Ataquesinformaticos

1 La lucha contra el ciberterrorismo y los ataques informáticos A. Gómez Vieites Resumen— Este documento pretende analizar la seria amenaza que representan el ciberterrorismo y los ataques informáticos para nuestra sociedad. Además de estudiar las posibles consecuencias del ciberterrorismo y de los ataques informáticos en una sociedad avanzada que depende totalmente del correcto funcionamiento de sus sistemas y redes informáticas, también se analiza su incidencia en la actividad de las empresas. Asimismo, se describe el perfil de los distintos tipos de atacantes y cuáles pueden ser sus motivaciones para llevar a cabo sus acciones contra los sistemas informáticos, prestando especial atención a lo que se ha dado en llamar como el “Triángulo de la Intrusión”. Por último, en el documento se presentan de forma detallada los elementos a tener en cuenta para definir e implantar un Plan de Respuesta a Incidentes de Seguridad y a Ataques Informáticos, y propone una serie de líneas de trabajo futuras para facilitar la implantación de Sistemas de Gestión de Seguridad de la Información en las organizaciones. Palabras clave — ataques informáticos (computer attacks), ciberterrorismo (cyberterrorism), hackers, crackers, respuesta a incidentes (incident response). M I. INTRODUCCIÓN uchas de las actividades que se realizan de forma cotidiana en los países desarrollados dependen en mayor o menor medida de sistemas y de redes informáticas. El espectacular crecimiento de Internet y de los servicios telemáticos (comercio electrónico, servicios multimedia de banda ancha, administración electrónica, herramientas de comunicación como el correo electrónico o la videoconferencia…) ha contribuido a popularizar aún más, si cabe, el uso de la informática y de las redes de ordenadores, hasta el punto de que en la actualidad no se circunscriben al ámbito laboral y profesional, sino que incluso se han convertido en un elemento cotidiano en muchos hogares, con un creciente impacto en las propias actividades de comunicación y de ocio de los ciudadanos. Por otra parte, servicios críticos para una sociedad moderna, como podrían ser los servicios financieros o la propia Administración Pública están soportados en su práctica totalidad por sistemas y redes informáticas, hasta el punto de que en muchos de ellos se han eliminado o reducido de forma drástica los papeles y los procesos manuales. En las propias empresas, la creciente complejidad de las relaciones con el entorno y el elevado número de transacciones realizadas como parte de su actividad han A. Gómez trabaja en EOSA Consultores, C/ Puerto Rico, 18-20, Ofic.5, 36204 Vigo (correo e.: agomez@eosa.com) e imparte docencia en la Escuela de Negocios Caixanova. propiciado el soporte automatizado e informatizado de muchos de sus procesos, situación que se ha acelerado con la implantación de los ERP, o paquetes software de gestión integral. Por todo ello, en la actualidad las actividades cotidianas de las empresas y de las distintas Administraciones Públicas e, incluso, las de muchas otras instituciones y organismos, así como las de los propios ciudadanos, requieren del correcto funcionamiento de los sistemas y redes informáticas que las soportan y, en especial, de su seguridad. De ahí la gran importancia que se debería conceder a todos los aspectos relacionados con la seguridad informática en una organización. La proliferación de los virus y códigos malignos y su rápida distribución a través de redes como Internet, así como los miles de ataques e incidentes de seguridad que se producen todos los años han contribuido a despertar un mayor interés por esta cuestión. II. LA AMENAZA DEL CIBERTERRORISMO Y DE LOS ATAQUES INFORMÁTICOS Las sociedades avanzadas tienen una dependencia cada mayor de los sistemas informáticos para el control de muchos procesos y actividades cotidianas: control del fluido eléctrico, de la red de abastecimientos de aguas, de las centrales de conmutación telefónicas, del tráfico aéreo, de las redes de señalización semafórica, de los sistemas financieros, etcétera. Por este motivo, se podría colapsar por completo el funcionamiento de un país desarrollado si se dañasen algunos de sus principales redes y sistemas informáticos. De hecho, expertos militares llevan años estudiando la posible aplicación de los ataques informáticos en los conflictos bélicos del futuro, y distintos gobiernos han decidido crear unidades especiales en sus ejércitos para responder ante posibles ataques informáticos. Entre las posibles consecuencias del ciberterrorismo y de los ataques informáticos, podríamos citar las siguientes: ¾ Corte del suministro eléctrico y posible descontrol de centrales nucleares, centrales hidroeléctricas y térmicas. ¾ Colapso total de las redes telefónicas y los sistemas de comunicaciones. ¾ Desarrollo de ataques específicos contra los sistemas de comunicaciones militares. 2 ¾ Caos financiero: ataques a las entidades financieras y a las bolsas, paralizando cualquier gestión y borrando o alterando los datos de todas las cuentas corrientes y otros registros de información. ¾ Intervención del control del tráfico aéreo y ferroviario, provocando colisiones de aviones y trenes, y dejando inoperantes estas redes de transporte. ¾ Ataques informáticos de todo tipo protagonizados por virus, programados y controlados de forma remota para activarse en el momento adecuado. ¾ Destrucción de grandes bases de datos estatales, vitales para el funcionamiento del país, como las de los cuerpos de policía, el Tesoro Público, la Sanidad, la Seguridad Social y el resto de Administraciones Públicas en general. ¾ Sabotajes locales en la capital y otras ciudades importantes por su población o su actividad económica, alterando el funcionamiento de los semáforos para causar choques en cadena que colapsen durante horas las principales carreteras. ¾ Otros sabotajes, como por ejemplo los dirigidos a las empresas más importantes y a organismos oficiales locales. ¾ Lanzamiento de bombas electromagnéticas para neutralizar todos los equipos electrónicos militares no protegidos y silenciar a las principales emisoras de radio y televisión. En un estudio divulgado en agosto de 2005 por la asociación norteamericana de ingenieros IEEE-USA, titulado United States Facing Cyber Security Crisis y distribuido a través de su publicación Today's Engineer, se ponía de manifiesto la gran vulnerabilidad de muchas redes y sistemas informáticos de Estados Unidos frente a ataques terroristas y criminales. Las instalaciones afectadas y comprendidas en el estudio van desde los sistemas de control de tráfico aéreo, redes de suministro energético, sistemas financieros, así como redes de inteligencia y militares. En sus conclusiones los autores del estudio definían la actual situación como “al borde de la pérdida de control” en varias de estas instalaciones y sistemas vulnerables. De hecho, el Departamento de Defensa de Estados Unidos, con