Redes globales entre corporaciones (extranets): Riesgos de conexiones a nuestra red | PwC Venezuela

8/7/2019 Redes globales entre corporaciones (extranets): Riesgos de conexiones a nuestra red | PwC Venezuela

1/6

Boletn Advisory*

Distribucin exclusiva paraclientes y relacionados deEspieira, Sheldon y Asociados

*connectedthinking

Redes globalesentre corporaciones(extranets): Riesgosde conexiones anuestra red

Abril - Mayo 2005

Introduccin

Los escenarios que afrontan lasorganizaciones en cuanto aseguridad de la informacinnecesariamente requieren ampliar suenfoque hacia un todo, ya que eneste momento es muy difcil separarlos elementos de seguridad y controlque deben ser establecidos a la red ylos requeridos para el resto de losactivos de informacin de la

organizacin. Desde la estacin detrabajo de un operador bancario, laspuertas de las habitaciones de unhotel, hasta los telfonos celulares ydispositivos mviles, la tecnologa deinformacin de toda empresarequiere un medio de transmisin,por lo cual los riesgos de la red dedatos se exacerban por todasaquellas vulnerabilidades de losdems elementos que puedan serutilizadas de forma remota.

La naturaleza de los negocioselectrnicos, y la tendencia aestablecer acuerdos entre clientes yproveedores para agilizar procesostales como la cadena de procura,exigen interconexin. Estainterconexin ha tenido un procesoevolutivo que va desde elintercambio de informacin pormedios de almacenamientomagntico y procesos en lotemediante enlaces discados (dial-up

hasta lo que hoy en da se conocecomo Extranet.

Podemos definir a la Extranet comouna red privada que utiliza la Interney su tecnologa para el intercambiode informacin con proveedores,clientes y asociados de negocios.Una Extranet puede ser vista comoun apndice de la red interna, queincorpora a terceras partes dentro dlas operaciones del negocio,

equiparando sus posibilidades deiteracin con las de los usuarios dela organizacin.

En este nmero Introduccin Riesgos y supuestos Las polticas de seguridad de activos de informacin Uso de la Internet y servicios relacionados


2/6

2 Advisory ABRIL - MAYO

En trminos reales, la Extranet nopuede ser considerada como partede la red de la organizacin. Lasrazones son diversas, pero puedenresumirse en los siguientes aspectos:

- La organizacin no tiene garantassobre los esquemas de seguridad ycontrol establecidos en las redes yotros elementos tecnolgicos deterceras partes.

- La cultura de seguridad y losvalores ticos en clientes yproveedores interconectadospueden diferir. De igual modo nopuede asegurarse que losesquemas de contratacin yeducacin permitan establecerniveles de confianza sobre supersonal

- Nuestra organizacin puede a suvez ser fuente de ataques aclientes y proveedores, afectandosus operaciones y su reputacin

En este sentido, la incorporacin denuestra organizacin a una Extranetdebe ser canalizada considerndoloun ambiente hostil. Bajo estapremisa, debemos dividir el entornode seguridad en tres factores, asaber:

- La seguridad de los equipos ytecnologas que participarn en lasoperaciones va Extranet.

- La seguridad de nuestra red local- La seguridad de la conexin de

nuestra red con la Extranet eInternet.

En este boletn se examina laseguridad a los niveles antesmencionados. Se analizan laspolticas a ser desarrolladas, encuanto a la identificacin yautenticacin de usuarios, los

controles de instalacin de software,cifrado de la informacin, y laarquitectura de seguridad de la red.Adicionalmente, se discuten polticasque se proponen para la conexin deredes externas, incluyendo Internet.

Riesgos y supuestos

Para entender los riesgos y definir unmarco de regencia en donde nos

podamos mover mediante ejemplos,se requiere definir las polticas deseguridad para las conexionesexternas. Adems se debe resaltarque en este boletn no se cuantificala probabilidad de los riesgos, sinembargo se cubrirn los msimportantes de maneracomprensible.

