La amenaza primordial a los sistemas de informaci・ no es el maligno "intruso cibern・ico" dotado de capacidades formidables, dice Lingerfelt, experto en tecnolog・ y planeaci・ estrat・ica para la ejecuci・ de la ley. "M・ bien, los mayores peligros a los sistemas de computadoras y bancos de datos son las fuentes `confiables'". El autor hace hincapi?en que "una evaluaci・ realista de las necesidades y amenazas en materia de seguridad, seguida de una formulaci・ y aplicaci・ significativas de un plan de seguridad, puede brindar protecci・ efectiva contra la gran mayor・ de las amenazas, y a un costo razonable". Lingerfelt identifica las ・eas que son fuentes m・ frecuentes de amenazas reales y presenta siete estrategias b・icas para la planeaci・ de la seguridad de la tecnolog・ de informaci・.

Las agencias de ejecuci・ de la ley y justicia penal tienen una oportunidad sin precedentes de usar tecnolog・ de informaci・ (TI) para transformar sus operaciones y proveer un servicio mejor y m・ efectivo. Sin embargo, muchas agencias se muestran renuentes a aprovechar la oportunidad porque temen que al reemplazar o complementar sus sistemas de estructura central cerrada con computadores personales vinculadas en una red, y poner en pr・tica informes automatizados y redes de computadoras, se expondr・n a s? mismos a los ataques de los intrusos cibern・icos. Los costos estimados elevados de proteger todos los sistemas de TI de la penetraci・ de los intrusos cibern・icos, combinado con el da・ que podr・ resultar de la p・dida de informaci・ extremadamente confidencial, hacen que parezca razonable evitar lo que se percibe como un riesgo, a pesar de las ganancias a obtener mediante el uso de la TI.

Es un hecho que, debido a los aumentos exponenciales del uso de la TI, hay una exposici・ creciente a los ataques a los sistemas y activos inform・icos y bancos de datos. Sin embargo, el temido y bien informado intruso cibern・ico es raramente la amenaza mayor. M・ bien, los mayores peligros que amenazan a los sistemas de computadoras y bancos de datos son las fuentes `confiables'. Una evaluaci・ realista de las necesidades y amenazas en materia de seguridad, seguida de una formulaci・ y aplicaci・ significativas de un plan de seguridad, puede brindar protecci・ efectiva contra la gran mayor・ de las amenazas, y a un costo razonable.

Percepcion vs. Hechos

Muchos departamentos han comprometido a la TI recursos financieros sustanciales. Esto ha ido acompa・do de un aumento en el n・ero de informes sobre ataques de los intrusos cibern・icos a los sistemas de informaci・ policial.

Aumentan tambi・ los informes sobre uso ilegal de informaci・ procedente de bancos de datos policiales, robos de informaci・ policial y robos de recursos de TI pertenecientes a agencias policiales. La frecuencia de estos informes ha desalentado a muchas agencias policiales de aventurarse m・ all?de sus sistemas cerrados ya existentes. Sin embargo, los nuevos requisitos empresariales impuestos a las agencias de justicia penal exigen que cambien los m・odos mediante los cuales obtienen, comparten y diseminan informaci・.

Se han iniciado cambios operativos como resultado de la necesidad de distribuir en el terreno los sistemas de informaci・, modernizar los procesos de trabajo, distribuir informaci・ m・ all?de los l・ites de la organizaci・ o intercambiar informaci・ con agencias e individuos fuera de tales l・ites.

Algunas agencias han respondido usando personal que se ocupa de las nuevas tareas, con lo cual se sustrae personal de la fuerza disponible. Otros han puesto en pr・tica nuevos sistemas "separados" que proveen solamente los nuevos servicios, pero no est・ integrados con los que ya posee la agencia ni son complementarios de ・tos. Esto s・o consigue aumentar la complejidad y costo -- en personal, tiempo y dinero -- del apoyo a la TI.

Como ya se observ? las amenazas internas provenientes de fuentes dentro del dominio confiable causan m・ da・ que los intrusos. Han sido documentados varios incidentes causados por fuentes internas:

La red de todo un departamento colaps? por causa de un virus contenido en diskettes que la divisi・ de planeaci・ del departamento distribuy?para recoger informaci・ de encuestas.

