viernes, 15 de agosto de 2008

Sea su propio auditor (parte I)

1.Situación Actual: “Vivir en permanente riesgo
En las compañías las actividades relacionadas a la tecnología son dinámicas y cambian día a día (nuevos puestos de trabajo, cambios en los aplicativos, aumento del tráfico de correos, implementación de nuevas soluciones, etc). En este cambio constante, también mutan las amenazas que pueden poner en riesgo los procesos de negocios de las compañías.
En la actualidad la Norma ISO/IEC 27001:2005 posee una lista de los objetivos de control deseados para que una compañía analice cuales podrían ser los puntos de seguridad a abordar. Es una herramienta útil para utilizar de guía, pero la organización deberá contar con personal que entienda de controles, el alcance de los mismos y que pueda asegurar la implementación de los mismos. Mientras tanto las amenazas acechan los recursos de IT y las organizaciones están al límite de un problema de seguridad.
Por otro lado, es muy común escuchar en las organizaciones que debido a la cantidad de trabajo, no tienen tiempo de analizar la seguridad de la compañía, que si realizan esta actividad, no saben qué hacer con los resultados, como organizarlos, a que darle prioridad, como organizarse con todos los contenidos, como auditarlos y luego que hacer ante una no-conformidad.
Por un lado no se toman acciones por que se desconocen metodologías o herramientas que permitan dar un estado eficiente y rápido, por otro lado las amenazas cada vez son mayores y crece poco a poco el nivel de riesgo en las organizaciones.

2.Iniciativa Microsoft: “Cambio de paradigma
En el año 2002, Microsoft lanza una iniciativa a la que denominó Trustworthy Computing (http://www.microsoft.com/mscorp/twc/default.mspx), entendiendo por ello que la seguridad es un proceso de maduración y que las personas que utilicen los computadores deben sentirse seguros ante la utilización de la plataforma Microsoft. A partir del 2002 las soluciones que Microsoft lanza al mercado van cambiando, agregando una cuota importante de seguridad hasta lograr un nivel más que importante en las soluciones que hoy Microsoft ofrece al mercado.
Ahora bien, no todo pasa por las soluciones (hardware & software). Está demostrado que la mayoría de los problemas de seguridad se debe al desconocimiento de los riesgos de implementar una solución de manera predeterminada o por querer hacer más flexible el uso se baja el nivel de seguridad.
Por ello, y para ayudar a los usuarios y personal de IT de las compañías, Microsoft lanza varias iniciativas que permiten generar conciencia y ofrecen metodologías de escenarios seguros: MOF (Microsoft Operations Framework), IO (Infrastructure Optimization), guías de seguridad para productos y soluciones.
Ahora bien, ¿Cómo se puede auditar un escenario, una compañía o un proceso? ¿Qué tan segura es nuestra red? Desde el año 2004 Microsoft viene ofreciendo una herramienta gratuita que permite realizar un análisis de riesgo de la compañía.

3.MSAT 2.0: “Mi analizador de riesgo personal
En el año 2004 Microsoft publica una herramienta denominada Self Assessment Tool (MSRSAT). Esta herramienta simple, con un mínimo cuestionario, nos daba una idea del estado de seguridad de la compañía. Las preguntas que se respondían permitían evaluar si se cumplía con requerimientos mínimos para contar con un escenario seguro.
Obviamente todo cambio tecnológico era evidente que provocaría evoluciones en esta herramienta, lanzando la nueva versión denominada MSAT, Microsoft Security Assessment Tool (Herramienta de Evaluación de la Seguridad de Microsoft), que actualmente se encuentra en la versión 3.5. A partir de la versión 2.0 del año 2005 se podía bajar de Microsoft una versión denominada Internacional, que ofrecía a los clientes la consola en diferentes idiomas incluso el español.
Una vez instalada la herramienta, se debía crear un perfil con información básica de la organización. Esto le permitiría analizar diferentes escenarios, como por ejemplo casa central, sucursal 1 y sucursal 2. La batería de encuestas se repite para cada perfil.
En la versión 2.0, la evaluación se orientaban a compañías que no superaran los 1000 empleados (recomendada para organizaciones entre 50 y 500 Pc).



La herramienta comienza con una serie de preguntas sobre el modelo de su compañía para ir creando el perfil de riesgos para la empresa (BRP) mediante la valoración del riesgo al que su organización está expuesta conforme al modelo y sector empresarial. Luego sigue con una batería de preguntas en donde se intenta hacer frente al riesgo y a vulnerabilidades específicas. Cada capa contribuye a una estrategia de defensa en profundidad. Al finalizar se generaba un reporte con los resultados en capas para determinar en qué aspectos de la organización con relación a IT estaban en riesgo. Este modelo lo podemos observar si analizamos Defensa en Profundidad (DiD – Defense in Depth), que se basa en la implantación de capas de defensa en los niveles técnicos, organizativos y operativos http://www.microsoft.com/spain/technet/security/guidance/serversecurity/avdind_0.mspx.
Para finalizar, esta versión ya incluida una alternativa de actualización a nuevas versiones del MSAT sin perder los perfiles cargados.

4.MSAT 3.5: “La evolución continúa (madurez continua…)”
Al diseñarse esta nueva versión Microsoft tuvo en cuenta una gestión de riesgo de seguridad en el entorno de IT. La herramienta, basándose en las buenas prácticas (ISO/IEC 27001:2005, ITIL, COBIT, NIST 800.x, etc.), emplea un enfoque holístico para medir el estado de seguridad basándose en la PPP (People, Products, Process – Personas, Productos o tecnología, Procesos). Los resultados al finalizar con las preguntas, nos orientarán en la mitigación de los riesgos, incluso incluyendo enlaces para obtener más información sobre algunos casos.
La evaluación contiene alrededor de 200 preguntas, que han sido divididas en 4 categorías:
•Infraestructura
•Aplicaciones
•Operaciones
•Gente o personal.

