Seguridad 12

REDISEO BOMBOS LIBROS - ISSU - Base Editable - Sep 10.indd 1REDISEO BOMBOS LIBROS - ISSU - Base Editable - Sep 10.indd 1 08/09/2010 15:54:0308/09/2010 15:54:03

SE

GU

RID

AD

IN

FOR

M

TIC

A 4

Fabin Portantier, nacido el 13 de octubre de

1985, en Buenos Aires, es propietario de Portan-

tier Information Security, una consultora especia-

lizada en ayudar a las empresas con la imple-

mentacin de soluciones para la proteccin de

datos, haciendo uso intensivo de tecnologas

de cdigo abierto y productos personalizados,

para satisfacer de forma completa las necesida-

des particulares de cada cliente. Durante varios

aos ha trabajado para una gran cantidad de

empresas, en los sectores de telecomunicacio-

nes, hotelera, educacin, bancos y financieras,

lo que le ha dado un slido conocimiento sobre

las amenazas y vulnerabilidades que pueden

encontrarse en las diferentes infraestructuras

tecnolgicas, as como tambin el conocimiento

de cules son las mejores maneras de protec-

cin para implementar en cada caso.

El inters por la tecnologa se le despert a una

edad muy temprana, de modo que termin

el colegio secundario con el ttulo de Tcnico

en Informtica. Luego realiz varios cursos de

capacitacin en diferentes reas, como diseo

de redes (Cisco Certified Design Associate) y

otros cursos de seguridad. Su conocimiento lo

ha obtenido, fundamentalmente, de forma auto-

didacta, sobre la base de libros, apuntes

y experiencia de campo adquirida

en los diferentes trabajos realizados,

como administrador de sistemas,

programador, administrador de

red y, ms adelante, consultor

en seguridad informtica.

Su fanatismo por los sistemas

GNU/Linux lo ha llevado a

conocerlos profundamente y

a implementarlos en diversas oportunidades para

brindar servicios de sitios web, bases de datos,

correo electrnico, telefona IP, monitoreo de redes,

sistemas de prevencin de intrusos y filtrado de

conexiones. A travs de sus aos como admi-

nistrador de servidores y redes, se ha vuelto un

experto en la programacin de scripts y herra-

mientas en varios lenguajes, como Python, Ruby,

PHP y Perl, con el objetivo de resolver diversas

necesidades, como monitoreo de equipos, envo

de alertas automticas, copias de seguridad e

interconexin entre varios sistemas.

Si bien ha tenido contacto con todas las distribu-

ciones GNU/Linux ms populares y con varios

sistemas UNIX, su sistema operativo favorito es

Debian GNU/Linux, el cual utiliza en sus estaciones

de trabajo desde hace ms de diez aos, as como

tambin en la mayora de los servidores que instala.

Ha realizado diversas auditoras de seguridad

sobre diferentes infraestructuras, de forma tanto

interna como externa, a travs de metodologas

de Penetration Testing y Anlisis de Vulnerabilida-

des, generando reportes y asistiendo al personal

en las tareas de toma de decisiones para solucionar

los problemas de seguridad encontrados. Mantie-

ne un particular inters por el alineamiento de las

necesidades del negocio de las empresas con las

necesidades y posibilidades que ofrece la tecnolo-

ga, y fomenta la buena comunicacin entre el per-

sonal tcnico y los directivos. Esto lo ha llevado

a enfocar sus trabajos en mejorar la seguridad

de los sistemas teniendo en cuenta las

diferentes capacidades de inversin de las

organizaciones, y aprovechando

al mximo las soluciones

que no requieren una gran

EL EXPERTOFABIAN PORTANTIER

Preliminares4a.indd 4Preliminares4a.indd 4 19/01/2012 02:26:29 p.m.19/01/2012 02:26:29 p.m.

EL

EX

PE

RTO

5cantidad de recursos, lo que permite a las empresas

aumentar enormemente sus niveles de seguridad,

sin requerir la inversin de grandes sumas de dine-

ro. Adems de sus amplios conocimientos sobre

el mundo del cdigo abierto, ha trabajado con

productos y tecnologas de diversas empresas,

como Microsoft, Fortinet, Watchguard, Check-

Point, Cisco, TrendMicro, Sophos, Symantec,

VMWare, Oracle, D-Link, SMC, AlliedTelesis, Axis,

HP, IBM, MicroTIK y Motorola. Con ellos ha imple-

mentado soluciones de autenticacin centraliza-

da, administracin de usuarios y perfiles, filtrado

de acceso a sitios web, optimizacin de redes,

virtualizacin de infraestructuras, proteccin

contra malware, seguridad en redes inalmbri-

cas, videovigilancia y arquitecturas de servicios

de alta disponibilidad.

Ha dictado varias capacitaciones, tanto a parti-

culares como a empresas. Su metodologa de

enseanza se enfoca en brindar a los alumnos

fuertes bases tericas, que luego se llevan a la

prctica en laboratorios de pruebas; esto hace

que las clases resulten entretenidas y permite

que los asistentes entiendan exactamente

qu estn haciendo y por qu. Mantie-

ne un gran inters por capacitar a las

personas acerca de cules son las

tcnicas ms utilizadas para atacar

sistemas de informacin y cules

son las formas ms eficaces para

protegerse de ellas.Una de sus lti-

mas actividades ha sido la creacin de

una serie de cursos, formulados sobre la

base de los objetivos de las certificacio-

nes CISSP (Certified Information

Systems Security Profes-

sional) y CEH (Certified

Ethical Hacker), con el

propsito de capacitar

tanto a profesionales que

ya trabajan en el rubro,

como a personas que

quieran ingresar en el

mundo de la seguridad informtica. Con un perfil

orientado fuertemente a los ejercicios prcticos,

incluso ha desarrollado herramientas de software

que permiten explicar de modo didctico todos

los conceptos analizados en las partes tericas

de los cursos.

Ha desarrollado varias aplicaciones de cdigo abier-

to, entre las que se encuentra DEWS, un proyecto

creado ntegramente en el lenguaje de programa-

cin Python, que contiene varias herramientas

destinadas a simplificar las tareas con las que debe

lidiar un profesional de la seguridad informtica.

Tambin la ha utilizado de forma intensiva en sus

cursos, debido a que fue generada de forma tal que

su uso sea sencillo, pero didctico.

Escribe una serie de artculos denominado Escue-

la de Hacking, acerca de las distintas herramientas

y metodologas utilizadas en el mundo de la segu-

ridad, tanto para proteger como para atacar siste-

mas informticos. Con un alto contenido tcnico,

estos artculos permiten a los lectores aprender

constantemente, realizando ejercicios paso a paso

y descubriendo las diferentes tcnicas de hacking

que pueden utilizarse para sacar el mximo

provecho de las diversas tecnologas.

