sábado, 1 de octubre de 2011

Usando Word como herramienta de seguridad

Compartir este artículo:

johnny_automatic_typewriterVerba volant scripta manent, o dicho de otra forma “La palabra vuela, lo escrito permanece”. Con esta frase tan chula en latín, posiblemente nos ahorraremos muchos sustos y mucho dinero a la hora de administrar nuestra red, y máxime en entornos con varios administradores o con una rotación de personal importante.

Un número importande de los problemas que he detectado haciendo auditorías de sistemas, se derivan de la falta de documentación en cuanto a estos y sus aplicaciones se refiere. En otros casos, no se si más o menos peligrosos, la documentación está obsoleta y/o no se ajusta a la realidad.

No documentar un proceso, puede provocar incongruencias en la seguridad. El principal riesgo, es no tener la capacidad de conocer como están interactuando los diferentes elementos, lo que puede incrementar las situaciones en las que se dé por hecho que un antivirus está cubriendo el correo, que un sistema de DLP nos proteja de la fuga de datos a través de redes sociales o que el firewall sea el que impida determinadas conexiones.

parking_lot_security_failLa barrera impedirá el paso de los coches, pero solo en su radio de acción. No impide que pasen por otro sitio.

 

La falta de documentación actualizada en entornos informáticos, es un problema común hoy en día. A pesar de contar con sistemas documentales muy buenos e incluso Open Source, como KnowledgeTree, muchas empresas dependel del know how de sus administradores para el desarrollo de su actividad. La mayoría, no tiene en cuenta que en cuanto se jubile “Paco el del MainFrame” o se vaya a otro sitio “Julián el del antivirus”, deberán asumir un coste de formación y aprendizaje de sus repuestos. No ya en la formación en esos productos, sino en ver como está todo montado y en conocer las “ñapas” que puedan haber dejado sus antecesores.

Como mínimo, un documento debería constar de las siguientes secciones:

  • Fecha y versión: Datar y versionar un documento que está “vivo”, es muy importante.
  • Identificación: Identificación física y lógica del sistema.
  • Objetivos: Detalle de los objetivos a cumplir por dicho elemento. Es conveniente reflejar la configuración al detalle de una forma que luego podamos actualizarla con los últimos cambios.
  • Instalación: Detalle técnico de la instalación. Se pueden incluir aspectos relativos al entorno sobre el que se instala (por ejemplo, si se necesita algún tipo de preparación previa del servidor)
  • Tareas de mantenimiento: Detalle técnico de los procesos necesarios para mantener actualizado el sistema.
  • Licencia: Si es necesario, incluir información relativa a la licencia (numero de serie, caducidad, restricciones, etc)
  • Información de soporte: Procedimiento de contacto con proveedores, tipo de soporte, horario de atención, persona de contacto, etc.
  • Memoria de incidentes e intervenciones: Es muy util mantener una pequeña relación con los incidentes detectados en el servicio, así como un listado de las intervenciones hechas en el servidor.
  • Referencias en el cuerpo normativo: En el caso de que la instalación del servicio sea por requisitos legales o de normativas, es importante reseñar esto, así como hacer referencia a los documentos de políticas en los que se recoge la obligatoriedad de su existencia.

Por supuesto, lo más práctico es elaborar esta documentación con la ayuda de un gestor documental como los que hacía referencia anteriormente, aunque lo más común es utilizar este gestor como índice, haciendo referencia a los documentos y su contenido. De cualquiera de las maneras, mientras tengamos la capacidad y el propósito de mantener nuestra documentación actualizada y con la seguridad de que lo que recoja sea fiel reflejo de lo que tenemos, cualquier sistema es válido.

Saludos,

 

2 comentarios:

  1. Me ha gustado mucho la entrada Jesús. A veces se nos olvida documentar este tipo de cosas y son aspecto CLAVE.Para este aspecto concreto, aunque para seguridad haría referencia a la ISO 27001 para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI), yo recomiendo la implantación de una CMDB, tal y como plantea la ISO 20000 e ITIL. De esta manera toda esta información y mucha más se encontraría en un repositorio centralizado, con trazabilidad entre nodos, esto es, se sabría hasta el más mínimo detalle aspectos como por ejemplo si el empleado X ha instalado el producto Y el día Z, y ha aplicado la configuración W con estos parámetros tal y como indica el fabricante V. Para ello se pueden utilizar tools como OneCMDB (libre) u otras privativas como Proactivanet.Cierto es, y lo que más me suelo encontrar, es que toda esta información (si se almacena, que esta es otra) se guarda en Wikis, documentos compartidos, etc. Creo que hace falta una labor de concienciación muy grande sobre este aspecto para hacerles ver a directivos y demás altos cargos que documentar no es perder dinero en horas/hombre, si no todo lo contrario, prevenir el gasto en correcciones e ingenierías reversas en el futuro, cuando sea necesario descubrir que hacía tal producto en tal sistema, y con qué configuración se logró poner en marcha.un abrazo Jesús!

    ResponderEliminar
  2. [...] Iniciar Sesión « Usando Word como herramienta de seguridad [...]

    ResponderEliminar

Related Posts Plugin for WordPress, Blogger...