La
información
de
la MIB
está
organizada
en
forma
jerárquica.
Cada
elemento de
información (llamado “objeto MIB”) es una variable que almacena alguna
característica o alguna información estadística del dispositivo administrado
(Agente
SNMP).
Estos
objetos
MIB
pueden
ser
escalares
(es
decir,
contener
un
único valor), o tabulares (es decir, contener varios valores).
La estructura
jerárquica de
la MIB es en
forma de
“árbol”, como se muestra en
la
figura.
Cada objeto MIB está unívocamente identificado dentro de
la jerarquía de
la MIB,
ya sea en
una
notación textual o numérica, indicando
los diferentes
nombres o
números por los que se debe
recorrer el árbol
hasta
llegar al objeto en
cuestión. Por ejemplo,
la variable “atInput” del ejemplo de la figura puede ser
identificada como
“iso.identified-organization.dod.internet.private.enterprise.cisco.temporary
variables.AppleTalk.atInput” o por su equivalente numé®ico “1.3.6.1.4.1.9.3.3.1”.
Cada
fabricante
tiene
una
“rama”,
bajo
el
objeto
“enterprise”,
y
es
libre
de
armar
bajo esta rama la estructura de información que aplique mejor a sus productos.
Los agentes SNMP son controlados y monitoreados desde el administrador SNMP
(SNMP manager) usando comandos simples, entre los que se destacan:
Read: Es usado por el Manager para leer las variables del Agente (por
ejemplo, para recolectar estadísticas de uso)
Write: Es usado para configurar el equipo administrado. El Manager puede
escribir ciertas variables de configuración del Agente
Trap: Es
utilizada en
forma asíncrona por los agentes, para
reportar
eventos (típicamente fallas)
Existen tres
versiones de SNMP, conocidas como SNMPv1 (versión 1)
y
SNMPv2
(versión
2)
y
SNMPv3
(versión
3).
Todos
ellas
tienen
un
gran
número
de
características similares, pero las versión más nuevas, ofrecen algunas mejoras
frente a las anteriores. La versión 2 implementa los comandos “GetBulk”
y
“Inform”. El comando
GetBulk es
usado por el SNMP Manager para
recuperar en
forma
eficiente una gran cantidad de información de los agentes. El comando
Inform
es
usado
para
intercambiar
información
entre
varios
SNMP
Managers.
La
versión 3 introduce mejoras en la seguridad
Las distintas versiones SNMP son incompatibles entre sí, no solo por la
incorporación de
nuevos comandos, sino porque el formato de los mensajes
intercambiados entre el Manager y los agentes es diferente en cada versión.
8
Seguridad de la Información
En
todas
las
empresas,
las
redes
de
voz
y
datos
transportan
“información”.
Esta
información
es
valiosa para
las
organizaciones,
al
punto
que
se
considera
uno
de
sus “activos”. que, al igual que otros activos importantes para el negocio, tiene
valor
para
la
organización
y
consecuentemente
necesita
ser
protegido
apropiadamente.
Dentro de una corporación o empresa, la información puede existir en muchas
formas. Puede ser impresa o escrita en papel, almacenada electrónicamente,
transmitida por correo o medios digitales, mostrada en
videos, o
hablada en
conversaciones.
En
muchos
de
estos
aspectos,
las
redes
corporativas
participan
activamente. Asegurar
la información, incluye, por
lo tanto, asegurar las redes por
dónde la misma es transmitida.
Muchos componentes tecnológicos son utilizados en las redes corporativas
asociados a los aspectos de seguridad. Sin embargo, todos ellos tienen como
objetivo proteger la info®mación, y
no
los componentes informáticos en si mismos.
Tomando esto en cuenta, es
natural
ver a estos componentes
tecnológicos,
enmarcados dentro de los planes más genéricos de “seguridad de la información”.
8.1
Recomendaciones y normas relacionadas con la seguridad
de la información
La
“seguridad
de
la
información”
es
un
tema
crítico
para
la
gran
mayoría
de
las
corporaciones. Dado que el tema es genérico
y
no específico de
una tecnología o
tipo
de
negocio,
varios
organismos
internacionales
han
desarrollado
recomendaciones
y
estándares
al
respecto.
La
ISO
ha
publicado
la
recomendación 17799 [51], la que incluye un conjunto de prácticas acerca del
gerenciamiento de la seguridad de la información.