A continuacin se detallan losriesgos y supuestos a ser

considerados:

Los computadores y estacionesde trabajo- El usuario es generalmente

responsable de la seguridad de loscomputadores o estaciones detrabajo a su cargo. Sin embargo esnecesario que la organizacinconsidere esquemas que limiten su

posibilidad de establecer unaconfiguracin inapropiada, bien seaccidental o intencional. El usuaries constantemente atacado, vacorreo electrnico, medianteofertas engaosas e hipervnculos

en Internet, a la instalacin desoftware que actan como virus,spyware1, adware2. La organizacidebe proveer soporte yherramientas que protejan a losusuarios de dichos ataques, ya quson la primera puerta de ataque.

- El usuario debe cumplir con laspolticas de seguridad queestablecen los mecanismos decustodia, tanto fsica como lgicade los computadores y lainformacin all contenida. Segn FBI, el robo de computadoresporttiles durante el ao 2004, harepresentado US$ 6.7 millones3.

- En el caso de usuarios con accesremoto, bien sea mediante redesinalmbricas locales, enlaces VPNva Internet o enlaces discado, esparticularmente importante laproteccin de estos equipos, yaque son repositorios deinformacin sensible que permite acceso remoto a la organizacin ypueden ser utilizados como puentpara ingresar a la red local,mediante herramientas tales comokeyloggers5 o puertas traserahabilitadas.

1 Tecnologa que permite obtener informacin acerca de las personas o sus organizaciones, sin su consentimiento.2 No siempre con fines adversos al usuario o el negocio, los adware son programas que generalmente se instalan con otras aplicaciones y

cuyo fin es desplegar informacin publicitaria.3 Fuente: http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml;jsessionid=EMQLJLS3IOBDOQSNDBGCKHSCJUMEKJVN4 Virtual Private Network5 Herramienta que permite monitorear las actividades del usuario en su computador, capturando la informacin transcrita y las pantallas

visualizadas, en funcin de obtener informacin que permita escalar en accesos no autorizados.


3/6

Advisory ABRIL - MAYO

La Intranet- La intranet presenta brechas de

seguridad similares a las quepueden identificarse en la Internet.Sin embargo, este entorno es mssusceptible de ataques, debido a la

baja percepcin de riesgo porparte del personal de TI.Nuevamente, el FBI nos indica queel 59% y 37% de las empresasentrevistadas han sido vctimas deabusos internos y accesos noautorizados a informacinrespectivamente.

- Los servidores de la Intranet debenser considerados inseguros ydeben poseer esquemas deproteccin similares a un servidorque preste servicios en Internet.Por tanto, se deben establecercriterios especficos en cuanto a suutilizacin, implantar mecanismosorientados a limitar su visibilidaddesde y hacia la red local, eimplantar mecanismos demonitoreo continuo de suutilizacin.

- Los usuarios de la red debenconectarse regularmente a fin deque las aplicaciones, tales comoantivirus entre otras, se actualicenautomticamente.

Redes externas (Extranets) oInternet- Internet es una red hostil. Por tanto

ningn usuario de la red de laorganizacin podr tenerconexiones particulares a Internet;slo mantendr la conexin aInternet autorizada por laorganizacin.

- Tal como se mencion

anteriormente, los empleados sonobjeto de espionaje y ataquesconstantes, por tanto deben recibireducacin relativa a buenasprcticas de navegacin enInternet, tener configurado susequipos de forma robusta y poseerherramientas que lo protejan.

- Las claves de acceso o palabrasclaves las cuales son transmitidasfuera de los mbitos de la Intranety a travs de una Extranet estnexpuestas a ser capturadas ydivulgadas. Asimismo, toda

informacin o dato que setransmite desde la Intranet de laorganizacin y por la conexin deuna Extranet, es vulnerable y estsujeta a intercepcin y captura.

- No es posible mantener controlsobre los e-mail que se transmiteny salen de la Intranet hacia laInternet, por lo que los mismospueden ser manipulados y/orevelados. Esto coloca al serviciode correo como una fuenteimportante de riesgo para laorganizacin, considerandoadems el impacto que puederepresentar en trminos legales yde reputacin, la divulgacin deinformacin sensitiva u ofensivatransmitida por este medio, porparte del personal.

