Year 2 - Week 12
El objetivo
La gran mayoría de las empresas, están convencidas de que sus redes de datos son seguras y se muestran satisfechos con el rendimiento y velocidad de la red. Este artículo tiene como objetivo mostrar la verdadera realidad a la luz de nuestra experiencia en la realización de Auditorías de Seguridad y de Red.
El punto de partida
Como consecuencia de la escasa percepción de lo vulnerables que son las redes, cuando éstas no están bien configuradas, la atención de las inversiones TIC están más enfocadas a la adquisición del material informático que a una implantación robusta y segura de la red de comunicaciones. La consciencia de riesgo está cada vez más difuminada conforme se asciende desde el responsable TIC a las más altas esferas de decisión.
La dirección de la empresa confía en que el departamento de Informática tenga en todo momento el control de las redes, cada vez más complejas, en donde a menudo los límites entre LAN y WAN, gracias al uso de enlaces y VPN, es muy difuso. Al mismo tiempo, se espera que dicho departamento realice labores de monitorización sin contar con las herramientas adecuadas que le permitirían conocer el uso real de la red por parte de los usuarios y controlar lo que puede y lo que no puede hacer cada usuario de la red.
El resultado inevitable, es la progresiva pérdida de control. Conforme aumenta la complejidad de la red y el número de ordenadores y usuarios crece, incorporándose nuevas herramientas de gestión y permitiendo el uso generalizado de Internet, van aumentando también las vulnerabilidades y las incidencias. El responsable TIC se ve sometido a una creciente demanda de atención a los usuarios finales para tareas urgentes, como problemas con impresoras, nuevos drivers, actualizaciones, instalación de aplicativos, etc., que le obligan a actuar descuidando los aspectos de diseño y seguridad de la red.
La auditoria
Superado el primer escollo que representa la idea de una red invulnerable, la necesidad de la auditoría se hace más evidente. Los aspectos principales que se abordan son:
Control del tráfico de la red: ¿Qué es lo que está pasando? ¿Existen vulnerabilidades que pueden ser explotadas por un extraño o incluso por el personal de la propia empresa?
Análisis de las infraestructuras: ¿Cómo está configurada la red?, si ¿responde a las necesidades de la empresa?
Riesgos técnicos-jurídicos: ¿Se han implantado adecuadamente las medidas de seguridad conforme a la LOPD o su cumplimiento es meramente formal?
1. Control del tráfico de la red
Como hemos advertido al inicio de este artículo, uno de los aspectos más desconocidos por la gran mayoría de los responsables TIC encargados del mantenimiento de la red, es conocer cuál es el uso real que los usuarios hacen de la red. Es sabido que la falta de control conlleva que los recursos de comunicaciones y enlaces se encuentren sometidos a un uso que excede, con mucho, a los usos que la empresa ha definido para su red. El uso de aplicaciones de descarga y compartición masiva de películas, programas o ficheros, el acceso a sitios no recomendados, prohibidos o peligrosos, el uso indiscriminado de las redes sociales, el acceso a sitios web que contienen archivos infectados con virus o con malware, el acceso desde internet hacia la red interna exponiendo los datos de la empresa a cualquier fallo de seguridad y otros muchos usos de riesgo, ocasionan dos efectos inmediatos: por una parte el consumo innecesario de los recursos de las comunicaciones, aumentando el coste y disminuyendo la velocidad y efectividad de la red y, por otra parte, lo que es más importante, haciendo muy insegura la red. La pérdida de datos no solo puede conllevar importantes multas y responsabilidades jurídicas, sino que en muchas ocasiones pueden poner en peligro la continuidad del negocio.
Las herramientas de control de red, permiten monitorizar y además establecer reglas de uso, limitando a los usuarios que se determine, el uso de aplicaciones, el acceso a determinados contenidos de páginas web y a neutralizar, en mismo punto de entrada de la red, las amenazas que suponen los virus, el spam y el malware entre otros. También es posible establecer cuotas, horarios o uso según perfiles de usuario o por máquina. Además es posible balancear los distintos enlaces de comunicaciones, haciendo más eficiente el sistema.
2. Análisis de las Infraestructuras
Se revisa, de manera detallada, la idoneidad del cableado, switches, estructura de la red, permisos de acceso, recursos compartidos, sistemas de backup y recuperación, políticas de seguridad, perfiles y usuarios, sistemas de contingencia, parches de seguridad, etc. A este nivel suelen encontrarse los mayores agujeros de seguridad, encontrándonos en muchos casos recursos compartidos sin ningún control de acceso, redes que pueden acceder a otras, backups no operativos, accesos de comunicaciones no utilizados, bucles y cables sin marcar, redes WiFi con contraseñas débiles y fácilmente “hackeables” así como otras prácticas que ponen en peligro la seguridad de la red.
3. Riesgos técnico-jurídicos
En este apartado nos concentraremos en que los procesos y procedimientos establecidos en el Documento de Seguridad de la LOPD estén efectivamente implantados. Es muy común encontrar que existe un cumplimiento “formal” de la ley, que se hayan registrado los ficheros y que exista un documento de seguridad, pero no existe una verdadera interiorización de las obligaciones más relevantes de la ley. Es muy frecuente, también, encontrar que no se están aplicando las medidas de seguridad descritas. En la gran mayoría de los casos no hay formularios de ejercicio de los derechos ARCO, ni cláusulas informativas de la creación del fichero, ni registro de incidencias, ni registro de salida de soportes, ni contratos de comunicación de datos a terceros, ni tampoco aparecen detalladas las responsabilidades y obligaciones específicas del personal, etc.
Conclusiones
En general, como hemos visto, hay muy poca conciencia de los riesgos crecientes que supone el uso de las tecnologías en todos los ámbitos, incluso en el ámbito empresarial, en donde, la publicación de datos de carácter personal y su correspondiente denuncia y multa, pondría en peligro la pervivencia del negocio, por no hablar ya de lo que podría suponer la pérdida o robo de la información más confidencial sobre el negocio.
Es totalmente recomendable la realización de auditorías de seguridad que ayuden al departamento de informática a securizar y mantener la seguridad ante los riesgos crecientes que supone el uso de la tecnología en todos los ámbitos de la vida.