El jefe de inteligencia que supervisaba un sistema de inteligencia jer・quico dej?escritos en su pantalla su identificaci・ de usuario y su contrase・, con instrucciones detalladas para entrar en la red.

Un alto funcionario de un departamento de polic・ vendi?a representantes del crimen organizado un documento que conten・ la descripci・ y las placas de todos los autom・iles no identificados que utilizaban los agentes de polic・.

Un administrador de red novato que instalaba una red en un departamento de polic・ les dio a todos los usuarios privilegios de administrador.

A los programadores de aplicaci・ en un importante departamento de polic・ se les permiti?colocar directamente en uso un nuevo c・igo de programa directamente, sin probarlo ni examinarlo, y todo el sistema colaps?durante 24 horas como resultado del c・igo incorrecto.

Un gobierno estatal abri?un sitio en la Web que carec・ de cortafuegos. En 24 horas, el documento que conten・ la identificaci・ y la contrase・ de usuario estaban a disposici・ de los intrusos cibern・icos. El estado, hay que reconocerlo, comparti?la experiencia con otros estados y, en consecuencia, los ayud?a evitar cometer el mismo error.

En suma, hay, como resultado del uso cada vez mayor de la tecnolog・ de la informaci・, una amenaza creciente de ataques provenientes del exterior, pero la proporci・ de la amenaza en relaci・ con el todo no ha cambiado -- s・o el todo es m・ grande. ・s mayor la amenaza? S? ・s diferente? No.

El aumento de exposici・ a las amenazas a la seguridad de las computadoras se debe a varias causas:

Nuevos modelos de empresa: el sector p・lico imita al sector privado, con un retraso de alrededor de cinco a・s.

Crecimiento exponencial del uso de la TI: las computadoras y las redes se han infiltrado en casi todos los aspectos de nuestra vida.

Costos reducidos: Hoy, la tecnolog・ es barata. No importa la medida que se utilice, los costos de la TI b・ica son m・ bajos que nunca, y el costo de la nueva tecnolog・ disminuye m・ r・idamente que hace apenas unos pocos a・s debido a los r・idos adelantos y el aumento de la competencia.

En la transici・ de las operaciones centralizadas a las operaciones descentralizadas, las sedes centrales de la toma de decisiones y el universo de la informaci・ han sido reemplazadas por unidades empresariales independientes y a distancia, apoyadas por una distribuci・ de TI.

Para la TI este cambio ha significado una transici・ de las arquitecturas cerradas a las redes -- redes internas y externas. La distribuci・ de la informaci・ significa m・ dificultades para proteger sistemas, vigilar operaciones y responder a problemas. Hay m・ puntos expuestos. Lo bueno es que la distribuci・ de TI hace posible enormes ganancias en productividad -- y el rendimiento de la inversi・ ocurre a menudo menos de un a・ despu・ de hacerla.

Las organizaciones del sector privado han comenzado a concentrarse en la competencia especializada en lugar de proveer de todo a todo el mundo. Las empresas mantienen un personal mucho m・ peque・. Esto les permite evitar problemas laborales y log・ticos vinculados con los cambios. S・o se cubren los puestos que contribuyen directamente a alcanzar las metas empresariales. Las fusiones y adquisiciones reclaman frecuentemente que se recurra a fuentes exteriores para ocuparse de las funciones de apoyo y administrativas, en particular la TI. Las agencias de justicia penal (y todo el gobierno) han comenzado a avanzar en la misma direcci・ para modernizar operaciones, reducir costos y mejorar servicios.

Adem・, retener el personal capacitado en TI se ha vuelto muy dif・il. Los gobiernos no han podido competir con los salarios del sector privado para reemplazar el personal que pierden. Esto tambi・ ha aumentado el uso de fuentes exteriores por parte del gobierno.

