Inseguridades abiertas

La firma Recon Optical nunca se había preocupado por la seguridad. Sus ingenieros estaban demasiado ocupados en desarrollar algunos de los productos de tecnología óptica más avanzados de los años 80, más que en proteger los datos. Desafortunadamente, había un cliente igualmente preocupado en apoderarse de tecnología de Recon. Así, entre 1986 y 1988, este cliente penetró en el sistema de ordenador de la empresa, recorrió la documentación de los ingenieros y sustrajo los secretos comerciales de Recon.

Desafortunadamente, según los expertos, al moverse cada vez más compañías al "reino ideal" de los sistemas abiertos, los datos corporativos se harán cada vez menos seguros. La culpa de esto hay que achacarla a los sistemas distribuidos, es decir, la arquitectura que contribuye a satisfacer la gran promesa de "información disponible en cualquier parte" de los sistemas abiertos.

Cuanto mayor sea el número de conexiones de red disponibles, mayor será la vulnerabilidad, afirma la consultora Janus Associates, y esto es así cualquiera que sea el sistema operativo que se esté utilizando. En un estudio realizado en 1992 para la American Society for Industrial Security (ASIS), casi la mitad de las 246 compañías consultadas afirmaron haber sido víctimas de intentos de apropiación indebida de información. En estas, un 58% de los intentos fueron realizados por empleados actuales o pasados, que habían tenido problemas con la compañía en cuestión. Otro 12% tuvieron lugar por parte de vendedores, proveedores y subcontratistas.

Se comprende que las compañías importantes se muestren reacias a hablar sobre infracciones o precauciones relativas a la seguridad. Y sin embargo, el problema va en aumento: el número de intentos por mes aumentó en un 260% entre 1985 y 1992.

Seguridad física

Según diversos analistas en cuestiones de seguridad, la seguridad física es extraordinariamente importante. La cuestión depende de en qué medida se administre, se supervise y se compruebe el sistema.

Sin embargo, es precisamente este control físico de los sistemas distribuidos y abiertos lo que pasan por alto muchas empresas y organizaciones. Para comprenderlo, basta con que realice el siguiente test:

- ¿Realizan sus administradores LAN todas las actividades LAN (incluyendo la asignación de contraseñas, IDs y niveles de seguridad) sin que otros auditen y controlen su trabajo?

- ¿Y sus programadores? ¿Tienen acceso a sus operaciones de proceso de datos, permitiéndoles, por ejemplo, realizar cambios a su sistema de nóminas?

Si responde "sí" a cualquiera de las dos preguntas, habrá olvidado uno de los elementos fundamentales de la seguridad. La primera regla para un control adecuado es una buena separación de las tareas y responsabilidades. En el mundo mainframe, los trabajos se dividen en partes, en las que alguien puede llevar a cabo funciones de seguridad ocho horas al día. Pero en un entorno de proceso distribuido, el administrador del sistema dispone casi de un control absoluto en todo el sistema operativo de red, para establecer usuarios, realizar backups y acceder a datos.

Según diversos expertos, los delitos informáticos se descubren generalmente por accidente o como consecuencia de una auditoría. Sin embargo, uno de los problemas es que muy pocas compañías mantienen registros de auditoría o "audit trails" que permitan a alguien ver lo que ha estado haciendo un administrador LAN u otra persona. Quien piense que esto no podría suceder puede tomar nota de lo sucedido en un conocido laboratorio de investigación norteamericano conectado a la red Internet. El grupo responsable de seguridad informática descubrió que alguien había convertido la red del laboratorio en una línea de uso común. Un hacker de mucho talento encontró formas de penetrar en las estaciones de trabajo Sun y cambiar el estado de sus controladores Ethernet. Esto le permitió controlar el tráfico en la red y conseguir nombres y contraseñas mientras circulaban por ella. El resultado fue un entramado de acceso cada vez más amplio, que el laboratorio se vio obligado a cerrar, ordenador por ordenador.

Paredes anti-fuego

¿Cómo evitar situaciones similares? En primer lugar, es importante no conectar nunca los ordenadores más sensibles a la red que conecta con Internet. En segundo lugar, crear "paredes anti-fuego" en torno al sistema, como ayuda para prevenir el acceso no autorizado. Y una cosa más: contratar a los mejores profesionales para crear estas barreras. La efectividad de una barrera depende enteramente de la capacidad de la persona que la instala.

Actividades contra hackers

Si recorre la oficina por la noche, es muy probable que encuentre por lo menos un ordenador personal que ha quedado conectado a la red, de forma que los empleados puedan realizar su trabajo mientras viajan.

El problema es que, si ellos pueden conectarse, también puede hacerlo cualquier otra persona.

Puede intentarlo usted mismo. Siéntese una noche ante su ordenador y, comenzando con el número de teléfono principal de su compañía, realice llamadas al azar para ver donde puede penetrar.

Una vez que encuentre una puerta abierta, intente adivinar la contraseña de esa persona. Puede resultar terriblemente fácil.

Si esto no le asusta, quizá lo hará lo siguiente: su personal habrá instalado códigos de acceso a la red en todos esos atractivos laptops que llevan en sus viajes. Y el espionaje económico está experimentando un auge extraordinario.

La apropiación indebida de datos es algo que forma hoy en gran medida parte de la actividad comercial.

Seguridad: "Califique la seguridad de los SS.AA. por niveles de aplicación"

(Areas calificadas negativamente)

-----------------------------------------------------------------------------------------

1. Formatos estándar para sistemas de redes multivendedor

2. Sistemas de redes distribuidos

3. Formatos Estándar para sistemas homogéneos

4. Interfaces personalizables

5. Capacidades Nonrepudiation

(Base: 146 ejecutivos de TI)