En su sitio web (www.portantier.com)

pueden encontrarse varios recursos

y un newsletter mensual gratuito,

que trata sobre las ltimas tenden-

cias en seguridad y brinda trucos

para que los profesionales puedan

sacar el mximo provecho de las herra-

mientas disponibles.

Dedicatoria:

A mi madre y a mi

padre porque, en

cierta forma, ellos

tambin escribieron

este libro.


SE

GU

RID

AD

IN

FOR

M

TIC

A 1

0

SOBRE EL AUTOR 4

PRLOGO 6

EL LIBRO DE UN VISTAZO 8

CAPITULO 1LA SEGURIDAD INFORMTICAINTRODUCCIN 14

LA SEGURIDAD CMO PROFESIN 16

EL ESTUDIO, NUESTRO PAN DE CADA DA 18

Ttulos y certificaciones 19

METODOLOGAS DE TRABAJO 20

Defensa en profundidad 21

EL PRINCIPIO KISS 22

DESDE ARRIBA HACIA ABAJO 24

LA SEGURIDAD EN LAS EMPRESAS 26

LA SEGURIDAD COMO PROCESO DE NEGOCIO 26

METRICAS DE SEGURIDAD 28

MEJORA CONTINUA 28

CAPITULO 2GESTIN DE LA SEGURIDADINTRODUCCIN 32

EL AUTOCONOCIMIENTO 34

ANLISIS CUALITATIVO VS. CUANTITATIVO 37

AMENAZAS Y VULNERABILIDADES 38

IMPLEMENTACIN DE CONTROLES 44

POLTICAS Y OTROS DOCUMENTOS 46

Estndares 48

Procedimientos 49

RESPONSABILIDADES 49

El equipo de seguridad 50

Capacitacin al personal 52

Dueos, custodios y usuarios de datos 53

CONTENIDOS SEGURIDAD INFORMTICA

CAPITULO 3CONTINUIDAD DEL NEGOCIOINTRODUCCIN 56

COPIAS DE RESPALDO 57

MONITOREO 60

CONTROL DE CAMBIOS 63

AMBIENTES DE PRUEBAS Y PRODUCCIN 65

GESTIN DE INCIDENTES 66

BIA, BCP Y DRP 70

SITIOS DE CONTINGENCIA 74

Sitio de contingencia en fro (Cold Site) 74

Sitio de contingencia tibio (Warm Site) 74

Sitio de contingencia en caliente (Hot Site) 74

CAPITULO 4TELECOMUNICACIONESINTRODUCCIN 76

INVENTARIO DE DISPOSITIVOS 77

SWITCHES INTELIGENTES 77

ARPALERT 77


CO

NT

EN

IDO

S 1

1

CAPITULO 5SISTEMAS OPERATIVOSINTRODUCCIN 110

WINDOWS VS. UNIX 111

CONSEJOS PARA SISTEMAS WINDOWS 112

CONSEJOS PARA SISTEMAS UNIX 113

HARDENING 114

NETWORK ACCESO CONTROL 118

Tcnologa Nac 118

MALWARE 119

PROTECCIN DE CAPAS 121

FIREWALLS 122

BACKUPS 124

HERRAMIENTAS SIN AGENTES 124

HERRAMIENTAS EN AGENTES 124

SCRIPTS PERSONALIZADOS 124

RECUPERACIN COMPLETA 125

AUTENTICACIN MULTIFACTOR 125

TOKENS O SMART CARDS 125

TOKENS VIRTUALES 126

TARJETAS DE COORDENADAS 126

BIOMETRA 127

SERVIDORES DE AUTENTICACIN 128

ANLISIS DE LOGS 130

SERVIDORES CENTRALIZADOS 131

ADMINISTRACIN REMOTA 132

PORT KNOCKING 133

WMI 133

RDP Y VNC 136

SSH 136

SNMP 137

WEBMIN 137

SCRIPTING 77

ROUTERS Y SWITCHES 78

PORT SECURITY 80

DHCP SNOOPING 82

CUENTAS DE ACCESO CENTRALIZADAS 83

Tacacs+ 83

Radius 83

Diameter 83

UTILIZACIN DE SERVIDORES SYSLOG 84

FIREWALLS 84

REDES INALMBRICAS 86

PREVENCIN DE INTRUSOS 90

IMPLEMENTACIN DE SISTEMAS IDS 92

ADMINISTRACIN REMOTA 93

CLI VS. TUI VS.GUI VS. WUI 94

PROTOCOLOS TCP/IP 95

SSH 96

TLS 97

SMTP, IMAP Y POP3 97

HTTP Y FTP 98

DHCP 99

DNS 100

SNMP 101

DISEO DE REDES SEGURAS 102

ZONAS DESMILITARIZADAS 104

Firewalls 104

Router 105

Servidor 105

SEPARACIN DE VLANS 106

REDES PRIVADAS VIRTUALES 108


SE

GU

RID

AD

IN

FOR

M

TIC

A 1

2

DETECCIN DE INTRUSOS 137

HONEYPOTS 139

GESTIN DE PARCHES 141

CAPITULO 6NUEVAS TENDENCIASINTRODUCCIN 144

WEB 2.0 115

REDES SOCIALES 115

GOOGLE HACKING 146

PHISHING Y ROBO DE IDENTIDAD 147

SERVICIOS DE MENSAJERA 149

MENSAJERA INSTANTNEA 150

TRANSFERENCIAS DE ARCHIVOS 151

FUGA DE INFORMACIN 152

COMUNICACIONES NO DESEADAS (SPAM) 153

VOIP 154

ESPIONAJE DE COMUNICACIONES 155

VIDEOCONFERENCIAS 155

VIRTUALIZACIN 156

Asegurar los equipos de Host 156

Asegurar los medios de almacenamiento 157

Asegurar las maquinas virtuales 157

Utilizar las plantillas de maquinas virtuales 157

La gestin de la infraestructura virtual 157

Filtros fsicos en las zonas de alta criticidad 157

Los sistemas host son tan crticos como la

mquina virtual que corre sobre ellos 158

Separar una red para administracin 158

Garantizar la conectividad de la infraestructura

con las dems redes 158

Implementar separacin de tareas para la

gestin de la infraestructura 159

Contar con redundancia de equipos 159

CLOUND COMPUTING 159

Utilizar encriptacin de discos 160

Asegurar copias de respaldo de los datos 160

Contratar solo a proveedores de confianza 160

La privacidad de los datos 161

DIFERENCIAS CON OTROS SERVICIOS 161

TECNOLOGA MVIL 162

DISPOSITIVOS PORTTILES 162

TELETRABAJO 163

ATAQUES DIRIGIDOS 164

Denegacin de servicios (DOS) 164

El peligro de la perseverancia 166

IPV6 166

EXPECTATIVAS PARA EL FUTURO 167

APNDICEETHICAL HACKINGCLASIFICACIONES 173

INTERNO/EXTERNO 174

CAJA BLANCA/CAJA NEGRA 174

RECONOCIMIENTO 175

ESCANEO 175

Tipos de escaneo 176

Identificacin de servicios 177

Explois 178

Informe Tcnico 180

QUE SIGUE? 181

NDICE TEMTICO 184

CATLOGO 188

SERVICIOSAL LECTOR


LA SEGURIDAD INFORMTICA

CAPTULO 1

PARA APROVECHAR ESTE CAPTULO

DESTACARLO COMO MATERIAL DE CONSULTA PERMANENTE, YA QUE MUCHAS DE LAS BASES QUE AQU SE EXPLICAN VAN A UTILIZARSE DURANTE EL RESTO DEL LIBRO.