La creciente rotaci・ de ejecutivos y gerentes es otra realidad en las organizaciones de hoy. A medida que las compa骰as se reducen en tama・, o incursionan unas en otras en busca de expertos, se plantea la amenaza de que los ejecutivos o los gerentes de nivel intermedio se lleven consigo propiedad intelectual importante. Un caso semejante se llev?con ・ito ante la justicia cuando se demostr?que la estructura de directorio incluida en los documentos de computadora de un gerente era id・tica a la que hab・ en la unidad empresarial a la que el gerente hab・ pertenecido anteriormente. El hecho de que las compa骰as que reducen su tama・ a menudo pierden millones de d・ares en equipos de computadora, programas de computadora, existencias y muebles robados, si a los empleados se les avisa anticipadamente de la reducci・, raramente se reconoce o se da a conocer.

A pesar de los beneficios que representa, utilizar recursos exteriores de TI puede resultar en riesgos de seguridad. Es especialmente importante contar con un plan de seguridad cuando las responsabilidades de TI que son esenciales para la misi・ de la empresa han de transferirse a empleados por contrato o personas fuera de la agencia. La agencia puede exigir que todos los empleados por contrato cumplan con ciertos requisitos de investigaci・ de antecedentes.

Crecimiento Exponencial del Uso
de la Tecnologia de la Informacion

Las computadoras y las redes computarizadas se han infiltrado en casi todos los aspectos de nuestras vidas. El fraude, el robo y la diseminaci・ ilegal de informaci・ y materiales son posibles gracias a las computadoras, las redes computarizadas y la Internet que todos usamos. Se conciben nuevos cr・enes y se insufla nueva vida a los viejos esquemas.

Afortunadamente, este aumento del uso de las computadoras ha generado adelantos en tecnolog・, est・dares e identificaci・ de las pr・ticas ・timas. A medida que las lecciones aprendidas de los errores han mejorado la tecnolog・, todos nos hemos beneficiado. Las pr・ticas de seguridad tambi・ han mejorado en reacci・ directa a las lecciones aprendidas, y ha surgido un conjunto s・ido de pr・ticas ・timas. El sector privado ha allanado el camino. La mayor・ de los productos nuevos (tanto de equipos como de programas de computadora) incluyen dispositivos de seguridad funcionales. Que las funciones se usen o no, es otra cuesti・.

Costos Reducidos

No importa la medida que se use, los costos de la TI b・ica son m・ bajos que nunca. Casi todo el mundo puede comprar una computadora.

No s・o la TI cuesta menos, en el sector p・lico hay m・ dinero disponible para invertir en TI que en cualquier momento desde fines de la d・ada de los 60 y principios de la de los 70. Por ejemplo, las iniciativas relacionadas con el problema de computadoras del a・ 2000 y el crimen computarizado proveen miles de millones de d・ares con el prop・ito expreso de mejorar o reemplazar los sistemas de informaci・ del sector p・lico. Esto crea una oportunidad perfecta para que las agencias de justicia penal incluyan la seguridad en el desarrollo y puesta en pr・tica de procesos empresariales y sistemas de TI nuevos. Tratar de introducir mecanismos de seguridad en sistemas existentes es demasiado caro y, por lo general, no da resultado.

Planeacion de la Tecnologia de Informacion

El libro de ciencia ficci・ "Gu・ para los que Quieren Hacer Auto Stop hasta la Galaxia", presenta como su primera regla:

NO SE DEJE LLEVAR POR EL PANICO. Este es tambi・ un buen consejo para la planeaci・ de seguridad de la TI. Muchas organizaciones se han resistido a invertir en TI debido a la creencia, persistente y exagerada, de que de inmediato las asediar・ los intrusos cibern・icos y los entrometidos.

A pesar de la creciente exposici・ y el creciente n・ero de intrusos potenciales, hay disponibles experiencia y herramientas para construir defensas efectivas y mejorarlas continuamente. Con una planificaci・ anticipada efectiva, es posible responder r・ida y apropiadamente a cualquier ataque, prevenir la mayor・ de ellos y minimizar el efecto de los dem・.

