Reglas de Seguridad

Cuando hablamos de la aparición de un nuevo virus que borra toda la información de la computadora que infecta, o de un programa que aprovecha una falla no corregida en un sistema o del robo de números de tarjetas de crédito, todos pensamos, en los creadores de virus o sofisticados ladrones por Internet, pero rara vez nos detenemos a pensar si también existen culpables por parte de los damnificados.
En casos recientes como el gusano Slammer u otros como CodeRed, éstos aprovechaban fallas de ciertos productos de Microsoft, para las cuales ya existían parches, pero nunca instalados por una actitud irresponsables de los encargados de sistemas.
Por otro lado, hemos escuchamos de SSL (Secure Socket Layer) el protocolo utilizado en la transmisión de información sensible, dicho protocolo se utiliza cuando nos contactamos con nuestro banco o cuando efectuamos una compra en la red, pero pocos reparamos que, aunque ese momento de la comunicación se efectúa por un protocolo seguro, la información post-venta se guarda en algún sitio y desconocemos que medidas de seguridad existen allí. A veces, dichas medidas no son las ideales, y por ello, leemos sobre el robo de números de tarjetas de crédito.
Los casos antes mencionados, son solo algunos, donde la falta de cuidado por parte de las "víctimas", ha permitido que dichos actos pudieran efectuarse.
Por estos y otros casos, el Sans Institute, ha publicado recomendaciones genéricas, que usualmente conducen a brechas de seguridad, las que luego pueden ser aprovechadas por atacantes.
Las mismas se refieren tanto a usuarios comunes, como a ejecutivos o administradores de sistemas. Lamentablemente, estas recomendaciones son del año 2001, pero los numerosos incidentes, que vemos a diario, demuestran que éstas no se cumplen y se encuentran muy vigentes.
ERRORES QUE CONDUCEN A BRECHAS EN LA SEGURIDAD
La no instalación de programas antivirus, la falta de puesta al día de sus definiciones, ni efectuar el control sobre la totalidad de los archivos.
Abrir adjuntos de correo no solicitados, sin verificar la fuente ni haber confirmado su contenido antes, ya sea juegos, salvapantallas u otros de fuentes no confiables.
La no instalación de parches de seguridad, especialmente de Microsoft Office, Internet Explorer y Netscape.
No hacer ni comprobar los respaldos (back up) con cierta regularidad.
Utilizar un módem mientras se esta conectado mediante una red de área local.
ERRORES DE LOS EJECUTIVOS
Asignar personal no entrenado para mantener la seguridad y no brindar capacitación ni tiempo para efectuar sus tareas.
No entender la relación entre la seguridad de la información y la problemática de los negocios [entienden la seguridad física pero no las consecuencias de la pobre seguridad de la información].
Fallar en los aspectos operacionales de la seguridad [se hacen algunos arreglos pero no se aseguran que los mismos inconvenientes resurjan].
Confiar principalmente en un firewall.
No darse cuenta del valor de la información y la reputación de la empresa.
Permitir las soluciones corto-placistas, dando lugar a que luego resurjan los mismos problemas.
Pretender que el problema desaparecerá con solo ignorarlo.
ERRORES DE LOS ENCARGADOS DE SISTEMAS
Conexión de sistemas a la Internet, sin hacerlos más robustos.
Conectar sistemas a la Internet con password y cuentas por defecto.
No aplicar parches cuando éstos están disponibles.
Utilizar protocolos que no utilizan cifrado (P. Ej.: telnet) para administrar sistemas, routers, firewalls y PKI
Dar a los usuarios los passwords por teléfono o cambiar las claves de un usuario por una solicitud telefónica o personal cuando quien la solicita no fue identificado.
No realizar respaldos (back ups).
Ejecutar servicios cuando no se necesitan, especialmente ftp, telnet, rpc, correo, etc.
Implementar firewalls con reglas que no detienen el flujo de datos maliciosos desde y hacia Internet.
No instalar y actualizar la protección antivirus.
No educar a los usuarios en lo referente a que buscar o hacer cuando se detecta una falla de seguridad.
Permitir que gente no entrenada este a cargo de la implementación de la seguridad de importantes sistemas.
Asimismo, y más recientemente, Computer Associates (CA) desarrolló un trabajo donde establece lo que ha denominado los 7 pecados capitales en seguridad. En ellos se mencionan las actitudes (tanto personales como foráneas) que más comúnmente llevan a compromisos de seguridad en un entorno corporativo.

Criptografia - Virus y Troyanos - Nukers IRC - IDS - La Heuristica en los Antivirus - Antivirus - Virus - Troyanos - Spoofing - Reglas de Seguridad - Elegir una buena clave - Windows o Linux?

[

]

volver a lcu