Auditoría Informática a una ONG

Auditoría Informática a una ONG

Introducción

No hace mucho estuve auditando la seguridad informática de una ONG, que no nombraré por motivos obvios, pero que sí me interesa destacar que además de aplicar escrupulosamente la norma ISO 27001 en la auditoría, éstas organizaciones por su especial carácter reivindicativo precisan de unas actuaciones específicas y de más profundidad en algunos aspectos de la norma y la seguridad de la información.

¿Qué es una ONG?

Hay varias definiciones a la hora de expresar qué es una ONG, pero en general todas coinciden en que una organización no gubernamental es una entidad de carácter civil con el objetivo de optimizar el bienestar público o social, con diferentes fines integrantes, creada independientemente de los gobiernos ya sea locales, regionales o nacionales, así como también de organismos internacionales.

Riesgos

Naturalmente, y debido a su naturaleza, una ONG tiene muchos y muy poderosos enemigos. Recientemente (marzo de 2013) se ha publicado en un informe denominado “Los enemigos de Internet” a países, organizaciones, e incluso personas físicas, que contratan empresas que se dedican exclusivamente a vigilar Internet: escuchas a gran escala para vigilar la red en su conjunto y “spywares”.

Estos “spywares” se utilizan para espiar el contenido de discos duros, recuperar contraseñas, acceder al contenido de mensajes electrónicos o espiar comunicaciones de VOIP. Pueden ser instalados directamente en los ordenadores, o por la red de Internet, a través de falsas actualizaciones o de archivos adjuntos en un correo electrónico, sin que el usuario se dé cuenta. El uso civil de este tipo de programas está limitado, pero algunas empresas proveen directamente de ellos a actores estatales o privados, como servicios secretos y servicios de seguridad. Otros no dudan en hacer publicidad de sus capacidades para vigilar a oponentes políticos y los regímenes autoritarios utilizan este sistema para espiar a periodistas, sus fuentes, y evidentemente atacar las ONG.

Recomendaciones

La organización, debido a la confidencialidad de la información que maneja y el riesgo que corre de ser atacada incluso por los gobiernos de determinados países incluidos en el informe antes mencionado, debe disponer de un firewall a la entrada de su conexión a Internet con las siguientes características:

  • Capacidad para registrar IP entrantes y salientes, así como sus protocolos y puertos, dejando una traza consultable por el usuario.
  • Bloqueo de puertos desde dentro de manera que únicamente las IP y protocolos que se vean convenientes puedan salir (ejemplo envio de email desde sus ordenadores hacia fuera).
  • Actualizaciones de firmware y patrones de virus automática.
  • Detección y bloqueo de malware entrante o saliente.

El usuario de manera sencilla debe recibir alertas de ataques o entradas no deseadas así como disponer de una herramienta para consultar este listado de manera sencilla.

Es necesario homogeneizar los equipos seleccionando un antivirus concreto y mantener su configuración actualizada automáticamente. Es interesante que se active tanto el antivirus, spyware como seguridad de acceso a Internet y correo.

En cuanto al correo electrónico, hay que asegurar las conexiones entrantes y salientes utilizando seguridad SSL/TLS con autenticación IMAP/POP3/SMTP en todos los clientes de correo (incluido movilidad).

El uso de documentos con alta privacidad, la necesidad de control de quién accede a qué, quién lo modifica, etc… provoca que sea muy recomendable el uso de una potente gestión documental.

Dado que los ordenadores de una ONG pueden estar, como muchos otros, afectados por bots o spyware que no detectan los antivirus habituales, sería muy interesante pasar un detector de este malware periódicamente.

Es igualmente necesario que las ONG, al objeto de que puedan compartir y albergar sus documentos, y estos no sufran ninguna pérdida por un ataque (además del sistema de gestión documental que está más orientado a compartir con la red de colaboradores), es obligatorio que periódicamente se haga una copia del contenido de esa gestión documental en un disco o ftp ajeno a la red. También hay que realizar copias de seguridad periódicas del correo electrónico en los medios anteriormente citados.