sus cerca de 12.000 sitios informáticos y 3,5 millones de ordenadores personales repartidos por todo el mundo, constituye uno de los objetivos favoritos para miles de hackers y crackers de todo el planeta. Según se ha divulgado en algunos medios, ya se podrían haber producido cierto tipo de ataques informáticos a gran escala contra las redes y sistemas de un país. Así, en octubre de 2004 Corea del Norte daba a conocer que había formado a más de medio millar de expertos informáticos capaces de lanzar una guerra virtual contra países como Estados Unidos. Estos expertos norcoreanos siguieron una formación universitaria específica durante cinco años para ser capaces de penetrar los sistemas informáticos de Corea del Sur, Estados Unidos y Japón. Parece ser que podrían estar detrás de algunos ataques realizados en el verano de 2004 contra determinadas redes y sistemas informáticos surcoreanos, pertenecientes a agencias gubernamentales, la Asamblea Nacional, empresas privadas, universidades y distintos medios informativos. III. CONSECUENCIAS DE LOS FALLOS Y ATAQUES EN LAS EMPRESAS La mayoría de las empresas y organizaciones de nuestro entorno también son vulnerables a ataques informáticos llevados a cabo contra sus propios recursos e intereses. De hecho, algunas empresas ya han sufrido varios casos de difusión de virus y ataques de denegación de servicio realizados por expertos informáticos que habían sido contratados por algún competidor. Los avances de las redes y servicios de telecomunicación han facilitado el desarrollo del teletrabajo en algunos sectores y tipos de organizaciones. Además, los empleados que se tienen que desplazar con frecuencia (por ejemplo, los comerciales que constituyen la fuerza de ventas de una empresa) también dependen hoy en día de las conexiones a los recursos informáticos centrales de su organización para poder realizar su trabajo. Todos estos empleados se verían imposibilitados para trabajar con normalidad si se viera interrumpido el funcionamiento de la red y los servicios informáticos de su empresa. A la hora de analizar las posibles consecuencias de un ataque informático, el impacto total para una empresa puede resultar bastante difícil de evaluar, ya que además de los posibles daños ocasionados a la información guardada y a los equipos y dispositivos de red, deberíamos tener en cuenta otros importantes perjuicios para la organización: ¾ Horas de trabajo invertidas en las reparaciones y reconfiguración de los equipos y redes. ¾ Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y servicios informáticos: coste de oportunidad por no poder utilizar estos recursos. ¾ Robo de información confidencial y su posible revelación a terceros no autorizados: fórmulas, diseños de productos, estrategias comerciales, programas informáticos… ¾ Filtración de datos personales de usuarios registrados en el sistema: empleados, clientes, proveedores, contactos comerciales o candidatos de empleo, con las consecuencias que se derivan del incumplimiento de la legislación en materia de protección de datos personales vigentes en toda la Unión Europea y en muchos otros países. 3 ¾ Posible impacto en la imagen de la empresa ante terceros: pérdida de credibilidad en los mercados, daño a la reputación de la empresa, pérdida de confianza por parte de los clientes y los proveedores, etcétera. ¾ Retrasos en los procesos de producción, pérdida de pedidos, impacto en la calidad del servicio, pérdida de oportunidades de negocio... ¾ Posibles daños a la salud de las personas, con pérdidas de vidas humanas en los casos más graves. ¾ Pago de indemnizaciones por daños y perjuicios a terceros, teniendo que afrontar además posibles responsabilidades legales y la imposición de sanciones administrativas. Las organizaciones que no adoptan medidas de seguridad adecuadas para proteger sus redes y sistemas informáticos podrían enfrentarse a penas civiles y criminales bajo una serie de leyes existentes y decisiones de tribunales: protección de la privacidad y los datos personales de clientes y empleados; utilización de aplicaciones P2P para intercambio de contenidos digitales protegidos por derechos de autor; etcétera. Los nuevos delitos relacionados con la informática y las redes de ordenadores se han convertido en estos últimos años en uno de los mayores problemas de seguridad a escala global. Así, según datos publicados por el Departamento de Hacienda de Estados Unidos a finales de 2005, los delitos informáticos (entre los que se incluyen las estafas bancarias, casos de “phishing”, pornografía infantil o espionaje industrial) constituyen un lucrativo negocio que genera ya más dinero que el propio narcotráfico. Sólo en Estados Unidos estos delitos, unidos a las consecuencias de la propagación de los virus y de los ataques de denegación de servicio, causan pérdidas anuales superiores a los 50.000 millones de euros. Según otro estudio publicado a principios de 2006 y realizado por la consultora especializada Computer Economics, la creación y difusión de programas informáticos maliciosos a través de Internet (virus, troyanos, gusanos…) ha representado durante esta última década un coste financiero para las empresas de todo el mundo de unos 110.000 millones de dólares. En otro estudio realizado en esta ocasión por el FBI, se ponía de manifiesto que casi un 90% de las empresas de Estados Unidos habían sido infectadas por virus o sufrieron ataques a través de Internet en los años 2004 y 2005, pese al uso generalizado de programas de seguridad. Estos ataques habían provocado unos daños por un importe medio de unos 24.000 dólares en las empresas e instituciones afectadas. Además, según los propios datos del FBI, cerca de un 44% de los ataques provenían del interior de las organizaciones. Por otra parte, los fallos en los sistemas informáticos pueden tener importantes consecuencias económicas para las empresas. Así, por ejemplo, un fallo informático provocó en septiembre de 2004 varias decenas de cancelaciones e innumerables retrasos en vuelos de Lufthansa en todo el mundo, afectando a miles de pasajeros. El sistema mundial informático de Lufthansa, que facilita la facturación de los pasajeros, se colapsó a las 6:22 horas del jueves 23 de septiembre de 2004, lo que obligó a rellenar a mano las tarjetas de embarque. El fallo comenzó a notarse en la noche del miércoles, cuando fue actualizado el programa informático y no se descarta que un virus se hubiera podido infiltrar en sus servidores. Los técnicos pudieron solucionar parcialmente el problema seis horas después, aunque no lograron volver a ponerlo en funcionamiento completamente, porque la operación hubiera llevado unas cuatro o cinco horas y habría provocado nuevas demoras en los servicios. Otro ejemplo reciente, de entre los muchos que podríamos seguir citando, tuvo lugar el 24 de agosto de 2005, cuando un fallo informático en un centro de control de tráfico aéreo de Londres provocó grandes retrasos en