4 EL ADMINISTRADOR Y LA INFRAESTRUCTURA DE LA SEGURIDAD INFORMÁTICA
Revisar y analizar el
papel y las responsabilidades del administrador de sistemas.
Describir algunas
consideraciones de diseño de infraestructuras de seguridad
Estudiar algunas técnicas
básicas para el diseño y la generación de rastros
Presentar los
conceptos básicos de auditabilidad trazabilidad
Estudiar y analizar
algunas consideraciones jurídicas y aspectos de los rastros en las
plataformas tecnológicas.
Gran parte de la responsabilidad de la configuración de las
infraestructuras informáticas recae sobre los llamados administradores del
sistema. En el contexto de este libro, por administrador del sistema
entenderemos aquel profesional especializado en la configuración y el
afinamiento de los diferentes elementos de la infraestructura informática, para
Io cual debe contar con buenas prácticas de aseguramiento tecnológico,
competencia y habilidad técnica, y con un alto sentido de la confidencialidad,
integridad y disponibilidad de los activos que tiene a cargo. Estos
profesionales se enfrentan al reto de mantener operacional una infraestructura,
y a ser los primeros en contacto
con la materialización de la inseguridad de la información, bien sea por
una falla propia del equipo o de los equipos que se administran, por una acción
deliberada desarrollada, efectuada por un intruso o por una falla operacional
del mismo administrador. Ante una falla de seguridad de la
información, los administradores son los primeros que deben reaccionar y
aportar su visión integral del entendimiento de la infraestructura, con el fin de
orientar y avanzar en la detección y el análisis del incidente de seguridad.
Este apoyo se convierte en insumo fundamental de la investigación que se
adelante, pues de esta manera se puede avanzar en la identificación del ataque
y los atacantes, y así evitar que el probable infractor se mimetice dentro de
las evidencias que se puedan recabar. En las secciones siguientes
profundizaremos en aspectos críticos de este profesional informático, para
comprender ese segundo papel de los investigadores forenses, ahora en la formalidad
de la operación de la infraestructura de computación y las características de
seguridad informática. requeridas para detectar e identificar las posibles
intrusiones informáticas.
del administrador de sistemas En la
actualidad existen muchos profesionales de tecnologías
de información, cuyo cargo se denomina "administrador del
sistema", esa persona que está a cargo del sistema (hardware, software,
procedimientos), a quien se acude cuando existe
algún tipo de inconformidad con algún elemento del mismo. En organizaciones
pequeñas (menos de 500 empleados) generalmente este cargo es desempeñado por
una persona que asume
la responsabilidad por mantener la operación, la continuidad. La seguridad y la disponibilidad de la infraestructura informática
En organizaciones medianas (más de 500 y menos de 1.000 empleados) este
mismo Cargo se especializa más, y Se entiende como el de aquellos profesionales
encargados de la configuración y el afinamiento de los componentes de
computación y comunicaciones que permiten una adecuada operación y el
funcionamiento de los mismos. Ya los temas de seguridad y continuidad se
entregan a otras áreas especializadas (que pueden o no estar dentro del área de
tecnología) que interactúan de manera con los administradores, para concretar las
estrategias de disponibilidad y protección de la información de sus áreas de
responsabilidad. En organizaciones grandes (más de 1.000 empleados), el administrador
del sistema es aquella persona que se denomina un especialista de plataforma,
personal especializado en sistemas operacionales, bases de datos, respaldos,
afinamientos y ajustes de parámetros de servidores, que mantienen la operación
al día. En este escenario, la función de seguridad de la información y la de
continuidad están fuera del Independiente del tipo de organización el que se
analice, el de administración del sistema tiene un componente operacional
propio de su papel y de seguridad y control que debe ser parte de las
actividades previstas para esa administración. Sin embargo, muchos
administradores se encuentran con el dilema de dar prioridad a la funcionalidad
perspectiva pueden de una aplicación. El cargo de administrador del sistema, o
system nace la puesta en operación de los primeros donde el trabajo era tan que
se tenía el de operador. administrador y programador del sistema. Estos tres
cargos. sugeridos por los primeros proveedores de sistemas computacionales. describían
con claridad los limites dc cada cargo. Para el operador su función principal
era ejecutar comandos en cl sistema (detallados v registrados en una bitácora
de
actividades), los cuales eran ordenados por el administrador del sistema. así
como monitorear el buen funcionamiento de los procesos o los trabajos que se
ejecutaban en él. El administrador del sistema era la persona especializada
tanto en el software base de las máquinas, como en la configuración del
sistema. el dueño de los parámetros básicos del hardware y del software.
siguiendo las recomendaciones del proveedor El administrador tiene a su cargo
la historia de
cambios. actualizaciones y ajuste de las máquinas y el software en el
transcurso del tiempo. Este cargo no opera el sistema, tiene permisos
restringidos y monitoreo de sus acciones sobre
los parámetros del hardware y software. El programador del sistema, a
diferencia del administrador, era aquella persona que, utilizando la
configuración base del sistema ofrecida. implementada por el administrador,
desarrollaba y programaba trabajos especializados en la máquina que permiten la
funcionalidad de las aplicaciones que allí se ejecutan. El programador habla
con las áreas de negocio para establecer los requerimientos de las operaciones
solicitadas,
para cumplir con las necesidades de la empresa. Si bien, aún en esta época,
el lenguaje del programador del sistema es altamente técnico. las áreas de
negocio debían hacer un esfuerzo
importante para que ese profesional entendiera sus solicitudes.
