Por Jason Bramwell
El IRS ha hecho importantes avances en la expansión de su entorno virtual, pero es necesario prestar más atención para garantizar que las configuraciones de sus servidores virtuales sean seguras, según un informe publicado el 18 de noviembre por el Inspector General del Tesoro para la Administración Tributaria (TIGTA).
La virtualización de servidores es una tecnología que permite que varios servidores virtuales se ejecuten en un host o servidor físico. La conversión de los servidores físicos en servidores virtuales mejora la utilización del hardware, ahorra electricidad y reduce los costos de reemplazo del servidor. Las vulnerabilidades de la infraestructura virtual podrían poner los datos de los contribuyentes en riesgo de divulgación no autorizada o de pérdida.
El objetivo del TIGTA para su informe, Automated Monitoring Is Needed for the Virtual Infrastructure to Ensure Secure Configurations , era determinar si el entorno virtual del IRS es seguro.
«El IRS desarrolló una política integral que define los controles de seguridad mínimos necesarios para salvaguardar su entorno virtual. El propósito de la política es proteger su infraestructura crítica y sus activos contra los ataques que explotan la virtualización e impedir el acceso no autorizado a los sistemas de información del IRS alojados en el entorno virtual», declaró el TIGTA en el informe. «El IRS ha tenido éxito en sus continuos esfuerzos por ampliar su entorno virtual. Como resultado, el IRS ha mejorado la eficiencia de los servidores y ha logrado ahorros en los costos. Sin embargo, a medida que el IRS continúa en este camino y se mantienen más datos del IRS en su entorno virtual, el IRS debe permanecer vigilante en lo que respecta a la seguridad virtual».
Aunque el IRS ha establecido procesos para supervisar su infraestructura virtual, el TIGTA descubrió que los ajustes de configuración de seguridad en los hosts no estaban de acuerdo con la política del IRS.
El TIGTA analizó dieciséis huéspedes y encontró que doce (43 por ciento) de los veintiocho controles de seguridad requeridos fallaron en tres o más huéspedes. Además, diez (63%) de los dieciséis huéspedes no pasaron un total de cuarenta y ocho parches de seguridad. Además, los registros de auditoría de los huéspedes no se recogieron y revisaron como exige la política del IRS.
«La política del IRS exige la creación, protección y conservación de los registros de auditoría de los sistemas de información en la medida necesaria para permitir la vigilancia, el análisis, la investigación y la notificación de las actividades ilegales, no autorizadas o inapropiadas de los sistemas de información. Los eventos auditables deben ser capturados para todos los sistemas del IRS», declaró el TIGTA en el informe.»Sin la adecuada captura y revisión de la actividad de los administradores, no se puede establecer la responsabilidad de las medidas adoptadas en los anfitriones, y la actividad no autorizada puede pasar desapercibida».
El TIGTA hizo las siguientes tres recomendaciones al Director de Tecnología del IRS, Terence Milholland:
- Implementar una herramienta automatizada para asegurar que la configuración de la herramienta de gestión centralizada del host y del Centro Virtual (vCenter) se mantenga en conformidad con las normas de configuración.
- Aplicar oportunamente parches a los huéspedes de acuerdo con la política del IRS.
- Implementar la recolección y revisión de los registros de auditoría en los anfitriones y vCentros de acuerdo con la política del IRS.
El IRS estuvo de acuerdo con todas las recomendaciones y planes del TIGTA de adquirir y/o desarrollar una herramienta automatizada, o adaptar la infraestructura de monitoreo existente, para reportar el cumplimiento del host virtual y el vCenter. Los parches también se aplicarán a los hosts de manera oportuna de acuerdo con la política del IRS. Además, el IRS desarrollará planes de auditoría e implementará la recolección y revisión de archivos de registro tanto para los hosts como para los vCenters.
«Confiamos en que nuestras prácticas rutinarias de apoyo a nuestro entorno de servidor virtual están proporcionando un entorno operativo sólido», escribió Milholland en respuesta al informe del TIGTA.
Artículos relacionados:
- El TIGTA quiere que el IRS mejore las evaluaciones de los riesgos de seguridad
- El TIGTA dice que los esfuerzos del IRS para el cumplimiento de los impuestos internacionales han tenido éxito