los vuelos de entrada y salida del Reino Unido, afectando a miles de pasajeros y obligando a cancelar decenas de servicios. La avería, que se produjo a primera hora de la mañana, afectó al sistema de procesamiento de vuelos del Centro Nacional de Servicios de Tráfico Aéreo (NATS), con sede en West Drayton, en el oeste de Londres. Los técnicos tardaron unos veinte minutos en subsanar el fallo, pero cuando lo lograron la avería ya había trastocado los planes de cientos de aviones en todo el país. Con estos dos ejemplos se pone de manifiesto cómo una pequeña interrupción o determinadas anomalías en el servicio informático de una empresa puede provocar daños muy importantes a la organización, por lo que nos podríamos imaginar cuáles serían las consecuencias si el servicio informático se viera interrumpido durante varios días debido a un ataque o sabotaje a gran escala. IV. CLASIFICACIÓN DE LOS ATACANTES E INTRUSOS DE LAS REDES INFORMÁTICAS A. Hackers Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico: entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de Internet, pero no pretenden provocar daños en estos sistemas. Sin embargo, hay que tener en cuenta que pueden tener acceso a información confidencial, por lo que su actividad está siendo considerada como un delito en bastantes países de nuestro entorno. El perfil típico de un hacker es el de una persona joven, con amplios conocimientos de informática y de Internet (son auténticos expertos en varios lenguajes de programación, arquitectura de ordenadores, servicios y protocolos de comunicaciones, sistemas operativos, etcétera), que invierte un importante número de horas a la semana a su afición. En la actualidad muchos “hackers” defienden sus actuaciones alegando que no persiguen provocar daños en los sistemas y redes informáticas, ya que sólo pretenden mejorar y poner a prueba sus conocimientos. Sin embargo, el acceso no autorizado a un sistema informático se considera por sí mismo un delito en muchos países, puesto que aunque no se produzca 4 ningún daño, se podría revelar información confidencial. Por otra parte, la actividad de un “hacker” podría provocar otros daños en el sistema: dejar “puertas traseras” que podrían ser aprovechadas por otros usuarios maliciosos, ralentizar su normal funcionamiento, etcétera. Además, la organización debe dedicar tiempo y recursos para detectar y recuperar los sistemas que han sido comprometidos por un “hacker”. B. Crackers (“blackhats”) Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivados por intereses económicos, políticos, religiosos, etcétera. A principios de los años setenta comienzan a producirse los primeros casos de delitos informáticos, provocados por empleados que conseguían acceder a los ordenadores de sus empresas para modificar sus datos: registros de ventas, nóminas… C. Sniffers Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet. D. Phreakers Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas. E. Spammers Los spammers son los responsables del envío masivo de miles de mensajes de correo electrónico no solicitados a través de redes como Internet, provocando el colapso de los servidores y la sobrecarga de los buzones de correo de los usuarios. Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de “phishing”). F. Piratas informáticos Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual. G. Creadores de virus y programas dañinos Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad. En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas. H. Lamers (“wannabes”): “Script-kiddies” o “Clickkiddies” Los “lamers”, también conocidos por “script kiddies” o “click kiddies”1, son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos. Amenazas del personal interno También debemos tener en cuenta el papel desempeñado por algunos empleados en muchos de los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria. Así, podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales que pretenden causar algún daño a la organización. Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (“insiders”) como con los usuarios externos del sistema informático (“outsiders”). I. Ex-empleados Los ex-empleados pueden actuar contra su antigua empresa u organización por despecho o venganza, accediendo en algunos casos a través de cuentas de usuario que todavía no han sido canceladas en los equipos y servidores de la organización. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información confidencial a terceros…) como venganza tras un despido. J. Intrusos remunerados Los intrusos remunerados son expertos informáticos contratados por un tercero para la sustracción de información confidencial, llevar a cabo sabotajes informáticos contra una determinada organización, etcétera. V. MOTIVACIONES DE LOS ATACANTES El FBI ha acuñado el acrónimo MICE para resumir las distintas motivaciones de los atacantes e intrusos en las redes de ordenadores: Money, Ideology, Compromise y Ego (Dinero, Ideología, Compromiso y Autorrealización personal). En general, podemos considerar la siguiente tipología de motivaciones de los atacantes: 1 Términos que podríamos traducir por “niñatos del script” o “niñatos del click”. 5 ¾ ¾ ¾ ¾ Consideraciones económicas: llevar a cabo operaciones fraudulentas; robo de información confidencial que posteriormente es vendida a terceros; extorsiones (si no se paga un determinado “rescate” se elimina información o se daña de forma irreparable un sistema que haya sido comprometido); intentos de manipulación de las cotizaciones de valores bursátiles; etcétera. Diversión: algunos usuarios de Internet realizan estos ataques como una forma de pasar el rato delante de su ordenador. una incidencia como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”, en el contexto de los ficheros con datos de carácter personal. La definición e implantación de un Plan de Respuesta a Incidentes debería tener en cuenta una serie de actividades y tareas, entre las cuales podríamos destacar todas las que se presentan en la siguiente relación: 1. Constitución de un Equipo de Respuesta a Incidentes. 2. Definición de una Guía de Procedimientos. Ideología: ataques realizados contra determinadas organizaciones, empresas y Websites gubernamentales, con un contenido claramente político. 3. Detección de un incidente de seguridad. 4. Análisis del incidente. Autorrealización. 5. Contención, erradicación y recuperación. 6. Identificación del atacante y posibles actuaciones legales. 7. Comunicación con terceros y relaciones públicas. 8. Documentación del incidente de seguridad. 