MSAT: El camino de ladrillos amarillos hacia la seguridad

MSAT: Microsoft Security Assesment Tool

Una de las necesidades crecientes en las organizaciones pequeñas y medianas que han comenzado a preocuparse seriamente de la seguridad en sus instalaciones, operaciones y personal es el conocer el real estado de seguridad que ellas poseen en la actualidad. En otras palabras, para las empresas que quieren crear un camino integral de evolución a la seguridad, es fundamental conocer cual es su punto de partida, de tal manera de tener claro cuales son los focos de atención en los cuales deben invertir sus recursos a corto y mediano plazo en cuanto a seguridad de la información.

Este concepto, llamado análisis de seguridad, se puede atacar desde varios enfoques o puntos de vista. Uno de ellos es hacer derechamente un test de penetración (Penetration Testing), el cual consiste en una serie de pruebas con distintos grados de intrusión, de tal manera de conocer los puntos débiles de seguridad desde el punto de vista del atacante. Esta vía de acción debe ser tomada con mucho cuidado, considerando que las pruebas a realizar deben ser acordadas de manera previa entre el encargado de realizar las pruebas y el responsable de la organización que será sometida a las mismas. Si estos acuerdos no son tomados y formalizados previamente, la organización podría verse sometida a una problemática de seguridad importante, o en el mejor de los casos, levantar alertas y contramedidas que podrían afectar directa o indirectamente la producción.

Otra manera de enfocar el análisis de seguridad es abordar la visión del defensor, o del administrador de seguridad de la compañía. Bajo este prisma, el análisis de seguridad se transforma en un levantamiento de riesgos, que busca detectar todos aquellos puntos donde el almacenamiento, uso y manejo de la información se torna crítico y definir las medidas de seguridad que están asociadas a dichos puntos. Una vez que se realiza este levantamiento, se debe comparar con las buenas prácticas de seguridad, que pueden estar basadas en normativas de seguridad o en las recomendaciones que los proveedores tecnológicos sugieren para sus diferentes productos.

Esto genera algo que es conocido como "GAP Análisis" o "Análisis de brecha de seguridad", el cual le entrega a la organización el grado de diferencia existente entre las buenas prácticas o la norma tomada como base y lo que actualmente está implementado en la organización. Así, un GAP Análisis permite al encargado de seguridad de la organización identificar los focos más importantes de riesgo y así poder tomar decisiones sobre como disminuir de manera efectiva la brecha de seguridad detectada en el análisis de acuerdo a los recursos físicos, tecnológicos o humanos que el posea.

Existen varias metodologías para realizar estos análisis de seguridad. Dentro de las metodologías del tipo "Penetration Testing" destaca la metodología Open Source OSSTMM (http://www.osstmm.org) de ISECOM, la cual tiene reputación internacional y que está actualmente en proceso final de desarrollo de su versión 3.0 (de hecho ya está disponible la versión 3.0 Lite). Esta metodología, que de hecho está asociada a certificaciones internacionales, fue creación de Pete Herzog y propone una serie de test orientados a diversos ámbitos físicos, tecnológicos y humanos que permitan tener una visión global de la seguridad.  Otras metodologías podrían considerar la realización de GAP Análisis basado en la normativa ISO 27001 o ISO 27002 (de hecho, una breve búsqueda por Internet puede demostrar que empresas como Praxiom Research – htto://www.praxiom.com/iso-27001-gap.htm – tiene desarrollo en dicho tipo de herramientas).

Dentro de la búsqueda de una herramienta que me permitiera tener una guía clara para realizar análisis de seguridad (soy consultor en el área) encontré una herramienta gratuita de Microsoft, que luego de revisarla un par de horas a fondo se terminó transformando en el camino de ladrillos amarillos que me llevaría a la magia del análisis de seguridad. Esta herramienta se llama MSAT (Microsoft Security Assesment Tool) y permite realizar un análisis de seguridad basado en la metodología de caja blanca, es decir, conociendo la realidad de la organización a ser analizada y sacando conclusiones del estudio de dicha realidad.

MSAT es en sí un completo cuestionario, basado en las recomendaciones de normativas como la ISO 17799 (hoy ISO 27002) y NIST 800.x, el cual fue desarrollado por un conjunto de profesionales de la seguridad con amplia experiencia en el mercado y apoyado por partners de Microsoft y organizaciones como diversos CERT (Computer Emergency Response Team) existentes en el mundo. Este cuestionario está dividido en dos partes; la primera de ellas permite obtener el grado de riesgos a los cuales está expuesta la organización analizada (BRG) en base al tamaño, orientación y función de negocio que cumpla ésta dentro del mercado. La segunda parte busca obtener el índice de defensa en profundidad (DiDI) basado en la existencia de medidas de seguridad por parte de la organización en los más variados aspectos de seguridad, partiendo por el perímetro de red y llegando hasta las personas, pasando por conceptos clave como la política de seguridad, los sistemas de respaldo y de actualizaciones, el control de acceso físico y el manejo de contraseñas, entre otros.

Una vez que se resuelve completamente el cuestionario, MSAT genera un completo informe que contrasta los BRG con los DiDI en 4 áreas: Personal, Operaciones, Aplicaciones e Infraestructura, indicando además el grado de madurez de la seguridad por área. MSAT además ordena por nivel de prioridad todas las medidas de seguridad que la organización debería aplicar a corto y mediano plazo para disminuir la brecha de seguridad existente en la actualidad, además de un completo reporte en cada uno de los puntos analizados, indicando las buenas prácticas de seguridad y los próximos pasos a seguir, generando de esta manera un roadmap integral para la organización que permita evolucionar la seguridad de la información y así disminuir el riesgo actual.

La pregunta que cabe hacerse es… ¿Cómo complementar MSAT? El valor agregado que el consultor de seguridad debe tener en relación al uso de MSAT se basa en la manera de resolver este cuestionario. Lo ideal en este punto es que el consultor sea capaz de resolver las preguntas que plantea MSAT en base al conocimiento que el mismo adquiera en la etapa de levantamiento o recolección de datos de la organización. De esta manera, un buen análisis de MSAT no debería considerar ninguna respuesta como "No sé". Todas las preguntas deben ser respondidas con total certeza y basadas en la realidad de la organización. Es labor además de un buen consultor de seguridad complementar el resultado del análisis con su propia experiencia y poder aterrizar el reporte a la realidad de la organización analizada, a fin de poder resolver de manera real las problemáticas que salgan a la luz una vez realizado el análisis de seguridad.

Sin duda, MSAT es una gran guía para la realización de un análisis de seguridad. La manera integral en que esta herramienta abarca el estudio de la seguridad de una organización no deja prácticamente ningún punto al azar; bajo esta premisa, MSAT logra un enfoque holístico de la seguridad, lo cual es absolutamente valioso y requerido en la ejecución de este tipo de análisis. ¡Todo un acierto del gigante de la informática!

Read Full Post »

Seguridad y Visión de Negocio: Amigos o enemigos?

La importancia de la visión y compromiso de la gerencia en la seguridad

Remando para el mismo lado

El trabajo de un hombre de seguridad es a ratos ingrata. Y es por sobre todo ingrata cuando uno trata de implementar soluciones integrales de seguridad, que abarquen transversalmente a toda una organización.

La seguridad por lo general está asociada a restricciones, limitaciones y pérdida de funcionalidades en el diario vivir. Y por lo mismo, suele ser tremendamente impopular. No es raro que cuando se implementan medidas de seguridad, aumenten las llamadas a soporte de los usuarios que se sienten frustrados por que aquel sitio que siempre visitaban ahora está "bloqueado por el administrador", o porque no pueden instalar la última versión de su aplicación favorita.

Es por esto mismo, que una de las claves más importantes en el éxito de la implementación de medidas de seguridad a nivel corporativo es el compromiso de la dirección de la organización. Y cuando se habla de compromiso, no se habla de que firmen a tiempo los tratados, sino de que la dirección entienda el significado de los cambios, las ventajas y las desventajas de los mismos, y que por sobretodo, entienda el valor real de la información como un activo cada vez más importante dentro de su negocio.

Cuando la alta dirección de la organización no valora la seguridad como debiera, ya sea porque no están al tanto de los crecientes riesgos a los cuales se somete la información, o porque derechamente prefieren sacrificar la seguridad en pos de la comodidad y funcionalidad de la organización, las medidas de seguridad está condenadas a transformarse en bonitas ideas que van a parar a un baúl sin fondo. Cuando esto pasa, la seguridad y la visión de negocio se transforman en enemigos a muerte, los cuales se ven el uno al otro como una amenaza latente. Y si la alta gerencia no se compromete con la seguridad, privilegiará siempre la funcionalidad. Así, deshabilitar los grabadores de CD – por dar un sencillo ejemplo – lo ven como un pecado que evitará que sus usuarios puedan usar sus equipos con normalidad, en vez de verlo como una excelente restricción que limita en gran medida las fugas de información en la organización. Y así, cada medida de seguridad la terminan viendo como una molestia, a tal punto que terminan desestimándola, flexibilizándola o – peor aún – haciéndola menos segura que lo que ya estaba en un comienzo.

El punto clave acá es: ¿Qué tan importante es la información para mi negocio? ¿Qué tanto estoy dispuesto a arriesgar o sacrificar en pos de la comodidad de mis usuarios? La comodidad de los mismos, ¿es incluso más importante que la información que manejo?, ¿La seguridad es un valor agregado a mi negocio? Si se responde que sí a más de una de estas preguntas, es clave ir más allá; capacitarse, aprender, y por sobre todo comprender la relevancia que puede llegar a tener el tener seguridad como una función del negocio. Y es aquí donde la difusión juega un papel clave.

Si la alta dirección o la gerencia organizacional tiene las cosas claras y un mensaje intransable en cuanto a la seguridad de su información, deberá jugar un rol activo en cada proyecto de seguridad existente. Y este rol activo se traduce en participar en el diseño de las soluciones, validando cada una de las propuestas de manera integral y realizar, en su debido momento, todas las observaciones que puedan traducirse en el perfeccionamiento de una solución. Si esto sucede, la aplicación de los proyectos de seguridad tiene una alta probabilidad de ser exitosa. Y esto se debe a que una gerencia comprometida con la seguridad entrega un mensaje claro a sus empleados, los cuales estarán plenamente concientes de que las restricciones que se aplican van en pos de un bien superior a su comodidad y confort.

Si esto no sucede, el fracaso es el destino irrefutable de este tipo de proyectos. Y al final, las soluciones quedan en sueños ideales, destruidos por la poca conciencia de los que están a cargo. Y los encargados de seguridad ven una vez más frustrados sus anhelos de una organización más segura.

Read Full Post »