La planeaci・ general debe hacerse teniendo presente el cuadro amplio: el plan de TI debe fluir directamente de los planes operativos de la organizaci・. El plan debe describir los requisitos empresariales que satisfar・ las metas operativas: no es una lista de deseos computarizada. Hay que concentrarse en lo que se necesita hacer, no en c・o se lo har? Por lo com・ hay muchas maneras de satisfacer un requisito, y entre ellas hay grandes diferencias en costo. Debe haber una justificaci・ clara para cada d・ar que se gaste. Y, desde el comienzo, hay que incluir la seguridad en el plan de TI.

Las arquitecturas deben mantenerse simples. Esto ofrece una ventaja importante en materia de seguridad. Los sistemas m・tiples, no importa cu・ estrechamente est・ integrados, ofrecen puntos de acceso m・tiples y requieren administraci・ de seguridad y sistemas de apoyo m・tiples que se traducen en costos incrementados.

Siete Estrategias para Garantizar la Seguridad
en la Tecnologia de la Informacion

1. POR ENCIMA DE TODO -- MANTENERLO SIMPLE. Si el sistema es muy complicado, los usuarios lo evitar・ o tratar・ de darle un rodeo, con lo que se anular・ las medidas de seguridad y se reducir?su utilidad. Las medidas de seguridad modernas pueden ser efectivas sin interferir.

2. DESARROLLAR POR ADELANTADO POLITICAS, PROCEDIMIENTOS Y SANCIONES (P3). Dise・r un sistema de seguridad P3 que se base en las necesidades del usuario, la naturaleza de las aplicaciones y la informaci・ que se asegura. APLICARLAS constantemente. Tener unas P3 que no se aplican es peor que no tener ninguna.

3. OFRECER ENTRENAMIENTO EN EL USO DEL SISTEMA Y HACER HINCAPIE EN LAS P3. Reforzar el adiestramiento mediante el examen y distribuci・ de material noticioso relevante -- por ejemplo, relatos relacionados con ataques cibern・icos o abusos de sistemas.

4. TANTO COMO SEA POSIBLE, USAR PRODUCTOS DE SEGURIDAD DISPONIBLES EN EL COMERCIO, MAS BIEN QUE DESARROLLAR INTERNAMENTE APLICACIONES DE SEGURIDAD. Esto es aconsejable por varias razones, porque las necesidades empresariales son relativamente simples. Las agencias de justicia penal asocian personas entre s? y personas con acontecimientos, recopilando y compartiendo informaci・. Los productos estandarizados basados en est・dares abiertos han sido probados y aprobados, y se puede entrevistar a sus clientes y aprender de ellos. Incluso si los productos son nuevos, las metodolog・s usadas para probarlos pueden evaluarse y examinarse los resultados. Lo m・ importante de todo es que los productos estandarizados de la industria est・, de modo t・ico, bien documentados para que los empleen los usuarios y el personal t・nico de TI. La documentaci・ y el ensayo de seguridad se descuidan frecuentemente cuando las aplicaciones se desarrollan internamente.

5. DIVIDIR EN COMPARTIMIENTOS LA INFORMACION, LOS SISTEMAS Y LOS USUARIOS. PROTEGER APROPIADAMENTE LA INFORMACION Y LOS SISTEMAS DE ACUERDO CON SU VALOR. Los informes de inteligencia confidenciales deben estar protegidos mediante una seguridad elevada. La informaci・ que es p・lica y/o puede ser reemplazada f・ilmente no requiere, sin embargo, una seguridad refinada. Una evaluaci・ objetiva de los sistemas de informaci・ mostrar?que una cantidad mucho mayor de ellos son p・licos en lugar de confidenciales.

De modo similar, los elementos de TI (computadoras personales, servidores, tarjetas de red, cables, etc.) y los suministros (programas de computadora, diskettes, etc.) deben inventariarse y asegurarse apropiadamente. Frecuentemente, las agencias reciben grandes cantidades de equipo f・ico y programas de computadora (computadoras personales, monitores, tarjetas de acceso a la red, bocas de conexi・ en paneles de control, dispositivos que conectan dos redes de ・ea local, etc.) sin anotar esos art・ulos en un banco de datos de control de activos, y sin verificarlos cuidadosamente para garantizar que son lo que se pidi?y que los art・ulos est・ configurados correctamente y funcionan apropiadamente. Cuando se pierden los art・ulos o no funcionan apropiadamente, no hay constancias para demostrar la p・dida o que el sistema no funciona como se requiere. La administraci・ de inventario es un primer paso. El segundo es el control de configuraci・.