Las polticas de seguridadde activos de informacin

Las organizaciones requierenformalizar su modelo de seguridad yestablecer un marco de referenciapara la administracin y control delos activos de informacin. Comoparte de estas funciones, debendocumentarse, aprobarse ycomunicarse formalmente laspolticas, estndares y lineamientosque establecen las pautas deseguridad en la organizacin, de

forma tal que stas apoyen elcumplimiento de las metasestratgicas de la gerencia. Dichaspolticas deben ser independientesde la tecnologa utilizada en losambientes operativos, apoyandocomo referencia a la organizacinpara la administracin y control de

las plataformas presentes y loscriterios en seguridad para laadquisicin de tecnologa deinformacin. A continuacin sepresenta un breve resumen de losprincipales tpicos que deben ser

abordados en las polticas deseguridad de activos de informacincon relacin a:

- Computadores- Conexiones a la Intranet- Conexiones a redes externas- Conexiones Internet

Control de acceso: Identificacinautenticacin, autorizacin yregistro.El control de acceso es un elementoimportante en la seguridad de unsistema, especialmente enambientes interconectados por redecomo Internet, debido a que es elprimer paso en la proteccin de losactivos de informacin de unaorganizacin: es necesario aseguraque todo el que acceda a losrecursos de la empresa poseacredenciales apropiadas, que dichacredenciales hayan sido forjadas, yque las mismas correspondan con eportador.

La primera actividad que se ejecutadurante el control de acceso es laidentificacin: se deben establecerpolticas dentro de la empresa quefomenten el uso de identificacionesde usuario (o user ID) nicos eintransferibles. Esto permite unaasociacin inequvoca en el sistemade los privilegios autorizados y las

actividades que realiza el usuario. Econtraposicin, debe suprimirse eluso de cuentas genricas quecompartan mltiples usuarios. En ecaso de redes Extranet, laorganizacin debe extender suscontroles sobre la creacin y


4/6


asignacin de perfiles a losindividuos de otras organizacionesque interactan con los sistemas deinformacin. Esto incluye laformalizacin de procedimientospara el mantenimiento de usuarios

que aseguren el cumplimiento de laspolticas de seguridad y la remocinoportuna del personal egresado.

El segundo paso es la autenticacin.El primer medio (y en muchos casos,el nico) utilizado es la clave deacceso, o password. Las polticas deseguridad de la empresa debenestipular que la clave de acceso debeser lo suficientemente larga ycompleja para que no puedaadivinarse ni ser generada medianteprogramas especializados, llevandopreferiblemente combinaciones decaracteres en mayscula y minscula,nmeros, e incluso caracteresalfanumricos. Se debe cambiarperidicamente y no permitir sureutilizacin a fin de evitar la creacinde la clave de acceso favorita decada usuario. Otro aspectoimportante con relacin a la clave deacceso es asegurar que elprocedimiento de asignacin declaves de accesos por parte delpersonal de soporte al usuario,estipule medidas como la entrega declaves de acceso generados al azar,cumpliendo con todos losrequerimientos anteriormentemencionados, y adicionalmente sedebe forzar su cambio inmediato porparte del usuario la primera vez quese conecte. En ambientes Extranet aligual que Internet, la organizacindebe evaluar la utilizacin de

esquemas ms slidos deautenticacin, tales como certificadosdigitales o dispositivos fsicos deautenticacin (tokens, biometra, USB

key, por ejemplo), en funcin deelevar la fortaleza del permetro.

Por supuesto, se debe tener enprctica estrategias de concienciaciny polticas de seguridad a fin de evitar

que el usuario divulgue su clave deacceso, lo escriba y que se asegure deno ser observado mientras lo introduceen la pgina de acceso.

Una vez el usuario se ha identificadoy es autenticado correctamente, sedebe validar sus privilegios de accesoal sistema. Se deben instaurarpolticas organizacionales donde sedefinen grupos de trabajodependiendo de las labores de losusuarios, y el administrador delsistema se debe asegurar que losusuarios pertenezcan al grupo decontrol apropiado y que le seanasignado nicamente los rolesnecesarios segn sus funciones. Conesto se busca que la informacin, losprogramas, y los recursos del sistemasean utilizados solo en la medida quelos usuarios lo requieran, y que unusuario inescrupuloso no puedaacceder programas o recursos queestn fuera de su rea de trabajo.Igualmente el administrador se debeasegurar de que los usuarios notengan acceso a los archivos deconfiguracin para que no puedamodificar sus privilegios de acceso.

