¡Cierre esa maldita puerta!
Agujeros en los Sistemas de Información
No es sorprendente que la seguridad mantenga preocupados a los directores de sistemas de información . En una encuesta reciente del Computer Security Institute de Estados Unidos, un 42% de los consultados afirmaron haber experimentado alguna intrusión o alguna utilización no autorizada de sus sistemas durante el año anterior . Y en aquel caso se trataba de centros de proceso de datos que reconocían haber experimentado un problema . Pero existe una tendencia notable a no informar de las infracciones a la seguridad .
La sustracción de datos desde dentro de la empresa, los hackers que actúan desde el exterior, los virus, la encriptación, todos son problemas que quedan dentro del ámbito de la seguridad, y que afectan a todo el mundo .
El jefe de seguridad de un hospital estaba bastante satisfecho con el detector de metales de la sala de emergencias, que se utilizaba para descubrir los posibles intentos de bandas criminales de penetrar con armas y acabar con la vida de alguna víctima de un tiroteo o de un apuñalamiento . Pero había un problema . Cualquiera podía rodear el detector de metales recorriendo una serie de ascensores y pasillos hasta una puerta no vigilada situada en la parte posterior de la sala de emergencias . Las extraordinarias precauciones de seguridad habían quedado anuladas por un descuido obvio y sencillo .
Los profesionales de sistemas de información cometen con frecuencia el mismo error al emplear demasiado tiempo en luchar contra amenazas electrónicas sofisticadas mientras olvidan problemas básicos como las puertas sin cerrar o los procedimientos mal planificados . Unas normas de seguridad poco estrictas o los descuidos de los empleados pueden significar para los datos corporativos una amenaza tan importante como la de un hacker que estuviera actuando por cuenta de la competencia .
Esto quedó penosamente claro recientemente cuando periodistas de la edición norteamericana de ComputerWorld acompañaron a un equipo de expertos en seguridad mientras revisaban determinadas prácticas de seguridad en un hospital de Estados Unidos, cuyo nombre no se cita aquí por motivos obvios . Las buenas noticias son que el hospital está bien protegido frente a ataques electrónicos desde el exterior . Sin embargo, durante la revisión se comprobó que la amenaza más importante a la seguridad está en unos procedimientos de tratamiento de la información deficientes y en la posibilidad de un acceso físico a elementos como los sistemas de alimentación, los modems y los cables de red .
Dada la escasa responsabilidad o atención a la seguridad, no es sorprendente que los investigadores tuvieran poca dificultad en penetrar sin ser cuestionados en salas de servidores, extraer información sobre pacientes y números de llamada a líneas modem de entrada, interrumpir la corriente a grandes secciones del hospital y desactivar cientos de nodos de red penetrando en salas que no habían sido cerradas con llave .
Cualquiera que piense que esto no podría sucederle debería continuar leyendo y preguntarse .
¿ Quién vigila los fusibles ?
Cualquiera que lo desee puede dejar inhabilitada la red del hospital analizado para este reportaje . Arrancando unos cuantos cables de la pared se desactivarían la mayor parte de los terminales que ofrecen información sobre pacientes en la sala de emergencias . Más abajo, en es misma pared, hay una línea de cajas eléctricas sin cerrar llenas de interruptores que controlan la corriente para diversas partes del hospital .
Aunque el administrador de la red sabe que tiene un importante fallo de seguridad, no puede arreglarlo . En una equina de una sala de almacenamiento hay un punto de agrupamiento de cables consistente en cables 10Base-T, concentradores y paneles . ¿ Por qué no construye una pared en torno al cableado para protegerlo frente a un posible sabotaje ? El motivo es que el departamento de comunicaciones del hospital no quiso dejarle instalar el equipo en su sala, y construir la pared hubiera requerido la aprobación de ese departamento .
Sólo hace falta decisión
El equipo de inspección pudo entrar en el centro de proceso de datos del hospital ( cerrado bajo llave ) simplemente pulsando un timbre . Al entrar, alguien dice de forma casual a un empleado, “Estamos aquí para echarle una mirada a los sistemas” . En lugar de enfrentarse a los visitantes, el empleado acepta complacido y vuelve a su trabajo, dejando libres a los “intrusos” para caminar entre servidores, routers, terminales y backups en cinta . Con la misma facilidad podrían reiniciar servidores o robar cintas de backup . Utilizando la misma técnica, los expertos en seguridad penetran en la unidad de registros médicos central y salen llevándose el archivo de un paciente, con un gesto de agradecimiento a la recepcionista .
Cuando la dirección no presta atención a la seguridad, es imposible conseguir un grado de concienciación suficiente sobre la misma entre los empleados . Otras compañías lo han intentado todo, desde ofrecer bonificaciones a los empleados que se enfrentan a los intrusos hasta el remedio más económico de simplemente colocar letreros informando de la necesidad de seguridad . Hasta que una compañía sea capaz de establecer normas y procesos de arriba abajo en la organización, va a continuar experimentado este tipo de problemas .
Estar preparado
Son los ladrones y chantajistas profesionales, y no los hackers en busca de diversión, los que recorren la red mundial en busca de oportunidades de robar dinero, blanquear fondos ilegales o extorsionar en busca de concesiones políticas . Y todos ellos poseen un nivel excepcionalmente alto de sofistificación tecnológica .
Hay una guerra de la información que se desarrolla con furia en todo el frente económico . Gobiernos y empresas intentan conseguir una ventaja sobre sus rivales a través del delito informático y el espionaje electrónico . Sus objetivos: activos de información .
Les guste o no, los DSI son también Directores de Seguridad de la Información y deben responder por la fragilidad de sus sistemas de información .
Asumir la responsabilidad
Los DSI deben aceptar que la seguridad, integridad y disponibilidad de las redes informáticas de sus compañías son una de sus responsabilidades clave . Y esa responsabilidad no puede delegarse mediante ningún tipo de “outsourcing” .
El director de sistemas de información debe contar con las prerrogativas necesarias para observar, analizar y comprender incidentes cada vez que detecte infracciones a la seguridad de la información, en cualquier parte que tengan lugar . El DSI deberá disponer también de los medios necesarios para vigilar el cumplimiento de las normas sobre seguridad de la información . Y la junta de directores, y en particular su comité de auditoría, deberá acudir al director de sistemas de información para certificar que los riesgos a la seguridad de la información no rebasan determinadas previsiones especificadas .
Los directores de sistemas de información deberán también dirigir a su personal de desarrollo de aplicaciones de manera que la seguridad de la información sea un elemento inherente del diseño de sistemas . Adaptar la seguridad en forma de un sistema diseñado bajo los supuestos de inocencia y honestidad resulta con frecuencia demasiado caro -o tardío- para que merezca el esfuerzo .
Formar al personal
Las grandes compañías necesitan disponer de un personal capacitado y de confianza, que pueda analizar las amenazas a su actividad e instalar contra-medidas frente a los ataques a la información . Esto incluye ataques que requieran la ayuda de personal interno fiable, como empleados y subcontratantes . El staff deberá supervisar lo s