RECORDAR QUE NO PODEMOS CENTRARNOS NICAMENTE EN LOS ASPECTOS TCNICOS, SINO QUE TAMBIN DEBEMOS CONSIDERAR LOS ASPECTOS ADMINISTRATIVOS DE LA PROFESIN.

ANALIZAR CADA CONCEPTO EXPUESTO EN ESTE CAPTULO Y COMPARARLO CON NUESTRA FORMA ACTUAL DE TRABAJO. VER EN QU PODEMOS MEJORAR.

"LA

SEGU

RIDA

D IN

FORM

TIC

A" P

OR F

ABIA

N P

ORTA

NTI

ER

CAP1Vista Final.indd 13CAP1Vista Final.indd 13 17/01/2012 05:16:57 p.m.17/01/2012 05:16:57 p.m.

1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

14

En este captulo aprenderemos a :Objetivo 1 Obtener una visin global de la seguridad informtica.

Objetivo 2 Diferenciarnos como verdaderos profesionales.

Objetivo 3 Comprender los objetivos de la seguridad en las empresas.

Objetivo 4 Entender las metodologas que atraern el xito a nuestro trabajo.

Con el correr de los aos, los seres humanos

dependemos cada vez ms de la tecnologa para

mantener nuestro estilo de vida. Ya sea para que

las empresas puedan desarrollar sus negocios o

para que las personas realicen sus tareas cotidia-

nas, la tecnologa siempre est ah, simplificando

las cosas. Esto ha llevado a una dependencia en

la cual no todas son ventajas. Si nos situamos

unos veinte aos atrs, podemos imaginar que

la prdida de conectividad con Internet o el mal

funcionamiento de un sistema resultaba algo

bastante molesto. Hoy en da, la prdida de

conectividad significa que una empresa quede

prcticamente inoperante.

Figura 1. El robo de identidad es una de las actividades delictivas que han crecido con el uso de la tecnologa. En respuesta a esto, se han creado varios sitios que ofrecen ayuda e informacin para combatir este tipo de crmenes, como es el

caso de www.ftc.gov/

bcp/edu/microsites/

idtheft.

LA SEGURIDAD INFORMTICA


INT

RO

DU

CC

IN

15

Figura 2. En el grfico podemos observar las categoras de los sitios que han sufrido ataques de phishing durante 2010; se nota claramente que los relacionados con actividades financieras son el objetivo de los criminales.

A medida que las personas volcamos nuestras

vidas hacia la tecnologa, almacenamos infor-

macin personal, registros mdicos y balances

de cuenta en sistemas informticos. Y a medida

que las organizaciones confan en la tecnologa

para hacer negocios, establecer comunicaciones

y transferir fondos, empiezan a aparecer otras

personas, no tan bien intencionadas, que ven la

tecnologa como una excelente plataforma para

cometer acciones ilcitas, con el fin de obtener

beneficios a costa de los dems. Debido a esto,

los daos por robo o prdida de informacin cre-

cen a la par de nuestra dependencia tecnolgica.

Muchos criminales optan por utilizar la tecno-

loga como herramienta, ya sea para cometer

nuevas formas de crimen o para complementar

que ya estn difundidas.

En el caso de las empresas, debemos sumar los

intereses que puede llegar a tener la compe-

tencia por obtener datos confidenciales, como

planes de marketing, balances financieros, datos

de clientes, etctera.

Adems de malware y virus, nos referimos a programas especializados en robar informacin bancaria, en extraer datos personales y en realizar acciones direccionadas al enriquecimiento ilcito

agos electrnicos38%

Otros24%

Suba6%

Financier33%

Fpcqd2qa

Pagos

Otros

astas%

era


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

16

Figura 3. ISO (www.

iso.org) es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin. Su funcin principal es buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.

Es por eso que se ha vuelto necesario establecer

mejores prcticas y crear herramientas destinadas

a proteger la informacin de las personas y las

organizaciones. Todos estos esfuerzos se conocen

como seguridad informtica, y han ido evolucio-

nando hasta convertirse en un rea de estudio que

dio lugar a la existencia de profesionales dedicados,

exclusivamente, a proteger la informacin.

LA SEGURIDAD COMO PROFESINSer un profesional de la seguridad informtica

es una tarea bastante particular, debido a que,

como veremos ms adelante, nos llevar a tener

relacin con todas las reas de una empresa.

Es imperativo que tengamos un conocimiento

amplio acerca de cmo funciona la organizacin

para la que estamos trabajando, sus procesos de

negocio, sus objetivos y otros aspectos. Solo de

esta manera podremos tener una visin global

acerca de cmo es adecuado proteger la infor-

macin con la que trabajamos.

Esta es una profesin para la cual precisamos

estudiar una gran cantidad de material, teniendo

en mente varios estndares y metodologas,

lo que puede llevarnos a pensar solamente en

lo que debera hacerse y olvidarnos de lo que

puede hacerse. Lo que debera hacerse es

exactamente lo que dice la norma ISO 27000.

Si nos detenemos a pensar, esta es una norma

escrita por profesionales destacados, con una

amplia experiencia y un entendimiento claro de

lo que es la seguridad de la informacin.