Como podemos ver. son tres cargos en que cada uno desarrollaba un espectro
de actividades que. adecuadamente coordinadas, funcionaban y daban cumplimiento
a lo que se especificaba en la organización. Con el paso del tiempo, las
organizaciones se hicieron más complejas. con mayores exigencias y requisitos.
pues el entorno de negocios y las tecnologías de información cambiaron: de una
realidad estática y estructurada, a una dinámica y no estructurada. En este
contexto, concebir los cargos presentados previamente exige un entendimiento de
la realidad dinámica de las redes, la movilidad de los individuos y la
flexibilidad. En un entorno este, se requiere pensar la seguridad múltiple
variables y especialidades que, conjugadas, un cuerpo conceptual semejante a lo
que existía en el pasado no para restringir y especializar, sino para
posibilitar el de seguridad y no debe estar fundado en la capacidad de
restricción, sino en la posibilidad de orientar el sistema hacia lo más
conveniente, basado en principios propios del negocio y de la protección de la información,
como activo fundamental de la organización. Es decir, un elemento que conciliar
la funcionalidad de los servicios con las regulaciones propias de las
operaciones. En este sentido, se
establece una promesa compartida entre los dueños del negocio, los
profesionales de tecnologías de información y los de seguridad informática: que
los clientes puedan utilizar la potencialidad de las tecnologías, con la
confiabilidad requerida y las medidas de protección establecidas de manera
natural y efectiva.
Esta promesa exige de los administradores del sistema entender tanto las
expectativas de los dueños del negocio, como las del área de seguridad. Es lo
que podríamos llamar un arquitecto
de seguridad de información. que con pensamiento sistémico comprende la
dinámica de los negocios, y allí descubre la inseguridad reinante en cada una
de las relaciones que advierte en
la infraestructura, con definir el cargo de administración actualmente
requiere una reflexión de mínimo cuatro dimensiones: tecnológica,
procedimental, humana y que permitan las responsabilidades y los en
interacciones remotas y con administrador la base de su formación, y su
experiencia lo convierte en un factor clave de éxito para la operación y la
funcionalidad de la
infraestructura informática de la empresa. La dimensión procedimental.
atada al manejo de cambios y actualizaciones tanto de hardware y software, se
conserva como en el pasado, sólo que ahora debe considerar elementos de
seguridad y control sugeridos tanto por los proveedores como por los
especialistas de seguridad. Es decir. se incorpora un nuevo criterio para la
administración: no sólo que funcione y opere bien, sino de manera confiable. Lo
relacionado con la parte humana es congruente con su disposición de servicio y
hacer las cosas más fáciles para sus
dientes. Si bien su preparación técnica es clave para su trabajo, debe
contar con la capacidad de presentar sus propuestas de manera clara y sencilla,
evitando la jerga propia de los técnicos.
Este profesional debe contar con altos niveles de ética, pues en sus manos
están las variables más críticas para la funcionalidad de la organización; su
sentido de pertenencia y compromiso debe ser altamente estimado y valorado. Finalmente,
y no menos importante es la variable de negocio la cual busca que este
profesional entienda cómo sus acciones encajan en las propuestas de negocio y
cómo su labor perfecciona la misma en la operación formal de la empresa. Esto
permite una visión más integradora del proceso de administración del sistema.
más allá de los ajustes tecnológicos, para convertirla en una administración de
tecnologías de información integrada con los dueños del negocio. Es importante
aclarar que esta es una reflexión que debe hacerse
en doble vía, es decir, los dueños de los procesos de negocio deben
interiorizar y comprender también los esfuerzos que los administradores del
sistema hacen en su dominio de responsabilidad. En este contexto podríamos
decir que el administrador transformado en un arquitecto de tecnología, debe
establecer los niveles tolerables y medibles de la inseguridad propia de los
sistemas que administra y su impacto en el negocio, basado en una
administración de riesgos propia de su cargo, no para alertar sobre las
posibles fallas identificadas, sino para aprender de ellas y ajustarla
infraestructura para hacerla más resistente a ataques más elaborados. Para un
investigador forense, el comprender las responsabilidades de un administrador y
sus razonamientos le permite obtener información valiosa desde el punto de
vista técnico, procedimental y de negocio que busque analizar la dinámica de
los hechos de los eventos investigados, no sólo como hechos aislados y
tecnológicos, sino con el sentido de los procesos y la
mente tanto del atacante como de los dueños del negocio. Encontrar la
verdad en el escenario de los administradores del sistema va más allá de un
cargo y un perfil dentro de un sistema, pues la herencia tecnológica del
administrador del sistema muchas veces nos impide revisar otras relaciones
emergentes, que muestran más de este cargo, y nos imposibilita proponer
hipótesis más elaboradas y consistentes. Para detallar algunas consideraciones
de diseño de infraestructuras de seguridad, trataremos de ver un poco la
evolución de la computación y, con ella, la transformación de la seguridad de
la información. En este contexto, detallaremos las características requeridas
de la seguridad en cada momento, sus motivaciones y las necesidades propias
para las organizaciones. Con la evolución tecnológica, la seguridad ha requerido
repensarse y adaptarse a cada una de las realidades de la tecnología del
momento. En esta sección trataremos de revisar cada uno de esos momentos
tecnológicos pasados y los futuros mostrando las implicaciones y estrategias de
seguridad que se desarrollaron para luchar contra la inseguridad propia de la
tecnología y de la arquitectura formulada para ese entonces.
