de mayúsculas, minúsculas, vocales, consonantes y números y símbolos de al menos 12 caracteres para evitar los ataques por fuerza bruta mediante las Rainbow Tables que se usan habitualmente en plataformas de crackeo de contraseñas como Cain, Hydra, Brutus, OPHcrack o el archiconocido Jhon the Ripper, todas ellas enfocadas al ataque por fuerza bruta ya sea mediante diccionario o probabilidad de las posibles combinaciones. Como quiera que sea en la defensa de nuestras plataformas web existen contramedidas para evitar dicho problema aunque siempre son susceptibles de caer por culpa de una mala contraseña. En cualquier caso es obligación de la empresa y del soporte técnico obligar a los usuarios a tener claves robustas y a custodiarlas de forma no pública mediante un post it en su puesto de trabajo, bajo el teclado o detrás del monitor, sitios frecuentes que cualquier hacker o curioso verificara por si han sido ubicadas en un lugar negligente para la empresa, por lo que es inevitable que cada cierto tiempo se haga una batida por los puestos de los empleados para verificar las normas de la empresa respecto a la custodia de las credenciales. Dichos problemas con frecuencia son inexistentes cuando se han implementado medidas de acceso biométricas ya sea en teclados o mediante webcam por reconocimiento facial, pero a día de hoy dichas medidas se consideran un lujo al alcance de pocas empresas.

Es por ello que en este planteamiento de protección de las medidas de seguridad no solo yerra el usuario, sino también la organización sino entrega tras la incorporación de nuevos miembros las medidas y condiciones de uso, lo que lleva al relajamiento de los procedimientos y al fracaso mas tarde o temprano.

Ni que decir tiene que a veces los mas negligentes son los administradores del sistema, dado que con un perfil superior al resto de la empresa piensan no ser objetivo de ataques o que sus conocimientos les salvaguardan de los mismos, por lo que cada cierto tiempo debe establecerse un chequeo de las medidas implementadas a los administradores en las que unos supervisen la labor de los otros si el departamento está compuesto por varias personas, impidiendo dicha relajación de las medidas de autoprotección del sistema por dejación de alguno de los elementos que lo conforman.

B.- Motivación, concienciación y responsabilidad

No puede existir en la empresa motivación para cumplir las reglas de protección del sistema, si no existe concienciación de porque se realizan dichos procedimientos, pero aun menos pueden coexistir ambas sino se regula un sistema de castigos a nivel informático si se incumplen los protocolos como pudiera ser eliminar durante tiempo limitado el acceso a medios comunes como paginas de departamentos, impresoras, escáneres o cualesquiera otros medios compliquen la vida desde dicho momento al usuario díscolo que incumple las normas de la empresa. Ya que cuando fallan la motivación y la concienciación es que el usuario no ha asimilado los conceptos o directamente le importan bien poco, poniendo en riesgo todo lo planeado. Un solo elemento de la cadena hace débil al sistema, por lo que establecer un sistema de exclusión de privilegios a veces basta para que el usuario comprenda el error en sus acciones y sea consecuente a partir de dicho momento. No se trata de impedirle el trabajo, pero sí de limitarle ciertos privilegios a los fines de que se conciencie definitivamente. Por supuesto de ser reiterativo en sus acciones negligentes se debería valorar por los recursos humanos de la empresa la posibilidad de eliminarle todos los privilegios a nivel informático para que cumpla con el plan de protección y el organigrama establecido ya que el usuario debe ser consciente como así lo indican multitud de sentencias judiciales, la red de la empresa es propiedad de la misma no del empleado.

Pero la responsabilidad de encauzar a un usuario sigue siendo de la empresa, no pudiendo prever las acciones de dicho usuario se debe establecer en el análisis de riesgo y en los protocolos planteados que hacer con los usuarios y el rango de castigos a establecer. Todo absolutamente todo debe estar siempre contemplado en el análisis de los riesgos, dado que en caso contrario deberemos improvisar y con total probabilidad o nos equivocaremos en exceso o por defecto.

Igualmente no podemos basar que la concienciación se base exclusivamente en el castigo por responsabilidad, sino igualmente por la motivación de destacar a aquellos miembros que tanto por sus acciones como por sus recomendaciones mejoren el sistema y colaboren en la labor de securización, Ninguna recomendación por peregrina que parezca debe ser desechada y se deben establecer canales y cauces para que dichas recomendaciones motiven al personal a colaborar, ya sea mediante el reconocimiento público y destacado del empleado al resto de miembros de la plantilla, ya sea mediante el aumento de privilegios permitiéndoles colaborar en labores subsidiarias de control del sistema. Implicar al personal y concienciarlo es una labor más del soporte técnico y de los recursos humanos de la empresa que premia y valora el esfuerzo personal de mejorar la infraestructura frente al usuario desidioso, derrotista o poco concienciado con la labor de la red de la empresa.