Debemos ser objetivos con las medidas de seguridad, considerando los intereses de la organizacin como principal motor de accin


LA

SE

GU

RID

AD

CO

MO

PR

OF

ESI

N

17

DEL EXPERTOEn la prctica profesionalEn lo que a medidas de seguridad infor-

mtica se refiere, no es tan importante

la cantidad de recursos que invertimos,

sino que ms bien debemos considerar la

inteligencia con la cual implementamos

dichas medidas. Actualmente existen mu-

chas soluciones gratuitas o de bajo costo,

que podemos implementar para simplificar

nuestras tareas. Debemos considerar que

la implementacin de medidas de segu-

ridad va a representar no solamente una

inversin econmica, sino tambin una

inversin de tiempo. Existen varias herra-

mientas de seguridad que pueden permi-

tirnos reducir los tiempos que nos lleva

realizar ciertas tareas, por lo que debemos

considerar las capacidades tcnicas de

estas herramientas, si no tambin los bene-

ficios que pueden traernos en nuestro da

de trabajo. Debido a que estas

herramientas simplifican las

tareas diarias, podemos

no solamente aumentar

la seguridad de nuestros

sistemas, y adems aho-

rrar recursos, tanto de

tiempo como de dinero.

Este es uno de los factores

que marcan la diferencia

entre un novato

y un verdadero

profesional.

que senectus

et netus et

malesuada

Lo que puede hacerse son las mejores prcti-

cas que podemos implementar, muchas veces,

basndonos en normas como la ISO 27000,

pero considerando que nuestros recursos son

limitados. Incluso en las organizaciones ms

grandes, los recursos tienen un lmite; la nica

diferencia es la cantidad de ceros a la derecha

que tienen esos lmites.

Aqu entra en juego nuestra capacidad para

poner los pies sobre la tierra y discernir entre lo

que dice una norma de mejores prcticas acerca

de todo lo que debera hacerse para proteger la

informacin de una organizacin, y los recursos

con los que cuenta una entidad para implemen-

tar medidas de seguridad, sin entrar en quiebra

por tener que realizar dichas inversiones.

Tengamos en cuenta que los objetivos de las

organizaciones son variados: captar ms clientes,

ganar ms dinero, brindar mejores servicios,

tener los costos ms bajos, y otros, pero

no existe ninguna organizacin en la que el objetivo principal sea tener las mejores medidas de seguridad informtica

Entre 2008 y 2009, los ataques informticos para realizar fraudes fi nancieros mostraron un crecimiento del 66% (Fuente: CSI Survey 2009)


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

18

Figura 4. En la foto, Kevin Mitnick, uno de los hackers ms famosos, quien luego de haber pasado varios aos en prisin, se dedic a brindar servicios como profesional de la seguridad y a escribir libros sobre el tema.

como todo individuo en una organizacin,

nuestro trabajo es ayudar que esta alcance sus

objetivos. Nosotros lo haremos implementando

las medidas de seguridad adecuadas, para evitar

prdida de datos, robo de informacin y fraudes.

Teniendo esto en cuenta, seremos profesionales

que aporten verdadero valor a la organizacin y

estaremos muy bien vistos en todos los niveles

jerrquicos de la empresa.

EL ESTUDIO, NUESTRO PAN DE CADA DAEst implcito que, si hemos elegido esta carrera,

tenemos una gran aficin por los avances tecno-

lgicos y el estudio de los sistemas.

Tener la capacidad de asegurar un sistema implica tener el entendimiento de cmo este funciona Por lo tanto, es preciso estar ampliamente

capacitados en varias tecnologas, y mantener

un estudio constante acerca de los cambios y las

nuevas posibilidades que se abren ao tras ao.

En varias carreras, para tener xito necesitare-

mos alcanzar algo que se llama superespecializa-

cin. Esto quiere decir que tendremos un conoci-

miento extremadamente avanzado acerca de un

tema especfico. Por ejemplo, hay profesionales

que estn superespecializados en tecnologas

de storage. Esto les permite ser de primer nivel,

con la capacidad de solucionar prcticamente

cualquier tipo de problemas que pueda surgir

dentro de su rea de estudio.

En el caso de la seguridad informtica, la supe-

respecializacin no sirve. Estamos hablando de

una carrera en la cual necesitamos trabajar con

todas las tecnologas que utiliza una organiza-

cin: las redes, los sistemas operativos, el storage,

las aplicaciones, etctera. Pero, obviamente, no

podemos ser expertos en todo, sino que ser

preferible tener un entendimiento amplio de

cada una de estas tecnologas. Esto nos dar

una visin abarcativa de toda la infraestructura

tecnolgica, con lo cual tendremos la capacidad

de implementar soluciones de seguridad para


EL

EST

UD

IO, N

UE

STR

O P

AN

DE

CA

DA

DA

19

Figura 5. El servicio gratuito Una al da, provisto por

Hispasec Sistemas (www.hispasec.com), brinda un canal RSS con una noticia de seguridad diaria. Esta es una excelente forma de mantenernos actualizados.

Capacitarnos constantemente mantiene

nuestros cerebros giles y receptivos a

nuevos conocimientos y experiencias. A

medida que pasa el tiempo, vamos a notar

que nos es cada vez ms fcil leer docu-

mentacin tcnica y entender cmo fun-

cionan los sistemas. Incluso vamos a tener

la capacidad de deducir cosas que no nos

son explicadas, debido a la experiencia que

iremos desarrollando y a que el diseo de

los sistemas y las herramientas suele seguir

ciertos patrones comunes, que se repiten

en la mayora de las soluciones. Tambin

es muy recomendable que constantemente

probemos nuevos productos y tecnologas,

aunque no vayamos a utilizarlos. Para cono-

cer cules son las herramientas que tenemos

a nuestra disposicin, y cules son las nuevas

capacidades que se nos ofrecen. Esto nos

permitir analizar futuras com-

pras o implementar esas

funcionalidades nosotros

mismos. Estar al tanto

de las ltimas tenden-

cias del mercado es

un requisito excluyente

para mantenernos como

profesionales de elite.

EN LA PRCTICA PROFESIONAL

toda la organizacin, teniendo en cuenta todos

los aspectos que la afectan.

TTULOS Y CERTIFICACIONESLa industria tecnolgica tiene la particularidad

de que no es necesario contar con ttulos o

certificaciones que avalen nuestros conoci-

mientos para que podamos ser profesionales.

Si bien este tipo de reconocimientos puede

abrirnos las puertas a diferentes oportunida-

des laborales, no son totalmente necesarios.

Tomando otras carreras como ejemplo, ya sea

la medicina, la abogaca o la contadura, todas

requieren, obligatoriamente, el ttulo de grado

para poder ejercer. Dicho esto, muchas veces

surge el interrogante de si es necesario o no

poseer certificaciones que acrediten nuestras

competencias profesionales. Aqu, como en

muchas otras cuestiones, la respuesta es:

depende. Siempre debemos tener en cuenta

el costo y el beneficio asociado a tener una

acreditacin. El costo puede ser econmico, el

tiempo de estudio que nos demande, etc-

tera. Tambin debemos considerar el cargo

profesional al que apuntamos, debido a que, en

ciertas organizaciones, es imprescindible tener

un ttulo para obtener trabajo. Puntualmente,

en la seguridad informtica se habla ms de

certificaciones que de ttulos de grado, por ser

estas ms flexibles y estar ms actualizadas.