Durante los años 60 y 70 la computación centralizada era la realidad
evidente en los centros de procesamiento de datos. Los grandes computadores
centrales o mainframes eran los que
estaban en el primer nivel del uso informático de las organizaciones. Este
tipo de computación erada norma que apoyaba los diferentes procesos de la
organización, los cuales eran operado
por personal especializado para esas labores y anotar que no todo el mundo tenía
acceso a estas máquinas. En este sentido, la seguridad informática alrededor de
este escenario más que concentrarse con el descubrimiento de la inseguridad de
los programas. estaba orientada a la seguridad física de los equipos y el buen
procesamiento de la información. Una falla en el programa de control de la
información. O en la integridad de la misma. generaba una alta desconfianza en
los informes y sus cifras. La computación centralizada y basada, la cual estaba
dominada por las recomendaciones de los proveedores, y no seguirlas en contra
del buen funcionamiento de las máquinas. En este mismo sentido, la seguridad de
la información se concentraba en el acceso y el control de las máquinas, en el
ingreso al sitio donde se encuentran estas, y en la habilidad y el
entrenamiento de las personas encargadas de operarlas. En este contexto. los
proveedores de estas máquinas hacían énfasis especial en el uso y la
configuración de sistemas elaborados de acceso para velar por el adecuado
seguimiento de las acciones en el sistema. En cuanto a la seguridad y el control.
los años 60 y 70 Se caracterizaron por un énfasis marcado en el control de
acceso, la segregación de funciones y el debido registro de las operaciones y
transacciones, Los mecanismos de seguridad propios de la época eran los
registros de auditoria que, si bien existían y eran consultados, no tenían
mayores protecciones dado que tenía acceso a ellos eran profesionales con alto
de confianza y con perfiles especiales claramente registrados c identificados.
Esta es la época de aplicación de modelos seguridad. Durante los años 80 se
pasaba de una realidad centralizada y cerrada, una descentralizada y abierta.
Se concluye la época de los mainframes y se abre la puerta al concepto de las
infraestructuras cliente/servidor. En este modelo de interacción existen
máquinas que solicitan servicios y otras que los ofrecen.
El énfasis se concentra en el tráfico de información a través de la red, y
en el uso de puertos de conexión, los cuales están asociados con los servicios
que se prestan. Este cambio abre la puerta a un nuevo tipo de inseguridad, a
unas nuevas relaciones que van más allá del servidor centralizado y, por tanto,
requiere repensar nuevamente la gestión de la seguridad de la información. Con
la llegada de una computación más abierta y con más oportunidades. se inicia la
carrera para desarrollar mecanismos de seguridad de la información particularmente
orientadas a las redes: sistemas de detección de intrusos, criptografia
asimétrica, SSL (secure ket laycr), proxies, entre otros. los cuales establecen
una nueva responsabilidad para el área de tecnologías de información.
Los nuevos mecanismos de seguridad que se presentan recogen las prácticas
de los años 70 y desarrollan nuevas funcionalidades para disminuir los impactos
de la inseguridad propia de los protocolos asociados con TCP/IP, a continuación»
se hace una breve descripción de los principales mecanismos de seguridad en los
ambientes cliente CIS. Firewall (FW) o cortafuegos es una tecnología de los
años 80 que busca desarrollar un control de acceso en el tráfico de red.
con el fin de identificar qué paquetes pueden o no ingresar o salir del perímetro
de la red de una organización. para ellos, se plantea un esquema de
construcción de reglas, ya previamente
vigente en los sistemas de enrutamiento para controlar los corridos que
seguían los paquetes en una red, con el propósito de hacer más granular el
control tanto como la organización quisiera. Este portal de control de acceso
del tráfico se convierte en la fortaleza de la organización para evitar que
personas no autorizadas trataran
de invadir desde el exterior la red interna. Luego, con el tiempo, se hace evidente
que no solamente el control desde el exterior era necesario. pues en el
interior. Se podían presentar empleados desmotivados que podrían atentar contra
la organización misma. Los sistemas de detección dc intrusos (en inglés JOS,
Intrucsion Detection System) son otro dc los adelantos tecnológicos de
seguridad propios del mundo CIS, pues actúan como un monitor del tráfico de
red, descubriendo y analizando ahora el contenido de los paquetes que ingresan
a la organización. Si bien el F w hace parte del trabajo de control de acceso.
no tiene
capacidad para
observar "la intencionalidad del mensaje" que lleva el paquete. LOS
Sistemas de detección de intruso se asemejan a las alarmas que se instalan en
casas. carros y oficinas a fin de advertir la presencia de una persona no deseada.
En la primera parte de la evolución de estos sistemas Su función era
exclusivamente reactiva de la presencia de un posible ataque al
sistema protegido.
pero su grado de confiabilidad dependía del afinamiento de las reglas propias
de detección v el tráfico de red frente a la dinámica de la organización.
