top of page

La difícil tarea de asegurar los usuarios VIP de la empresa

Gestionar cuentas de usuario no es una tarea fácil y controlar que no haya desvíos en esta gestión es aún más complicado en un entorno de múltiples entornos, entonces ¿Cómo gestionamos las necesidades de practicidad funcional de la Alta Dirección y las de cumplimiento con el Negocio?

Sabemos que la existencia de usuarios con excepciones a la política de contraseña aumenta la probabilidad que ante una contraseña vulnerada un usuario no autorizado pueda acceder al sistema por largos periodos de tiempo al sistema haciendo uso de las mismas credenciales. Por ello, y para el caso de las cuentas VIP que habitualmente están exceptuadas de esta política, debemos hacernos una serie de preguntas para conocerlas un poco más:

  • ¿Quiénes son los usuarios considerados VIP? Son usuarios que en función de su rol dentro de la empresa tiene requisitos de seguridad, privacidad y confidencialidad diferentes según la información a la que tienen acceso.

  • ¿Por qué se los considera VIPS? Porque necesitan mayor protección, trabajan con información delicada, cumplen con funciones y roles que requieren asistencia y protección continua de forma preferencial.

  • ¿Qué es lo que vemos hoy en día? En nuestra experiencia, vemos empresas que entienden la criticidad del tema y toman medidas para evitar ataques o fallas de seguridad que puedan comprometer a un usuario VIP, entendiendo que deben proteger la información y no el activo.

De igual forma, también vemos empresas que no cumplen con las mínimas medidas de seguridad en sus usuarios VIP, ya sea desde falta de soporte y control de dispositivos, hasta falta de controles de privacidad de datos y deficiencia en la concientización de estos usuarios.

Ahora bien, ya conociendo quienes son las cuentas VIP y su importancia, debemos enfocarnos en interpretar y conocer su entorno de aplicabilidad de la seguridad de la información, ya que se deben administrar tanto en la red interna, accesos externos o equipamiento móvil.

Como un primer escenario de entorno tenemos una clásica red dónde estamos todos en la misma LAN, con suerte los servidores en otra VLAN y en el mejor de los casos otra VLAN para administración. Pero los usuarios, todos en la misma bolsa. Lo que separa a un usuario normal de un dato sensible es un permiso en un compartido. Estando en la misma LAN podría escanear los equipos de los usuarios VIP buscando alguna vulnerabilidad que me permita por medio de un exploit extraer un token válido de inicio de sesión y así acceder a esos compartidos. ¿Tan fácil entrego la información clasificada de mi empresa?

Como respuesta a este escenario debo tener en cuenta las buenas prácticas de seguridad enfocadas en usuarios Vips, brindándoles un equipo de soporte de IT dedicado y exclusivo en el cual los tiempos de respuesta son menores, pero la dedicación es mayor y además se ocuparán de la concientización del usuario.

También necesitaremos separar las redes de usuarios normales y usuarios VIP con acceso restringido por equipos (MAC), disponibilizando en esta última red servidores dedicados y otros recursos que también sean sensibles como File Servers, Sharepoint, correos, proxy, enlaces a internet, Antivirus, WSUS, Backup, Controladores de Dominio y hasta impresoras; otro recurso a tener en cuenta es disponer de una red WiFi de uso exclusivo, con medidas de seguridad que van desde ocultamiento de SSID, seguridad WPA2 o WPA2 Enterprise.

De alguna forma, y teniendo en cuenta todo lo que mencionamos necesario para proteger al usuario VIP y gestionar sus cuentas adecuadamente, podemos decir que basados en esta gestión estamos en condiciones de ofrecerles un portfolio de servicios e infraestructura que debe ser administrado de acuerdo a los siguientes Ítems:

Seguridad avanzada en equipos personales: Por lo general tendremos que dar soporte a entornos Windows y OSx teniendo en cuenta el reforzar la protección del endpoint (Cifrar los discos, Habilitar Firewall, Antivirus actualizado, Software de DLP, Backup Full Diario Asincrónico) y por sobretodo ¡Concientización!

Tenemos algunas características de seguridad nativas en los OSx que podríamos tener en cuenta, como el software de cifrado FileVault2 que está deshabilitado por defecto al igual que el Firewall. Hay otros servicios a considerar como iCloud el cual es erróneamente utilizado por muchos usuarios VIP para resguardo de seguridad y copia de archivos confidenciales en sus cuentas personales de iCloud. Recomendemos utilizar cuentas corporativas.

El KeyChain es un servicio de almacenamiento local de contraseñas, el cual alojará los certificados y almacenará las cuentas de usuario en un contenedor cifrado. El iCloud KeyChain es similar al anterior pero guardará las contraseñas en la nube. Es útil para sincronizar varios dispositivos Apple. Tener en cuenta que ante problemas de sincronización puede convertirse en al principal causa de bloqueos de cuenta de usuarios de dominio.

Nativamente Windows desde su versión 7 Enterprise y 8 Pro permite el cifrado de discos mediante BitLocker el cual viene desactivado por defecto.

Posee un firewall el que está habilitado por defecto.

Microsoft tiene su sistema de almacenamiento en la nube OneDrive el cual se recomienda utilizar con una cuenta corporativa.

Seguridad en comunicaciones (Telefonía VoIP y móvil): Las consideraciones que debemos tener en cuenta son:

  1. Poner fuertes y originales contraseñas para sus teléfonos SIP tanto para inicio de sesión como en la configuración.

  2. Habilitar el cifrado de las comunicaciones.

  3. Utilizar redes separadas.

  4. Simplifique lo más posible.

  5. Monitoree el uso de la red y utilice IDS.

Telefonía móvil: Para las llamadas 3G, no se tiene la certeza o el conocimiento público de que haya sido descifrado fuera de los círculos de agencias de inteligencia. De todas formas una práctica puede ser en que los terminales al no encontrar señal 3G buscan servicio 2G y se aprovecha la vulnerabilidad de GSM.

Para impedir que la comunicación de nuestros VIP sea interceptada se agrega una capa de aplicación que permite el cifrado de voz. Este tipo de aplicaciones requiere que ambos extremos tengan la aplicación instalada. Negocian claves de cifrado y generan un canal de extremo a extremo.Seguridad en dispositivos móviles.

Para cada sistema operativo tengo que aplicar distintas políticas de seguridad. Pero lo que afecta especialmente en IOS y Android es que muchos malware necesitan que el equipo esté con JailBreak (para IOS) y Rooteado en Android. Estas técnicas se utilizan para ganar derechos de administrador del sistema operativo y permitirnos realizar cambios internos. Se recomienda no quitar las restricciones de los equipos.

Android: La seguridad de Android está basada en Kernel de Linux. Es posible realizar técnicas de Rooting que quita restricciones para cambiar la configuración del sistema y permite a ciertas aplicaciones acceder al core del SO. Tener en cuenta que el cifrado del dispositivo está deshabilitado por defecto y considerar el riesgo que el nivel de malware disponible es muy alto.

IOS: La seguridad de IOS está basad en Darwin BSD por lo tanto es un Unix. IOS es el Sistema Operativo con más vulnerabilidades descubiertas a la fecha y el cifrado de todo el terminal es por defecto y permite Técnicas de Jailbreak que es la quita de restricciones.

Windows Phone: Su seguridad está basada en Kernel NT y actualmente es uno de los más robustos del mercado con sólo una vulnerabilidad, la cual afecta al resto de las plataformas ya que es por exploit al navegador desde App Híbridas. Al momento no pudo ser rooteado y su cifrado es por BitLocker con algoritmo AES (sólo activado por política de MDM).

BlackBerry OS: Su SO es QNX el cual es un microkernel con instrucciones básicas lo que lo hace estable y menos vulnerable a bugs en el código. El cifrado está deshabilitado por defecto y no permite ser rooteado, que es la quita de restricciones. De bajo nivel de vulnerabilidades y malware, quizás por ser poco popular actualmente. BlackBerry Balance es una característica que permite tener un perfil con aplicaciones personales y otro perfil con aplicaciones y datos corporativos en el mismo teléfono. Es administrado desde un MDM compatible.

Gestión de dispositivos móviles; Es importante gestionar los dispositivos desde una plataforma de gestión centralizada, teniendo en cuenta que cuando hablamos de la gestión de software y hardware, hablamos de: Inventario de dispositivos, Catálogo de Software, Distribución de aplicaciones, Distribución de actualizaciones.

Para la securitización de dispositivos debemos tener en cuenta: Control de dispositivos, Bloqueo remoto, Borrado remoto, Cifrado, Política de contraseñas; y para la administración de perfiles y Configuraciones: Configuración de correo, Configuración de WIFI, Configuración de VPN, Política de Backup.

Seguridad en aplicaciones de mensajería; Con respecto a la mensajería móvil deberíamos concientizar al usuario VIP sobre qué tipo de información puede transmitir por cada aplicación. Tratando de guiarlo por la aplicación más segura posible. Recordemos que somos los responsables de recomendar la solución más segura posible y concientizar sobre la transmisión de información sensible en canales inseguros. Depende de nosotros, los profesionales de seguridad de mantenernos actualizados sobre las características de las aplicaciones y su evolución en materia de privacidad.

Con esta serie de consideración estaremos preparados para organizar nuestra gestión de usuarios VIP, recordandosiempre que el primer factor de riesgo es el humano y el mejor preventivo es la concientizaión y capacitación.

Emiliano Tissera es Consultor Senior en Seguridad de la Información con amplia experiencia en plataformas Windows, entornos de virtualización VMware, diversas herramientas de seguridad, Networking y Almacenamiento.

Como profesional ha realizado numerosas implementaciones, consultoría especializada y dictado de cursos en varios países de Latinoamérica para empresas de primera línea.

CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresarial. Para más información: www.cybsec.com

Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB
Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page