En caso de que queramos diferenciarnos del

resto, y de acuerdo con el perfil profesional

que busquemos, podemos optar por diferen-

tes certificaciones. Algunas de ellas son CISSP,

Security+, CISA , CISM y CEH, entre otras.


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

20

Figura 6. CISSP (www.isc2.org) es considerada como una de las credenciales de mayor representatividad en el mbito de la seguridad informtica a nivel mundial.

OTRAS FUENTES DE INFORMACINPara conocer ms acerca de las certifi-

caciones de seguridad ms importantes,

podemos visitar sus sitios web corres-

pondientes: CISSP (www.isc2.org), CEH

(www.eccouncil.org) y Security+ (www.

comptia.org). Tambin podemos obtener

ms informacin sobre las certificacio-

nes ms respetadas, as como consejos

y precios de los exmenes, en www.

portantier.com

Otro punto importante, que muchos profesiona-

les dejan de lado, es el dominio del idioma ingls.

Este es necesario para comprender la mayora

de la documentacin existente sobre seguridad.

Si tenemos problemas para dominar este idioma,

estaremos muy limitados en cuanto a las fuentes

de informacin de las cuales podamos nutrirnos.

Es importante que contemos con la capacidad

de leer en ingls, aunque podemos dejar de lado

el hecho de hablar y escribir, tareas no tan nece-

sarias para el estudio. De todos modos,

lo ms importante siempre ser nuestra aptitud y nuestros conocimientos, ms all de cualquier ttulo que podamos tenerTambin son valorables nuestra capacidad

para resolver problemas, el hecho de poder

brindar las mejores soluciones e implementar

correctamente las medidas de seguridad, ya

que esto nos diferenciar como profesionales

de primer nivel. Tengamos en cuenta que

contar con una certificacin garantiza que

tenemos nociones acerca de ciertos tipos de

conocimientos, pero el no contar con una no

quiere decir que no los tengamos.

METODOLOGAS DE TRABAJOComo toda rea de estudio en desarrollo, la

seguridad informtica ha ido mutando con el

correr del tiempo. Fue necesario crear nuevas

tecnologas especficas para la proteccin de

los datos, con la misma frecuencia con la que se

crean las tecnologas que estamos encargados

de proteger. Pero, ms all de que podamos

evolucionar constantemente generando nuevos

mecanismos de defensa, es necesario que conte-

mos con bases slidas sobre las cuales podamos

trabajar. Estas bases son las metodologas que

utilizamos para realizar nuestras tareas; debemos

pensar en ellas como los fundamentos de cada

una de nuestras acciones.

Es preciso ubicar estos conceptos en un nivel

amplio, sin ser especficos, sino ms bien

globales, para que nos marquen los linea-

mientos acerca de cmo debemos proceder.

En las siguientes pginas analizaremos varias


ME

TOD

OLO

GA

S D

E T

RA

BA

JO 2

1

Figura 7. El enfoque en capas nos permitir organizar mejor los controles que implementemos y aumentar la seguridad de nuestra organizacin.

Figura 8. La NSA (www.nsa.gov) es la agencia criptolgica del gobierno de los Estados Unidos. Es un excelente recurso de informacin, ya que constantemente se publican documentos de inters;

es la desarrolladora del proyecto SELinux.

metodologas que podemos implementar para

aumentar nuestra productividad y destacar-

nos como profesionales de primer nivel.

DEFENSA EN PROFUNDIDADComo la seguridad informtica es una ciencia

tan innovadora y evolutiva, suele plantear nue-

vas maneras de hacer las cosas. Pero existe

una metodologa implementada en todo el

mundo, que nadie pone en discusin y siem-

pre se promueve como la mejor: la defensa

en profundidad apunta a implementar varias

medidas de seguridad con el objetivo de

proteger un mismo activo. Es una tctica que

utiliza varias capas, en la que cada una provee

un nivel de proteccin adicional a las dems.

Como veremos ms adelante, ninguna medida

de seguridad puede ser perfecta, con lo cual es

mucho mejor contar con varias medidas, cada

una de las cuales cumplir su papel. Esto hace

que no tengamos una dependencia absoluta

de una sola medida de seguridad, lo que nos

permite la posibilidad de fallo y hace que sea

mucho ms complejo acceder a un sistema

de forma no autorizada. Dicha estrategia ha

sido formulada por la NSA (National Security

Agency), como un enfoque para la seguridad

informtica y electrnica.

En un principio, este concepto se utiliz como

una estrategia militar que buscaba retrasar ms

Las certifi caciones CISSP, CISA y CISM continan siendo las ms valoradas por el mercado latinoamericano(Fuente: II Encuesta Latinoamericana de Seguridad de la Informacin ACIS 2010)

Datos

Seguridad Fsica

Polticas y Procedimientos

Capacitacin

Aplicaciones

Hosts

Red

Permetro


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

22

Desde el punto de vista del atacante, es

mucho ms difcil penetrar un sistema que

cuente con varias medidas de seguridad,

debido a que siempre existe la posibilidad

de que una de ellas sea fcilmente saltada,

aprovechando un error humano o alguna

otra condicin particular, pero habr otras

para protegerlo.

MUST KNOWque prevenir el avance del enemigo, lo que permita ganar tiempo, muy valioso en el

campo de batalla.

Debemos implementar dichas medidas basn-

donos en el paradigma de proteger, detec-

tar y reaccionar. Esto significa que, adems

de incorporar mecanismos de proteccin,

tenemos que estar preparados para recibir

ataques, e implementar mtodos de deteccin

y procedimientos que nos permitan reaccio-

nar y recuperarnos de dichos ataques.

Es muy importante balancear el foco de las

contramedidas en los tres elementos prima-

rios de una organizacin: personas, tecnologa

y operaciones.

Personas: alcanzar un nivel de seguridad ptimo

empieza con el compromiso de la alta gerencia,

basado en un claro entendimiento de las ame-

nazas. Este debe ser seguido por la creacin de

polticas y procedimientos, la asignacin de roles

y responsabilidades, la asignacin de recursos y

la capacitacin de los empleados. Adems, es ne-

cesario implementar medidas de seguridad fsica

y control de personal con el fin de monitorizar las

instalaciones crticas para la organizacin.