Control de CambiosEl control de cambios es el procesoque busca establecer unaobservacin minuciosa sobre lasalteraciones realizadas en losambientes tecnolgicos que forman

parte de la organizacin. Para evitarconflictos entre los programas yambientes, se debe instaurar polticasy procedimientos que busquen crear

un proceso estndar para laimplantacin de cambios, el cualdebe incluir niveles de aprobacin ycontrol en el paso a produccin delos cambios. Para ello, la organizacidebe asegurar el aislamiento y

separacin de funciones entre lo quese denomina ambiente productivo ylos ambientes de desarrollo y pruebaa fin de asegurar la incorporacinnicamente de aquellos cambios quhan sido autorizados y probadosexhaustivamente.

Finalmente, deben existir polticas elos procesos de Control de Cambioque estipulen procesos de reversinen caso de que causen conflictos oproblemas (Rollback).

CifradoEl cifrado permite que informacinimportante para la organizacin o losusuarios sea resguardada de accesosno autorizados. Sin embargo, el cifradde informacin y las comunicacionesrepresenta un incremento sensible enlos costos operativos y el desempeode los sistemas, por los cual debenestablecerse polticas de control delcifrado de informacin que permitan uentorno confiable y eficiente para losactivos de informacin de la empresa.Deben desarrollarse polticas donde sestipule que toda informacin de vitalimportancia para la organizacin debemantenerse cifrada mientras semantenga almacenada y seatransmitida por las redes datos.

Tanto en los casos en que se utilicecifrado de datos usando esquemasPKI (Public Key Infraestructura) com

en esquemas de cifrado sncronos6

es importante mantener la integridade la informacin, por lo que debenestablecerse polticas y

6 Utilizacin de claves similares durante el proceso de cifrado y descifrado


5/6

Advisory ABRIL - MAYO

procedimientos que norme el controlde las claves de cifrado usadas,asegurar que la claves no seanincluida en el mismo medio que lainformacin, e incorporarmecanismos de seguridad sobre las

misma, tal como fecha decaducidad, o nmero de usos, paragarantizar as la integridad de lainformacin.

Para el caso de dispositivos mviles,las polticas deben ser muyconcretas en relacin con lanecesidad de que dicha informacin,la totalidad del disco duro u otrosmedios de almacenamientos, seacifrados.

Seguridad FsicaLa seguridad fsica es tan importanteen una organizacin como laseguridad implantada en lossistemas. Ante la ausencia de unaapropiada seguridad fsica, loscontroles de acceso establecidospara los activos de informacinpodran ser omitidos, afectando suprivacidad, integridad o lacontinuidad de las operaciones. Conbase en lo anteriormente descrito, elestablecimiento de polticas yprocedimientos de acceso fsicodeber considerar aquellos aspectosde identificacin del personal,autorizacin y manejo deexcepciones, restriccin delocalidades segn funciones, ingresoy egreso de equipos y mobiliario,entre otros.

Monitoreo: IDS y respuesta aincidentesLos ambientes tecnolgicosactuales, debido a su complejidad yconstante proceso de cambio,presenta vulnerabilidades que

pueden ser explotadas.Adicionalmente, existen otrosfactores que no pueden sercontrolados, como es el caso deempleados descontentos o laaparicin de nuevas brechas, loscuales contribuyen a generarsituaciones de riesgo para losactivos de informacin o lacontinuidad del servicio. En eldesarrollo de polticas yprocedimientos debe entoncesconsiderarse la inclusin de polticasde monitoreo y deteccin deintrusiones, as como laestructuracin de planes derespuesta a incidentes.

El primer paso en la deteccin deintrusiones es el del monitoreo. Sedeben implantar polticas demonitoreo de toda actividad quesuceda en cada uno de loscomponentes de la tecnologa de laorganizacin. Estas polticas debeplantear el monitoreo de todaconexin a un sistema, a fin dedetectar cualquier actividad anmalaen la que pueda incurrir un usuario, ytomar las medidas correspondientes.