Al finalizar la carga de las preguntas, usted podrá obtener:
....Aprender de la herramienta y aplicarlo como una metodología de trabajo, ya que se recomienda usar la herramienta en diferentes estadios de madurez de la compañía.
....Un marco de defensa en profundidad con un análisis comparativo de la industria.
....Un informe detallado, continúo comparando el punto de referencia con su progreso.
....Recomendaciones comprobadas y actividades prioritarias para mejorar su seguridad.
....Microsoft estructurado y orientación de la industria(IO).

5.Usando MSAT 3.5: “Sacando el auditor que hay en mi

Bajando e instalando la herramienta.

Si Usted desea usar esta versátil herramienta para saber cuál es el estado de seguridad de su escenario de IT, puede bajar la misma del siguiente sitio

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6d79df9c-c6d1-4e8f-8000-0be72b430212

Una vez que ya posee la herramienta, debe proceder a instalarla. Previamente, verifique los requerimientos básicos en la página Web (Windows 2000 Professional Edition; Windows Vista; Windows XP Professional Edition) , pero no hace falta instalar la herramienta en un servidor. Muchos preguntan si la herramienta recolecta datos de la red, a lo que la respuesta es NO!. Esta herramienta es interactiva y la única manera de que funcione es respondiendo las preguntas en la pantalla de la misma.

Usando la herramienta por primera vez
Deberá ejecutar la herramienta desde el ícono de MSAT que agregó a su menú de programas. Al aparecer la consola, lo primero que sugerimos hacer es cambiar el idioma. Para ello deberá seleccionar en la barra de menú, la opción Tools, Choose Language y seleccionar el idioma Spanish (Spain).



Para continuar, deberá presionar el botón Nuevo y le pedirá el nombre del perfil. Al presionar Aceptar, aparecerán unas pantallas en donde se le solicitará información básica de la compañía, esta pantalla se denomina Perfil de la Empresa.

De allí en más aparecerán las encuestas, en donde se pregunta sobre cómo está actualmente la compañía. Las ventanas que irán apareciendo son:
1) Perfil de la empresa
2) Perfil de riesgo para la empresa (BRP)
...Seguridad de la infraestructura (preguntas sobre los servicios que utilizan los usuarios, accesos remotos, configuraciones de red, backups, otros).
...Seguridad de las aplicaciones (preguntas de cómo está organizada el área de desarrollo de software en la compañía y que cuidados se tienen).
...Seguridad de las operaciones (como se utilizan los recursos de IT, si son vitales para la organización, como usan los datos los usuarios en la compañía, otros).
...Entorno (Perfil de la organización, cantidad de empleados, uso de recursos).

Una vez que completa los datos generales, aparecerá una solicitud de perfil nuevamente para realizar las evaluaciones. Si la empresa posee casa central y/o sucursales, es conveniente crear un perfil para cada uno de ellos, a menos que no tenga recursos como servidores o dispositivos de comunicaciones distribuidos entre los sitios.
Al crear el perfil, aparecerá una pantalla pidiéndonos el nombre del mismo. Deberá prestar atención allí, ya que puede elegir el perfil de análisis que desea realizar, uno puede ser un perfil de análisis en general (Microsoft Security assessment) o de la infraestructura (Core Infrastructure Optimization Assessment).



Listo, de ahora en más a responder a las preguntas, que en este caso elegimos como evaluación de seguridad. A medida que empieza a responder aparecerán las preguntas. Al lado de cada pregunta encontrará un ícono con la forma de ? que podrá seleccionar si no entiende lo que se esta evaluando.



Cada vez que termina con una capa, la misma aparece a la izquierda de la pantalla, bajo el nombre del perfil, de color rojo, se pondrá de color verde, indicando que esa etapa está resuelta.

Una vez finalizada la encuesta, aparecerá un informe que posee tres opciones:
• Informe resumido.
En base a lo cargado en las encuestas, indica el estado de madurez del BRP (medición del riesgo relacionado al modelo empresarial y al sector de la empresa, estos datos fueron cargados en el perfil de la compañía) y el DiDI (medición de las defensa de seguridad del PPP).


• Informe completo

Informe detallado que si Usted lo imprimen, pueden presentarlo a la gerencia indicando el estado de seguridad de la oficina a la cual evaluaron. Al final del documento posee URL para buscar información complementaria.
De cada ítem evaluado, se detalla o explica cuales son las fallas y que acciones deben tomarse.
•Informe comparativo.
Para generarlo, debe cargar desde los servidores Microsoft la información estadística e información recomendada sobre el perfil por Usted definido. La información permitirá comparar una compañía tipo con los resultados por Usted completados.

6.Bibliografía
Para mayor información visite
Acceder al MSAT 3.5 INTERNATIONAL
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6d79df9c-c6d1-4e8f-8000-0be72b430212
MSAT en inglés.
http://technet.microsoft.com/es-ar/security/cc185712(en-us).aspx
Microsoft IO
http://www.microsoftio.com/
Defense in Depth
http://www.microsoft.com/technet/security/guidance/serversecurity/avdind_0.mspx
Guías de Seguridad
http://www.microsoft.com/spain/technet/security/guidance/default.mspx
Guías de seguridad recomendadas (español)
http://www.microsoft.com/latam/technet/seguridad/guias/recomendadas.mspx

Enrique Dutra
MVP Windows Security