Cinco pasos básicos para proteger el oro del siglo XXI: la información

7 November, 2012

Por Pablo Corona

Hace un par de semanas estuve en un evento donde alguien me comentaba que era caro y complicado implementar estrategias de seguridad para computadoras personales o de micro empresas debido a la sofisticación de las herramientas que se requieren para tal efecto.

Tratando de desmentir este sentir, voy a describirles paso a paso las herramientas y procedimientos que realizo en mi propio equipo para asegurar la información —que ya está por demás decir que es muy valiosa y un activo muy importante— tanto de nuestras organizaciones como de nuestro desarrollo personal y profesional como individuos.

Como me es inevitable dar un poco de contexto voy a definir rápidamente qué significa asegurar la información. La seguridad consta de tres elementos centrales: confidencialidad significa que queremos asegurar que la información no será accedida sin autorización, integridad se refiere a asegurar que los archivos no serán alterados ni eliminados sin autorización y disponibilidad, que podamos hacer uso de los datos cuando los necesitemos.

Confidencialidad	–                Cifrado
Integridad	–                Respaldos
Disponibilidad	–                Redundancia

Paso 0. Orden

Antes de iniciar con la seguridad, sería bueno que podamos tener toda nuestra información ordenada de forma que sea fácil encontrarla. Para ello lo más común es que hagamos carpetas por proyecto, cliente, año, evento o alguna otra referencia que nos ayude a identificarla fácilmente. Sin ahondar en el tema, procuren tener su información dentro de una sola carpeta que contenga todas las sub carpetas y sub-sub carpetas que necesiten, pero en un sólo lugar. La idea es evitar que los datos estén esparcidos por todo el disco duro: en el Escritorio, en Documentos, algunos más en el directorio raíz o peor aún “quien sabe donde”. Si como usuarios, el Escritorio se les hace un buen lugar para poder acceder rápido a los archivos usen accesos directos.

Paso 1. Diseño de la estrategia

Aunque a muchos no les gusta la planeación, la verdad es que no podemos hablar de una estrategia sin hacer un poco de análisis, pero eso no significa que el análisis deba ser complejo o tardado basta con hacernos unas sencillas preguntas:

¿Qué información me interesa asegurar? si el Paso 0 está cubierto podríamos decir fácilmente que es toda la carpeta que hayamos decidido utilizar como base, por ejemplo “Mis Documentos” en Windows o “Documentos” en Mac OS X.

Nota 1: Tanto Windows 7, Linux y Mac OS X utilizan un directorio base para cada usuario y dentro de éste hay carpetas para Documentos, Imágenes, Descargas, Música, etcétera.

Utilizaré estos cuatro ejemplos para entender que existirá información que no es necesario asegurar y otra que sí. Definitivamente los datos dentro de la carpeta de Documentos debieran ser asegurados, pues son de nuestra autoría. El caso de las Imágenes es similar, pues lo más probable es que sean fotografías tomadas por nosotros. Sin embargo, el caso de Música es distinto porque seguramente se trata de archivos de audio que hemos descargado de algún servicio en línea donde podemos volver a descargarla, si llegamos a perderla, o proviene de respaldos que hemos hecho de material en CD y el cual podemos volver a realizar. Así mismo los archivos en la carpeta de Descargas provienen de Internet y por lo tanto pueden ser recuperados.

Con estos pasos cubiertos lo siguiente a realizar es:

1)    Identificar qué información de la anterior es pública y a cual podemos tener acceso fácil y rápido. Por ejemplo presentaciones que están a disposición de clientes, portafolios de servicios, catálogos, calendarios, etcétera. Hagamos una carpeta para esta información y separémosla, aquí aplicamos los tres principios de seguridad, los archivos que sean públicos debe asegurarse más desde el punto de vista de integridad y disponibilidad, la confidencialidad no es importante para esa información. La redundancia nos ayuda a tener aquellos datos públicos a la mano, por lo que el uso de memorias flash y servicios de almacenamiento en la nube como Dropbox y Google Drive caen como anillo al dedo.

