SEGURIDAD EN SERVICIOS FEDERALES

Dentro de las organizaciones federales, el uso de medios informativos va

web est avanzando y tomando apogeo de una manera muy rpida en los tiempos
actuales. Estas prcticas son motivo de avances y oportunidades hacia las
personas que consultan estas pginas pero a la vez llega con una infinidad de
riesgos integrados.
Como bien se menciona al tomar la decisin de implementar la tecnologa
de medios sociales, es tomada basndose en el riesgo y no en la tecnologa como
tal. Estas implementaciones deben ejecutarse teniendo en cuenta el tamao del
proceso, las amenazas, capacidades tcnicas de las reas y lo posibles beneficios
que retribuirn a la organizacin.
Al tratarse de recursos del gobierno o federales, estos servicios y
programas web son los ms propensos a ataques, es por esto que el rea de
seguridad deben enfocarse en un programa de gestin de riesgos, en las cuales
se deben incluir los riesgos a los elementos humanos, a la organizacin y a la
infraestructura federal.
La mitigacin de los riesgos en los portales pblicos y privados federales,
deben esta acatados por polticas relacionadas a la mayora de las tecnologas ya
que al ir estas evolucionando contantemente, se hace mas extensa la brecha de
seguridad da con da, es por esto, que stas deben estar centradas en el uso y
comportamiento de los usuarios tanto de manera personal como profesional,
ayudando as a mantener la triada de la seguridad de la informacin:
Confidencialidad, Integridad y Disponibilidad.
Hoy en da mucha de la informacin de los pases, est contenida en la
famosa nube, este tipo de tecnologas es reconocido por que la informacin est
disponible en cualquier punto del planeta y en cualquier dispositivo, es por esto
que se deben de implementar controles de seguridad adicionales en estos
alojamientos externos.
En enero de 2009 el presidente Norteamericano Barack Obama firm un
memorndum de transparencia y gobierno abierto, con la cuales se dio pauta al
uso de tecnologas de medios sociales para interactuar con el pblico. Vivek
Kundra menciona que estas son la base para aprovechar la cantidad de
conocimientos que existen en las comunidades de Estados Unidos. Para esto
desarrollo un plan que menciona cinco puntos esenciales para la agenda de la
administracin.
Gobierno abierto y transparente
Reduccin de costos en el gobierno
Ciberseguridad
Democracia participativa
Innovacin.
Para este escrito se bas esencialmente en la ciberseguridad, sugiere la
creacin de polticas para el gobierno federal ante los medios sociales, esto como
en las organizaciones privadas, pretende reeducar a los funcionarios pblicos de
alta direccin.
Como el uso de los medios sociales es mas de uso comn de los
funcionarios, su utilizacin no debe ser una decisin tomada nicamente por el
rea de TI sino ser gestionado a travs de un proceso de gestin de riesgos, ya
que su uso o no, debe ser un proceso de toma de decisin basado en riesgos.
En otro caso, investigadores de la Universidad de la Defensa Nacional,
mencionan que los medios sociales son el software social, estas conectan
bsicamente a las personas con la informacin.
Estos manejan cuatro casos de uso de los medios sociales.
Inward Sharing: permite que la informacin de Gobierno Federal sea
compartida con grupos externos, como los gobiernos estatales y
locales, polica, organizaciones privadas y poblacin. Esto es
conocido como intercambio interinstitucional.
Outward Sharing: los sitios web pblicos como LinkedIn que son
ocupados para facilitar la comparticin de la informacin.
Inbound Sharing: puede ser utilizado para adquirir informacin de la
poblacin, estas son asemejadas a encuestas participativas.
Outbound Sharing: sitios web pblicos de medios sociales
comerciales que permiten externar informacin, ejemplos claros son
el Facebook o Twitter.
Actualmente, existen leyes de seguridad, polticas y directrices para los
sistemas de informacin federales, como son el NIST, DOD, OMG GAO y el DHS.
Es por esto, que el uso de medios sociales para la comunicacin de informacin
federal y la seguridad ciberntica involucra no solo a amenazas conocidas sino
tambin a vulnerabilidades por descubrir, los cuales requieren controles
actualizados para su mitigacin.
Como se mencion anteriormente, los sitios federales son los mas atacados
en la web, es por esto que se deben de conocer los principales ataque a los que
los usuarios pueden ser propensos.
Pishing: es un ataque que se dirige a un usuario o grupo de usuarios
en particular, el mtodo es que el usuario obtiene un archivo o un enlace
el cual contiene cdigo malicioso. Estos tipos de archivos se obtiene en
la piratera o en los medios sociales.
Ingeniera social: con el uso de los medios sociales, existe dentro de
la red infinidad de informacin relacionada a las personas an ms si
estas son personalidades pblicas, el primer paso de cualquier ataque de
ingeniera social es recoger informacin sobre el objetivo del atacante,
para los cuales usan comnmente las redes sociales.
Ataques a aplicaciones web: como las aplicaciones web son pginas
dinmicas, las cuales interactan con un servidor, contienen cientos de
comandos para comunicarse con ellos. Este tipo de ataques puede
utilizar los medios sociales para ingresar a los equipos de los usuarios e
instalar desde un programa espa hasta el control total del equipo. Existe
el OWASP que es una gua para la implementacin de seguridad en
aplicaciones web. Al ser tomada una cuenta de medio social del ndole
federal puede ocasionar desde mensajes no oficiales hasta la guerra.
Dentro del escrito se generan recomendaciones y estrategias para los
departamentos federales, agencias y diseadores de polticas y as reducir el
riesgo de ataque.
Controles de directivas: Cada funcionario dentro de los
departamentos debe de general las polticas para la comunicacin en
los medios sociales ayudado ampliamente por la oficina de
comunicaciones. Concientizar a sus empleados para el uso correcto
y el tipo de publicaciones que se deben permitir.
Control de adquisiciones: como los medios sociales son en su
mayora de terceros, los gobiernos federales deber de implementar
una gestin de riesgos, mitigacin y aceptacin de riesgos residual.
Las agencias federales deberan requerir controles de seguridad y
privacidad mejoradas a travs de los servicios de medios sociales
contratados. Algunos ejemplos pueden ser, autenticacin encriptada,
validaciones de entrada, gestin de cookies, permitir que un SOC
federal operado o contratado para supervisar de forma independiente
las operaciones de seguridad y de red, asegrese de que el
hardware y software de produccin utilicen la ltima versin del
software o bien no inferior de una versin anterior, entre otras.
Controles de formacin: como ya se sabe, los usuarios finales son
siempre el eslabn ms dbil de la cadena, es por esto que se debe
de generar un poltica de formacin que concientice a stos de las
mejores prcticas para el uso de informacin en los medios sociales,
as como una formacin peridica para defenderse ante la ingeniera
social.
Controles de red: existen infinidad de proveedores que brindan
seguridad en tecnologas de red, pero cabe mencionar que ninguna
proporciona el 100% de seguridad, es por eso que se deben de
integrar diferentes controles de red como pueden ser, tecnologa de
filtrado, inspeccin de paquetes, servidores proxy, firewalls, sistemas
de prevencin de intrusos (IPS), entre otros
o Un SOC / NOC, proporciona permite centralizar, localizar y
responder a las amenazas que pueden ser introducidas por
medio de las redes sociales.
Controles de HOST: Como todo lo anterior, el contar con un
alojamiento seguro es esencial para los gobiernos federales. Muchos
de estos controles de proteccin de punto final implementan diversas
directrices como son FISMA, NIST y OMB, y tambin proporcionan
protecciones que salvaguardan especficamente contra los ataques
de los medios de comunicacin sociales. El Common Operating
Environment (COE) se asegurar de polticas de configuracin de
host coherente y global y de endurecimiento en todo el Gobierno
Federal. Los anfitriones pueden configurar utilizando el Federal
Desktop Core Configuration (FDCC), y validados a travs de un
Content Security Automation Protocol (SCAP) como escner
compatible.
o Las agencias federales deben asegurarse de tener actualizados
los parches para el sistema operativo y las vulnerabilidades de las
aplicaciones, y que la actualizacin de archivos de firmas de los
antivirus y el registro de sistema est habilitado para informar al
SOC en estaciones de trabajo en tiempo real.
o El uso de las tecnologas de virtualizacin de escritorio permite a
los usuarios ver sitios web potencialmente maliciosos en una
"caja de arena" que salvaguarda el resto del sistema operativo
host frente a los ataques de compromiso contra el sistema
operativo.
o Actualizar a la ltima versin del navegador para los usuarios
autorizados para el uso de los medios sociales. Navegadores
ms modernos utilizan tecnologas anti-phishing adicionales
diseadas para proteger contra los ataques de uso comn en los
sitios web de medios sociales.