Los sistemas de detección de intrusos continuaron su desarrollo, haciéndose
cada más versátiles en la detección y luego en la reacción contra posibles
escenarios de ataque, Siempre con el margen de error asociado con los falsos pósitivos; es decir, aquellos eventos o paquetes de tráfico de red que, sin ser
una amenaza real. fueron reportados como tales. Con el paso del tiempo. en las
infraestructuras de seguridad fue necesario combinar la presencia de un
firewall y luego un I I)S.
con el fin de aumentar la capacidad de detección y de alerta de los
intrusos en una infraestructura de red. Se hicieron parte fundamental de una
estrategia de seguridad en el perímetro de las organizaciones y una herramienta
clave para monitorear a los usuarios internos. Por otra parte, tenemos los
proxies. o estrategias de reducción o ampliación de acceso a conexiones desde o
hacia una red. la cual puede ser normal o inversa. Un proxy es un intermediario
que recibe, registra, valida y autoriza la salida o la entrada de un tráfico de
red. Está asociado con permitir el
acceso de muchas personas a recursos en Internet, donde únicamente se
publica una dirección en Internet, protegiéndola de cada uno de los usuarios
internos de la red. La otra modalidad es que un usuario del exterior envié una
petición a un recurso que se encuentre detrás del Proxy y este remita el paquete
luego de su verificación, al servidor correspondiente. Mientras el primer
funcionamiento es el normal de esta estrategia, el segundo se denomina Proxy
reverso.
Basado en el modelo de ISO, promulgado en la década de uso diario en
nuestros días, se establece una manera de pensar en la protección de las redes;
es decir, recorriendo cada uno dc los niveles conocidos (físico. enlace, red,
transporte, sesión. presentación y aplicación) se pueden establecer los
mecanismos de seguridad requeridos para disminuir el nivel de inseguridad
propio de las aplicaciones CIS, y así dimensionar la inversión que habría que
hacer para aumentar la confianza de la organización en el uso de las redes, y
el control de acceso servicio y aplicaciones
Ahora, en el mundo, el director de tecnología no solamente es responsable
porque la infraestructura funcione de acuerdo con lo requerido. sino que debe
hacerlo con mayor confiabilidad, disponibilidad, trazabilidad e integridad.
Este requerimiento se hace en medio de una nueva tendencia de ataques y de
incidentes que llevan a las organizaciones a fallas importantes de los sistemas
y a pérdidas de continuidad, ya no ocasionadas por una caída del servidor
central, sino por acceso no autorizado, una negación de servicio, una
suplantación
de dirección IP, envenenamiento de caché del DNS (Domain Name Services).
monitoreo no autorizado de conexiones, suplantación de direcciones MAC, asalto
de sesiones TCP, entre
Esta nueva realidad desarrolla y propulsa una dinámica de la seguridad de
la información. no solamente motivada por los ataques, sino por las
posibilidades que se abren al explorar
los protocolos que soporta la suite de protocolos 'ICP/IP. Las aplicaciones
cliente/servidor ofrecen toda una gama de nuevas posibilidades para utilizar la
capacidad de cómputo de las máquinas, y abrir la interacción de las mismas a
los usuarios de toda la organización y la configuración de se profundiza el cambio
que la arquitectura proponía. La interacción a través del web, por la vía del
protocolo http, ofrece nuevas potencialidades para generar aplicaciones y
programas que pudiesen ejecutarse en cualquier parte, a cualquier hora y en
cualquier momento. sin
necesidad de instalar
software adicional en el cliente. como ocurría en el modelo CIS. Estas
posibilidades de movilidad y versatilidad, acompañadas con una interfaz
amigable y conocida por el usuario, establecen un nue,'0 cambio paradigmático
en la tecnología y en la seguridad.
Ahora las tecnologías
asociadas con el Web (creadas en los años 90) son las que ofrecen
interactividad y transparencia mayores para el usuario, en el uso de los
recursos computacionales. En este contexto, la seguridad, previamente basada en
redes, tráfico de red y puertos. se orienta hoy hacia el estudio del protocolo
http, los servidores de aplicaciones (application servers), los CGI (Common
Gateway Interface), los applets de Java, lenguajes como PHP, Python, Perl,
entre otros aspectos que ofrecen toda una nueva gama de posibilidades y
oportunidades para las empresas y los usuarios.
La inseguridad en una
aplicación web es una propiedad emergente, resultado de relación entre el
programador y el administrador, la configuración del sitio web y las herramientas
utilizadas; una combinación que se hace más explosiva con la impericia y la
falta de cuidado de los usuarios finales que la utilizan con este último punto
se quiere mostrar que, en el proceso de aseguramiento
de las aplicaciones. el usuario hace parte fundamental de este proceso. pues en
última instancia él es quien va a percibir cl valor agregado de la confianza
(fruto de una administración de la inseguridad) para el uso de las aplicaciones.
Ya en los años 90, con la explosión del uso del web, los mecanismos de
seguridad heredados de los años 80 no son tan
efectivos como antes, porque ahora la interacción y el tráfico de datos se
hacen a través del protocolo http, o lo que es equivalente a decir por el
puerto 80. que es un servicio que no
es susceptible del filtrado natural de un FW, dado que es la mariera como
la organización navega y tiene acceso a los recursos de Internet. Esta realidad
lleva a reconsiderar la aplicación de
los proxies ahora como estrategias de acceso y protección de los servidores
web, que hoy llegan al primer plano de análisis. Los proxies reversos, esos que
son los intermediarios entre el agente externo y los recursos internos, se
convierten en los guardianes de los servidores web con las aplicaciones de las
organizaciones. Estos servidores, configurados de esta forma, reciben la
petición externa, validan su procedencia y reenvían el llamado http al servidor
interno correspondiente, para que una vez procesada la respuesta por este
último, sea retornada al proxy reverso y. de al agente externo. esta estrategia
busca dejar menos expuestos los servidores con las aplicaciones web
disponibles, así como ofrecer una barrera adicional al intruso que intenta
obtener a los recursos privados de la organizar palabras. Todas ellas requieren
un análisis de las conexiones y relaciones que generan las aplicaciones. cuando
materializan una petición de un usuario a través de una aplicación orientada al
web. En este sentido, las estrategias de seguridad y control se orientan hacia
el servidor web, la programación de las aplicaciones y las interacciones con
las bases de datos, que ahora se vuelven más vulnerables, dadas las características
de las limitaciones del protocolo y la versatilidad requerida en las
aplicaciones. Si bien esta época de transformación y explotación del web, a
través del modelo de múltiples capas (interfaz del usuario lógica del negocio y
registro en bases de datos backend) está llena de grandes logros y experiencias
positivas, como el surgimiento y desarrollo de la banca en línea, también ha
recibido muchas advertencias sobre su futuro y desarrollo. Por un lado, esta
desaforada carrera por llevar todo al web, como estrategia para vincular a los
usuarios al mundo de servicios digitales, ha hecho que los atacantes aprendan
cada vez más y perciban mejor las interacciones de los usuarios y los
riesgos de estas tecnologías, explotándolas a su favor y mirando la
confianza en estos servicios.
Se puede observar que, si bien esta evolución de la seguridad especializa
la detección y el análisis de la inseguridad, se involucran más variables de
análisis, las cuales se hacen menos perceptibles, dadas las interacciones
definidas entre los componentes de las aplicaciones, que muchas veces obedecen
a rutinas propias de los lenguajes o de los programas residentes en la web.
Pese a que esta tecnología nos abre la puerta a importantes avances, nos
establece limitaciones que
nuevamente son aprovechadas para proponer una nueva forma de comprender las
interacciones en la web y la conectividad.
versatilidad: algo que nos permitirá ver mayores integraciones entre Io expuesto
en la red, Con los sistemas inalámbricos y las estrategias corporativas. La
convergencia tecnológica nos hará a un escenario de tecnologías hibridas de uso
cotidiano. donde mayores relaciones y productos estarán en juego y el usuario
será el mayor beneficiado. Sin embargo, siempre estará la ventana de exposición
abierta a nuevas posibilidades y mutaciones de las vulnerabilidades
informáticas. la generación de plagas electrónicas más adaptables y
polimórfacas, un escenario en donde la inseguridad sabrá mostrar por qué ella
es parte inherente del desarrollo tecnológico, de las organizaciones y de las
naciones. Considerando las diferentes evoluciones tecnológicas revisadas,
así como la transformación de la seguridad de la información en cada
entorno, es preciso que los investigadores forenses en informática profundicen
cada vez más en las posibilidades que
ofrece la tecnología y sus efectos de borde, así como las formas como los intrusos
pueden aprovecharse de estas posibilidades. bien sea para evadir una
investigación o para desviarla.
De conformidad con la computación forense, la convergencia.
El control de errores en las aplicaciones es una práctica generalmente
aceptada en el desarrollo de software; sin embargo, con frecuencia los
desarrolladores y programadores no la consideran formalmente dentro de la
construcción de las piezas de programación. El control de errores permite
acotar y registrar las fallas de los componentes del programa. para establecer
las
condiciones en las cuales se presentan las mismas. El no hacer este control
abre la puerta a la incertidumbre de la confiabilidad de los programas
diseñados. y a pérdida de confianza de la
alta gerencia frente a la torna de decisiones. El manejo de los errores es
igualmente una manera de evitar que terceros se enteren y descubran detalles de
la infraestructura de la organización, los cuales pueden ser utilizados para
tomar ventaja de las fallas documentadas y no documentadas de la misma. Los
errores son la fuente de aprendizaje del área de tecnología para descubrir y
administrar la complejidad propia de las aplicaciones integradas y
convergentes, pues mientras mayores sean las conexiones que se efectúen entre
sistemas. más efectos inesperados se pueden presentar, bien sea por situaciones
propias asociadas con el desconocimiento de la nueva conexión. por la falta de
conocimiento profundo de las de cada ellos.
NO se requiere mucho
conocimiento tecnológico para sobrepasar posibles limitaciones de los sistemas informáticos,
pero de manera contraria. Se podría sugerir que requiere contar un detalle
importante del sistema para tener o manipular los registro. de eventos del
sistema o los denominados logs (termino tomado del inglés. relacionado la
acción dc Jogging o registro de operaciones o acciones de información), 0
registros de auditoria. dado que generalmente asociados uso de permisos y por
parte de los usuarios (aunque para los realmente
intruso. no una
limitación. un reto) podemos establecer la auditabilidad como aquella propiedad
todo sistema o tecnología de información para registrar. de manera clara. completa
y electiva. los eventos de una acción en particular con el propósito de: Mantener la historia de los eventos
seguimiento y el control de los mismos. Entendiendo la claridad como la
correcta lectura y uso del
formato en el que se registran los hechos auditados; la completitud. como
el conjunto de variables requeridas para identificar las acciones particulares
de los usuarios, y la efectividad, como
el registro real y correcto de los eventos en los archivos o los
dispositivos previstos para el almacenamiento de los mismos. Los registros de
auditoria, dependiendo de la estrategia que
se utilice, pueden estar a la vista del usuario o ubicados de manera
especial en el sistema de archivos con controles de acceso a los mismos. Los
logs (Weber 1999) representan la historia y
la evolución de los sistemas de información, son la memoria vigente del
sistema operacional, del hardware o de la aplicación o las aplicaciones, que le
permite tanto al programador como a
la organización conocer el comportamiento de estos, así como la interacción
de los usuarios en el desarrollo de Sus funciones. Sin embargo, es común
encontrar que, si se pregunta sobre los registros de auditoria, bien sea de las
aplicaciones o el sistema operacional. se encuentra que estos sólo se revisan o
se observan cuando existe una falla. Luego, si previamente no hemos visto el
registro e identificado qué es un comportamiento normal allí, ¿cómo vamos a identificar
lo anormal? Así mismo, cuando la falla se manifiesta, ¿cómo sabemos qué puede
estar pasando si no hemos mirado cómo el sistema registra sus acciones
normales? O, como muchas veces no sabemos, ¿cómo está diseñado el registro de
auditoria? o lo que es más grave. existen múltiples formatos de logs que pueden
tener mayor o menor detalle sobre lo ocurrido en el sistema, lo que puede
ocasionar conceptos 0 diagnósticos incompletos. Todas las preguntas anteriores nos
advierten que mucha parte de la evidencia que se tiene sobre posibles
actividades,
no autorizadas o autorizadas, puede estar comprometida, por falta de
controles sobre las mismas, por falta de conciencia de los administradores o de
los encargados de los sistemas de información, o sencillamente por el
conocimiento limitado y la escasa capacidad de análisis de estos registros.
En razón de lo anterior. pese a que se cuente con estrategias de registro
antes de, después de y de transacción o de operación del dispositivo (hardware
o software), el solo registro
que se vaya a contar con elementos suficientes de para determinar la
veracidad de las posibles acciones.
El nivel de trazabilidad alta está asociado con la necesidad que tiene la
organización de crear, almacenar y recuperar información confiable que sea
reconocida como evidencia digital válida
en cualquier proceso judicial que se adelante alrededor de las aplicaciones
que requieran este nivel. Contar con este nivel de trazabilidad exige que la organización
mantenga un conjunto de prácticas organizacionales alrededor de la definición y
el control de registros de auditoria, como base fundamental para fortalecer los
esquemas probatorios a futuro. los cuales deben estar fundados en las directrices
de seguridad de la información de la organización.
El nivel de trazabilidad media está relacionado con el requisito las
organizaciones por mantener evidencia de las acciones realizadas por usuarios.
o por procesos en el uso de los sistemas de información y las posibles
relaciones entre ellos. Si información puede requerir para procesos de
investigación interna de las empresas, hay que considerar que
sincronización no es un requisito formal de la misma. Es decir, la de registros
de auditoria no está asociada no autorizadas o autoridad. Por tanto, el
registro detallado y formal de Ia5 organizaciones se debe complementar con una estrategia
corporativa. La gestión de logs implica reconocer en los registros de
auditoria una herramienta gerencial que le permita a la organización
valorar sus activos y los recursos utilizados, así como una manera de mantener
la memoria del comportamiento de
los dispositivos o las aplicaciones, atendiendo a los principios
fundamentales de la seguridad informática: confidencialidad. integridad y
disponibilidad. Este concepto, que si bien no es nuevo en las organizaciones.
pues con5tantemente estas desarrollan ejercicios de seguimiento y gestión sobre
Sus actividades del negocio, busca llamar la atención sobre la función de la
tecnología y la responsabilidad de contar con una adecuada estrategia que le
permita tanto al encargado de esa función como a la organización contar con una
manera clara de recuperar. Revisar y analizar la evolución del sistema
(hardware o software). En razón de Io 'interior. el Contar con registros de
auditoría en las aplicaciones es un factor clave para mantener historia del
sistema. pero sin una (Gelogs solamente es n conjunto de datos de eventos
(posiblemente no relacionados)
que se almacenan "por si son necesarios". y no lo que realmente
representan, material de análisis y orientación para la gerencia en temas de
arquitectura tecnológica y posible carga probatoria ante eventos que atenten
contra la seguridad informática. En este sentido. una GeJogs debería desarrollar
proyectos que busquen adecuarlas arquitecturas de cómputo actuales para
mantener un registro centralizado, asegurado y corre adonado de los eventos
(Cano 2003), que son de interés para la organización, con el fin de preparar a
las organizaciones para enfrentar situaciones adversas o procesos legales que
se presenten un futuro. Sin una adecuada Gelogs, las organizaciones limitadas
para contar con elementos suficientes para validar 0 verificar sucesos en sus
sistemas. pues, entre otros erogantes, la duda sobre la integridad de los
mismos podrá
ser cuestionada y resuelta a favor del posible intruso. los logs, generalmente
tratados como archivos de "segunda': poco consultados por los
administradores o usuarios, están esperando su oportunidad para incorporarse no
como una carga más dela función de tecnología, sino como de tecnología, aplicación
o un sistema. teniendo en consideración posibles interfaces.
La evidencia digital, representada en todas las formas de registro
magnético u óptico generadas por las organizaciones. debe avanzar hacia una
estrategia de formalización que ofrezca un cuerpo formal de evaluación y
análisis que deba Ser observado por el ordenamiento judicial de un país. En
general las legislaciones y las instituciones judiciales han fundado conformidad
las leyes y de la administración de justicia. A continuación, revisamos
brevemente cada uno de ellos, analizando estrategias de implementación técnica
que sugieran el cumplimiento de la característica legal planteada en medios
digitales. La autenticidad de la evidencia nos sugiere ilustrar a las partes de
que esa evidencia ha sido generada y registrada en los lugares o los sitios
relacionados con el caso. particularmente en la escena del posible ilícito, en
los lugares establecidos en la diligencia de levantamiento de evidencia. Así
mismo, la autenticidad. entendida como aquella característica que muestra la no
alterabilidad de los medios originales, busca confirmar que los registros
aportados corresponden a la realidad identificada en la fase de identificación
y recolección de evidencia. En medios no digitales. la autenticidad de las pruebas
aportadas no será refutada, de acuerdo con lo dispuesto por el artículo de la
Ley 446 de 1998: "Autenticidad de los documentos. En todos los procesos,
los documentos privados presentados por las partes para ser incorporados a un
expediente judicial con fines probatorios, se reputarán auténticos, sin
necesidad de presentación personal ni autenticación. Todo ello sin perjuicio de
lo dispuesto en relación con los documentos creados por terceros". En este
sentido, todas las pruebas que se aporten por las partes se entenderán como
válidas y sólo vía una demostración de científica podrán ser refutadas,
En los digitales resulta complicado aplicar lo expuesto en el párrafo
anterior. dada la volatilidad y el alta de que se presenta en los medios de
almacenamiento electrónico. Si bien estas caracteri51ica5 también son de alguna
manera inherentes a 105 medios tradicionales. el
detalle encuentra en que existe una serie de procedimientos asociados con
el manejo y cl control de los mismos en las organizaciones, mientras que para
los registros magnéticos aún no se tiene con misma formalidad.
algunos casos "sirven como pruebas la de duración de la parte, cl
testimonio de terceros, el dictamen pericial. la inspección judicial. los documentos,
los indicios y cualesquiera otros medios que sean útiles para la formación del
convencimiento del juez". los archivos digitales podrían verse
involucrados dado que liarían parle de "otros medios" presentados
para aportar al caso en estudio, pero la forma como sean identificados,
generados y recogidos puede influir en la manera
como sean valorados por la corte. En este sentido, verificar la autenticidad
de los registros
digitales requiere, de manera complementaria a la directriz general
establecida por la organización sobre estos registros, el desarrollo y la
configuración de mecanismos de control de integridad de archivos. Es decir, al
satisfacer la característica de autenticidad se requiere una infraestructura
tecnológica que exhiba mecanismos que aseguren la integridad de los archivos y
el control de cambios en los mismos. Luego, al establecer una arquitectura de
cómputo donde se fortalezca la protección de los medios digitales de registro y
el procedimiento asociado para su verificación, aumentan sustancialmente la
autenticidad y la veracidad de las pruebas recolectadas y aportadas. En
consecuencia, la información que se identifique en una infraestructura con
estas características
tendrá mayor fuerza y solidez. no sólo por Io que su contenido ofrezca,
sino por las condiciones de generación. control y revisión de los registros
electrónicos. Confiabilidad, o sea, al contar con mecanismos y procedimientos
de control de integridad se disminuye la incertidumbre sobre la manipulación no
autorizada de la evidencia aportada. y el proceso se concentra en los hechos y
no en errores técnicos de control de la evidencia digital bajo análisis.
Integridad de otro lado, la confiabilidad de la evidencia es otro factor relevante
perseguirla admisibilidad de la misma. La confiabilidad dice si efectivamente
105 elementos probatorios
provienen de que son creíbles y que sustentan elementos de la defensa o del
fiscal en el proceso
En medios digitales, podríamos relacionar el concepto de que se sigue,
confiabilidad con la configuración de la infraestructura de computación. se
diseñó la estrategia de registro? ¿Cómo
se su almacenamiento? ¿cómo se protegen? ¿cómo se registran y se
sincronizan? ¿cómo se recogen y analizan? Estas son preguntas cuyas respuestas
buscan demostrar que los registros electrónicos poseen una manera confiable
para ser identificados, recolectados y verificados.
Cuando logramos que una infraestructura tecnológica ofrezca mecanismos de
sincronización de eventos y una centralización de registros de sus actividades,
los cuales, de manera complementaria, soportan estrategias de control de
integridad, hemos avanzado en la formalización de la confiabilidad de la
evidencia digital. Así mismo, en el desarrollo de software o
el diseño de programas es necesario incluir, desde las primeras fases de la
creación de aplicaciones, un momento para la configuración de los registros de
auditoria del sistema, ya que,
de no hacerlo, se corre el riesgo de perder la trazabilidad de las acciones
de los usuarios en el sistema y, por tanto, crear un terreno fértil para la
ocurrencia de acciones no autorizadas y la
pérdida de capacidad probatoria posterior. Es decir, se sugiere que la
confiabilidad de la evidencia en una infraestructura tecnológica estará en
función de la manera como se sincronice el registro de las acciones de los
usuarios, y de un registro centralizado e íntegro de los mismos. Todo eso
reitera la necesidad de un control de integridad de los registros del
sistema, para mantener la autenticidad de los mismos. Suficiencia La
completitud ola suficiencia de la evidencia o, más bien, la presencia de toda
la evidencia necesaria para adelantar el caso, es una característica que, al
igual que las anteriores, es factor crítico de éxito en las investigaciones
adelantadas en procesos
judiciales. Frecuentemente la falta de pruebas o la insuficiencia de
elementos probatorios ocasionan la dilación o la termina de procesos que
podrían haberse resuelto. En este sentido,
los abogados reconocen que mientras mayores fuentes de análisis y pruebas se tengan,
habrá más posibilidades de avanzar en la defensa o en la acusación en un
proceso judicial. Desarrollar estas características en infraestructuras de tecnología
requiere manejar destrezas de correlación de eventos en registros de auditoria.
Es decir. contando con una infraestructura y unos mecanismos de integridad.
sincronización y centralización. Se pueden establecer el análisis que muestren
la imagen completa de la situación bajo revisión. La correlación de eventos,
definida como cl establecimiento de relaciones coherentes y consistentes entre
diferentes fuentes
de datos, para establecer
y conocer eventos ocurridos en una infraestructura o en unos procesos. sugiere
una manera de probar y verificar la suficiencia de los datos entregados en un
juicio. Si analizamos esta posibilidad, es viable establecer relaciones entre
los datos y eventos presentados, canalizando las inquietudes y afirmaciones de
las partes sobre comportamientos y acciones dc los involucrados, sustentando
esas relaciones con hechos o con registros que previamente han sido asegurados
y sincronizados. Con esto en mente, la correlación se convierte en factor
aglutinante de las características anteriores referenciadas para integridad y
confiabilidad de la evidencia, sugiriendo un panorama básico requerido en las
infraestructuras de cómputo para validar las condiciones solicitadas por la ley
en relación con la evidencia , Es decir, la correlación de eventos, como una
función entre la centralización del registro de eventos y el debido control de
integridad de los mismos, se soporta en una sincronización formal de tiempo y
eventos que deben estar disponibles en la infraestructura de cómputo. para
asegurar la suficiencia del análisis de la información presente en ella.
Conformidad con las leyes y las regulaciones "ministración de justicia
Finalmente, lo relacionado con la conformidad de las leyes y regulaciones de la
administración de justicia hace referencia a los procedimientos
internacionalmente aceptados para recolección. Deben ser revisados y analizados en cada uno de los contextos nacionales
para su posible incorporación. Cuando se tiene acceso a evidencia digital por
medios no autorizados, y no existen medios para probar su autenticidad,
confiabilidad y suficiencia, los elementos aportados carecerán
de la validez requerida y podrán ser tachados de falsos. Esta evidencia,
obtenida de este modo, no ofrece. La administración de una infraestructura de
tecnologías de información no puede pasar inadvertida en el contexto de la gerencia
de tecnologías actual. Pese a que en el pasado el administrador estaba acotado
por las precisiones de los proveedores de los sistemas informáticos. hoy la
realidad es muy diferente. El
administrador de un sistema no sólo debe conocer de la configuración del objeto
que maneja y coordina. sino que debe entender las relaciones y la dinámica que
ese objeto exhibe en el contexto de la dinámica de negocio.
En este sentido. la seguridad de la información, en el sistema que se
administra. debe ser el resultado de una serie de actividades previamente planeadas
y diseñadas. con el fin de
mantener limitados los efectos de en la infraestructura gestionada. Si bien
estas acciones que el administrador adelante no serán completamente efectivas,
dada la presencia de los del sistema que son susceptibles de vulnerabilidades,
y tratar de contar con registros de auditoría y control que puedan ser
utilizados para comprender mejor las mismas. Esos registros de auditoría y
control requieren características propias para mejorar la confiabilidad de los
mismos, y así los análisis que sobre ellos se adelanten sean consistentes y
coherentes con las situaciones que los han generado. El control de integridad,
la sincronización y el control de acceso a estos archivos son características
básicas que esos registros deben tener, pues, de no ser así. la probabilidad de
manipulación y distorsión de la información será parte de la duda razonable que
rodee la presentación de los mismos. La auditabilidad y la trazabilidad son dos
características que los sistemas de información y las infraestructuras de
tecnología deben tener frente a un ambiente altamente interconectado y de
negocios electrónicos, entre múltiples participantes. En este contexto, contar
con los rastros y las evidencias de las transacciones se convierte en un factor
fundamental para animar la confianza de los clientes y el correcto registro de
las operaciones, para poder reconstruir en cualquier momento, de manera parcial
o total, todas las actividades realizadas por los usuarios. Estudiando las
responsabilidades y los procedimientos que debe atender el administrador del
sistema, el investigador forense en informática debe establecer el conjunto de
buenas prácticas de seguridad y control, de atención de incidentes y manejo de
crisis, las cuales le indicarán elementos de análisis en el desarrollo de una
investigación y una orientación sobre las evidencias que puede recabar del
hecho analizado.
No hay comentarios.:
Publicar un comentario