Llegamos a ustedes gracias a:



Reportajes y análisis

La universidad y la seguridad

[17/05/2011] El profesor Corey Schou estaba trabajando en la biblioteca de su escuela cuando se dio cuenta que su equipo estaba captando una señal WiFi particularmente fuerte.

Normalmente, eso sería una buena noticia. Pero Schou sabía que ese lugar era, por lo general, una zona muerta; lo que significaba que algo probablemente andaba mal. Así que Schou, un profesor de informática en la Universidad Estatal de Idaho, se reunió con algunos de los trabajadores de TI de la escuela para resolver el misterio.
Resulta que un joven en una cafetería cercana estaba causando problemas. "Estaba corriendo un punto de acceso y transmitiendo sin credenciales en la misma dirección del punto de acceso de la universidad, y la gente estaba accediendo", señala Schou.
Afortunadamente, el delincuente no tuvo acceso a información protegida. Eso es porque del Estado de Idaho, al igual que una serie de instituciones educativas y conocedores de la tecnología, han ido más allá del despliegue de los sistemas rutinarios de seguridad, como filtros de correo electrónico y servidores de seguridad, y han adoptado mejores y más inteligentes formas para detectar y repeler a los posibles piratas informáticos.
Las universidades no tienen más remedio que estar en la vanguardia de la seguridad informática, señala Schou. Simplemente tienen demasiados grupos de usuarios que atender, demasiados tipos de datos sensibles por proteger, demasiada informática y muchas plataformas portátiles que soportar, y demasiadas personas tratando, ya sea por deporte o por mala intención, romper sus defensas digitales.
El sueño de los hackers con educación superior
Las típicas instituciones educativas alojan un tesoro de material -desde registros de recursos humanos y archivos de los estudiantes, a los datos de investigación, muchos de los cuales son propietarios. También tienen datos financieros, tales como números de tarjetas de crédito de los estudiantes, ex alumnos, padres y visitantes. Y si tienen enfermerías, como pasa en la mayoría de colegios y universidades, también están los registros médicos.
Por otra parte, los aspirantes a piratas informáticos no solo son atraídos por todos estos valiosos datos. Algunos tienen sus ojos puestos en los vastos y poderosos sistemas informáticos que mantienen las universidades -la infraestructura que ellos pueden utilizar (y han utilizado) para sus propios fines si son lo suficientemente inteligentes y sigilosos-.
"En un momento dado, voy a tener 30 o 40 personas haciendo cosas [en nuestra red] y que podrían estar volviéndose antisociales. Están mirando lo que tengo, lo que está abierto", agrega Schou, quien se desempeña como Asesor de Seguridad del Estado de Idaho y decano asociado del Colegio de negocios.
Todo esto ocurre en un entorno de TI que por lo general soporta decenas de miles de dispositivos de todas las marcas y modelos, con el mandato de ser lo más abierto posible para facilitar la comunicación, la cooperación y la colaboración.
No es de extrañar, por tanto, que las violaciones ocurran con cierta regularidad en los campus universitarios. Según los datos analizados por Application Security, una empresa de seguridad de base de datos, se han producido 435 infracciones reportadas que afectaron a 8,5 millones de archivos en las instituciones de educación superior de los Estados Unidos, desde el 2005, año en que la Privacy Rights Clearinghouse y otras organizaciones comenzaron a registrar estos eventos.
Alex Rothacker, director de investigaciones de seguridad en la sede de Nueva York de Application Security, señala que según un bache en las violaciones reportadas hasta ahora en el 2011, se podría indicar un nuevo nivel de sofisticación en los ataques. "Los chicos malos están buscando esta información porque es muy valiosa. Ellos han descubierto la forma de obtener beneficios económicos", agrega.
¿Por qué importa la seguridad en la universidad?
Los colegios y universidades se enfrentan a una serie de desafíos de seguridad en TI que son, hasta ahora, únicas en su sector, indica Frank Kenney, vicepresidente de estrategia global de Ipswitch, un proveedor de seguridad de Lexington, Massachusetts, que trabaja con varias instituciones de educación superior. En concreto, los desafíos son los siguientes:
* Las universidades tienen cientos, incluso miles, de nuevos usuarios en sus redes todos los años, con igual número de usuarios que están de salida.