Tecnologa: para asegurar que las tecnologas

implementadas son las correctas, deben estable-

cerse polticas y procedimientos para la adqui-

sicin de la tecnologa. Es preciso implementar

varios mecanismos de seguridad entre las

amenazas y sus objetivos; cada uno debe incluir

sistemas de proteccin y deteccin.

Operaciones: se enfoca en las actividades

necesarias para sostener la seguridad de la

organizacin en las tareas cotidianas. Este tipo

de medidas incluye: mantener una clara poltica

de seguridad, documentar todos los cambios

efectuados en la infraestructura, realizar anlisis

de seguridad peridicos e implementar mtodos

de recuperacin.

EL PRINCIPIO KISSEl principio KISS recomienda la implemen-

tacin de partes sencillas, comprensibles y

con errores de fcil deteccin y correccin,

rechazando lo complicado e innecesario en

el desarrollo de una solucin. El origen de

este acrnimo es la frase en ingls Keep It

Simple, Stupid (que, traducido al espaol,

significa: mantenlo simple, estpido). Aunque,

implementado en el rea de seguridad, y para

ser menos ofensivos, bien podramos decir

Keep It Simple & Secure (mantenlo simple y

seguro). La idea detrs de esto corresponde a

la certeza de que

las cosas simples y fciles de entender suelen tener mucha mejor aceptacin que las complejas


EL

PR

INC

IPIO

KIS

S 2

3

Figura 9. Muchas herramientas buscan mostrar de forma simple y grfica el estado de la seguridad. Esto nos permite entender rpidamente cul es nuestra situacin actual para, luego, enfocarnos en los detalles.

Adems, son mucho ms fciles de mantener, y

esto es muy importante para las soluciones de

seguridad, que muchas veces suelen caer en una

excesiva complejidad, lo que termina en solucio-

nes inentendibles e inmantenibles.

Este concepto est relacionado directamente

con el principio de parsimonia, segn el cual:

cuando dos teoras en igualdad de condiciones tienen las mismas consecuencias, la ms simple tiene ms probabilidades de ser correcta que la compleja

Este principio es atribuido a Guillermo de Oc-

kham, por lo que tambin es conocido como

La navaja de Ockham.

Dicho principio puede (y debe) ser aplicado

siempre y cuando nos encontremos en la

situacin de tener que elegir entre varios

controles de seguridad que sean iguales o

muy semejantes en cuanto a los beneficios

que pueden aportarnos, pero diferentes en

cuanto a su diseo y complejidad. Debemos

prestar mucha atencin a esto y no caer en

implementar lo que nos sea ms fcil, aun a

costa de minimizar la funcionalidad o perder

el foco de nuestro objetivo. Por lo tanto, es

fundamental hacer un anlisis completo de las

soluciones disponibles a travs de las metodo-

logas que veremos ms adelante, teniendo en

cuenta que, a veces, la complejidad de una so-

lucin es la nica forma de que esta satisfaga

verdaderamente nuestras necesidades.


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

24

Tambin hay que considerar los recursos

con los que contamos para implementar un

control de seguridad, tanto humanos, como

de tiempo y dinero.

Esto ser fundamental para la toma de decisio-

nes, debido a que una solucin compleja, a la

larga, puede ser imposible de mantener por una

organizacin pequea, en tanto que una dema-

siado sencilla puede no ser suficiente para los

requerimientos de una organizacin grande.

DESDE ARRIBA HACIA ABAJOCuando se construye un edificio, el proyecto

empieza con el diseo de los planos; luego, se

construye la base y el resto del edificio, con cada

puerta y ventana en su lugar, como est especifi-

cado en los planos. A continuacin, los inspecto-

res verifican que el edificio est bien construido y

que siga las indicaciones de los planos. Notaron

la cantidad de veces que aparece la palabra

planos? Es porque son muy importantes!

Los objetivos de una organizacin son los planos de un edifi cio. Deben estar bien defi nidos desde el principio, para que todo el programa de seguridad est desarrollado en base a ellos

En mis aos de consultor me ha tocado

conocer varios casos de implementacio-

nes fallidas, que he tenido que solucionar.

Una de las ms memorables es la de una

empresa que, como primera medida de

seguridad para proteger sus puertos USB,

decidi introducir pegamento en cada uno

de ellos, bloquendolos fsicamente. Esta

decisin haba sido tomada por la gerencia,

al ver que no necesitaban los puertos USB y

que el pegamento era la forma ms sencilla

y econmica para anular la posibilidad de

acceso a ellos. Por desgracia, varios meses

despus, esa compana se vio complicada al

notar que muchos de los nuevos dispositi-

vos que necesitaban utilizar requeran una

conexin USB (como teclados, mouses y

tokens de seguridad). En conclusin, la em-

presa tuvo que quitar el pegamento de los

puertos USB (algunos quedaron igualmente

inutilizables) e implemen-

tar un herramienta para

el controladores. Esto

re- present un gasto de

tiempo y dinero que

se podra haber

evitado

desde un

EXPERIENCIA PROFESIONAL

Figura 10. Guillermo de Ockham fue un fraile y filsofo ingls, oriundo de Ockham, de ah su nombre. Para ms informacin: http://es.wikipedia.org/wiki/Guillermo_de_Ockham.


DE

SDE

AR

RIB

A H

AC

A A

BA

JO 2

5

Muchas veces las organizaciones toman el cami-

no corto, y empiezan a instalar aplicaciones de

seguridad y a poner pegamento en los puertos

USB para bloquearlos (s, realmente algunos

hacen eso). El problema no est en lo precario de

aplicar el pegamento, sino en lo intil de trabajar

sin saber hacia dnde queremos ir.

Lo que debemos hacer es empezar por tener una

idea amplia y poco especfica de lo que queremos

obtener. Luego, sobre la base de estas ideas, pasa-

remos a trabajar en los detalles de las tareas que

vamos a realizar para alcanzar los objetivos fijados.

El siguiente paso es desarrollar e implementar

las guas, estndares y procedimientos que van a

soportar las ideas generales escritas inicialmente.

A medida que avanzamos en el proceso, vamos

siendo cada vez ms especficos, pero siempre

Figura 11. Una vez que tengamos los objetivos bien definidos, podemos pasar a desarrollar la tctica a travs de la cual planeamos alcanzarlos. Hecho esto, estaremos en condiciones de pensar en las tcnicas que utilizaremos.

con los objetivos principales en mente, hasta

llegar a definir cada una de las configuraciones

necesarias para cumplir con nuestras metas.

Es importante trabajar con esta metodologa,

porque eso hace que no necesitemos realizar

cambios drsticos ni redisear grandes partes de

nuestros planes. Al principio, puede parecer que

este enfoque lleva ms tiempo y trabajo, pero,

a medida que avancemos, notaremos que es el

enfoque ms sencillo, prctico y acertado.