En el momento en que se la recibe, debe establecerse la configuraci・ cada pieza de equipo f・ico y cada programa de computadora debe quedar apropiadamente registrado. El inventario contendr? entonces, una descripci・ detallada de cada uno de los componentes del sistema, tanto equipo f・ico como programas de computadora, y de d・de est・ ubicados (hasta llegar al n・ero de la oficina y escritorio). Esta informaci・ es de valor inapreciable para la protecci・ de los activos inform・icos, la identificaci・ del robo o la manipulaci・ y la realizaci・ de investigaciones efectivas cuando se descubren problemas. Hay disponibles programas de computadora que verifican la configuraci・ e informan autom・icamente acerca de problemas a los administradores de seguridad. Estos programas mantienen tambi・ un registro de cambios o de mantenimiento del sistema. Seg・ se van haciendo reparaciones, se introducen mejoras en los sistemas o se les presta mantenimiento, es importante que se deje constancia de tales actividades. Finalmente, las cerraduras y tornillos especializados para cerrar las estaciones de trabajo pueden reducir el robo o la manipulaci・. La pol・ica de la agencia deber・ requerir que se informe de todos los problemas que parezcan sospechosos para proceder a investigarlos.

La divisi・ en compartimientos de los suministros y activos cibern・icos significa que hay que tratarlos apropiadamente, seg・ su costo o la importancia que tengan para la misi・ de la agencia. A menudo se descuida este aspecto. Por ejemplo, las agencias guardan suministros de bajo costo tales como diskettes, en tanto que los activos cibern・icos esenciales, tales como los servidores, quedan sin protecci・ en un ・ea de oficina abierta, y los cables y centros de la red se instalan al descubierto sobre las paredes en lugar de encerrarlos en conductos o esconderlos dentro de los cielorrasos.

Tambi・ hay que dividir en compartimientos a los usuarios. Controlar las aplicaciones y la informaci・ a que tienen acceso y c・o pueden llegar hasta ellas. (Por ejemplo, a un usuario se le puede permitir acceso a ciertas estaciones de trabajo en ciertas ocasiones). Controlar qui・ puede abrir cuentas o crear identificaciones de usuarios en un sistema. Auditar las cuentas con frecuencia en busca de identificaciones o cuentas que no correspondan a la realidad. Tener a mano personas capaces de llevar a cabo una auditor・.

Una de las amenazas a la seguridad que se descuida con m・ frecuencia se relaciona con la documentaci・ del sistema. A menudo, la documentaci・ de cualquier tipo se trata con demasiado descuido y es posible encontrarla en oficinas que no son seguras. Hay que proteger la informaci・ t・nica detallada y la que corresponde a los usuarios. Puede parecer conveniente y menos costoso preparar documentaci・ que se adapte a todos los usos, pero esto puede resultar peligroso para la seguridad de un sistema. Los manuales de usuario que se distribuyen profusamente contienen a menudo grandes cantidades de informaci・ t・nica que no le sirve de nada al usuario instalado frente a su terminal, pero que puede ser muy valiosa para el intruso cibern・ico. Uno de ・tos, armado de informaci・ detallada sobre el sistema, puede atacarlo con precisi・ quir・gica en lugar de apelar a la fuerza bruta, m・ f・il de detectar. Conviene distribuir la documentaci・ seg・ la necesidad que cada cual tenga de conocerla.

Debe asegurarse la documentaci・, controlar el acceso a ella y adiestrar a los usuarios acerca de c・o protegerla. Es recomendable, para reducir costos, simplificar la puesta al d・ y brindar m・ protecci・, publicar la documentaci・ en la red en lugar de imprimirla.