Una vez una intrusin es detectada,se debe contar con planes de accinpara responder a dichas intrusiones.Este plan de incluir cmo se realizarla notificacin a las personasresponsables, los esquemas de

escalamiento del evento dentro yfuera de la organizacin, y lasacciones en el corto, mediano y largoplazo que permitan minimizar elimpacto para la organizacin.

Uso de la Internet yservicios relacionados

La facilidad de acceso que provee lInternet a los empleados, hace quesea un riesgo potencial para la

organizacin. Los usuarios puedenser partcipes intencionales oaccidentales de ataques a los activode informacin, mediante lautilizacin de los servicios de correonavegacin, Chat y transferencias darchivos (FTP). Los virus y otros tipode cdigo malicioso abundan en laInternet, y en cualquier punto de lasuperautopista de informacin sepuede encontrar a usuariosmaliciosos que desean obtener un

punto de acceso a informacinrestringida. Es por ello que esnecesario establecer polticas deacceso y control del uso de Internety sus servicios relacionados.

Con respecto a la informacin quepueda ser enviada o extrada deInternet, ya sea a travs dedescargas desde pginas o desdecorreos electrnicos, se debenimplantar controles donde se prohb

el envo o recepcin de informacincrtica a menos que se tenga controsobre las condiciones en las cualesse establecer la comunicacin. Deigual modo, cada usuario debe estaseguro que la persona que enva orecibe la informacin, ya sea a travde un e-mail o una pgina, esconfiable y cuenta con controles deacceso al menos similares, antes deenviar o recibir informacin crticapara la organizacin. Un aspecto

particular a ser considerado es lautilizacin de referencias confiablespara consulta de informacin, ya ques frecuente la utilizacin de sitiosque forjan identidades y presentainformacin falsa.


6/6


Boletn AdvisoryDepsito Legal pp 1999-03CS141Editado por Espieira, Sheldon y AsociadosTelfono master: 0-212-700 6666

BoletinesEl presente boletn es de carcter informativo y no expresan opinin de laFirma. Su interpretacin requiere tener el texto completo de las respectivasreferencias y contar con la opinin y orientacin de los abogados.

Si est interesado en recibir por correo electrnico este Boletn,por favor envenos su direccin de e-mail a: [email protected]

2005. Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a la firma venezolana Espieira, Sheldon yAsociados, o segn el contexto, a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legseparada e independiente. *connectedthinking es una marca registrada de PricewaterhouseCoopers.

7 Network File System. Protocolo ampliamente utilizado, particularmente en la arquitectura Unix, para compartir espacios de almacenamiento8 Server Message Block: Protocolo desarrollado por Microsoft para compartir por red recursos de impresin y espacios de almacenamiento

La informacin publicada por laorganizacin y utilizada por esta paralas operaciones regulares debenestar previamente aprobadas por lasautoridades pertinentes. Finalmente,se debe implantar una poltica donde

se regule el uso de las cuentas decorreo, ya que los usuarios quetengan acceso a las cuentas decorreo electrnico deben limitarse autilizar las cuentas para usorelacionado a las labores quedesempean en la organizacin, y nodeben utilizar el correo para usopersonal, mitigando as el riesgo deque informacin indebida opotencialmente peligrosa llegue a laorganizacin a travs de un correopersonal.

InterfasesEn general, los esquemas deintegracin en las cadenas de valorde clientes, proveedores yasociados, culminan con eldesarrollo de interfases que permiten

el flujo de informacin entre lossistemas de cada una de las partesque conforman estos procesoscomplejos. Estos procesos detransferencia de informacin seapoyan generalmente en serviciosprestados por la plataformatecnolgica, tales como latransferencia de archivos FTP,recursos compartidos va protocolostales como NFS7, y SMB8. Cada unode estos esquemas presentacaractersticas que exigen una

evaluacin de su esquema deseguridad por parte de especialistaPor ejemplo, el protocolo FTP noincorpora esquemas de cifrado yplantea la necesidad, segn sea elcaso, de almacenar la contrasea e

archivos de procesamiento en lote,en tanto que algunas versiones delprotocolo SMB presenta debilidadeampliamente conocidas en elmercado.

Documents

Redes globales entre corporaciones (extranets): Riesgos de conexiones a nuestra red | PwC Venezuela