2)    Identificar qué información contiene los “secretos” de negocio, nuestro “know-how” o datos sensibles como presupuestos, ingresos, salarios de empleados, contratos con proveedores, planes de negocio, entre otros. Esos datos deberán ser asegurados desde el punto de vista de la confidencialidad y la integridad, aunque se vea demeritada la disponibilidad. El cifrado de esta información y su respaldo constante nos ayuda mucho.

3)    Hagamos un poco de historia e identifiquemos cuáles son los datos  que realmente necesitamos mantener como “archivos “vivos” porque los utilizaremos con bastante frecuencia y cuáles podemos marcar como “archivos muertos”, pues su uso no será tan común y únicamente los respaldaremos para consultas en el futuro. ¿Para qué queremos hacer esta separación? Una vez más vamos a los principios de seguridad, en este caso la disponibilidad es poco importante (no por ello quiere decir que sea eliminada o no nos interese) pero tal vez podemos almacenar esta información en algún dispositivo extraíble, cifrado y que puede residir en nuestra casa u oficina.

Paso 2. Cifrado

El cifrado es un proceso mediante el que protegemos la información a través de algoritmos, que utilizan métodos para que la información se almacene en archivos o medios que sólo puedan ser legibles si se cuenta con la llave adecuada. Existen muchas herramientas y métodos de cifrado, no quiero entrar en detalles sobre cada uno o cuál es mejor, únicamente basta decir que entre más “larga” sea la llave, más difícil será forzar la cerradura para abrirla sin permiso.

Voy a dar tres opciones dependiendo del sistema que utilicen.

La primera es para aquellos que tengan las versiones Utimate y Enterprise de Windows. Esas versiones tienen una aplicación llamada bitlocker, que permite cifrar el disco completo, algunos archivos o unidades externas. Podemos encontrar un tutorial bastante completo aquí o escaneando el código QR de esta página.

La segunda es también para Windows, es gratuita lo que la hace muy accesible y utiliza algoritmos de cifrado mundialmente reconocidos y probados. Además corre sobre Windows, Linux y Mac OS X. Esta opción es la que yo utilizo y les recomiendo que usen cifrado Twofish – AES -Serpent con SHA-512. Existen varias opciones pero les recomiendo dos cosas. Uno, si son paranoicos como yo, hagan un cifrado completo de la partición o unidad del sistema operativo, esto reforzará la seguridad de toda la información del equipo de forma que si lo pierden o se los roban no podrán tener acceso a ningún archivo, configuración o aplicaciones de correo de su equipo. La segunda es que cifren los discos externos donde almacenan la información sensible o hagan volúmenes cifrados aun dentro de la unidad ya cifrada. La aplicación que recomiendo en cuestión pueden descargarla de la siguiente liga o también escaneando el  código QR.

 De igual forma,  los usuarios más novatos pueden encontrar un tutorial de cómo usarlo aquí.

 Para seguir con la paranoia, en mi caso tengo un disco duro externo que tiene toda mi información privada y una memoria USB con la información pública. El disco duro está también cifrado con Truecrypt y en el almaceno la información más sensible, de forma que en el equipo portátil no existe este tipo de información. También puede servir como respaldo (cifrado) de la información que es más importante (hablaremos sobre los respaldos en otro paso). Si requieren separar información personal y del trabajo podrían hacer varios volúmenes de cifrado.

