SEGURIDAD | Artículos | 01 MAR 2003

Políticas de seguridad: lo bien hecho, bien parece

Una política de seguridad adecuada, clave para la continuidad del negocio
Ramón A. Fernández.
La constante renovación de las tecnologías de la información y la pronta puesta en práctica de las mismas, así como las crecientes expectativas ante los nuevos retos que deberán afrontarse en un futuro casi inmediato, facilitan que aparezcan nuevos y, a menudo, importantes puntos de peligro.

Para conseguir un entorno de red seguro no es suficiente mezclar protocolos, métodos y algoritmos en un mosaico de seguridad. Por desgracia, y a las estadísticas nos remitimos, en tales entornos el punto más débil de la seguridad de un entramado informático no suele ser evidente hasta que resulta ya demasiado tarde. Para ser efectiva, la seguridad del sistema tiene que aplicarse como un todo, al tiempo que también necesita que esté bien diseñada, es decir, completa y fácil de mantener.
Los sistemas bien diseñados van acompañados de políticas de seguridad que, posteriormente, se descomponen en directivas, que indican cómo, cuándo y a qué nivel se deben aplicar las distintas medidas de seguridad disponibles. Además, otro de los aspectos prioritarios en el diseño de cualquier política de seguridad debe dirigirse a facilitar al máximo la vida de los sufridos administradores de red a la hora de gestionar las distintas soluciones que se engloban en la política de seguridad adoptada.
Lo primero que hay que entender en su totalidad es la naturaleza del problema que se quiere resolver y cuál es la mejor forma de solucionarlo usando las tecnologías disponibles. Después se puede diseñar e implantar un escenario con arreglo a una serie de soluciones de seguridad estándar o combinar diferentes tipos de soluciones que mejor resuelvan un determinado problema.

Políticas de seguridad
Debemos dejar claro que cualquier sistema informático es susceptible de ser atacado o dañado. Es lo que se entiende por vulnerabilidad. Cualquier red puede ser objeto de ataques.
Por política de seguridad se entiende aquel documento en el que se identifican pormenorizadamente las necesidades específicas y los procedimientos a seguir en materia de seguridad, teniendo siempre en cuenta las condiciones y circunstancias propias de cada organización. En dicho documento tiene que tener cabida toda aquella información que identifique claramente los puntos que se han de proteger, estableciendo un riguroso orden de prioridad en función de su mayor o menor impacto en la continuidad y disponibilidad de los servicios que se ofrezca al usuario. Con este proceder se reduce al máximo el posible error de proteger áreas de nuestra infraestructura tecnológica intrascendentes de cara a la productividad del mismo, mientras se dejan al descubierto otras que resultan mucho más críticas para la buena marcha del negocio. Además, se ha de asegurar la confidencialidad de los datos, la integridad de la red y la autenticidad de los usuarios con derechos de acceso. Teniendo en mente todas estas facetas de actuación, se podrá determinar la mejor estrategia de seguridad para garantizar un lógico nivel de protección de nuestro negocio. Pero no basta con crear una política de seguridad, sino que hay que comunicarla bien a los miembros del grupo, con el fin de evitar en lo posible los inconvenientes que estos puedan causar.
Por tanto, una política de seguridad no consiste en un simple proceso para analizar, controlar o eliminar la exposición de una empresa a determinados riesgos. Al contrario, es una forma de determinar el impacto de los riesgos sobre la rentabilidad de la compañía.

Elementos de una política de seguridad
La adquisición de dispositivos de seguridad resulta sencilla. Sin embargo, resulta más difícil saber cómo y qué es necesario proteger y qué controles deben aplicarse.
Para la elaboración de la política de seguridad, el primer paso es hacer una relación de los aspectos sensibles, tanto físicos como lógicos. Una vez realizada esta lista se pondera cada uno de ellos con un peso específico, y se calcula la posibilidad de que sea vulnerado, ya sea por ataques intencionados o por causas meramente accidentales.
Conocer los puntos a proteger es otro punto de vital importancia a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que proteger cada recurso porque no todos los usuarios deben tener acceso a todos los recursos del sistema.
Por norma general, toda política de seguridad debe proteger todos los elementos de la red interna, incluyendo hardware, software y datos, de cualquier intento de acceso no autorizado desde el exterior o el interior.
Con respecto a las amenazas procedentes de los propios usuarios internos, antes de promover cualquier acción de protección adicional, los actuales sistemas operativos de red ofrecen numerosas herramientas para configurar un entorno de actuación suficientemente seguro. Una vez afianzada la seguridad interna ante posibles acciones maliciosas de los usuarios internos, y tras un exhaustivo análisis de las necesidades de cada entorno en función de las actividades y requerimientos de su negocio, los principales esfuerzos deberán concentrase en los puntos más sensibles y vulnerables a sufrir un ataque.
Ya que actualmente es imposible ofrecer un servicio o negocio al margen de la Red, nuestra primera prioridad será proteger convenientemente las vías de conexión a la misma.
Otra medida fundamental es establecer la prohibición del uso de modems que tengan habilitada la capacidad de llamada entrante. Como máximo valuarte en la defensa perimetral tenemos los firewalls en sus distintas variantes tecnológicas. No obstante, para incrementar el nivel de protección de los equipos que residan en el perímetro , conviene adoptar otra serie de medidas complementarias, como la exploración periódica de los puertos de todo el perímetro en busca de posibles problemas, la monitorización de routers en alerta de tráfico sospechoso o la reducción al mínimo de los servicios TCP/IP ofrecidos por cada sistema.
La funcionalidad de la propia intranet de la organización es una cuestión que merece toda la atención y el máximo desvelo del responsable en materia de seguridad, ya que cualquier infiltración en los equipos que la conforman o indisponibilidad de la misma, ya sean por ataques del tipo de negación de servicio (DoS) o fallos en el hardware de red, ponen en serio peligro la confidencialidad de la información y la productividad del negocio, respectivamente.
En este sentido, y a pesar de la presencia de una fuerte estructura de seguridad perimetral, conviene recordar que estadísticamente la mayoría de los posibles problemas de seguridad suelen originarse desde el interior de nuestro perímetro.
Para concluir este repaso por los aspectos que deben observarse en toda política de seguridad, nos queda hacer mención a las recién llegadas redes inalámbricas, cuya presencia es cada vez más numerosa en los distintos ámbitos corporativos. Bajo esta nueva tecnología, parece evidente que montar una red inalámbrica WLAN no resulta una tarea muy complicada. Sin embargo, lo que sí encierra una mayor dificultad es proteger dicha red de intrusos ajenos al grupo de usuarios autorizados. Con este objetivo, las actuales soluciones inalámbricas disponen de numerosos mecanismos para evitar, en gran medida, la intromisión de posibles piratas informáticos, entre las que cabe destacar el sistema de encriptación WEP y el empleo de estándar para el control de

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios