Cómo comprar un software de seguridad.
por José de Jesús Ángel Ángel, director de Investigación y Desarrollo de SeguriDATA .

Muchas veces cuando se quiere proveer de "seguridad" a un sistema de información, una de las decisiones mas difíciles es decidir que tipo de software tenemos que adquirir y que método me permite hacerlo, sin duda, la decisión definitiva depende de un estudio detallado y largo, según sea el tamaño de la corporación a la cual queremos proveer de seguridad. Sin embargo en muchas ocasiones tanto se carece de los recursos como del personal adecuado para poder realizar dicho estudio, en muchos casos se justifica un gasto que permita realizar satisfactoriamente todo el proceso, pero en otros muchos casos no es posible hacer ese gasto, pero entonces, cómo proveer de seguridad a nuestra información sin que caer en la presa de los vendedores, en muchos casos muy lejanos de la verdadera solución.

Existe una forma no simple pero si esquemática de cómo hacer tal elección, el detalle consiste en por ejemplo haciendo la similitud a una "enfermedad", si alguien tiene una molestia y quiere resolver ese problema además de quedar inmune a esa y otras "enfermedades", entonces lo que hace es acudir a un médico, pero quedan dos opciones mas, una mejor y otra no buen vista, la primera consiste en acudir a un especialista que supondríamos resolverá nuestro problema de manera mas contundente, por otro lado existe solo acudir a una farmacia y pedir alguna "medicina", el primer método es frecuentemente mas costoso, el segundo es muy riesgoso y en muchos casos contraproducente.

Pero bien entonces que pasa con el caso de acudir a un médico, en tal caso se sigue así, primero nos realiza una inspección general y mide posibles síntomas por ejemplo la temperatura, el color de los ojos, posible inflamación en algún órgano, posible dolor de algún órgano etc., Después de todo esto el médico en base a su experiencia y preparación emite un diagnóstico del posible mal y dictamina que medicamentos debemos de ingerir, y de que forma debe de ser administrado.

Pues bien, en el caso de la seguridad de la información es algo parecido ha este proceso, el comprar un "producto" que "cure" nuestros problemas de seguridad es similar a comprar los "medicamentos" que debemos de ingerir para curar alguna eventual "enfermedad" o/y prevenirla. Entonces el problema es contratar a un "doctor" que nos proporcione un diagnóstico y a partir de ahí nos recomiende que tipo de solución necesitamos, es claro, que quizá en muchos casos no es rentable realizar esto, por lo tanto por mientras no podamos conseguir a un profesional de la seguridad de la información, tan fácil como un médico, quizá baste que el encargado actual de nuestro sistema haga ese trabajo. Entonces, que método tenemos que seguir para poder comprar la solución adecuada a nuestro problema, pues bien al igual que en el caso médico primero debemos identificar que "enfermedad" tenemos o cuales son nuestras debilidades para así fortalecerlo. Como en el caso de la salud de un humano hay veces que es muy difícil saber que enfermedad se tiene e incluso si es una enfermedad totalmente desconocida o nueva, así mismo en el caso de la seguridad de la información existen "enfermedades" que aun no se conocen o que son muy complicadas. Sin embargo hay otras que están muy bien identificadas y pueden ser curadas satisfactoriamente, este tipo de "enfermedades" de la seguridad de la información tienen ya una "medicina" conocida y efectiva.  Entonces el principio para poder tener seguridad en la información, lo básico es saber si tenemos esas "enfermedades" ya conocida y entonces podremos administrar con seguridad la "medicina" que es efectiva ya en ese caso.
   
Pues bien es un grave error sin saber que tipo de problema tenemos decidamos comprar una "medicina", es decir, un producto que se nos ofrece por alguna otra razón.

Así también es un error muy frecuente que quienes venden algún producto desconocer por completo para que sirven realmente y en muchas ocasiones superestimar o equivocar lo que realmente hacen los productos.

