Estadísticamente el 40% de las causas de daños y atentados contra bases de datos o robo de información interna o confidencial son provocados por “insiders” (empleados desleales) Se deben identificar en primera instancia las potenciales fuentes de amenaza y posteriormente las tipologías que estas fuentes pueden provocar.

También es importante clasificarlas en intencionales o accidentales para analizar sus causas y posteriormente crear procedimientos y protocolos de anticipación y contingencias.

INFRAESTRUCTURA FISICA
Medidas de protección contra daños

FUEGO

Deben utilizarse alarmas automáticas y manuales contra fuego ubicadas en lugares estratégicos. Extintores: en caso de protección de archivos basados en papel lo recomendable es que contengan halón (No es corrosivo ni conductivo y es químicamente muy estable) Si hay sistemas automáticos, disponer un panel de control que indique dónde se disparó la alarma inicial de incendio.

Llaves maestras para cortes de energía (incluyendo aire acondicionados) y de sistemas de extinción automáticos al lado del panel de control.

A la hora de planificar el plan de lucha contra el fuego, se debe tener en cuenta que hay gente que puede no percibir la existencia de un incendio y que la mayoría de las personas son incapaces de adoptar una actitud razonable debido a que en situaciones de emergencias no saben cómo reaccionar.

Los edificios donde se almacenan los bienes e infraestructuras maestras de sistemas de información deben haber sido construidos con materiales resistentes al fuego y deben ser estructuralmente estables ante incendios.

Los extintores y las salidas de emergencia deben estar claramente marcados y accesibles fácilmente por el personal.

Para reducir el riesgo de un daño extenso por fuego eléctrico, los cables eléctricos deben ubicarse en paneles y conductos ignífugos.

Los administradores de seguridad deben revisar y testear las protecciones contra incendios periódicamente.

El uso correcto de estos sistemas requiere entrenar periódicamente al personal.

Se deben documentar los procedimientos a realizar ante emergencias.

AGUA

Los sistemas de protección incluyen medidas básicas tales como:

- Tener techo, paredes y puerta a prueba de agua. - Asegurar la existencia de un correcto sistema de drenado. - Instalar alarmas en lugares estratégicos. - Tener una llave maestra de corte de agua. - Ubicar los bienes por encima del nivel del suelo. - Los sistemas de desagüe deben ser cerrados (entubados) y embutidos debajo del piso o dentro de las paredes. - Se deben hacer inspecciones regulares.

PLAN DE RECUPERACIÓN DE DESASTRES

Tipificando y ampliando el panorama no debemos olvidar los posibles riesgos provocados por diferencias de tensión eléctricas (es fundamental disponer UPSs), las acciones deliberadas cometidas por empleados desleales, personal de áreas de sistemas o informáticas que pueden actuar en modo no ético, o asumir la posibilidad de ser víctima de hacking.

El plan de recuperación de desastres permite restaurar las operaciones de la función de sistemas de información aunque el desastre no haya concluido.

El impacto puede ser localizado (estrictamente informático, un daño de una base de datos) o generalizado (incendio o inundación de una instalación).

El Auditor en Seguridad Informática periódicamente debe crear escenarios de desastre y evaluar si los planes de recuperación son adecuados.

El auditor debe evaluar que estos planes existan, estén en su lugar y sean adecuados.

Si el auditor es Auditor Externo estará especialmente interesado en la habilidad del cliente de retomar rápidamente sus operaciones. También pondrá especial cuidado en potenciales demandas que puedan surgir por el no cumplimiento de contratos con otras partes.

El Auditor Interno tiene los mismos intereses. Debe realizarse un pormenorizado análisis de riesgo para identificar cuáles son los posibles riesgos y qué los puede causar.

Un informe de IBM señala que los incendios son el principal interruptor de las actividades de las empresas con un 17.5%), el terrorismo y diversos tipos de sabotajes, también se dan en un 17.5%, causas atmosféricas 14%, terremotos 10.5%, caídas eléctricas 9.5%, errores de software 8.8%, inundaciones 7% y errores de hardware 5.3% Un Plan de recuperación de desastres está compuesto de cuatro etapas:

PLAN DE EMERGENCIA
PLAN DE TESTEO
PLAN DE PLAN DE BACK UP
RECUPERACIÓN DE DESASTRE
PLAN DE RECUPERACIÓN

El plan debe proveer las políticas y guías para el personal afectado al área de informática respecto por ejemplo, a los procedimientos diarios de back up.