Paso 3. Respaldo

Una vez que hemos asegurado la información confidencial y ha sido apropiadamente cifrada procederemos a establecer acciones para respaldarla. Antes que nada, quiero recordarles que copiar los archivos a otra carpeta dentro del mismo disco duro en ninguna parte del planeta se considera como un respaldo. Recordemos que el respaldo nos ayuda en caso de que perdamos la información, la alteremos, borremos por error o se dañe el medio de almacenamiento. En este último caso, si el “respaldo” está en le mismo medio, de nada sirve. Como decía antes un respaldo no es sólo una copia de nuestros datos, pues necesitamos identificar los archivos que han cambiado desde el último respaldo y por cuánto tiempo necesitamos mantenerlos. La siguiente tabla nos ayudará a dejarlo más claro este paso:

Respaldo	Archivos en respaldo	Archive bit	Ventajas	Desventajas
Completo (“Full”)	Todos	Eliminado en todos los archivos	Con este respaldo únicamente es posible recuperar toda la información	Tiempo de Ejecución
De Incremento (“Incremental”)	Archivos con archive bit activo.(Aquellos que hayan cambiado desde el último Respaldo Completo)	Eliminado en los archivos que se respaldan	Velocidad	Requiere del último respaldo completo y de todos los respaldos de incremento que le siguieron para recuperar el sistema
Diferencial (“Differential”)	Archivos con archive bit activo.(Aquellos que hayan cambiado desde el último Respaldo Completo)	Intacto	Sólo requiere del último Respaldo Completo y del último respaldo Diferencial	Ocupa mayor espacio en discos comparado con Respaldos de Incremento

• Nota 2> El archive bit es una marca que se utiliza para saber qué archivos han sufrido cambios.

Pensemos en el caso en que un archivo importante está respaldado, podemos estar tranquilos de que en caso de perderlo podremos recuperarlo, ¿Pero qué

Para Windows

pasa si llega la fecha del nuevo respaldo, sustituimos el archivo modificado y posteriormente nos damos cuenta que hubo un error

Para Mac OS X

en alguna actualización que hicimos y necesitamos regresar a una versión anterior del documento, pero si vamos al respaldo encontramos la misma versión modificada con los datos erróneos? Para ello necesitaríamos un respaldo del respaldo, al cual llamaremos respaldo abuelo, el cual deberá ser ejecutado a una periodicidad menor para poder ser usado en casos como el que mencionamos. Por lo mismo, es conveniente por lo menos tener dos respaldos, cuya frecuencia dependerá de qué tan rápido cambie nuestra información, pero para el caso genérico podríamos tener uno semanal (padre) y uno mensual (abuelo). Para ejecutar este paso recomiendo activar los mecanismos de control de versiones en Windows o en Time Machine de Mac OS X.  Si ustedes son igual de flojos que yo, entenderán que es una monserga acordarse de respaldar los archivos, recordar cuáles ya respaldamos o cuáles no han sufrido cambios. Para nuestra fortuna existen varias formas de automatizarlo, para ello les recomiendo revisar si su suite de antivirus tiene una aplicación de respaldo, de lo contrario, les sugiero lo siguiente:

Como las herramientas de respaldo que existen no funcionan exactamente como yo quiero, decidí ensamblar una con diferentes componentes el primero de ellos es un programa gratuito de Windows llamado SyncToy.

Esta aplicación permite sincronizar el contenido de dos carpetas, por lo que en combinación con un volumen cifrado de TrueCrypt podemos hacer un respaldo encriptado que sincronice solamente los archivos que han cambiado. Así automatizamos la primera parte del respaldo padre. Si utilizamos dos medios de almacenamiento —en mi caso tengo un par de discos externos, uno en la oficina que sincronizo cada semana y otro en casa que sincronizo cada mes—, SyncToy pueden crear una nueva tarea de sincronización, eligiendo qué carpetas quieren respaldar y cuál será tomada como base en caso de conflictos y apuntar con un acceso directo en el escritorio a ella para ejecutarlo cada vez que necesiten. Para el caso de Mac OS X, hay varias alternativas parecidas, pero no identifiqué una gratuita que haga lo mismo, la más similar es ChronoSync. Aunque Time Machine ya por sí solo hace muchas de estas funcionalidades: cifrado, programación de respaldos, detección de conexión de un disco externo para iniciar el respaldo, etcétera.