6. SEA REALISTA ACERCA DE LA ADMINISTRACION DE LA SEGURIDAD. No es probable que las agencias de justicia penal, por ejemplo, puedan establecer o administrar un programa de seguridad de TI impenetrable. Hay que equilibrar las necesidades de seguridad reales y sus costos. Puede ser posible alcanzar el nivel deseado de apoyo para llegar a las mismas metas. Puede emplearse personal de la propia agencia para que haga lo que puede hacer efectiva y real・ticamente, y recurrir a fuentes externas para el resto. La clave es alcanzar los resultados definidos por el plan de seguridad de la informaci・.

Para satisfacer las necesidades de seguridad, hay disponibles muchos recursos. Pueden obtenerse de una compa骰a privada a costos competitivos. A medida que aumenta la dependencia de la TI y la seguridad llega a ser una preocupaci・ importante, las empresas responden ofreciendo servicios de seguridad de TI de alta calidad.

Tambi・ es valioso compartir recursos. Esto incluye lo que las agencias de justicia penal y los miembros de la comunidad de seguridad pueden hacer por cada uno de los otros. Compartir recursos, aportar dinero para hacer compras conjuntas, los servicios que donan las universidades o la comunidad, todas son maneras potenciales de cerrar brechas en el plan de seguridad.

7. PRUEBE, AUDITE, INSPECCIONE SITIOS E INVESTIGUE CONTINUAMENTE Y AL AZAR. Use una metodolog・ para examinar y probar c・igos para bloquear las puertas traseras de los sistemas. Use auditor・ autom・ica y programas de vigilancia. Use programas para verificar cambios en un documento. Desarrolle y use programas "Tip" como un modo de identificar atacantes reales o potenciales. D?a conocer las amenazas y las respuestas que se les da. Emprenda siempre acci・ r・ida, constante y apropiada cuando se detectan o informan violaciones. Anuncie con amplitud las medidas disciplinarias tomadas en casos que tengan que ver con la seguridad de la TI.

La seguridad de la TI ha adelantado tan r・idamente como cualquiera de sus otros aspectos, pero no puede ser efectiva si no se la aplica apropiadamente. La aplicaci・ de casi cualquier dispositivo de seguridad est?disponible en el comercio. Los cortafuegos son m・ poderosos y adaptables que nunca y su precio es muy razonable. Los programas de codificaci・ se vuelven m・ poderosos y f・iles de poner en pr・tica y mantener. La capacidad de administrar y vigilar sistemas distribuidos desde un punto ・ico de la red mejora constantemente. Los programas de vigilancia y auditor・ autom・icos para controlar el uso de sistemas y alertar a los administradores de seguridad de intentos de abuso evolucionan con rapidez.

Uno de los aspectos del avance t・nico que es m・ promisorio es la biom・rica -- la capacidad de identificar a alguien de acuerdo con una caracter・tica f・ica exclusiva (por ejemplo, las huellas dactilares, la voz, el contorno de la mano, el patr・ retinal, etc.). Los aparatos biom・ricos hacen posible autenticar a los usuarios con m・ facilidad que nunca e impedir・ que las personas no autorizadas tengan acceso a un sistema, aun si poseen una contrase・.

La IBM, en cooperaci・ con el Barclays Bank en Europa, ensaya teclados que tienen incorporado un lector de huellas dactilares. Los usuarios deben ser autenticados biom・ricamente antes de que se les permita entrar en cualquier parte del sistema. La tecnolog・ de flash (una b・queda algor・mica de im・enes) es r・ida y precisa. Puede buscar en un banco de datos de millones de registros (inclusive im・enes de huellas dactilares) para determinar si hay alguno comparable. Esta capacidad, combinada con las redes de alta velocidad, tiene un gran potencial de utilizaci・ en los cajeros bancarios autom・icos y otros aparatos de transacciones electr・icas. La tecnolog・ de flash se usa en Per? en un sistema de verificaci・ de votantes basado en las huellas dactilares. El proyecto ha dado resultados excelentes y ayudar? a impedir el fraude electoral.

A medida que estas tecnolog・s evolucionan, la seguridad de la TI seguir?mejorando en t・minos de efectividad y facilidad de empleo.