9. Análisis y revisión “a posteriori” del incidente. ¾ Búsqueda de reconocimiento social y de un cierto estatus dentro de una comunidad de usuarios. Para poder llevar a cabo un ataque informático los intrusos deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, deben contar con una determinada motivación o finalidad, y se tiene que dar además una determinada oportunidad que facilite el desarrollo del ataque (como podría ser el caso de un fallo en la seguridad del sistema informático elegido). Estos tres factores constituyen lo que podríamos denominar como el “Triángulo de la Intrusión”, concepto que se presenta de forma gráfica en la siguiente figura: Oportunidad Intrusión en la red o sistema informático Motivo Diversión Lucro personal... Fallos en la seguridad de la red y/o de los equipos Medios Conocimientos técnicos Herramientas Figura 1: El “Triángulo de la Intrusión” VI. PLAN DE RESPUESTA A INCIDENTES Y ATAQUES Por “Incidente de Seguridad” entendemos cualquier evento que pueda provocar una interrupción o degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad o integridad de la información. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o recursos de forma no autorizada. Aunque un incidente también podría ser la consecuencia de un error o trasgresión (accidental o deliberada) de las políticas y procedimientos de seguridad, o de un desastre natural o del entorno (inundación, incendio, tormenta, fallo eléctrico...). En España, la Ley Orgánica de Protección de Datos define A. Constitución del Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, Computer Security Incident Response Team) deberá estar constituido por las personas que cuentan con la experiencia y la formación necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informática de una organización. Generalmente sólo las grandes organizaciones cuentan con un equipo de personas contratadas para cumplir con esta función. En la mayoría de las organizaciones que no cuentan con un Equipo de Respuesta formalmente constituido, será necesario identificar quiénes son las personas responsables de acometer cada una de las tareas que se hayan definido en el Plan de Respuesta a Incidentes, definiendo claramente las responsabilidades, funciones y obligaciones de cada persona implicada en dicho Plan. La organización deberá mantener actualizada la lista de direcciones y teléfonos de contacto para emergencias, para poder localizar rápidamente a las personas clave. En algunos casos será necesario contratar a las personas con la necesaria experiencia y cualificación profesional (conocimientos técnicos, habilidades de comunicación…). La experiencia es un factor determinante para poder actuar de forma correcta evitando errores a la hora de responder de forma rápida y eficaz ante los incidentes de seguridad. Asimismo, conviene prestar especial atención a la formación continua de los miembros del Equipo de Respuesta a Incidentes (o de las personas que deban asumir esta responsabilidad si no existe el equipo como tal), contemplando tanto los aspectos técnicos como los aspectos legales (delitos informáticos). Estas personas deben contar con la dotación de medios técnicos y materiales necesarios para poder cumplir con eficacia su misión. Para comprobar la idoneidad de los medios 6 disponibles, el entrenamiento de los miembros del equipo y las actividades definidas en el Plan de Respuesta a Incidentes, conviene llevar a cabo simulacros de forma periódica en la organización. ¾ Caída o mal funcionamiento de algún servidor: reinicios inesperados, fallos en algunos servicios, aparición de mensajes de error, incremento anormal de la carga del procesador o del consumo de memoria del sistema… ¾ Notable caída en el rendimiento de la red o de algún servidor, debido a un incremento inusual del tráfico de datos. ¾ Cambios en la configuración de determinados equipos de la red: modificación de las políticas de seguridad y auditoría, activación de nuevos servicios, puertos abiertos que no estaban autorizados, activación de las tarjetas de red en modo promiscuo (para poder capturar todo el tráfico que circula por la red interna mediante “sniffers”), etcétera. ¾ Existencia de herramientas no autorizadas en el sistema. ¾ Aparición de nuevas cuentas de usuario o registro de actividad inusual en algunas cuentas : conexiones de usuarios en unos horarios extraños (por ejemplo, por las noches o durante un fin de semana), utilización de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación, ejecución inusual de determinados servicios desde algunas cuentas, etcétera. ¾ Informes de los propios usuarios del sistema alertando de algún comportamiento extraño o de su imposibilidad de acceder a ciertos servicios. ¾ Detección de procesos extraños en ejecución dentro de un sistema, que se inician a horas poco habituales o que consumen más recursos de los normales (tiempo de procesador o memoria). ¾ Alarmas generadas en los Sistemas de Detección de Intrusiones (IDS), en los cortafuegos o en las herramientas antivirus. Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno… ¾ Registro de actividad extraña en los “logs” de servidores y dispositivos de red o incremento sustancial del número de entradas en los “logs”. Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. ¾ Desaparición de equipos de la red de la organización. ¾ Aparición de dispositivos extraños conectados directamente a la red o a algunos equipos de la organización (en este último caso podrían ser, por ejemplo, dispositivos para la captura de pulsaciones de teclado en los equipos). B. Guía de procedimientos y actividades a realizar en respuesta a un incidente Como parte integrante del Plan de Respuesta a Incidentes, la organización debe definir una guía de actuación clara y detallada con los procedimientos y acciones necesarias para la restauración rápida, eficiente y segura de la capacidad de procesamiento informático y de comunicaciones de la organización, así como para la recuperación de los datos dañados o destruidos. El objetivo perseguido con la Guía de Procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para evitar errores ocasionados por la precipitación o la improvisación. Una buena Guía de Procedimientos permitirá minimizar los daños ocasionados y facilitar la recuperación del sistema afectado. Además, esta guía debe completar la adquisición de información detallada sobre cada incidente de seguridad para mejorar los procedimientos de actuación ante futuros incidentes y reforzar la protección actual de los sistemas informáticos de la organización. Por supuesto, también debe tratar de forma adecuada las cuestiones legales que se pudieran derivar de cada incidente de seguridad, así como los aspectos relacionados con la imagen y reputación de la organización y las relaciones públicas. C. Detección de un Incidente de Seguridad La organización debería prestar especial atención a los posibles indicadores de un incidente de seguridad, como una actividad a contemplar dentro del Plan de Respuesta a Incidentes. Seguidamente se presenta una relación de los principales indicadores de posibles incidentes de seguridad: ¾ ¾ ¾ ¾ mediante herramientas de revisión de la integridad de ficheros. Precursores de un ataque: actividades previas de reconocimiento del sistema informático, como el escaneo de puertos, el escaneo de vulnerabilidades