La ISO 17799 es una guía de buenas prácticas de seguridad de la información que
presenta una extensa serie de controles de seguridad. La recomendación no cubre
las problemáticas tecnológicas, sino que hace una aproximación al tema
abarcando
todas las
funcionalidades de
una organización en lo relacionado
a la
seguridad de la información.
Por su parte, la British Standards
Institution, ha publicado las
normas BS 7799. La
parte
1
de
esta
norma
es
similar
a
la
ISO
17799.
La
parte
2,
conocida
como
BS
7799-2:2002 [52], es una norma enfocada a los procesos, y
establece más que
recomendaciones genéricas,
reglas
y
requisitos a
cumplir por las organizaciones.
En su estructura es similar a
las
normas de calidad
ISO 9001:2000,
y
al igual que
éstas, es una
norma “certificable”. Es decir, una empresa puede “certificarse” en el
cumplimiento de la
BS 7799-2:2002. Cabe
destacar que la recomendación ISO
17799 no es una “norma certificable”, ya que incluye únicamente un “código de
buenas prácticas” relativas a
la gestión de
la seguridad de
la información. Es
una
guía que contiene consejos y recomendaciones que permite asegurar la seguridad
de la información de la empresa.
Los
requisitos
establecidos
en
la
BS
7799-2
se
refieren
a
un
Plan
de
Seguridad
constituido por
un “Sistema de Gestión de Segu®idad de la Info®mación” (SGSI), o
en inglés, “Info®mation Se©u®ity Management System” (ISMS), en el que se aplican
los
controles
de
seguridad
de
la
BS
7799-1
(y
por
lo
tanto
de
la
ISO
17799).
Los
requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y
certificar. No hay versión ISO de la BS 7799-2.
La BS 7799-2:2002 esta basada en el enfoque de procesos, muy similar al de ISO
9001:2000.
Estos procesos tienen las siguientes etapas, las que se ejecutan en forma cíclica:
Planificar
Se planifica qué
hacer
y
como
hacerlos. A grandes
rasgos, Esto incluye
la definición del alcance del SGSI,
las políticas generales de seguridad,
la
identificación
y
evaluación
de
los
riesgos
a
los
que
está
expuesta
la
información, y la preparación de los documentos preliminares
Hacer
Se ejecuta el plan, implementando los controles seleccionados, con el
fin de cumplir los objetivos planteados
Verificar
Se
verifica
la
ejecución
del
plan,
implementando
exámenes
o
controles
periódicos (por ejemplo, auditorías). Se registran las desviaciones
encontradas
Actuar
En base a las desviaciones encontradas o a las posibles mejoras al
sistema se toman acciones correctivas o preventivas, las que llevan
nuevamente a planificar, cerrando el ciclo.
En general, los objetivos de un SGSI es asegurar la continuidad del negocio y
minimizar el daño ante un incidente de seguridad. En forma genérica, se
establecen 3 objetivos de seguridad de la información:
Confidencialidad
Procurar que la información sea accesible sólo a las personas
autorizadas a acceder a su utilización.
Integridad
Asegurar la exactitud y la completitud de la información y los métodos de
su procesamiento
Disponibilidad
Asegurar que los usuarios autorizados tengan acceso a la información y
los recursos asociados cuando lo requieran.
8.2
Política de seguridad
La ISO/IEC indica que la información es un activo, y al igual que otros activos
importantes para el
negocio, tiene
valor para la organización
y
consecuentemente
necesita ser protegido apropiadamente.
Para
proteger
apropiadamente
a
la
información,
es
necesario
definir
ciertas
“Políticas
de
seguridad”.
El
término
“Política”
define
una
declaración
de
alto
nivel
que una organización manifiesta. La “Política de seguridad” es una declaración
formal de las reglas que deben seguir las personas que tienen acceso a los
“activos de información” de
una organización. La
“Política de seguridad” debe ser
la guía de la implementación de todo el sistema de gestión de seguridad de la
información.
Como marco general de la “Política de seguridad”, hay que definir una “Política
estratégica de seguridad” que sea coherente y aplicable a toda la organización. Es
recomendable que ésta sea breve
y
clara,
y
que establezca la
“filosofía básica” de
la
organización
en
lo
referente
a
la
seguridad
de
la
información.