El Plan de Emergencia especifica las acciones a realizar inmediatamente luego de producido un desastre.

Las acciones que se inicien dependerán de la naturaleza del desastre. Algunas requerirán que se evacue el edificio, otras que algunas personas permanezcan para apagar equipos o disparar alarmas.

El Plan de Emergencia debe incluir para cada situación: Quien debe ser notificado (policía, bomberos, médicos), acciones a tomar (apagar archivos, cortar llaves, enviar información a servidores externos, etc), procedimientos de evacuación, procedimientos para retornar.

Plan de Back Up

- Debe especificarse la frecuencia de ejecución.
- Procedimientos.
- Ubicación de los recursos.
- El sitio donde estos recursos pueden restaurarse.
- Operaciones para restaurar.
- El personal responsable de recolectar los recursos de back up y las operaciones de recupero.
- Las prioridades a asignar para recuperar los sistemas.
- Un cronograma que muestre cuando cada sistema puede ser recuperado.

Controles

- Actualización de hardware y software disponible.
- Aseguramiento de que todos los recursos críticos cuenten con copias de respaldo.

Recursos

- Personal: Entrenamiento y rotación de obligaciones entre el personal del área informática para facilitar reemplazos.
- Documentación: Inventario de documentación almacenada de manera segura dentro y fuera de la empresa.
- Insumos: Inventario de insumos críticos almacenados de manera segura dentro y fuera de la empresa.
- Datos / Información: Inventario de archivos almacenados de manera segura dentro y fuera de la empresa.
- Software: Inventario de software de sistemas y aplicación almacenados de manera segura dentro y fuera de la empresa.

Contratos

Si se usa un sitio de back up de otra empresa, el Auditor en Seguridad Informática debe asegurar que los contratos incluyan:

- En qué tiempo estará disponible el sitio de back up
- El número de organizaciones que simultáneamente podrán utilizar este sitio de back up
- La prioridad que se asignará a usuarios concurrentes en el caso de un desastre común
- El período por el cual se puede usar el sitio
- Las condiciones bajo las cuales se puede usar el sitio
- Las facilidades y servicios que se comprometen a proveer en el sitio
- Qué controles se implementarán en el sitio

Plan de Recuperación

- Define los procedimientos para restaurar las capacidades completas de los sistemas de información.
- Es específico y depende de las circunstancias del desastre.
- Este plan debería indicar qué aplicaciones recuperar primero.

Plan de Testeo

- Identifica las deficiencias en los planes de emergencias, planes de back up y planes de recuperación o en la preparación de la organización y del personal ante un caso de desastre.
- Debe permitir simular desastres.
- Se debe ejecutar periódicamente (simular los desastres y requerir al personal que cumpla con los procedimiento estipulados en los planes).
- Se deben realizar los testeos a través de inspecciones formales y no en la práctica.
- Deben realizarse en días y horarios no conflictivos.

Hay muchos escenarios de conflictos, quizá el mayor miedo en los Estados Unidos a nuevos ataques terroristas (posteriores al efectuado contra el World Trade Center en 1993 y al edificio del FBI ubicado en Oklahoma City en 1995) hicieron que muchas empresas, en colaboración y con ayuda de organismos de emergencia estatales, comenzaran a practicar escenarios de conflictos basados en la hipótesis de ser blancos de posibles atentados terroristas.

A raíz de estas medidas y prácticas algunas empresas afectadas por los atentados a las Torres Gemelas, como la entidad financiera Morgan Stanley pudieron estar operativos el 12 de septiembre de 2001.

Según los analistas de Gartner Group dos de cada cinco empresas acaban por desaparecer en un lapso de 5 años tras haber sufrido una catástrofe por no haber sido capaces de recuperar su información crítica. Recuerde que la inversión en seguridad hoy es tranquilidad mañana.

Autor: Luciano Salellas
Auditor en Seguridad Informática
Colaboración

Contacte al autor

Pais: Argentina