En cualquier caso conseguir que una plantilla heterogénea de empleados se conciencie, se puede obtener mediante la impartición de cursos de formación continua online, el establecimiento de puntos bonificables en nomina o desde cualquier otro punto de vista que se obtenga el resultado de tener usuarios y empleados comprometidos.

Bajo ningún concepto lo que no es posible es que la empresa se exima de su responsabilidad de formación y concienciación ya que la principal perjudicada de dicha inacción será la misma empresa.

C.- Protocolos y análisis de riesgos

Como hemos detallado hasta la saciedad, el análisis de riesgo se torna como indispensable ya que sin él no podremos prever posibles problemas en la empresa, el personal de soporte técnico no tiene la función de realizar solo dicho análisis que debe ser consensuado y redactado por todos los departamentos, pero es evidente que tras analizar los riesgos debe y obtener el conocimiento de que pudieran existir problemas deben establecerse protocolos que impidan dicho problema o que maticen sus efectos. De poco nos sirve prever que si se cae el sistema informático perderemos miles de euros por la falta de disponibilidad, sino prevemos que debemos tener un servidor secundario que se arrancara automáticamente en cuanto caiga el principal. Igualmente sería difícil pensar que si se quema nuestro disco duro del servidor con los buzones de correo electrónico de la empresa, sino hemos previsto que su backup se realice en otro servidor independiente al mismo con la pérdida del disco duro perderemos igualmente los backup y por ende la información contenida en los mismos.

El análisis de riesgo está directamente indicado a que seamos conscientes de los riesgos y establezcamos protocolos de actuación, igualmente los procedimientos deben adaptarse a dichos protocolos para que cada cual sepa cuál es su función, en cuanto tiempo se recuperara la normalidad y el acceso a los datos e impedir la difusión del problema igualmente a otros departamentos si es posible mediante medidas de compartimentación.

Uno de los mayores problemas a los que se enfrenta actualmente la empresa es el malware, según la empresa antivirus ESET propietaria del prestigioso antivirus NOD32 indica que diariamente los usuarios de la empresa descargan mediante correo electrónico o mediante pendrives que contienen malware, troyanos, gusanos, virus, etc. con millones de pérdidas para las empresas en las que trabajan por desconocimiento de los protocolos y procedimientos. Ejemplo notable que afecta igualmente a la administración y a la empresa es la apertura de PDF envenenados, documentos escaneados que contienen una puerta de acceso al sistema y permiten que mediante el puerto 80 del navegador, se tenga acceso a los contenidos de la red. Para impedir ese tipo de contagio está claro que el departamento de soporte técnico debe supervisar los anexos de los correos electrónicos, pero igualmente el usuario puede evitar abrir una puerta a internet al visualizar el documento sin tener abierto el navegador, ya que por defecto en todas las empresas el trafico existente en el puerto 80 y el 8080 se deja libre sin medidas de seguridad para permitir el acceso a internet de los usuarios, ello es un fallo importante dado que con total seguridad se dirigirá el trafico a dicho puerto. Normalmente se implementa un servidor proxy intermedio entre la salida a internet y la red propia que impida dicho trasiego directo de información, si bien si el hacker ha sido efectivo habrá redirigido puertos y logrado instalar algún tipo de malware previo. La plataforma de Adobe hace años que recibe ataques de todo tipo por ser multiplataforma ya que dota de contenidos multimedia como flash, reader, etc. a los tres sistemas operativos principales Microsoft, OsX y Linux. Igualmente le ocurre a la plataforma de Oracle que al ser multiplataforma es un vector de ataque constante, motivo por el cual en muchas redes se impide la ejecución tanto de productos de Oracle como de Adobe. De hecho en Apple hace años vetaron a Adoble Flash y sus contenidos multimedia bajo el lenguaje actionscript porque permitían la ejecución e inyección de código malicioso desde la misma web que si estaba infectada ejecutaba el malware de forma automática, de ahí que se crease y volcase su navegador Safari hacia la visualización exclusiva de contenidos multimedia con HTML5.

Otras plataformas como Unix (Linux) al ser más complejas debido a su multitud de distribuciones distintas y niveles de privilegios de sus usuarios son casi más propicias al ataque por alguno de los programas descritos de Adobe y Oracle que en si a su arquitectura, en la que el usuario es tratado en capas y privilegios según se haya establecido por el administrador del sistema.