 

Un par de recomendaciones más:

1) Si como dije, son flojos como yo y tienen Windows, que no  tienen la opción de ejecutar el respaldo de Restaurar el Sistema (equivalente al Time Machine de Mac OS X) en una unidad externa específica, no querrán estar realizando la tarea de sincronización manualmente, así que me puse a investigar y encontré una herramienta para Windows, que aunque es de paga tiene una versión de prueba de 30 días. Creo que vale cada centavo y me ha facilitado la vida mucho, pues independientemente de su funcionalidad principal que indica su nombre, permite asociar una letra de unidad fija y ejecutar un programa específico cuando se conecta una memoria o disco, identificándolo por su número de serie/modelo. De forma que únicamente se ejecutará cuando se conecte el disco con el que queremos sincronizar. La configuración es medio truculenta, así que trataré de explicarla rápidamente:

a)    Una vez instalado, al conectar un dispositivo parecerá un ícono en la barra de estado de Windows (abajo a la derecha, si no aparece dar clic en la flecha que apunta hacia arriba para ver todos los íconos ocultos), es una flecha verde que apunta hacia abajo a la izquierda.

b)    Al pasar el mouse encima (sin dar clic) aparece la lista de dispositivos conectados, buscar el medio de almacenamiento que queremos utilizar para ejecutar la tareas automáticamente cuando se conecte, dar clic derecho y luego elegir Device Properties.

c)     Aparecerá una ventana que nos muestra el nombre del dispositivo que elegimos, damos clic en la pestaña de Auto Run y en el signo de “+” agregamos un proceso a la lista de ejecución, para montar el volumen de TrueCrypt podemos usar el comando “C:\Program Files\TrueCrypt\TrueCrypt.exe” /v {RUTA_DEL_ARCHIVO_CIFRADO_EN LA UNIDAD_EXTRAIBLE}

d)    Podemos introducir la contraseña desde el comando anterior con el modificador /p, pero no es muy seguro pues cualquiera con acceso a nuestro equipo puede conocerla.

e)    Agreguemos otro nuevo proceso con el signo “+” y ejecutemos la tarea de sincronización de SyncToy

Con estos pasos habremos automatizado la ejecución de nuestros respaldos utilizando volúmenes cifrados a un precio bastante accesible.

2) Usar volúmenes cifrados sobre los servicios de almacenamiento en la nube. Seguramente habrán escuchado de algunas filtraciones de archivos almacenados en la nube (servicios como Dropbox y Google Drive). Como ya mencioné no es lo mejor almacenar archivos con confidencialidad alta en estos lugares, pero si nos es importante hacerlo, podemos crear un volumen cifrado dentro de este almacenamiento. De forma que para acceder a los archivos, además de hacer uso de nuestro usuario y contraseña del servicio en cuestión, deberemos contar con la llave del volumen cifrado.

Paso 4. Consistencia

De poco sirven los pasos anteriores si no somos disciplinados y consistentes en la estrategia, así que no olviden generar las tareas de sincronización o hacerlo manualmente según la temporalidad que haya decidido para sus respaldos padre y abuelo. Mantengan actualizado su antivirus (si no tienen uno consigan uno, el precio no debe ser problema, hay varias opciones muy buenas) y tengan cuidado al conectar memorias flash o discos externos. Procuren no dejar la información “botada” en el escritorio o carpetas sueltas, ordenen todo en el sistema de carpetas diseñado en el Paso 0. Revisen frecuentemente las memorias USB que utilizan para eliminar los archivos que ya no requieren portar o que son sensibles y que por alguna razón llegaron ahí. Por último pero no menos importante (seguramente después les platicaré de ello) no olviden respaldar sus dispositivos móviles y protegerlos con contraseña. Es muy sencillo, todos los smartphones y hasta los celulares más básicos tienen alguna aplicación del fabricante para sincronizarlos con la PC o hacer respaldos. Es un verdadero dolor de cabeza perder contactos, citas, notas, etcétera.

Fuente: b:Secure