* Soportan casi todo tipo de dispositivos disponibles en el mercado de consumo, y lidian con una población joven que es mucho más propensa a involucrarse en conductas de riesgo en línea.
* A menudo tienen organizaciones descentralizadas de TI, lo que dificulta la implementación de tecnologías estándar, o la adopción y cumplimiento de políticas estándares.
Muchos ejecutivos de TI en otros sectores han sido capaces de evitar esos problemas, agrega Kenney, pero eso está cambiando. "Está sucediendo en la asistencia de salud, el gobierno y en el sector financiero, y las empresas tradicionales están justo detrás de ellos", añade.
El creciente uso de consultores, junto con periodos de empleo más cortos, significa que algunas empresas están viendo el volumen de negocios que reflejan las universidades con su ir y venir de estudiantes y profesores visitantes.
Más allá de eso, gracias al consumo de las TI y los avances en la tecnología móvil, las tiendas corporativas de TI ahora son compatibles con entornos de computación con múltiples plataformas de software y una variedad de dispositivos de hardware sin ataduras -ambientes similares a los que sus homólogos en educación han ocupado por años-.
Y, por supuesto, las tiendas corporativas de TI ahora deben adaptarse a sus nuevos usuarios, miles de ellos, y sus demandas por actividades en línea (y su mayor aceptación de riesgos en línea) - algo en lo que las universidades ya tienen experiencia.
Dada la amplitud y la profundidad de la similitud entre las nuevas empresas y la educación superior, señala Kenney, no es de extrañar que las empresas líderes de TI estén buscando cada vez más por las mejores prácticas en las universidades, en lo que respecta a la administración de la seguridad en un entorno complejo.
Los líderes de TI en la educación superior están desarrollando las mejores prácticas de seguridad que involucran a varios niveles de enfoque que combinan las defensas basadas en la tecnología, las políticas de gestión de datos y capacitación de usuarios para proteger la información y los recursos internos de quienes buscan hacer daño.
"Al principio, todo era sobre lo que la tecnología puede hacer, así que había cosas como firewalls. Pero ahora todo se reduce a la gobernabilidad de alto nivel y la gestión de riesgos", señala Rodney J. Petersen, oficial de relaciones gubernamentales de alto nivel en EDUCAUSE, una organización sin fines de lucro que promueve el uso de las TI para impulsar la educación superior.
Al igual que sus homólogos en la América corporativa, los líderes de seguridad TI en la educación superior están pensando más allá de las paredes de su departamento en la búsqueda de soluciones. Están elevando la seguridad al nivel ejecutivo de gestión de riesgos, donde se puede evaluar el riesgo, asignar diferentes niveles de acceso de seguridad, y desarrollar las políticas de usuarios que trabajen con las garantías basadas en la tecnología que se despliegan.
Jinx P. Walton, director de servicios de computación y desarrollo de sistemas en la Universidad de Pittsburgh, resume su actitud diciendo: "Siempre va a ser una combinación de varias herramientas, los procesos y la educación. Además de los modelos de seguridad por capas".
En Pitt, Walton despliega una serie de tecnologías y políticas que son estándares en la seguridad informática. Por ejemplo, ella utiliza herramientas de detección de intrusos y antivirus. Pero también ha implementado estrategias más avanzadas para mantener los datos de la universidad y la infraestructura de seguridad.
Una se llama "zonas de confianza". A partir del 2007, Walton y su equipo comenzaron a buscar departamento por departamento, unidad por unidad, y qué trabajo era hecho por quién. TI primero determina qué tipo de información es necesaria para los trabajos realizados en cada zona, y a continuación establece las redes y los servidores de seguridad que garanticen que los trabajadores solo puedan acceder a la información que necesitan.
Dependiendo del trabajo, los requisitos de acceso y la sensibilidad de los materiales, los datos de un trabajador pueden ser almacenados en los servidores, mientras que otra información se guarda en una estación de trabajo.