en servidores, el reconocimiento de versiones de sistemas operativos y aplicaciones… Aparición de nuevas carpetas o ficheros con nombres extraños en un servidor, o modificaciones realizadas en determinados ficheros del sistema (librerías, kernel, aplicaciones críticas...), que se pueden detectar 7 Conviene tener en cuenta que los ataques informáticos se están volviendo cada vez más sofisticados, por lo que es difícil conseguir detectarlos a tiempo. Incluso existen herramientas que facilitan este tipo de ataques ocultando su actividad y que se pueden obtener de forma gratuita en Internet. Por otra parte, la gran cantidad de información que se genera en los “logs” y en las distintas herramientas de seguridad puede dificultar su posterior estudio, debido sobre todo a la pérdida de tiempo provocada por los “falsos positivos”. Por este motivo, es necesario contar con herramientas y filtros que faciliten la detección y clasificación de los incidentes. D. Análisis de un Incidente de Seguridad El Plan de Respuesta a Incidentes debe definir cómo el equipo de respuesta debería proceder al análisis de un posible incidente de seguridad en cuanto éste fuese detectado por la organización, determinando en primer lugar cuál es su alcance: ¿qué equipos, redes, servicios y/o aplicaciones se han podido ver afectados? ¿Se ha podido comprometer información confidencial de la organización o de sus usuarios y clientes? ¿Ha podido afectar a terceros? Seguidamente, el equipo de respuesta debería determinar cómo se ha producido el incidente: qué tipo de ataque informático (si lo ha habido) ha sido el causante, qué vulnerabilidades del sistema han sido explotadas, qué métodos ha empleado el atacante, etcétera. Se podría utilizar una “Matriz de Diagnóstico” para facilitar la actuación del equipo en momentos de máximo estrés, evitando que se puedan tomar decisiones precipitadas que conduzcan a errores, constituyendo además un valioso apoyo para el personal con menos experiencia en la actuación frente a incidentes de seguridad. Síntoma Código Denegación de Acceso no malicioso Servicio (DoS) autorizado Escaneo de puertos Bajo Alto Medio Caída de un servidor Alto Alto Medio Modificación de ficheros de un equipo Alto Bajo Alto Tráfico inusual en la red Medio Alto Medio Ralentización de los equipos o de la red Medio Alto Bajo Alto Bajo Medio Envío de mensajes de correo sospechosos Tabla 1: Ejemplo de Matriz de Diagnóstico Asimismo, conviene realizar una valoración inicial de los daños y de sus posibles consecuencias, para a continuación establecer un orden de prioridades en las actividades que debería llevar a cabo el equipo de respuesta, teniendo para ello en consideración aspectos como el posible impacto del incidente en los recursos y servicios de la organización y en el desarrollo de su negocio o actividad principal. En este sentido, los documentos RFC 1244 y RFC 2196 (del IETF, Internet Engineering Task Force) proponen la siguiente priorización de las actividades a realizar por parte de un equipo de respuesta a incidentes: 1. Prioridad uno: proteger la vida humana y la seguridad de las personas. 2. Prioridad dos: proteger datos e información sensible de la organización. 3. Prioridad tres: proteger otros datos e información de la organización. 4. Prioridad cuatro: prevenir daños en los sistemas informáticos (pérdida o modificación de ficheros básicos para las aplicaciones y los servidores). 5. Prioridad cinco: minimizar la interrupción de los servicios ofrecidos a los distintos usuarios (internos y externos). E. Contención, Erradicación y Recuperación Dentro del Plan de Respuesta a Incidentes, el equipo de respuesta debe elegir una determinada estrategia de contención del incidente de seguridad. Una primera opción sería llevar a cabo una rápida actuación para evitar que el incidente pueda tener mayores consecuencias para la organización: apagar todos los equipos afectados, desconexión de estos equipos de la red informática, desactivación de ciertos servicios, etcétera. Esta estrategia de contención es la más adecuada cuando se puedan ver afectados servicios críticos para la organización, se pueda poner en peligro determinada información confidencial, se estén aprovechando los recursos de la organización para lanzar ataques contra terceros o cuando las pérdidas económicas puedan ser considerables. Una segunda alternativa sería retrasar la contención para poder estudiar con más detalle el tipo de incidente y tratar de averiguar quién es el responsable del mismo. Esta estrategia se puede adoptar siempre y cuando sea posible monitorizar y controlar la actuación de los atacantes, para de este modo reunir las evidencias necesarias que permitan iniciar las correspondientes actuaciones legales contra los responsables del incidente. No obstante, se corre el riesgo de que el incidente pueda tener peores consecuencias para la organización o para terceros (y en este último caso la organización podría ser considerada culpable por no haber actuado a tiempo). Por otra parte, en algunos tipos de ataque las medidas de contención adoptadas podrían desencadenar mayores daños en los sistemas informáticos comprometidos. Así, por ejemplo, un equipo controlado por un cracker podría estar ejecutando un servicio que se encargaría de realizar “pings” periódicos a determinados servidores o comprobar el estado de las conexiones de red, de tal modo que si se detectase una desconexión del equipo del resto de la red, se desencadenaría otro proceso encargado de eliminar todas las pruebas del disco duro del equipo. También hay que tener en cuenta que en los ataques de Denegación de Servicio (DoS) puede resultar necesario contar con la colaboración de las empresas proveedoras de acceso a Internet o de administradores de las redes de otras organizaciones para contener el ataque. Por su parte, la erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkits 8 u otros códigos malignos (virus, gusanos...), contenidos y material inadecuado que se haya introducido en los servidores, cuentas de usuario creadas por los intrusos o nuevos servicios activados en el incidente. También será conveniente llevar a cabo una revisión de otros sistemas que se pudieran ver comprometidos a través de las relaciones de confianza con el sistema afectado. Por último, la recuperación es la etapa del Plan de Respuesta a Incidentes en la que se trata de restaurar los sistemas para que puedan volver a su normal funcionamiento. Para ello, será necesario contemplar tareas como la reinstalación del sistema operativo y de las aplicaciones partiendo de una copia segura, la configuración adecuada de los servicios e instalación de los últimos parches y actualizaciones de seguridad, el cambio de contraseñas que puedan haber sido comprometidas, la desactivación de las cuentas que hayan sido utilizadas en el incidente, la revisión de las medidas de seguridad para prevenir incidentes similares y la prueba del sistema para comprobar