Un programa de seguridad debe estar soportado y dirigido por la alta gerencia, para luego ser distribuido hacia abajo en el rbol jerrquico, hasta alcanzar a toda la organizacin Este enfoque se conoce como desde arriba

hacia abajo. De esta forma, es fcil que toda la

organizacin sea contagiada con los conceptos

propuestos, y as se logre un trabajo armonioso

y cooperativo. Este es el enfoque indicado si

consideramos que la seguridad de la informacin

debe ser prioridad dentro de los objetivos de la

organizacin, que son definidos, como cualquier

otro, por la alta gerencia.

Objetivos

Estrategia

Tctica

Tcnica


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

26

LA SEGURIDAD EN LAS EMPRESAS

Las empresas, de forma consciente o inconscien-

te, han volcado sus procesos de negocio neta-

mente a los sistemas de informacin. Siempre

con el fin de volverse ms productivas, ahorrar

costos y poder realizar negocios en todas partes

del mundo, cada una de las operaciones de una

empresa se ha transformado en parte de una

aplicacin informtica.

La informacin, que aos atrs era almacenada

en papel (el cual poda guardarse en un lugar

conocido, leerse, copiarse y destruirse a mano),

ahora se encuentra dispersa en forma de ceros

y unos, dentro de varios medios de almace-

namiento, como memorias USB, discos duros,

dispositivos pticos, y otros. Esto ha creado una

amplia diversidad de fuentes de informacin, que

nosotros estamos encargados de proteger.

Dentro de las filas de una organizacin que

se rige por un presupuesto, nuestros recursos

para brindar proteccin y seguridad sern

limitados. Algunas empresas asignan ms

capital a la seguridad informtica que otras,

pero lo cierto es que todos, en mayor o menor

medida, nos encontramos limitados en cuanto

a los recursos de que podemos disponer para

realizar nuestras tareas.

Figura 12. Los pendrives USB han abierto nuevas formas de ataque, debido a que son un excelente hogar para todo tipo de virus. Adems, son un medio muy utilizado para el robo de informacin.

Figura 13. LinkedIn y otras redes sociales se presentan como un desafo para la seguridad, debido a que pueden ser utilizadas para trabajar, pero tambin, para difundir informacin confidencial.

Como buenos profesionales de la seguridad, debemos tener en cuenta las necesidades de la organizacin, con el fi n de alinear las prcticas de seguridad con los objetivos de la empresa

Esto es imprescindible si pretendemos integrar la

seguridad como uno de los procesos de negocio.

LA SEGURIDAD COMO PROCESO DE NEGOCIOComo vimos anteriormente, el compromiso con

la seguridad debe partir desde lo ms alto del

rbol jerrquico de una organizacin: la alta ge-

rencia. Para esto, es necesario que las personas

encargadas de definir los rumbos de la empresa

vean la seguridad como un proceso que no los

obliga a gastar dinero, sino que les permite tanto

ahorrarlo como ganarlo. Bsicamente, cul es la

diferencia entre ahorrar dinero y ganar dinero?


LA

SE

GU

RID

AD

EN

LA

S E

MP

RE

SAS

27

Figura 14. Tengamos en cuenta con quin estamos hablando, y pensemos correctamente en qu decir y cmo hacerlo. De lo contrario, es muy probable que no nos presten la atencin que deseamos.

Si aseguramos nuestros sistemas de modo que

no tengamos interrupciones de servicio, estare-

mos ahorrando el dinero que perderamos al no

poder trabajar. Si les demostramos a nuestros

clientes un compromiso con la seguridad de sus

datos y con brindar un servicio de primer nivel,

estaremos ganando ms dinero porque atraere-

mos ms clientes y mantendremos contentos a

los que ya tenemos. Estos son, simplemente, dos

ejemplos de cmo podemos utilizar la seguridad

informtica con objetivos directamente relaciona-

dos con el negocio.

Las empresas ven como obstculos de seguridad la falta de apoyo de la gerencia (15,21%) y la falta de entendimiento (18,47%) (Fuente: II Encuesta Latinoamericana de Seguridad de la Informacin ACIS 2010)

Para todo profesional de la seguridad, es de

suma importancia tener la capacidad de expo-

ner estos conceptos ante los directivos de una

empresa, con el objetivo de llamar su atencin.

Como cada persona habla su propio lenguaje,

dependiendo de su rea de especializacin, es

imposible que podamos convencer al gerente

de marketing sobre las ventajas del nuevo

sistema de proteccin de datos personales, si

le marcamos que lo bueno del sistema es que

est programado en Python y que usa una

capa de abstraccin que permite extender el

sistema por medio de plugins que se desarro-

llan utilizando la API del fabricante. Seguramen-

te, apenas escuche la palabra Python, dejar

de prestarnos atencin.

Una situacin muy distinta puede darse si le

explicamos que tener un sistema de proteccin

de datos personales permite asegurar a nuestros

clientes que sus datos se encuentran protegidos

por una tecnologa muy avanzada, que garantiza

que nuestra organizacin cuidar de ellos y de

sus intereses. Siempre debemos hablar en el

lenguaje de nuestro interlocutor; esta es una de

nuestras tareas como verdaderos profesionales.

Debemos recordar que, cuando hablamos

de recursos, no tenemos que considerar

solamente el dinero: tambin debemos

tener en cuenta los recursos humanos y los

tiempos de los que disponemos, los cuales,

muchas veces, terminan siendo factores

tanto o ms importantes que los recursos

monetarios.

MUST KNOW

Es una excelente idea que, antes de hablar

con personas ajenas al mbito de la segu-

ridad informtica, tengamos unos minutos

para reflexionar acerca de qu ventajas

debemos exponer. Ponernos en la piel de la

otra persona y analizar sus necesidades nos

permitir conectarnos mejor con cada uno

de los integrantes de la empresa.

EN LA PRCTICA PROFESIONAL

El nuevo array de discosSATA nos permite duplicar los

datos bit a bit y autocomprimirde forma nativa

Qu voy a pedirpara almorzar?


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

28

Recordando estos consejos, podremos lograr

que la seguridad informtica sea vista en toda

la organizacin como algo necesario, que no

se hace por obligacin sino por una necesi-

dad, y que mantener nuestra empresa segura

nos beneficia a todos.