Bien, entonces el método que se sugiere es reconocer que "enfermedades" tiene nuestro sistema y así poder adquirir el producto que sea efectivo para tal caso. Algunas de las similitudes a "enfermedades" conocidas de la información son; no tener confidencialidad, no tener integridad de datos, no autenticar al usuario, el no poder rechazar la autoría de un mensaje, el controlar el acceso, la confirmación de una acción, etc. Además de saber que "mal" tenemos que "curar" también tenemos que saber donde esta localizado y que tan grave pueda ser, quizá no sea necesario ni un "curita", de forma similar, a que como todos sabemos siempre en nuestro cuerpo existen bacterias malignas que sin embargo si la población no es considerable, entonces no representan problema alguno.

Lo anterior representa el lenguaje actual de la seguridad de la información, así pues dado algún sistema de información nuestro primer paso es identificar que tipo de problema de seguridad podemos tener y así comprar el producto exactamente necesario y/o realizarlo uno mismo.

Veamos un ejemplo:

Este ejemplo se refiere a un sistema que todo mundo conoce, así poder identificar más fácilmente que tipo de problemas de seguridad tenemos. Entonces veamos el escenario de un cajero automático (ATM), en este caso dividamos el sistema en tres partes, la parte del cliente, es decir donde físicamente tenemos al cajero automático, la parte de la transmisión de la información, y la parte del banco, que es donde se procesa la información que se envía desde el cajero.

En el caso del cajero tenemos los problemas o las eventuales "enfermedades" de, control de acceso (permitir con seguridad que un usuario entre con seguridad al sistema del cajero), el problema de autenticación (como poder estar seguro de que el poseedor de la tarjeta es el dueño), el problema de el no repudio (como estar seguro de que un cliente no pueda negar que efectúo una operación, por ejemplo que retiro efectivo), etc.

Ahora en el caso de la transmisión de la información, ésta en general se lleva acabo por medio de micro-ondas y se trasmite de una antena del cajero a otra antena en el banco. En este caso los problemas existentes son primero la confidencialidad, es decir como estar seguro que la información enviada viajara sin ser vista por personas no autorizadas, también tenemos el problema de la integridad, es decir que nos garantiza que la información no vaya ha ser cambiada, modificada o borrada, etc.

Para la tercera parte, los problemas son primero el verificar la autenticidad del origen de la información, es decir como saber si realmente la información que llega es de un cajero real, además si la transacción solicitada sea realmente la que se solicitud. Otro problema mas es la autorización del banco, así como que el banco no pueda rechazar la operación que autorizo, etc.

Los problemas anteriores o "enfermedades" que pudiera tener nuestro sistema tienen solución, es decir hay "tratamiento" para ello, y entonces poder adquirir un producto o una marca de "medicamento" que cure estas "enfermedades".

Existen dos problemas entonces como saber que tipo de "enfermedades" eventuales puedo tener, y que producto "medicina" hay para poder curarlo.

Por ejemplo:

1)   El problema ("la enfermedad") de la confidencialidad en la transmisión de la información por un canal inseguro, se puede resolver si existe en ambos lados de la comunicación un algoritmo simétrico que cifre la información antes de salir del origen y que la descifre en el momento en que llegue a su destino. Los algoritmos usados en este caso pueden estar en software o en hardware, y son variados los productos que lo tienen integrado, los algoritmos más recomendados actualmente son TDES, RC4-128, AES. El problema de la confidencialidad también puede darse por ejemplo en una base de datos permanente, donde se desea que esta información deba de ser vista solo por personas autorizadas, en este caso también puede cifrarse la información y ser descifrada solo cuando se quiera utilizar. Este problema lo podemos tener por ejemplo en: la transmisión de información por Internet, el envío de e-mails, llamadas telefónicas, transmisión de radio, transmisión de televisión, secretos industriales, secretos de estado, etc.