su correcto funcionamiento. F. Identificación del atacante y posibles actuaciones legales Dentro del Plan de Respuesta a Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. No obstante, conviene tener en cuenta que generalmente sólo se podrá identificar la máquina o máquinas desde las que se ha llevado a cabo el ataque, pero no directamente al individuo responsable de su utilización. La identificación del atacante puede ser una tarea que consuma bastante tiempo y recursos, por lo que no debería interferir en la contención y erradicación del incidente. Algunas organizaciones optan por no perseguir legalmente a los atacantes por el esfuerzo necesario: costes, trámites judiciales, publicación en los medios... Además, los ataques realizados desde otros países con ciertas lagunas legales en el tratamiento de los delitos informáticos pueden dificultar las reclamaciones judiciales, ya que se complica en gran medida el proceso de extradición de los responsables . Existen distintas técnicas para determinar la dirección IP del equipo (o equipos) desde el que se ha llevado a cabo el ataque contra el sistema informático: utilización de herramientas como “ping”, “traceroute” o “whois”; consulta en los registros inversos de servidores DNS; etcétera. No obstante, es necesario tener en cuenta una serie de obstáculos que pueden dificultar esta tarea: ¾ Mediante técnicas de “IP Spoofing” se podría enmascarar la dirección en algunos tipos de ataque. ¾ El atacante podría estar utilizando equipos de terceros para realizar sus acciones, situación que se produce con bastante frecuente hoy en día. ¾ El atacante podría haber empleado una dirección IP dinámica, asignada a su equipo por un proveedor de acceso a Internet. ¾ El equipo del atacante podría estar situado detrás de un servidor proxy con el servicio NAT activo (traducción de direcciones internas a una dirección externa), compartiendo una dirección IP pública con otros equipos de la misma red. Por este motivo, en muchos casos será necesario solicitar la colaboración de los responsables de otras redes y de los proveedores de acceso a Internet que pudieran haber sido utilizados por los atacantes. Una tarea que también podría contribuir a la identificación del atacante es el análisis de las actividades de exploración (escaneos de puertos y de vulnerabilidades en el sistema) que suelen anteceder a un ataque, sobre todo si éstas han podido ser registradas por los “logs” de los equipos afectados o por el Sistema de Detección de Intrusiones (IDS). En cuanto a la ejecución de acciones contra el atacante, se recomienda presentar una denuncia ante las unidades policiales especializadas en este tipo de incidentes o ataques informáticos, para poder emprender de este modo las correspondientes actuaciones policiales y judiciales. Conviene destacar que si la organización decidiese actuar por su propia cuenta, “tomando la justicia por su mano”, es decir, realizar ataques a modo de represalia contra los equipos desde los que aparentemente se está produciendo un intento de intrusión contra sus propios equipos y redes informáticas, esta actuación podría tener graves consecuencias para la organización. Si el atacante ha utilizado técnicas de enmascaramiento (como “IP Spoofing”), la organización podría lanzar un ataque contra equipos y redes inocentes, con las correspondientes responsabilidades legales que se derivan de esta actuación, por lo que podría ser denunciada por las organizaciones propietarias de estos equipos atacados a modo de represalia. G. Comunicación con terceros y Relaciones Públicas El Plan de Respuesta a Incidentes tiene que contemplar cómo la organización debería comunicar a terceros la causa y las posibles consecuencias de un incidente de seguridad informática. Así, dentro de este Plan de Respuesta deberían estar previstos los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. También podría ser necesario establecer contactos con proveedores de acceso a Internet, ya sea el proveedor de la propia organización o el proveedor o proveedores que dan servicio a equipos desde los que se ha originado un ataque contra la organización. Del mismo modo, en algunos casos sería recomendable contactar con los fabricantes de hardware y/o software que se hayan visto involucrados en el incidente, debido a una vulnerabilidad o una mala configuración de sus productos. En el Plan de Respuesta a Incidentes también se deben contemplar los contactos con terceros que pudieran haber sido 9 perjudicados por el incidente de seguridad, como en el caso de que se hubieran utilizado ordenadores de la organización para realizar un ataque contra sistemas y redes de otras entidades. De este modo, se podrían limitar las responsabilidades legales en las que podría incurrir la organización por culpa del incidente de seguridad. Por otra parte, hay que tener en cuenta el cumplimiento de la normativa existente ya en algunos países, que obliga a la notificación de los incidentes de seguridad a determinados organismos de la Administración, así como a los ciudadanos (generalmente clientes de la organización) que pudieran verse afectados por dicho incidente. En los contactos con los clientes de la organización, el personal debería poder transmitir seguridad y tranquilidad, indicando en todo momento que “la situación está controlada”. Por último, también será conveniente definir un Plan de Comunicación con los Medios: agencias de noticias, prensa, emisoras de radio y TV… Para ello, la organización debería establecer quién se encargará de hablar con los medios y qué datos se podrán facilitar en cada momento. El interlocutor debería estar preparado para responder a preguntas del estilo: ¿quién ha sido el responsable del ataque o incidente?, ¿cómo pudo suceder?, ¿hasta qué punto se ha extendido por la organización?, ¿qué medidas están adoptando para contrarrestarlo?, ¿cuáles pueden ser sus consecuencias técnicas y económicas?, etcétera. En la comunicación con los medios, la organización debería procurar no revelar información sensible, como los detalles técnicos de las medidas adoptadas para responder al incidente de seguridad, y evitar en la medida de lo posible las especulaciones sobre las causas o los responsables del incidente de seguridad. H. Documentación del Incidente de Seguridad El Plan de Respuesta a Incidentes debería establecer cómo se tiene que documentar un incidente de seguridad, reflejando de forma clara y precisa aspectos como los que se presentan en la siguiente relación: ¾ Descripción del tipo de incidente. ¾ Hechos registrados (eventos en los “logs” de los equipos). ¾ Daños producidos en el sistema informático. ¾ Decisiones y actuaciones del equipo de respuesta. ¾ Comunicaciones que se han realizado con terceros y con los medios. ¾ Lista de evidencias obtenidas durante el análisis y la investigación. ¾ Comentarios e impresiones del personal involucrado. ¾ Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en el futuro. La