Las zonas también protegen el trabajo de los propios trabajadores, agrega Walton. "Estos servidores de seguridad trabajan de dos formas: protegiendo que el usuario no tenga acceso a información que no necesita, y suministrando el nivel de seguridad requerido para los trabajos que hace el individuo", explica.
Un profesor de historia, por ejemplo, no necesitaría - y por lo tanto no tendría acceso a- servidores que almacenan datos confidenciales de los estudiantes, como registros de asistencia financiera. "Su zona de firewall no podría abrirse a los sitios seguros que le hemos abierto a la propia red de la universidad", explica Walton, agregando: "Ya nada está abierto de par en par".
Adoptando la autenticación y el cifrado
Otras instituciones de educación superior están creando particiones similares de alta tecnología.
La Universidad Estatal de Pennsylvania (Penn State), por ejemplo, ha creado un ambiente de trabajo virtual de ePay, para manejar los pagos realizados a la universidad a través de tarjetas de crédito. Los empleados que manejan datos de tarjetas de crédito deben hacer ese trabajo en un espacio con particiones virtuales fuera de otras aplicaciones, explica Kathleen R. Kimball, directora senior de operaciones y servicios de seguridad en Penn State.
Los empleados acceden al entorno virtual de ePay desde sus computadoras regulares, pulsando simplemente un ícono en pantalla. "Automáticamente cambia a un entorno donde puede trabajar con tarjetas de crédito de forma segura. La información de la tarjeta de crédito se mantendrá separada de otros datos", explica Kimball.
Los trabajadores de TI de Penn State construyeron la red virtual para apoyar las estaciones de trabajo de ePay hace dos o tres años para cumplir con las directrices de Payment Card Industry Security Standards Council, pero Kimball señala que ha visto más usos para este tipo instalación. "Esto podría servir para el cálculo de los datos sensibles de la universidad", agrega.
Pero no termina con la virtualización. Al igual que otras instituciones, Penn State está utilizando múltiples estrategias para defenderse de las amenazas. Como parte de ese esfuerzo, la universidad está tratando de ampliar el uso de la autenticación de dos factores, así como el uso de programas de cifrado, indica Kimball.
La escuela también está utilizando la tecnología de prevención de pérdida de datos, lo que le permite a TI buscar paquetes que contienen datos confidenciales, como números de seguro social, ya que los trabajadores puedan hacer frente a cualquier tráfico que no es de fiar. Penn State también está utilizando la tecnología de exploración para la búsqueda de datos confidenciales en lugares que no deberían estar.
Algunos usuarios se resisten a estas medidas, y esa resistencia a veces surge en lugares sorprendentes, comenta Kimball. Por ejemplo, algunos investigadores de ciencias de la computación no desean programas de cifrado en sus equipos, porque creen que estos sistemas pueden perjudicar el rendimiento. Kimball afirma que el impacto en el rendimiento es mínimo.
Ese tipo de resistencia no es inusual en las universidades, señala Kenney de Ipswitch, explicando que, cuando se trata de políticas de TI, los profesores pueden tener influencias que incluso los altos ejecutivos en las empresas comerciales no suelen tener.
Centrarse en las personas, procesos y tecnología
Tammy Clark, directora de seguridad de información en Georgia State University en Atlanta, señala que ha adoptado un enfoque de tres vertientes: personas, procesos y tecnología.
"No se puede dejar a ninguno de ellos fuera", comenta, señalando que Georgia State fue una de las primeras instituciones de educación superior que adoptó la serie de normas ISO 27000 para la seguridad de la información.
Clark señala que la escuela utiliza las tecnologías habituales, tales como software de encriptación y herramientas anti-malware. Pero añade que el Georgia State comenzó a reforzar su protección hace dos años, debido a que el malware más reciente -que pueden ser transportados en los enlaces de phishing de correo electrónico, las direcciones URL de sitios web o mensajes instantáneos- pueden evadir las defensas tradicionales.
Específicamente, GSU se centra en la mejora de su arquitectura y la capacitación de sus empleados del centro de datos (que están en un horario 24/7) para supervisar los informes procedentes del software de seguridad de la escuela, y para manejar las respuestas de primer nivel de incidencia, independientemente de cuándo los hackers lanzan su ataques.
