Seguridad
& Internet
SEGURIDAD
INFORMÁTICA Y PROTECCIÓN DE DATOS
¿Cuál es la selección
de aplicaciones de seguridad informática para cualquier pequeña empresa u
organización? Esta es la gran pregunta que se formulan todos los responsables
con los que se suele hablar. Algunos lo tienen claro y aplican soluciones de
seguridad informática antes de que se produzca algún problema más o menos
grave, ya sea porque solicitan asesoramiento experto o porque poseen una base de
conocimientos para emprender tales acciones.
Mientras que otros han oído
hablar del miedo generalizado que hay sobre lo que podría ocurrir con los datos
contenidos en sus sistemas de información si no se adoptan las medidas
preventivas adecuadas. Y hay que tener en cuenta que, la mayoría de pymes y
pequeñas organizaciones no poseen un responsable de tecnologías de la
información.
En Seguridad0, a diario
nos encontramos con estos casos. La mayoría de pymes españolas, por desgracia,
pertenecen al segundo grupo expuesto anteriormente. Lo peor viene cuando
preguntas si, al menos, han tomado alguna prevención. Las respuestas suelen ser
desoladoras.
En realidad, para
abordar la implantación de medidas de seguridad informática, existen algunas
metodologías de trabajo. Una de las más usadas es la OSSTMM (Open Source
Security Testing Methodology Manual) de Pete Herzog. En resumen, lo que se
propone es medir la seguridad de los siguientes factores: revisión de
privacidad y recolección de documentos, seguridad de los procesos físicos
(personas confiables), verificación de posibles vulnerabilidades, identificación
de sistemas y puertos, implantación de sistemas de seguridad de intrusos y
cortafuegos, elaboración de políticas de seguridad, testeo de modems,
seguridad inalámbrica, entre otros. El OSSTMM entrega plantillas para
cumplimentar con los datos declarados por el responsable de sistemas, y así el
consultor, en función de los resultados, conoce qué es lo que debe hacer.
A todo esto podríamos
agregar un mayor control en las medidas de seguridad que se pueden adoptar para
el correo electrónico corporativo, ya sea contra los virus entrantes como
contra la continua avalancha de correo basura o spam.
Teniendo en cuenta lo
anterior, ¿por dónde deberíamos comenzar?
Protección de datos
Para la revisión de
privacidad y cumplir con la legislación, la LOPD obliga a la declaración de
los ficheros electrónicos que contengan datos de carácter personal (para
evitar posible usos fraudulentos y abusivos) ante la Agencia Española de
Protección de Datos (AGPD). También existen una serie de medidas ocasionales
en páginas web para cumplir con la legislación vigente en materia de la LSSI.
En ambos casos lo mejor es dejarse asesorar por despachos de abogados que traten
estos temas.
El problema de la mayoría
de empresas es la especulación que se ha generado en torno a la LOPD. Algunos
despachos de abogados aprovechan la ocasión, y se han limitado a ofrecer un
“completo servicio”, consistente en cumplimentar senillas plantillas con
documentos de seguridad de nivel bajo, medio y avanzado. Por último, presentan
las bases de datos (no su contenido) a la AGPD y cobran auténticas fortunas por
un proceso que habría costado unas pocas horas de la vida de cualquier
profesional informático con unos conocimientos adecuados. Por fortuna, la mayoría
de despachos de abogados tratan el asunto con excelente profesionalidad.
En algunos casos, los
procedimientos están mejor elaborados. Se suele presentar una auditoría con
los ficheros encontrados y las medidas organizativas del archivo. Todo ello se
entrega en una carpeta con esta auditoría, los documentos de seguridad, y el
resguardo de la presentación de los ficheros ante la AGPD. Se añade a ello un
mantenimiento anual por la posible modificación de datos a lo largo del año. Y
ya está. Empresas como Efenet/Adhec han elaborado un software llamado Hécate,
funcionando bajo licencias, y con un negocio de partners que implica un elevado
desembolso inicial para comenzar a trabajar con ellos, más una cantidad
monetaria por cada auditoría realizada.
Todo un negocio esto de
la LOPD. Nuestra recomendación es ponerse en manos de consultores o asesores
especializados en la seguridad informática y la protección de datos, en quines
se pueda confiar, para evitar ser víctimas de posibles abusos.
Análisis de
vulnerabilidades
Para la verificación de
posibles problemas de seguridad en ordenadores, sistemas y aplicaciones, lo
ideal es utilizar un analizador de vulnerabilidades. Existen algunos que son
excelentes y que ofrecen informes finales que no sólo detallan los posibles
agujeros de seguridad detectados, sino que aconsejan las soluciones a adoptar.
En el mundo Linux, Nessus es un excelente software de código abierto. Sin
embargo, si se prefiere una solución comercial que cuente con el soporte técnico
de un fabricante y una serie de consultorías especializadas, Shadow Security
Scanner constituye una elección idónea, tanto por sus prestaciones como por su
precio contenido.