Trans-European and Education Network Association (TERENA) ha desarrollado un estándar para facilitar el registro e intercambio de información sobre incidentes de seguridad: el estándar RFC 3067, con recomendaciones sobre la información que debería ser registrada en cada incidente (“Incident Object Description and Exchange Format Requirements”). Conviene destacar que una correcta y completa documentación del incidente facilitará el posterior estudio de cuáles han sido sus posibles causas y sus consecuencias en el sistema informático y los recursos de la organización. Por supuesto, será necesario evitar que personal no autorizado pueda tener acceso a esta documentación sensible. I. Análisis y revisión “a posteriori” del incidente Dentro del Plan de Respuesta a Incidentes se tiene que contemplar una etapa para el análisis y revisión “a posteriori” de cada incidente de seguridad, a fin de determinar qué ha podido aprender la organización como consecuencia del mismo. Con tal motivo, será necesario elaborar un informe final sobre el incidente, en el que se puedan desarrollar los siguientes aspectos de forma detallada: 1) Investigación sobre las causas y las consecuencias del incidente: ¾ Estudio de la documentación generada por el equipo de respuesta a incidentes. ¾ Revisión detallada de los registros de actividad (“logs”) de los ordenadores y dispositivos afectados por el incidente. ¾ Evaluación del coste del incidente de seguridad para la organización: equipos dañados, software que se haya visto afectado, datos destruidos, horas de personal dedicado a la recuperación de los equipos y los datos, información confidencial comprometida, necesidad de soporte técnico externo, etcétera. ¾ Análisis de las consecuencias que haya podido tener para terceros. ¾ Revisión del intercambio de información sobre el incidente con otras empresas e instituciones, así como con los medios de comunicación. ¾ Seguimiento de las posibles acciones legales emprendidas contra los responsables del incidente. 2) Revisión de las decisiones y actuaciones del equipo de respuesta a incidentes: ¾ Composición y organización del equipo. ¾ Formación y nivel de desempeño de los miembros. ¾ Rapidez en las actuaciones y decisiones: ¿cómo respondió el personal involucrado en el incidente?, 10 servicios necesarios para el funcionamiento de los sistemas informáticos, así como de los parches y actualizaciones correspondientes. ¿qué tipo de información se obtuvo para gestionar el incidente?, ¿qué decisiones se adoptaron? 3) Análisis de los procedimientos y de los medios técnicos empleados en la respuesta al incidente: ¾ Redefinición de aquellos procedimientos que no hayan resultado adecuados. ¾ Adopción de las medidas correctivas que se consideren necesarias para mejorar la respuesta ante futuros incidentes de seguridad. ¾ Definición del plan de actuación y los procedimientos para responder a los incidentes, especificando, entre otras cuestiones, a quién se debe informar en caso de incidente o qué tipo de información se debe facilitar y en qué momento (fase del incidente). ¾ Documentación del plan de actuación y de los procedimientos para responder a los incidentes. ¾ Comprobación de que el plan de actuación y los procedimientos previstos cumplen con los requisitos legales y las obligaciones contractuales con terceros (como, por ejemplo, exigencias de los clientes de la organización). ¾ Adquisición e instalación de herramientas informáticas y dispositivos que faciliten la respuesta ante incidentes. Conviene disponer de equipos redundantes, dispositivos de red y medios de almacenamiento para poder recuperar el funcionamiento normal del sistema. ¾ Verificación de los procedimientos y dispositivos de copias de seguridad. ¾ ¾ Mantenimiento actualizado de una base de datos de contactos (personas y organizaciones). 2) Gestión del incidente de seguridad ¾ Aislamiento de los equipos afectados por el incidente, realizando además una copia de seguridad completa de sus discos duros. ¾ Captura y protección de toda la información asociada con el incidente: registros de actividad (“logs”) de los equipos y dispositivos de red, ficheros dentro de los servidores, tráfico intercambiado a través de la red, etcétera. ¾ Catalogación y almacenamiento seguro de toda esta información para poder preservar las evidencias. Convendría disponer de copias de seguridad con la información del estado previo y del estado posterior al incidente de los equipos y sistemas afectados. ¾ Revisión de toda la información disponible para poder caracterizar el tipo de incidente o intento de intrusión. Análisis detallado de los registros de actividad (“logs”) y del estado de los equipos para determinar cuál puede ser el tipo de ataque o incidente, qué sistemas se han visto afectados, qué modificaciones han realizado o qué programas han ejecutado los posibles intrusos dentro de estos sistemas. ¾ Comunicación con todas las personas y organismos que deberían ser informados del incidente, cumpliendo con lo establecido en las políticas y procedimientos de respuesta a incidentes. Mantenimiento de un registro detallado de todas las comunicaciones y contactos establecidos durante la respuesta ante el incidente. ¾ Participación en las medidas de investigación y de persecución legal de los responsables del incidente. ¾ Aplicación de soluciones de emergencia para tratar de contener el incidente: desconectar los equipos afectados de la red corporativa; desactivar otros dispositivos y servicios afectados; apagar temporalmente los equipos más críticos; cambiar contraseñas e inhabilitar cuentas de usuarios; monitorizar toda la actividad en estos equipos; verificar que se dispone de copias de seguridad de los datos de los equipos afectados por el incidente; etcétera. ¾ Eliminación de todos los medios posibles que faciliten una nueva intrusión en el sistema: cambiar todas las contraseñas de los equipos a los que hayan podido Definición de nuevas directrices y revisión de las actualmente previstas por la organización para reforzar la seguridad de su sistema informático. J. Prácticas recomendadas por el CERT/CC El CERT/CC (Computer Emergency Response Team / Coordination Center) ha propuesto una serie de actividades para mejorar la respuesta de una organización ante los incidentes de seguridad informática. Seguidamente se presenta un extracto con algunas de las principales actividades propuestas por este organismo, agrupadas en tres fases o etapas: 1) Preparación de la respuesta ante incidentes de seguridad ¾ Formación y entrenamiento del personal afectado por este plan y procedimientos de actuación. Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. 