Como parte de este esfuerzo, la universidad implementó el año pasado un sistema de evaluación de la vulnerabilidad, QualysGuard de Qualys Inc, para obtener una visión global del estado de la seguridad TI de la escuela. Además, la escuela invirtió en una plataforma de pruebas de penetración, Core Impact Pro de Core Security Technologies, para sondear en busca de vulnerabilidades.
Y el año pasado, Georgia State instaló un programa de detección de bots que analiza el tráfico y puede, por ejemplo, mostrar la actividad de comando y control originarios de las regiones del mundo que generan un alto nivel de malware, como Rusia.
Más allá de eso, Clark se encuentra en el proceso de implementación del software de seguridad de la información y gestión de eventos (SIEM) de ArcSight, que analizará todos los registros y elaborará informes que ofrecen visibilidad de lo que está sucediendo con los cientos de servidores de Georgia State, miles de estaciones de trabajo y 40 mil nodos de red. "Queremos robustez, escalabilidad y seguridad, y esto es lo que tenemos que hacer", comenta Clark.
Cambio de enfoque: Del dispositivo a los datos
En la Universidad de Baylor en Waco, Texas, Jon Allen está cambiando su atención, del dispositivo a los datos.
Sin duda, los oficinistas de seguridad de la información de la escuela siguen utilizando firewalls y herramientas anti-malware para tratar de mantener seguros todos los equipos de escritorio, portátiles y dispositivos de mano. Pero él está más interesado en la concentración de datos en sí. "Estamos buscando envolver la seguridad alrededor de los datos", señala -clasificando los datos, y asignándoles niveles escalables de seguridad que se quedan con ellos mientras viajan.
"No es solo buscar la manera de asegurar un nuevo dispositivo en la red", explica Allen. "Tengo que ver cómo fluye la información, porque las piezas fundamentales que tenemos que controlar son los datos".
Allen reconoce que la filosofía de Baylor aún está evolucionando en una práctica real y aún no ha alcanzado todo su potencial. La práctica, que tiene sus raíces en la gestión de riesgos, permite que la universidad identifique qué datos llevan una baja incidencia, riesgo de bajo impacto y cuáles habría que asignar a una categoría superior de preocupación. "Si es de una ocurrencia baja, pero tiene un gran impacto si le pasa algo, entonces es clasificado como de alto riesgo", explica.
Baylor no es la única institución de educación superior que utiliza la clasificación de datos para gestionar el riesgo y la seguridad. Tom Davis, director de seguridad de la Universidad de Indiana, ha asignado a miembros de su equipo para que trabajen con personas de alto rango en cada área de la institución, quienes tienen la responsabilidad de amplios sectores de datos. Su objetivo es determinar cuáles son las normas y restricciones necesarias para los diferentes tipos de datos, señala Davis.
Del mismo modo, Clark de Georgia State, comenzó a centrase en los datos en el 2008. Ella dice que su equipo se pasó un año trabajando con los llamados "administradores de datos" en cada área, estudiando qué profesionales necesitan acceso a qué datos, y qué grado de protección debe ser asignado para proteger esos datos.
"Tenemos que empezar a pensar diferente acerca de qué otras cosas podemos hacer para proteger nuestros datos", señala Allen. "Durante mucho tiempo, hemos estado apagando incendios, pero lo mejor sería encontrar el combustible antes de que comience a arder."
Esa es una filosofía que se aplica no solo a la clasificación de datos, sino también, en general, a los esfuerzos de seguridad de las universidades -para mantenerse al frente del siempre cambiante paisaje de amenazas.
"La gente a la cabeza entiende que no es un único producto" el que hará que sus múltiples sistemas estén seguros, señala Michael Maloof, director de tecnología de TriGeo Network Security, una empresa de software de seguridad basada en Post Falls, Idaho, que cuenta con instituciones de educación superior entre sus clientes. "No hay una sola cosa, ninguna bala de plata. Hay una capa de cosas, y es un proceso continuo."
Mary K. Pratt, Computerworld (US)