Todos
los
otros
documentos (políticas, prácticas, procedimientos, instructivos) deberán estar
alineados con esta “Política estratégica de seguridad”.
Una buena “Política de seguridad” debe:
Ser fácil de entender
Los documentos de
la
“Política
de
seguridad” deben poder ser
fácilmente comprendidos por quienes deban aplicarlos. Se debe
tratar de utilizar el lenguaje habitual de acuerdo al perfil del empleado
al que
esté
dirigido. Debe
ser clara
y evitar confusiones o
ambigüedades.
Ser Formal
Debe
estar
documentada
y
especificar
claramente
los
mecanismos por los que se protegerán a los sistemas y activos de
información
Ser obligatoria
En la medida de
lo posible, las reglas se deberán implementar
mediante herramientas tecnológicas de seguridad apropiadas. En
caso que
no sea tecnológicamente posible implementar medidas
preventivas, deberán especificarse las sanciones adecuadas.
Ser realizable
Debe
poder
ser
implementable
mediante
procedimientos
administrativos, publicaciones, guías de uso y tecnología apropiada.
Definir responsabilidades
Debe definir claramente las responsabilidades de los usuarios,
gerentes y administradores.
Ser proactiva
Tratar de “prevenir” a sancionar.
Ser flexible
Para
que
una
“Política
de
seguridad”
pueda
permanecer
en
el
mediano
plazo,
debe
ser
flexible
e
independiente
de
plataformas
de
Hardware y
Software
específicas,
ya
que
éstas
cambiarán
con
mucha frecuencia.
Estar alineada con los objetivos del negocio
La
“Política
de
seguridad”
debe
acompañar,
facilitar
y
proteger
a
la
organización y el negocio, y no convertirse en una “traba” para los
clientes y empleados.
Tener el compromiso de la Dirección
La “Política de seguridad”,
y
todo el sistema de gestión de seguridad
de la información, deben contar con el apoyo expreso de la
Dirección. La Dirección debe proporcionar los recursos humanos y
materiales necesarios.
Involucrar a toda la organización
La política de seguridad debe llegar a todos los
niveles de
una
organización.
Las
personas
involucradas
deben
conocer
el
origen
y
motivo de la
política,
de
manera que
la
perciban como necesaria y
positiva y no sólo como una serie de reglas a cumplir.
En base a la “Política estratégica de seguridad”, será necesario definir varios
documentos más específicos, o “Políticas específicas”. Cuando se escribe una de
estas políticas, se debe tener en cuenta:
Intención u objetivo: ¿Qué es lo que se protegerá?
Responsabilidades: ¿Quién es el responsable?
Alcance: ¿Qué áreas están afectadas?
Monitoreo: ¿Cómo se realizará el seguimiento y monitoreo?
Aplicablidad: ¿Cuándo será aplicable?
¿Por qué fue desarrollada?
Debe estar redactado en un lenguaje comúnmente usado y entendido por el
personal de la empresa
No existe una estructura de documentos preestablecida y aplicable a todos los
casos. Diferentes organismos han detallado en
mayor o menor
medida diversos
tipos de documentos o componentes que debe
tener
una buena política de
seguridad o sistema de gestión de seguridad (ISMS, tal como lo define la ISO
17799:2000)
En particular, el
RFC-2196 establece
una serie de componentes que deberían ser
incluidos en las políticas de seguridad. A continuación se detallan los mismos:
Guías de compras de tecnología de la información ²
Especifica funciones de seguridad requeridas o preferidas. Estas
políticas deben complementar cualquier otra política de compra de
la
organización.
Política de privacidad
Establece las expectativas razonables de privacidad acerca de temas
como el monitoreo de correos electrónicos, acceso a archivos de
usuarios
y
registro
de
teclados.
Podría
incluir
también
políticas
acerca de registro, escucha
y
control de
llamadas
telefónicas, control
de accesos a sitios web, uso de herramientas de mensajería
instantánea, etc.
Política de acceso
2
El RFC
2196
menciona
“Computer
Technology Purchasing
Guidelines”,
o
sea “Guías
de
compra
de tecnología informática”.
Se
ha
cambiado
en
este texto “tecnología informática”
por “tecnología
de la información”, término
más amplio que
el anterior,
alineado con la filosofía de la ISO
17799:2000
Portal para Investigadores y Profesionales
