DIAGNÓSTICO DE SEGURIDAD DE LA INFORMACION Y EL HACKING ÉTICO
Con el propósito de garantizar el adecuado desarrollo y crecimiento de las empresas y organizaciones en general, desde hace muchos años se entendió que es necesario verificar la forma como estas son administradas y la efectividad de los controles que se han implementado. Es, en ese momento cuando aparece de manera formal la figura del Auditor o Evaluador. Si vamos a las definiciones realizadas por las firmas expertas sobre lo que es Auditoría, podemos encontrar algunas como las siguientes:
“Auditoría es un proceso sistemático por el cual una persona competente e independiente, obtiene y evalúa objetivamente evidencia relativa a aseveraciones sobre una entidad o evento económico, con el propósito de formarse una opinión y reportar el grado en que la aseveración está acorde con un conjunto de estándares identificados”.
“Auditar generalmente, es la acción de verificar que un determinado hecho o circunstancia ocurra de acuerdo a lo planeado, pero si se habla de la auditoría en una organización, se refiere a las pruebas que se realizan a la información y a los procesos administrativos con base en el cumplimiento de las obligaciones jurídicas o fiscales, así como de las políticas y lineamientos establecidos por la propia entidad de acuerdo a la manera en que opera y se administra.”
“Una auditoría consiste en un examen detallado sobre el sistema informativo de una entidad, el cual es realizado por un profesional experto que preferiblemente no se encuentre vinculado con la compañía. Su objetivo primordial es averiguar la integridad y autenticidad de la información, la efectividad de los controles implementados y de las operaciones que se desarrollan.
“Auditoría de Seguridad de la Información es el proceso de recolección y evaluación de evidencia para determinar si la tecnología para procesamiento de la información y los recursos relacionados:
Salvaguardan adecuadamente los activos,
Mantienen la integridad de los datos y del sistema,
Proveen información relevante y confiable,
Alcanzan efectivamente los objetivos organizacionales,
Consumen los recursos eficientemente,
Cuentan con controles que provean una seguridad razonable de que los objetivos operacionales serán alcanzados que los eventos no deseados serán prevenidos, detectados y corregidos de manera oportuna”.
Para alcanzar los objetivos deseados, los auditores deben ser independientes y ajenos a las actividades que auditen. Esta independencia la alcanzan cuando pueden llevar a cabo su trabajo con libertad y objetividad. La independencia permite a los auditores rendir juicios imparciales, lo cual es esencial para una apropiada conducta. La objetividad requiere que los auditores tengan una actitud de independencia mental.
Por otra parte, al reconocer que la Ética es un factor importante para la práctica de auditoría, los auditores tienen la obligación de conducirse con honestidad, objetividad y diligencia en el cumplimiento de sus deberes y responsabilidades. Deben mostrar lealtad en todos los asuntos relativos que les sean encomendados, por lo que no deberán comprometerse a participar en alguna actividad ilegal o impropia. Deberán ser prudentes en el uso de la información adquirida en el curso del trabajo. No usarán información confidencial en beneficio propio o que pueda perjudicar la seguridad de la organización. Antes de expresar una opinión, deberán tener una razonable seguridad de que cuentan con evidencia suficiente y competente. En sus informes deben revelar todos los hechos porque de no hacerlo, puede distorsionarse los resultados o encubrir alguna práctica irregular.
Con base en lo anterior, para realizar una adecuada auditoría o diagnóstico de la seguridad de la información, se deben aplicar las siguientes normas:
Independencia
Objetividad
Ética
Conocimiento técnico y capacidad profesional
Experiencia
Relaciones humanas y comunicaciones
Desarrollo profesional continuo
Confiabilidad e integridad de la información.
Cumplimiento de normas de conducta, leyes y reglamentos.
Planeación del diagnóstico
Comunicación de resultados
Control de calidad
Juicio profesional
Adicionalmente, es importante tener en cuenta que una parte muy importante de la auditoría de seguridad de la información son los diagnósticos de seguridad realizados mediante pruebas de Hacking Ético.