4) Revisión de las Políticas de Seguridad de la organización. ¾ ¾ Creación de un archivo de discos de arranque y un conjunto de copias con todas las aplicaciones y 11 tener acceso atacantes o usuarios no autorizados; revisar la configuración de los equipos; detectar y anular los cambios realizados por los atacantes en los equipos afectados; restaurar programas ejecutables y ficheros binarios (como las librerías del sistema) desde copias seguras; mejorar, si es posible, los mecanismos de registro de la actividad en estos equipos. ¾ Recuperación de la actividad normal de los sistemas afectados: reinstalación de aplicaciones y servicios, incluyendo los parches y actualizaciones de seguridad; restauración de los datos de los usuarios y las aplicaciones desde copias de seguridad; recuperación de las conexiones y servicios de red; verificación de la correcta configuración de estos equipos. 3) Seguimiento del incidente de seguridad ¾ Identificación de las lecciones y principales conclusiones de cada incidente, recurriendo para ello al análisis “post-mortem” de los equipos afectados por el incidente y entrevistando a las personas implicadas en la gestión del incidente. ¾ Implementación de las mejoras de seguridad propuestas como consecuencia de las “lecciones aprendidas” en cada incidente: revisión de las políticas y procedimientos de seguridad, realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema, etcétera. VII. CONCLUSIONES Y LÍNEAS DE TRABAJO FUTURAS Como conclusión de este trabajo, podemos destacar que la seguridad de un sistema informático dependerá de diversos factores, entre los que podríamos destacar los siguientes: ¾ La sensibilización de los directivos y responsables de la organización, que deben ser conscientes de la necesidad de destinar recursos a esta función. ¾ Los conocimientos, capacidades e implicación de los responsables del sistema informático: dominio de la tecnología utilizada en el sistema informático y conocimiento sobre las posibles amenazas y los tipos de ataques. ¾ La mentalización, formación y asunción de responsabilidades de todos los usuarios del sistema. ¾ La correcta instalación, configuración y mantenimiento de los equipos. ¾ La limitación en la asignación de los permisos y privilegios de los usuarios. ¾ El soporte de los fabricantes de hardware y software, con la publicación de parches y actualizaciones de sus productos que permitan corregir los fallos y problemas relacionados con la seguridad. ¾ Contemplar no sólo la seguridad frente a las amenazas del exterior, sino también las amenazas procedentes del interior de la organización. ¾ La adaptación de los objetivos de seguridad y de las actividades a realizar a las necesidades reales de la organización. En este sentido, se deberían evitar políticas y procedimientos genéricos, definidos para tratar de cumplir los requisitos impuestos por otros organismos. Por lo tanto, podemos afirmar que hoy en día uno de los principios de las buenas prácticas de la gestión corporativa es el de la seguridad de la información, siendo responsabilidad de la Alta Dirección el poner los recursos y medios necesarios para la implantación de un adecuado sistema de Gestión de la Seguridad de la Información en el conjunto de la organización. Podemos definir el Sistema de Gestión de la Seguridad de la Información (SGSI) como “aquella parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en una organización”. A la hora de implantar un Sistema de Gestión de Seguridad de la Información una organización debe contemplar los siguientes aspectos: 1. Formalizar la gestión de la seguridad de la información. 2. Analizar y gestionar los riesgos. 3. Establecer procesos de gestión de la seguridad siguiendo la metodología PDCA: ƒ “Plan”: selección y definición de medidas y procedimientos. ƒ “Do”: implantación de medidas y procedimientos de mejora. ƒ “Check”: comprobación y verificación de las medidas implantadas. ƒ “Act”: actuación para corregir las deficiencias detectadas en el sistema. 4. Certificación de la gestión de la seguridad. En todo este proceso es necesario contemplar un modelo que tenga en cuenta los aspectos tecnológicos, organizativos, el cumplimiento del marco legal y la importancia del factor humano No obstante, muchas empresas se preguntan si la Gestión de la Seguridad de la Información genera una ventaja competitiva para la organización. Sin embargo, lo que sí parece estar bastante claro es que una inadecuada gestión de la seguridad provocará, tarde o temprano, una desventaja competitiva. Por este motivo, convendría evitar que para reducir el coste o los plazos de un proyecto no se consideren de forma adecuada los aspectos de seguridad de la información. Además, la implantación de determinadas medidas de seguridad puede resultar incómoda para muchos usuarios del 12 sistema y, por ello, resulta fundamental contemplar la adecuada formación y sensibilización de los usuarios para que estas medidas se puedan implantar de forma efectiva. Por lo tanto, y como líneas de trabajo futuras, se propone seguir profundizando en el estudio de los aspectos clave para definir y poder implantar un adecuado Sistema de Gestión de la Seguridad de la Información, adaptado a las necesidades y características de cada organización. REFERENCIAS [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] J. Chirillo, Hack Attacks Revealed: A Complete Reference, John Wiley & Sons, 2001. E. Cole, Hackers Beware, New Riders, 2001. E. Cole, R. Krutz, J. Conley, Network Security Bible, John Wiley & Sons, 2005. J. Erickson, Hacking: The Art of Exploitation, No Starch Press, 2003. A. Gómez, Enciclopedia de la Seguridad Informática, Ra-Ma, 2006. K. Kaspersky, Hacker Disassembling Uncovered, A-LIST Publishing, 2003. J. Long, Google Hacking for Penetration Testers, Syngress, 2005. S. McClure, S. Shah, Web Hacking: Attacks and Defense, Addison Wesley, 2002. J. Mirkovic, S. Dietrich, D. Dittrich, P. Reiher, Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall, 2004. R. Russell, Hack Proofing Your Network, Syngress, 2000. R. Russell, Stealing the Network: How to Own the Box, Syngress, 2003. J. Scambray, S. McClure, G. Kurtz, Hacking Exposed: Network Security Secrets & Solutions - 2nd Edition, Osborne/McGraw-Hill, 2001. J. Scambray, M. Shema, Hacking Exposed Web Applications, Osborne/McGraw-Hill, 2002. M. Shema, Anti-Hacker Tool Kit, Osborne/McGraw-Hill, 2002. H. Warren, Hacker's Delight, Addison Wesley, 2002. RFC 1244. RFC 2196. RFC 3067. Alvaro Gómez Vieites nació en Vigo, Galicia, España, el 10 de Abril de 1972. Se graduó en la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad de Vigo, y posteriormente completó sus estudios en la UNED (Ingeniería en Informática de Gestión y Licenciatura en Administración de Empresas), en la Universidad Politécnica (Diploma de Estudios Avanzados) y en la Escuela de Negocios Caixanova (programa de posgrado Executive MBA). Ejerció como profesor en la Escuela de Negocios Caixanova, donde desempeñó el cargo de responsable de Sistemas de Información, y actualmente es socio-director de la empresa SIMCe Consultores y profesor colaborador de varias Escuelas de Negocios. Autor de varios libros sobre el impacto de Internet y las nuevas tecnologías en la gestión empresarial.