MTRICAS DE SEGURIDADPartiendo de la base de que no podemos hablar

de seguridad si no tenemos la capacidad de

medir de alguna manera su estado, vemos que

se torna necesario contar con una metodologa

que nos ayude a comprender en detalle nuestra

situacin actual y pasada. Siendo ms especfi-

cos, es necesario que, por lo menos, podamos

contestar a la pregunta bsica: cunto hemos

mejorado nuestra seguridad con respecto al

ao anterior?. El verdadero objetivo de hacernos

esta pregunta es contar con una respuesta que

pueda ser entregada a la alta gerencia, con el

objetivo de asistirla en la toma de decisiones que

marcarn el rumbo de la organizacin. Por lo tan-

to, las mtricas que definimos y los valores que

obtenemos tienen que poder ser expresados en

un lenguaje entendible desde el punto de vista

del negocio. Podemos tener grandes reportes

con datos y vulnerabilidades identificadas, los

cuales carecern de sentido si no sabemos qu

es aquello que queremos responder y cmo esto

beneficia a la organizacin.

Lo cierto es que necesitaremos, al menos, dos

tipos de mtricas. La primera debe tener un enfo-

que tcnico, y nos servir para analizar minucio-

samente en qu puntos podemos mejorar, qu

vulnerabilidades debemos solucionar primero,

qu medidas de seguridad estn teniendo xito,

cules deben ser reemplazadas o modificadas,

etctera. Este reporte estar destinado a las reas

tecnolgicas, y debe ser revisado por personal

idneo, que tenga la capacidad de proponer

mejoras y adquirir nuevas soluciones.

El segundo reporte debe ser dirigido a la

direccin de la empresa, y tendr como objetivo

mostrar un pantallazo general acerca de cul es

nuestra situacin con respecto a la seguridad: en

qu hemos mejorado, en qu debemos mejorar

y si existen nuevas problemticas que necesita-

mos resolver. Tambin podemos incluir propues-

tas de inversin, ya sea de recursos tecnolgicos,

recursos humanos o capacitaciones al personal.

Tambin debemos tener en cuenta que no todo

es medible, porque existen valores subjetivos

de los cuales no podremos obtener grficos ni

valores concretos. Por ejemplo, en el caso de que

nuestro sitio web sea atacado y modificado, la

prdida de credibilidad que sufrir nuestra orga-

nizacin no ser medible (aunque sin duda ser

algo muy negativo). Para resumir la importancia

de las mtricas, debemos recordar una frase que

se aplica no solo a la seguridad, sino tambin a

la gestin de cualquier proceso: Si no lo puedes

medir, no lo podrs gestionar.

MEJORA CONTINUAEl proceso de mejora continua es un concepto

que pretende mejorar los productos, servicios

y procesos en todos los niveles de una compa-

a. Al igual que los conceptos anteriores, este

debe ser implementado como actitud constante

por cualquier organizacin que desee alcanzar

objetivos ambiciosos. Formalmente, los siste-

mas de gestin de calidad, las normas ISO y los

sistemas de evaluacin ambiental se utilizan para

alcanzar objetivos relacionados con la mejora

continua. Ms all de esto, no es necesario seguir

estrictamente estas guas para entrar en un ciclo

de mejoramiento permanente, pero son exce-

lentes puntos de partida. En general, es posible

conseguir una mejora continua reduciendo la

complejidad y los puntos potenciales de fracaso;

mejorando la comunicacin, la automatizacin y

las herramientas, y colocando puntos de control

y salvaguardas para proteger la calidad de las

operaciones de una organizacin. Ms all de


M

TR

ICA

S D

E S

EG

UR

IDA

D 2

9

que existen documentos y normativas rela-

cionados con el proceso de mejora continua,

debemos tomar este concepto por lo que es

(un concepto), y aceptar que

La metodologa que nos lleve a un proceso de mejora continua ser necesaria y debe ser bienvenida por la organizacin Para esto, hay que seleccionar las metodologas

que mejor se adapten a las necesidades particu-

lares de cada entorno.

Debemos saber tambin que, as como no es

posible alcanzar la perfeccin, tampoco es posible

lograr un ambiente 100% seguro. Simplemente,

esto es algo a lo que podemos aspirar a travs de

varios esfuerzos bien dirigidos. Pero cabe recordar

que este es un trabajo constante, que nunca llega

a un final, porque siempre est persiguiendo una

perfeccin que no deja alcanzarse. Visto de otro

modo: la perfeccin siempre intenta alejarse de

nosotros. Depende de nuestras capacidades el

hecho de que podamos seguirle el paso, y mante-

nernos siempre pisndole los talones.

Es imperativo que tengamos la capacidad de man-

tener los procesos de nuestra organizacin al nivel

ms simplificado posible (KISS) y que seamos ca-

paces de medir los resultados dentro de una lnea

de tiempo (mtricas). Haciendo esto, tendremos las

herramientas necesarias para mejorar la calidad de

nuestros procesos constantemente (mejora conti-

nua). La seguridad absoluta es algo imposible. Ten-

dremos que aprender a vivir con eso. Una vez que

Figura 15. Sobre la base de la informacin tcnica, generalmente obtenida de varias herramientas, debemos generar reportes sencillos, enfocados en la gerencia.

Sistema

Informacin Tcnica

Informacin Gerencial

Vulnerabilidades

Web Server 1 5

Web Server 2 7

Database 3

Intranet 12

File Server 10

Access Server 8


1 L

A S

EG

UR

IDA

D I

NFO

RM

T

ICA

30 Figura 16. Seis

Sigma (o Six Sigma) es una metodologa ampliamente utilizada para la mejora continua, que se vale de herramientas estadsticas para la caracterizacin y el estudio de los procesos.

hayamos asimilado esta idea, podremos empezar a

pensar en acercarnos a la perfeccin, sabiendo que

nunca lograremos alcanzarla. El trabajo arduo y

constante nos llevar a perfeccionarnos, a mejorar

nuestras capacidades de respuesta y a predecir los

eventos que podran causar un impacto negativo

en nuestras organizaciones.

Esto es un entrenamiento que va ms all de

un curso o de un ttulo de grado: se consigue

con la experiencia cotidiana y con la capacidad

de mirar hacia atrs, para no volver a cometer

los errores pasados, y aventurarnos a cometer

errores nuevos. Siempre depende de nosotros

ser excelentes profesionales.

PARA PONER A PRUEBA1. Cules son las ventajas y desventajas de la

superespecializacin?

2. A qu hace referencia el principio KISS?

3. Cules son las ventajas de implementar

defensa en profundidad?

4. Es posible lograr que una organizacin sea

100% segura? Por qu?

5. Por qu son importantes las mtricas de

seguridad?


REDISEO BOMBOS LIBROS - ISSU - Base Editable - Sep 10.indd 1REDISEO BOMBOS LIBROS - ISSU - Base Editable - Sep 10.indd 1 08/09/2010 15:54:0308/09/2010 15:54:03

Seguridad 12

Documents

Transcript of Seguridad 12