De alguna manera la función de un Hacker Ético es similar a la de un Auditor. Su función es realizar (desde el punto de vista de un cracker) diagnósticos del nivel de seguridad informática mediante la realización de pruebas (ataques) controladas hacia la infraestructura informática de las organizaciones, con el propósito de poder detectar vulnerabilidades potenciales que pudiesen ocasionar riesgos para la información empresarial. Estas pruebas se deben realizar sin generar riesgos para los sistemas auditados, pero deben ser desarrollados de manera que puedan confirmar (o no) la posibilidad real de penetrar las defensas (controles) de los objetivos analizados, con el solo propósito de alertar a la organización de los riesgos de seguridad informática presentes y cómo remediarlos. Un Hacker Ético debe tener la capacidad de saber cuándo es más adecuado profundizar en sus análisis y hasta qué punto llegar con el fin de poder demostrar la gravedad de la vulnerabilidad detectada y el riesgo que representa. Esta capacidad solamente se alcanza con el conocimiento y la experiencia. Ser hacker ético es legal. A diferencia de los crackers (hackers maliciosos) que penetran los sistemas de terceros sin permiso con el propósito de lucrarse a partir del robo de información o pedir rescates por la información ajena, el hacker ético (también conocido como Pen Tester) incursiona en los sistemas de las empresas con la debida autorización y cumpliendo con las leyes y regulaciones establecidas. Algunas empresas han propuesto el tema de hacking ético mediante la capacitación de sus empleados a través de cursos cortos esperando que piensen y actúen como los hackers maliciosos y sean capaces de proteger los activos más importantes de la empresa. Pero este fenómeno trae como consecuencia, dudas incómodas para muchos pero relevantes para el tema: ¿cuál es la ética detrás del hacker ético?, ¿Al capacitar a un empleado para que actué y piense como un hacker malicioso no estamos arriesgando mucha de nuestra información y recursos? ¿Realmente estas capacitaciones nos están protegiendo o nos estamos arriesgando más? ¿Estamos durmiendo con el enemigo?
La mayoría de las investigaciones y reportes de fuga o robo de datos, colocan a los empleados internos como unas de las principales fuentes de riesgo incluso por encima de los atacantes externos. Esto deja en claro que cuando una empresa invierte en entrenar y capacitar a su personal técnico para realizar estas funciones, debe asumir riesgos innecesarios que podrían ocasionar impactos muy grandes. De acuerdo con esto, ¿Quién debe realizar esta labor? ¿Es mejor, escoger un consultor interno o uno externo en el área de ciberseguridad?, ¿Es mejor, una compañía externa experta en seguridad o alguien de casa que conozca detalladamente los manejos de la organización y su plataforma tecnológica? El problema es que muchas de estas iniciativas carecen de bases y fundamentos alrededor de la ética y la independencia por lo que existe la posibilidad de que muchos de estos futuros profesionales no entiendan las implicaciones de sus acciones, no conoces las leyes existentes o, en el peor de los casos, terminan formando parte del problema. Algunos de estos problemas pueden ser:
Los consultores internos pueden tener un exceso de confianza en que los sistemas están muy seguros y pasar por alto ciertos problemas o detalles, que pueden convertirse en riesgos o vulnerabilidades.
El consultor interno trabaja en el área de TI y está involucrado en la implementación de controles y medidas de seguridad. Esto puede ocasionar que al realizar las pruebas pase por alto algunos análisis para evitar evidenciar debilidades en su trabajo previo.
El consultor interno evita realizar pruebas que evidencie la presencia de vulnerabilidades mantenidas a propósito para permitir acceso a información por beneficio propio.
El consultor interno puede estar presionado por su jefe directo para evitar realizar análisis o hacerlos sin el nivel de severidad requerido.
Mientras que un consultor externo no se encuentra involucrado y tiene la ventaja de que trae consigo una visión nueva y fresca de la organización y tiene el poder de visualizar posibles brechas en la información y detectar deficiencias en el sistema que tal vez los profesionales internos no desean aceptar.
Desde este punto de vista, en el Hacking Ético se puede definir que la ética consiste en la práctica de realizar análisis (diagnósticos de seguridad informática) sin tener intensión maliciosa y manteniendo la independencia. La función principal es la de evaluar la seguridad y reportar sus hallazgos para que las vulnerabilidades puedan ser corregidas y los riesgos ocasionados sean adecuadamente mitigados.
Organizaciones como el NIST (National Institute of Standards and Technology) reconoce que “Involucrar a terceros (por ejemplo, auditores o personal de apoyo experto) para llevar a cabo la evaluación ofrece una visión y un enfoque independientes que los asesores internos no pueden proporcionar aprovechando sus conocimientos y experiencia, la cual no está disponible internamente.
Finalmente como complemento, el Código de Ética Profesional del Pen Tester:
Mantener la Independencia y la objetividad en el trabajo. El hacker ético no puede estar comprometido con la empresa a ser evaluada o con un proveedor de servicios que ofrezca soluciones informáticas de seguridad.
No aceptar recompensas de algún funcionario de la compañía evaluada o de la competencia de esta compañía.
Informar al cliente sobre posibles riesgos al realizar las pruebas o análisis.
Mantener el profesionalismo y calidad durante el diagnóstico.
Tener bien claro la responsabilidad y consecuencias de las pruebas.
Mantener la imparcialidad, neutralidad y transparencia durante el diagnóstico. Esto no se logra si está involucrado (directa o indirectamente) en la implementación de controles de seguridad o tiene algún tipo de subordinación directa de algún funcionario de la compañía evaluada.
Evitar conflictos de intereses y mantener el respeto por las personas.