Microsoft en cambio por ser el estándar de la actual red, y el que impera en la mayoría de los sistemas es el objetivo más atacado y por ello debe proveerse como hemos indicado anteriormente de mas medidas distribuidas en capas que impidan la ejecución de código malicioso, ello implica la adquisición de licencias para determinadas funciones lo que finalmente encarece el sistema y el usuario una vez mas es vital en este encaje de la seguridad dado que a pesar de obtener ciertos privilegios al solaparse el entorno domestico con el empresarial es el más vulnerado por los propios empleados al introducir memorias y dispositivos como por ejemplo teléfonos móviles para cargar en las estaciones de trabajo donde habitualmente no se han extraído los ficheros que detectan la conexión de medios USB, en caso contrario aunque se conectasen dispositivos sería inviable para el sistema dar conectividad al medio insertado. Y es que hay que recordar que nuestros teléfonos móviles Android o IOS tal vez no les afecte cierto malware directamente, pero cuando se conectan a otra plataforma como Windows el malware se activa y se difunde por el sistema. De igual manera debe protegerse el acceso a la BIOS de los terminales de la empresa para impedir que se ejecuten memorias o Sistemas Operativos en los que el sistema operativo residente no tiene participación, permitiendo al usuario ejecutar, borrar y manipular registros locales, reventar contraseñas o cualesquiera otras vulneraciones de la seguridad se nos puedan ocurrir.

Por lo que reiteramos todo debe quedar contemplado en el análisis de riesgo y en la emisión de protocolos, que con total probabilidad será una labor tediosa y desagradecida pero absolutamente necesaria.

D.- Monitorización y alerta temprana

Como indicábamos en el tema 1 de nuestras conferencias, la alerta temprana representa hoy día la única posibilidad real de paralizar un ataque externo o interno a nuestra red, mediante la detección de patrones anómalos de conducta para establecer reglas en nuestro software de monitorización que cree alertas. Como es evidente si desconocemos los patrones habituales difícilmente identificaremos patrones anómalos, por lo que como indicábamos se debe recabar toda la información posible de los distintos departamentos, hardware y software a los fines de buscar conductas habituales. O sea horarios de impresión de documentos, puertos que abren los programas, departamentos que tienen horarios distintos a los habituales de la empresa, etc.

El software de alerta temprana como pudiese ser por ejemplo el de AlienVault OSSIM permite mediante el escaneo constante de recursos hardware, la conexión a internet para detectar patrones de ataques en tiempo directo; en caso de redes aisladas se pierde dicha posibilidad; establecimiento de reglas de comportamiento, alertas por comportamientos anómalos de recursos, etc. disponer de una potente herramienta de alerta temprana que permita suprimir trafico entrante por ataque masivo en caso necesario para impedir un ataque por denegación de servicios o simplemente conocer que cierto hardware se ha conectado a cierta hora y ha comenzado a preguntar al resto de equipos de la red que son, que sistema operativo usan y que puertos tienen abiertos bajo un protocolo ajeno al habitual, todo ello son síntomas de que algo no iría bien y que tenemos un problema. Además en el caso de no haber podido paliar o detectar adecuadamente el ataque dispondríamos de evidencias en las que sustentar una posible denuncia ante las autoridades dado que dicho software realiza análisis forense de los eventos y los correla en tiempo, permitiendo vincular acto y momento con el que sustentar la denuncia.

Es evidente que una herramienta de alerta temprana no sirve por si sola si no se siguen de medidas anexas en dispositivos hardware como routers o switches para la creación de ACL reglas de acceso y VLAN de compartimentación de la red que impidan la difusión o intrusión de malware o atacantes, pero si palian en parte el daño que pudieran realizar. En el router y el firewall se pueden realizar muchas de las acciones defensivas para evitar la intrusión como son desechar protocolos y puertos tanto en la entrada como en la salida del mismo, excluir el trafico con origen o destino a un determinado aparato dentro de la red o simplemente eliminar un tramo de red que nos está atacando constantemente el sistema y que excluimos y desechamos para no tener que afrontar otro tipo de medidas.

Pero dentro de las herramientas OSSIM existen más opciones, de hecho OSSIM All in One es un producto de pago, pero existe una opción gratuita que nos permite realizar lo mismo nosotros mismos, eso sin el soporte de la compañía. Existe igualmente software o distribuciones que hacen lo mismo que el software de AlienVault como pudiera ser NST o Network Security Toolkit que realiza al igual que OSSIM una recolección de software y hardware dentro del sistema y emite alertas por patrones.

Como quiera que sea ningún sistema se encontrara seguro si no dispone de un análisis de riesgos, una política de concienciación de usuarios, protocolos y procedimientos de actuación y su correspondiente sistema de alerta temprana o forense que le ayude a defender el sistema de un ataque seguro.

Bajo el punto de vista de esta ponencia creo haber recorrido los que considero los mayores riesgos que presenta las redes informáticas a nivel empresarial y sus organizaciones en cuanto a los recursos humanos que destina a las mismas.

 

¡¡ Muchas gracias !!

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *