La seguridad informática se encuentra condicionada por la elección del sistema operativo y de una versión y configuración estables. Podría definirse como el conjunto de procedimientos y actuaciones destinados al funcionamiento del sistema de información. La Guardia Civil se encarga también de ofrecer garantías suficientes en este ámbito y actualmente lo hace a través de la Unidad de Delitos de Alta Tecnología encuadrada en la Unidad Central Operativa del Servicio de Policía Judicial.
Hablar de seguridad informática en el momento actual no parece que suponga un alarde de modernidad y novedad. Con el desarrollo de los ordenadores personales, la vertiginosa evolución de Internet, la implantación del comercio electrónico y el impulso de la denominada "Sociedad de la Información", todo el mundo habla, sabe y se preocupa de la seguridad en estos ámbitos. De una estructura informática basada en sistemas propietarios y grandes servidores manejada por personal técnico, con una formación muy específica y alejada del conocimiento del común de los mortales, se ha evolucionado a otra más amigable y cercana al usuario final. Ello ha supuesto que los niveles iniciales de conocimiento sean rápidamente adquiridos por cualquier persona interesada, sin especiales conocimientos técnicos en la materia. La "globalización" en el conocimiento ha supuesto una quiebra de la seguridad de tiempos pasados amparada, en gran medida, en un cierto ocultismo. Entiendo que los sistemas anteriores no eran más seguros que los actuales, tan sólo eran mucho más desconocidos.
Sentada la base, vamos a analizar diversos aspectos relacionados con la seguridad informática haciendo dos salvedades, la primera es que se trata de una visión muy personal del tema y la segunda es que nadie pretenda encontrar en las líneas que siguen un manual o guía porque no son su objeto.
Concepto
Existe una cierta tendencia a minimizar el ámbito de actuación del aspecto de la seguridad en el mundo de la Informática. Se cae, habitualmente, en abordar la implantación de la seguridad como respuesta a un problema o situación específica, sin estudiar todos los elementos que puedan estar relacionados. Si hablamos de una plataforma web abierta a Internet, la seguridad no es responder si instalamos tal o cual cortafuegos, es bastante más que eso: sistemas de alimentación ininterrumpida para máquinas críticas, duplicidad de almacenamiento, control físico, auditoría de conexiones internas y externas, blindaje de ficheros de sistema, control de modificación de ficheros, monitorización de tráfico de red, política de salvaguardas y muchas más.
Un concepto global de seguridad informática sería aquel definido como el conjunto de procedimientos y actuaciones encaminados a conseguir la garantía de funcionamiento del sistema de información, obteniendo eficacia, entendida como el cumplimiento de la finalidad para el que estaba establecido, manteniendo la integridad, entendida como la inalterabilidad del sistema por agente externo al mismo,y alertando la detección de actividad ajena, entendida como el control de la interacción de elementos externos al propio sistema. Si conseguimos todo esto, tarea harto difícil vaya por delante, podremos decir que disponemos de un sistema seguro.
Ya hemos comentado el concepto pero sobre qué lo aplicamos, qué es lo que hay que proteger.
Objetivos
En el mundo de la Informática se utiliza habitualmente una división en dos grandes áreas que denominamos Hardware y Software. Si bien se puede tachar de algo simplona vamos a emplearla para agrupar los objetivos de la seguridad, amparándonos en su universalidad.
Dentro del área del Hardware los objetos de nuestra atención son fundamentalmente tres: servidores, clientes y líneas de comunicaciones.
Los servidores, especialmente en instalaciones intermedias y grandes, suelen estar situados agrupados y en dependencias específicas como centros de procesos de datos (C.P.D.,s). El acceso a dichas instalaciones debe estar controlado y auditado con reflejo del personal y material que entra y sale del mismo. La alimentación eléctrica debe garantizarse con sistemas ininterrumpidos para responder a pequeños cortes de corriente y con medios alternativos ante grandes cortes. Los medios de almacenamiento deben duplicarse o cuando menos garantizar la recuperación de la información ante problemas de discos, además de garantizar la duplicidad de accesos caso de baterías de discos o cintas externas. Para grandes servidores hay que habilitar desde duplicidad de accesos a placas de sistema hasta soluciones de alta disponibilidad entre dominios o máquinas. Se deben disponer de elementos de salvaguarda alternativos para cubrir posibles averías. El control de la consola principal del sistema y su conectividad a la máquina que nos permita acceder al sistema, caso de pérdida de acceso remoto a la misma, es otro de los aspectos a los que prestar atención.
Los clientes, entendidos como aquellos equipos remotos que interactúan entre sí o con los servidores, han tenido un desarrollo enorme en los últimos tiempos. Pasar de los denominados "terminales tontos" a ordenadores personales que a título individual se constituyen como máquinas autónomas, y dentro de una red se mantienen como tales, además de adornarse de toda la potencialidad que les da la propia red supone un cambio significativo para la seguridad. Es imprescindible habilitar procedimientos para conseguir la identificación física de los distintos equipos, fundamentalmente por captura de la dirección mac de las tarjetas de comunicaciones. Los accesos remotos empleados para mantenimiento o tareas periódicas exigen un control de actividad incluso física. La posibilidad de realizar actividades desatendidas sobre servidores, desde equipos cliente, deben garantizar la integridad funcional de todos los elementos que intervienen por lo que deben revisarse procedimientos regularmente.
Las líneas de comunicaciones, de las que todo el mundo se preocupa de incrementar pero muy poco de controlar su actividad y uso. Una adecuada segmentación de la red además de mejorar su funcionamiento ayudará enormemente a su seguridad. La eliminación de los cuellos de botella y el estudio de las razones de que ocurra permitirá eliminar posibles quiebras de seguridad del sistema. La cifra de canales y la información que circula a través de ellos permitirá garantizar la confidencialidad, la integridad y el no repudio de la misma. A este respecto hay que hacer mención al avance que ha supuesto el empleo de las certificaciones digitales y el establecimiento de los procesos de firma digital, impulsados directamente por el comercio electrónico y el desarrollo de la denominada Sociedad de la Información.
Todo lo reflejado hasta el momento, además de otras consideraciones como mentalización, conocimiento y planificación, tiene un condicionante fundamental y se llama dinero. En la medida en la que queramos un sistema más seguro tendremos que contemplar una inversión económica mayor. El cliente tendrá que decidir, ponga en la balanza dinero y nivel de seguridad a alcanzar y encontrará el equilibrio.
Dentro del área de Software los objetos de nuestra atención son también tres: sistema operativo, bases de datos y aplicaciones.
El o los sistemas operativos de nuestro sistema de información son la base del funcionamiento lógico del mismo, todo lo que esté alojado en el mismo estará íntimamente condicionado a la elección del sistema operativo y a su configuración personalizada. Un aspecto a vigilar desde el punto de vista de la seguridad es la elección de una versión y configuración estable, no hay que caer en la tentación de estar siempre a la última porque muchas veces lo único que conseguimos es hacer de conejillos de indias. Naturalmente antes de eso hay que elegir qué sistema instalar, casi todos son más o menos multipropósito pero cada uno está programado pensando en criterios diferentes en algo. Otro punto a tener en cuenta es el establecimiento de elementos alternativos de arranque que nos permitan hacer frente a incidencias que ocurren en el día a día, un sistema que permite arranque desde cinta es un auténtico seguro de vida. Hay que acordarse de activar las auditorías propias del sistema que nos va a dar información básica de actividad de aspectos críticos, caso de no disponer de herramientas propias, lo que es difícil que se dé, hay que invertir inexcusablemente en un desarrollo específico. Normalmente esas auditorías intrínsecas dan como resultado ficheros que se denominan genéricamente de logs, aunque muchas veces no dispongan de esa extensión o denominación, que han de revisarse periódicamente. Se debe establecer una política de salvaguardas que permita, ante cualquier fallo crítico, restablecer una situación estable lo más próxima al momento anterior en que surgió la incidencia. Hay que evitar en lo posible las instalaciones "tipo" por las facilidades que presenta de conocimiento del sistema ante un eventual agresor. La consabida política de usuarios plasmada en una adecuada parcelación de niveles de acceso y en una estricta disciplina de palabras de paso, todos conocemos la teoría y ninguno la aplicamos, craso error. Hay que contemplar el control de ficheros en su propiedad y niveles de ejecución para detectar alteraciones en los mismos. La alteración en tamaño y fecha de ficheros básicos de configuración y actividad de sistema son indicios más que racionales de que puede existir una quiebra de la seguridad.
Por lo que respecta a bases de datos tendríamos que repetir mucho de lo expuesto con anterioridad para los sistemas operativos. Mencionaremos que aquí tendremos usuarios distintos lo que nos permitirá blindar aún más la seguridad con otra política de usuarios complementaria de la anterior. En el caso de las bases de datos es importante, además de contar con salvaguardas recientes, el contar con réplicas de la misma a tiempo real lo que permite minimizar el impacto de una quiebra de la integridad en la base explotada.
Cuando hablamos de aplicaciones hacemos referencia a aquellos programas que de una u otra manera nos permiten explotar las funcionalidades de nuestro sistema de información. Una vez en explotación es fundamental el control de la actividad de los usuarios para conocer en todo momento quién y qué está haciendo. Este aspecto se lo plantea todo el mundo pero algo que suele caer en el olvido es la fase de desarrollo de la aplicación. En el proceso de generación del programa se debe controlar todo el proyecto, las validaciones que se realicen y quedarse en poder del código fuente y posteriores modificaciones, con el objeto de poder filtrar aquel código erróneo o malicioso que pueda incorporar la aplicación.
Estamos hablando mucho de seguridad pero por qué, cuál es la razón de tanta preocupación.
Objeto
El porqué de la seguridad viene derivado de tres aspectos fundamentales.
En primer lugar y directamente derivado del concepto que dábamos al inicio del artículo, para garantizar el correcto funcionamiento del sistema de información. Toda la inversión que se haga de nada servirá si no conseguimos alcanzar la funcionalidad para la que se creó el sistema.
En segundo lugar, por prestigio y futuro del sistema y, por extensión, de la empresa o Institución, en nuestro caso. Qué provocaría el conocimiento de una quiebra de seguridad del sistema informático de la Guardia Civil, cuerpo policial estatal con más de 70.000 profesionales, un presupuesto mayor que el de muchos ministerios, 157 años de historia, poseedor de bases de datos referidas desde a terrorismo hasta narcotráfico pasando por datos personales de todos los poseedores de armas en todo el territorio nacional, creo que sobran comentarios. Ello no quiere decir que caigamos en evitar todas aquellas funcionalidades que puedan suponer una quiebra en la seguridad, lo que hay que plantearse es más funcionalidad con más seguridad y no sería malo recordar lo que se mencionaba anteriormente, más seguridad casi siempre es sinónimo de más inversión económica en la misma.
Por último, pero no por ello menos importante, por una razón de imperativo legal. Nuestro ordenamiento jurídico nos obliga a que tengamos una respuesta en aspectos de seguridad en normas como el Código Penal Ordinario, Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal o el Real Decreto 994/1999 de Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal.
Hasta el momento hemos definido globalmente la seguridad informática, hemos hecho un muestreo de qué proteger y hemos valorado el porqué, pero de qué tenemos que proteger a nuestro sistema.
Agresor
La potencial agresión sobre el sistema puede venir derivada de intervenciones de dos tipos.
Las intervenciones no maliciosas, ya sean por manipulaciones humanas o no, son imprevisibles y de resultado incierto. Las más habituales se refieren a cortes de corriente o alteraciones importantes en los niveles de tensión en la alimentación eléctrica que pueden provocar hasta daños irrecuperables en determinado hardware. Los fallos hardware están a la orden del día y no es extraño la inutilización de discos duros con la posibilidad de la consiguiente pérdida de información o el fallo de placas de sistema. Valga mencionar, como dato ilustrativo, el hecho de que, hace alrededor de un año, una importante empresa en el mundo de la Informática tuvo que cambiar todos los procesadores con los que equipaba a sus servidores de gama alta, en todo el mundo, por defectos de fabricación que se detectaron una vez instalados y en servicio cientos de servidores. Otro tipo de fallo habitual es el que se deriva de funcionamientos anormales de software, principalmente cuando se encuentra en fase de prueba o validación. No creo que a nadie le resulte extraño ver una pantalla azul en su ordenador personal y un mensaje clarificador del tipo "error de protección general en el módulo xxxx.dll32 volcado de pila ...", ¡ me..., no había salvado el fichero!. Tampoco son extraños los accidentes que podríamos denominar como laborales, el cigarrillo sobre la cinta de salvaguarda que cuando reaccionamos ha fundido la tapa con el soporte magnético, el café que tiene a bien explorar las interioridades de una CPU, los discos que pasan por el arco detector de metales y ¡ yo no sabía!, etc..
