Nivel Humano
El Usuario
Estas son algunos de las consideraciones que se deberían tener en cuenta para la protección de la información:
- Quizás el usuario contempla todas las noticias de seguridad con escepticismo, piensan que los Administradores son paranoicos y se aprovechan de las contadas situaciones dadas. Quizás tengan razón, pero se debe recordar que el mundo virtual no es más que una pequeña muestra del mundo físico, con el agregado que es el campo ideal de impunidad y anonimicidad.
- Generalmente se considera que la propia máquina es poco importante para que un atacante la tenga en cuenta. Se debería recordar que este atacante no sabe quien está del otro lado del monitor, por lo que cualquier objetivo (en principio) es tan importante (o no) como cualquier otro.
Ejemplo : Se instaló un Firewall personal en dos usuarios normales de Internet, utilizando modems y Windows 98 como sistema operativo. Los resultados obtenidos en los archivos de Logs de estos usuarios fueron los siguientes:
Usuario 1 ubicado en Paraná (Entre Ríos-Argentina): 49 scaneos de puertos y 14 intentos de instalación de troyanos en 10 días.
Usuario 2 ubicado en Buenos Aires (Argentina): 28 scaneos de puertos en 8 días.
La pregunta ya no es ¿seré atacado?; a cambiando a ¿cuándo seré atacado?.
- Generalmente se sobrevalora la capacidad de un atacante. Al contrario de la creencia popular no se necesita ser un Gurú para ingresar en una computadora y generalmente quienes lo hace son Script-Kiddies en busca de "diversión". De hecho un Gurú siempre tendrá "mejores cosas que hacer".
- Convencerse de que TODOS los programas existentes tienen vulnerabilidades conocidas y desconocidas es muy bueno. Esta idea permite no sobrevalorar la seguridad de su sistema.
Ejemplo: Un usuario dice a otro: "Yo utilizo Linux porque es más seguro que Windows". Esto es una falacia disfrazada: el usuario debería decir que Linux puede ser más seguro que Windows. De hecho cualquier sistema bien configurado puede ser más seguro que uno que no lo está.
- La Regla de Oro que todo usuario debe tomar como obligación (y su responsabilidad) es tomar la seguridad de su computadora en serio. Recordar que el eslabón más débil de una cadena equivale a la resistencia de la misma es muy bueno en este momento.
Ningún usuario inocente estará contento si su nombre aparece en la lista de posibles intruso en una red, nada más que porque alguien decidió utilizarlo para tales fines. Tampoco es bueno ser acusado de expandir un virus por el simple hecho de enviar mails sin comprobarlos anteriormente.
Los procedimientos simples mencionados pueden evitar grandes dolores de cabezas.
Amenaza no Intencionada (Empleado)
El siguiente ejemplo ilustra una posible situación de contingencia y el procedimiento a tener en cuenta:
Un empleado, no desea perder la información que ha guardado en su disco rígido, así que la copia (el disco completo) a su carpeta particular del servidor, que resulta ser también el servidor principal de aplicaciones de la organización. No se han definido cuotas de disco para las carpetas particulares de los usuarios que hay en el servidor. El disco rígido del usuario tiene 6 GB de información y el servidor tiene 6,5 GB de espacio libre. El servidor de aplicaciones deja de responder a las actualizaciones y peticiones porque se ha quedado sin espacio en el disco. El resultado es que se deniega a los usuarios los servicios del servidor de aplicaciones y la productividad se interrumpe.
A continuación, se explica la metodología que se debería haber adoptado antes de que el usuario decida realizar su copia de seguridad:
Directivas:
- Predecir Ataque/Riesgo: Negación de servicios por abuso de recursos.
- Amenaza: No existe. Empleado sin malas intenciones.
- Ataque: No existe motivo ni herramienta, solo el desconocimiento por parte del usuario.
- Estrategia Proactiva:
- Predecir posibles daños: pérdida de productividad por espacio de disco/memoria agotados.
- Determinar y minimizar vulnerabilidades: implementar cuotas de discos.
- Evaluar planes de contingencia: servidor backup.
- Capacitar el usuario.
- Estrategia Reactiva:
- Evaluar daños: pérdida de producción.
- Determinar su origen y repararlos: hacer espacio en el disco.
- Documentar y aprender: implementar plan de contingencia.
- Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Amenaza Malintencionada (Insider)
Una empresa competidora ofrece a un usuario cierta suma de dinero para obtener el diseño del último producto desarrollado por su empresa. Como este usuario carece de los permisos necesarios para obtener el diseño se hace pasar como un Administrador, y usando ingeniería social, consigue el nombre de usuario y password de un usuario con los permisos que él necesita.
La política de seguridad asociada a este evento debería haber contemplado:
Directivas:
- Predecir Ataque/Riesgo: Robo de información mediante el uso de ingeniería social.
- Amenaza: Insider.
- Ataque: Ingeniería social.
- Estrategia Proactiva:
- Predecir posibles daños: pérdida de productividad y/o beneficios.
- Determinar y minimizar vulnerabilidades: concientización de los usuarios.
- Evaluar planes de contingencia.
- Estrategia Reactiva:
- Evaluar daños: pérdida de beneficios e información.
- Determinar su origen: revelación de login y password por parte el usuario.
- Reparación de daños: implementar entrenamiento de los usuarios.
- Documentar y aprender.
- Implementar plan de contingencia.
- Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza No Intencionada
Un virus ingresa a la empresa mediante un mail enviado a un empleado, y comienza a expandirse dentro de la misma tomando como base la libreta de direcciones de los usuarios:
Directivas:
- Predecir Ataque/Riesgo: Negación de servicio del servidor de correo electrónico por gran la cantidad de mensajes enviados/recibidos.
- Amenaza: Virus.
- Ataque: Virus de correo electrónico.
- Estrategia Proactiva:
- Predecir posibles daños: pérdida de productividad por negación de servicio.
- Determinar y minimizar vulnerabilidades: actualización de antivirus y concientización de usuarios en el manejo del correo electrónico.
- Evaluar planes de contingencia: evaluar la importancia de un servidor backup. Antivirus.
- Estrategia Reactiva:
- Evaluar daños: pérdida de producción.
- Determinar su origen: caída del servidor por overflow de mensajes.
- Reparación de daños: implementar el servidor backup. Eliminación del virus causante del problema.
- Documentar y aprender.
- Implementar plan de contingencia: servidor backup.
- Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza Malintencionada (Out-Sider)
Una persona ingresa al sistema de la empresa, con intenciones de recopilar información para su posterior venta:
Directivas:
- Predecir Ataque/Riesgo: Ingreso al sistema por vulnerabilidades en los sistemas o política de claves ineficiente.
- Amenaza: Outsider recopilando información significativa.
- Ataque: Ingreso al sistema.
- Estrategia Proactiva:
- Predecir posibles daños: Robo y venta de información. Daño a la imágen de la empresa.
- Determinar y minimizar vulnerabilidades: actualización de sistemas vulnerables. Concientización a los usuarios en el manejo de contraseñas fuertes.
- Evaluar planes de contingencia: implementación de servidor backup para casos de daño de la información. Recuperación de imagen. Evaluar formas de minimizar el daño por la información robada.
- Estrategia Reactiva:
- Evaluar daños: información susceptible robada.
- Determinar su origen: ingreso al sistema.
- Reparación de daños.
- Documentar y aprender.
- Implementar plan de contingencia: servidor backup.
- Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.