Cortafuegos
Una vez obtenido el
informe y parcheados los posibles agujeros de seguridad, debe acometerse la
implementación de algún cortafuegos e IDS. Aquí el abanico de elección es
amplio. En el espectro de firewalls de nivel 1, tanto en software como en
hardware, encontramos a Checkpoint y a Cisco. Sin embargo, sus precios pueden
resultar inasumibles para las pymes y pequeños despachos, con lo que éstas
suelen dirigirse a aplicaciones como McAfee Firewall, Noton Internet Security y,
en algunos casos, Zone Alarm.
Una elección excelente
la constituye una solución como Securepoint Firewall & VPN Server. Se trata
de un cortafuegos avanzado, en español, que se instala en una máquina
independiente, gestiona redes privadas virtuales externas, bloquea contenidos
considerados inapropiados, realiza informes en tiempo real, detecta intrusos,
filtra el spam del correo electrónico y, además, hace de antivirus.
Copias de seguridad
La elaboración de políticas
de seguridad es algo sencillo. Consiste en saber cómo actuar en un plan de
contingencia, redactando un documento para ello. Por ejemplo, qué hacer en caso
de pérdidas de datos, dónde se localizan las copias de seguridad, y cuáles
son las contraseñas para acceder a cada uno de los ordenadores de una red. Este
Manual de Calidad debe estar redactado en su totalidad y puesto a salvo en un
archivador bajo llave. Así, en caso de necesidad, el manual es consultado en
aquello que se precisa, y la rapidez de actuación conlleva a la restauración
inmediata ante un desastre.
Dicho esto, sobra decir
que es necesario establecer una política de copias de seguridad. Aquí es donde
el abanico de aplicaciones es inmenso. Acronis True Image es una solución que
genera imágenes de disco completas e incrementales, y que permite la programación
de tareas. El acceso a un menú restaura una imagen previa, sin arrancar el
sistema operativo, dejándolo todo tal y como estaba.
El testeo de modems y la
seguridad inalámbrica deberían dejarse en manos de unos auditores de seguridad
informática o para el administrador de sistemas.
Antivirus
En la parte final de la
pirámide se encuentran los antivirus. Existen tantos que uno nunca saber por cuál
decantarse. Lo ideal es que el antivirus se encuentre centralizado y, si es
posible, integrado con el propio protocolo que cubre. Por ejemplo, puede
utilizarse un antivirus de servidor y, además, uno integrado con el propio
servidor de correo, ya que constituye la principal vía de contagio.
La oferta es variada.
Todo el mundo conoce un antivius u otro, gracias a su divulgación a través de
revistas especializadas. Sin embargo, Avast!, es un antivirus nada conocido en
el mercado español, pero que opera en versiones servidor para Windows y Linux,
estaciones de trabajo y PDA. Por descontado, también está en español. Como
punto negativo, no dispone de distribuidor en España.
Otras mejoras
Colasoft Capsa es un
estupendo sniffer que analiza todo el tráfico de red, y resulta ideal para
conocer en todo momento qué está sucediendo en la LAN. Lo que más sorprende a
las empresas usuarias es que el administrador de la red puede conocer en todo
momento por dónde navega cada estación de trabajo o a dónde se están
enviando correos electrónicos.
Linspire, por su parte,
es un sistema operativo Linux Debian, con un entorno similar al de Windows y tan
fácil de usar como éste. Lo mejor de este sistema operativo es que puede
ejecutar aplicaciones Windows a través de un emulador, que se conecta a
cualquier entorno de red de Windows (compartiendo aplicaciones, recursos e
impresoras), y que instala cualquier aplicación de Internet open source o
gratuita con un simple clic de ratón (uno solo, aunque parezca mentira) a través
de una lista o catálogo que se actualiza desde Internet (llamado CRN).
Linspire cuenta con las
ventajas de seguridad informática de Linux. No le afectan para nada la entrada
de virus que sólo operan con Windows, es muy fácil de usar y muy amigable. Se
instala en apenas 10 minutos de reloj (comprobado), y ya viene preinstalado con
OpenOffice. Los más necesitados pueden instalar el cliente de correo Ximian,
compatible con Outlook y con plug-in para Exchange.
Conclusiones
Con todo lo anterior,
cuando menos, ciertas medidas de seguridad informática pueden darse por
adoptadas. Nunca se puede dogmatizar que la seguridad perfecta existe. Eso no es
cierto, lo afirme quien lo afirme. Pero, al menos, si que se pueden adoptar
medidas preventivas y políticas de seguridad que impidan o minimicen una
hecatombe.
Lo explicado aquí es lo mínimo que debería conocer el responsable de una red o el asesor externo de una empresa, para poder implementar el software necesario. Eso sí, teniendo siempre presente que todo esto es sólo la punta del iceberg