Las intervenciones maliciosas van ligadas a la manipulación humana. Las más peligrosas potencialmente, por el alcance del daño que se puede provocar y por la mayor dificultad en su detección, son las internas al propio sistema de información. El agresor lo enmarcaríamos dentro de los administradores del sistema, programadores o usuarios privilegiados, también incluiríamos a aquel que no teniendo acceso lógico al sistema sí lo tuviese físico a elementos críticos del mismo. Las grandes quiebras de seguridad han provenido siempre del interior de las estructuras atacadas y la mayor parte de las veces se han silenciado en un primer momento para no provocar reacciones incontroladas. La mayor peligrosidad de este tipo de actuaciones viene derivada del mayor conocimiento que el agresor dispone del medio sobre el que actúa. El otro tipo de intervención maliciosa es la de origen externo y que se produce casi siempre a través de línea de comunicaciones, como ejemplo más claro y actual podemos contemplar las intrusiones a través de Internet.
Todo esto está muy bien, pero cómo abordo la implantación de esa seguridad.
Procedimiento
Mediante la combinación de dos líneas de actuación muy claras.
En primer lugar, con el establecimiento de una política de seguridad que alcance a todo el sistema. Debe plasmarse en un documento escrito donde se contemple la asignación de responsabilidades y refrendado al más alto nivel de dirección posible, lo que implicará a toda la estructura en su cumplimiento. Se debe hacer un control riguroso de aplicación del mismo, pero también de su difusión para tener la certeza de que todos los afectados conocen su contenido. Para su implantación es necesaria una adecuada generación de medios humanos y materiales específicos. Y algo importantísimo, es fundamental la concienciación del personal afectado por las medidas a adoptar.
En segundo lugar, con la generación de auditorías periódicas internas y externas. Las internas provienen de la propia estructura de seguridad del sistema, mientras que las externas las realizarían personal de una empresa o contratados a tal efecto y no siempre los mismos. El objeto de las últimas es la revisión del sistema por parte de elementos que no se encuentren "viciados" por la rutina o el conocimiento del funcionamiento del sistema, extremo que se da con el personal propio.
¡Ya¡, convencido, pero cuándo aplico todo esto.
Temporalidad
Los criterios implantados por la política de seguridad deben seguirse siempre, desde que el sistema es simple o sencillo hasta cuando su crecimiento lo transforma en uno complejo.
El mejor procedimiento es la escalabilidad, permitiendo de esta manera validar las políticas llevadas hasta el momento, afinando y optimizando las futuras.
Pero quién va a hacer todo esto.
Responsabilidades
De una manera genérica, la responsabilidad de implantación de la política de seguridad afecta a todos los usuarios del sistema de información, tanto los normales como los privilegiados, donde habría que englobar a administradores de sistemas, administradores de bases de datos y responsables de comunicaciones.
De manera específica, debe existir un responsable de seguridad, con dedicación exclusiva caso de tratarse de sistemas de información importantes. Para poder ejercer su labor debe contar con un equipo de seguridad que permita desarrollar la política determinada por escrito. Es positivo establecer un equipo de supervisión compuesto por los usuarios privilegiados señalados anteriormente y el equipo de seguridad.
Seguridad informática y la Guardia Civil
Dónde situamos a la Guardia Civil en estos conceptos de seguridad informática. De una manera directa, encontramos una referencia importante en la Unidad de Delitos de Alta Tecnología encuadrada en la Unidad Central Operativa del Servicio de Policía Judicial como unidad operativa de investigación, en uno de sus ámbitos de actuación, de quiebras de seguridad maliciosas en sistemas de información. Como otra referencia, tenemos un foro de encuentro en materia de seguridad en un portal especializado dentro de la web pública corporativa ( ), al que se le pretende dar en la actualidad un impulso importante.
Para finalizar este artículo, tengamos siempre presente que la Guardia Civil tiene como misión el garantizar el libre ejercicio de los derechos de los ciudadanos, existimos para eso, para ofrecer seguridad y la seguridad informática es una parcela de esa seguridad integral. ¿Podemos mirar nuestros sistemas de información y encontrar esa seguridad informática con mayúsculas, invertimos lo suficiente y estamos absolutamente concienciados?
Arturo Prieto Bozec Comandante de la Guardia Civil