2)   El problema de la Integridad, puede controlarse por medio de un esquema que usa una función Hash que determina si la información ha sido modificada o borrada, en este caso se toman las medidas que proceden en el caso necesario. Este tipo de esquemas también se pueden tener tanto en software como en hardware. En nuestro ejemplo la integridad se debe de tener ya que si un usuario realiza un retiro de 300 dólares, esta orden no debe de ser alterada para el buen cumplimiento de la cuenta del cliente. Este problema por ejemplo, se puede encontrarse también en voto electrónico, donde es prioritario no alterar los resultados, en los archivos de un abogado, donde es prioritario no alterar documentos que pueden ser evidencia para algún litigio, en la transmisión de alguna transacción bancaria alta, etc.

3)   El problema de la autenticación, es uno de los más complicados de resolver, aun actualmente, el mostrar la identidad de una persona, es uno de los mas grandes problemas que existen, en la practica se ha resuelto de varias formas, cuando la comunicación es a larga distancia como Internet la firma digital ha llegado a ser la mejor forma de poder autenticar tanto a una persona como a una entidad, aunque existen limitaciones y algunos problemas de adaptación. Actualmente el algoritmo de firma digital más usado se llama RSA. El algoritmo de firma digital esta contenida en un elemento que se llama certificado digital. El problema de la autenticación se presenta en una variedad muy grande de aplicaciones, por ejemplo al cambiar un cheque, al viajar por avión, al hacer algún tramite, al firmar un contrato, o simplemente al identificarse con una autoridad, etc. En nuestro ejemplo el problema de la autenticación lo tenemos al demostrar que el portador de una tarjeta es el verdadero dueño, en este caso se usa un esquema de identificación vía un NIP, es decir si el poseedor de la tarjeta conocer el NIP que corresponde a la tarjeta, entonces el dueño es quien teclea el NIP correcto. Otro problema de autenticación lo tenemos en saber de donde provienen los mensajes, ha este tipo de autenticación se le conoce como autenticación del origen de los mensajes, y se resuelve con un algoritmo MAC, por ejemplo lo tenemos en nuestro ejemplo al mostrar que los mensajes provienen precisamente del cajero que dice ser.

4)   Desde el punto de vista legal un problema muy importante es el no-repudio, que el resolverlo representa una manera probatoria de que alguien no niegue ser autor de ciertos actos. El no-repudio se resuelve con la firma digital, conjuntamente con un esquema de time-stamping. Por lo general estos servicios se contratan de forma independiente ya que tiene que haber un elemento legal extra que lo confirme. Estos servicios se contratan con un notario electrónico, conjuntamente con un certificado digital. En nuestro ejemplo este problema no es resuelto, es decir que no existen elementos probatorios legales para probar que un usuario realizo un retiro o no lo hizo, de forma similar, no existen elementos probatorios para que se le demuestre al banco que hizo o no hizo alguna emisión.

5) Entre otros problemas más están: el control de acceso, el anonimato, la revocación, la confirmación, la autorización, etc.

Aunque pareciera un poco distante este vocabulario al vocabulario comercial ésta es la formas más seguras, de poder primero conocer que tipo de problema de seguridad de la información tenemos, y después de poder adquirir el producto o la solución exacta para poder reducir al mínimo el riesgo que pueda tener nuestra información.

Algo importante, es hacer notar que en muchas ocasiones es necesario hacer una solución a la medida del problema que tengamos por resolver, sin embargo en varios casos podremos ya comprar algún dispositivo o software que este en el mercado.

Claro esta que en la mayoría de los mercados es muy difícil que los productos tengan especificaciones tan técnicas, sin embargo el poder hacer una mejor elección del producto necesario parte de poder identificar con precisión que tipo de problema de seguridad tenemos que resolver, de la misma forma que poder encontrar a un vendedor que tenga los conocimientos adecuados para poder identificar bien la solución de nuestro problema concreto.

Vale comentar que quizá para una sola PC o un pequeño sistema si podamos evitar tal análisis, y quizá solo con un antivirus, un firewalls, la buena elección y administración de passwords y eventualmente con un certificado digital podamos contar con la seguridad óptima.