SlideShare una empresa de Scribd logo

Ser Compliance - Magazcitum año 5, numero4, pág 16

Fabián Descalzo
Fabián Descalzo

Artículo publicado en la Revista Magazcitum, magazine para los profesionales de la seguridad de IT. (http://www.magazcitum.com.mx)

Tecnología
1 de 32
Descargar para leer sin conexión
¿Sabías que es el único Centro de Entrenamiento autorizado en México? Por lo que ahora puedes: 1.- Tomar el Seminario Oficial CISSP de (ISC)2 del 13 al 17 de abril de 2015, en Scitum a un precio de US$1,900.00 más IVA (precio regular en E.E.U.U.: $2,599.00). 2.- Presentar el examen de certificación con costo de US$599.00 a través de uno de los centros autorizados. Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: capacitacion-isc2@scitum.com.mx La fecha límite de inscripciones es el 30 de marzo de 2015.
32014 - 2015 contenido » opinión »editorial 6 Gobierno del Ciber-riesgo 16 Ser "compliance" o pagar más 20 Las cosas de la vida y el Internet de las cosas: nuevos retos para la seguridad 10 Ciberseguridad:¿Verdaderamente estamos en un escenario más riesgoso? 4 Editorial Héctor Acevedo Juárez Manolo Palao Fabián Descalzo Esteban San Román Marcos Polanco Velasco »conexiones ¿Windows guarda mi contraseña en texto plano? 14 10 6 4Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Víctor David Casares Fabián Descalzo Imelda Flores Monterrosas Manolo Palao Marcos Polanco Velasco Esteban San Román Canseco Eduardo P. Sánchez Díaz Marketing y Producción Karla Trejo Cerrillo Sofía Méndez Aguilar Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 6, número 1, 2015 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F x. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx 17AÑO 6, NÚMERO 1, 2015 14 Conexiones 24 En el pensar de... La respuesta a incidentes en la época de amenazas avanzadas (primera parte) Eduardo P. Sánchez Díaz 28 Tips Habilidades tradicionales vs malware Víctor David Casares Imelda Flores »
4 editorial Mucho se habla en todas partes del Internet de las cosas (IoT por sus siglas en inglés), que promete conectar casi cualquier aparato a la red, buscando el tan largamente acariciado sueño de un mundo interconectado con la presencia casi ubicua de Internet. Aunque sin duda tendremos múltiples ventajas y oportunidades a partir del IoT, también es cierto que se multiplicarán las vulnerabilidades y amenazas al aumentar la “superficie de contacto” del ciberespacio, lo que nos lleva a un nuevo paradigma de seguridad: la ciberseguridad. ¿Y qué cambia entre lo que ya empieza a conocerse como “seguridad tradicional” y ciberseguridad? Creo que puede resumirse así: en el modelo anterior se busca evitar a toda costa un incidente de seguridad, mientras que en el nuevo paradigma damos por hecho que este va a ocurrir y por ello tenemos todo un ciberecosistema de gente, procesos y tecnología (con recursos propios y asociaciones con otras entidades) que trabaja constantemente para evitar afectaciones a la seguridad de la información pero, y aquí el cambio importante, está mejor preparado para contrarrestar sus efectos cuando se materialice el riesgo. Así pues, dada la relevancia del tema, a partir de esta edición hemos incluido una nueva sección llamada Ciberseguridad, en la que nuestros colaboradores estarán escribiendo sobre el tema. Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Ciberseguridad e Internet de las cosas CISSP, CISA, CGEIT, ITIL y MCSE hacevedoj@scitum.com.mx Héctor Acevedo Atentamente Héctor Acevedo Juárez Editor en jefe
6 Gobierno del Ciber-riesgo Manolo Palao En el iTTi (Innovation & Technology Trends Institute) prestamos atención preferente al gobiernodelastecnologías(sobretodoinformáticas)porquientiene,enlasempresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración1 . ‘Gobierno corporativo de las TI’ (GCTI)… «… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI”. … es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el por qué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”. El Consejo de Administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados… … conlleva dos ámbitos principales -a veces antagónicos: el rendimiento [desempeño] y la conformidad…»2 . mpalao@ittrendsinstitute.org opinión Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo. Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD3 ) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo4 . Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba. Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.). Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo5 :
72014 - 2015 1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8). 2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros. El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11). 3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”. Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12). 4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)6,7 , que puede resumirse en: »» Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-. »» Crear un equipo con participación de todas las partes interesadas. »» Celebrar reuniones periódicas e informar al Consejo. »» Establecer una estrategia y un plan de gestión del ciber- riesgo de ámbito empresarial. »» Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal. Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas8 del NIST–que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones.
8 5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques. Propone que se debatan, al menos, las cuestiones siguientes: »» ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan? »» ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos? »» ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos? »» ¿Cómo debiéramos evaluar el impacto de los cibereventos? Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital…” (NACD 2014, p.9). Llegados a este punto, tenemos unas preguntas para usted, estimado lector. No es necesario que nos las conteste, respóndaselas usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta, un poco más amplia, que encontrará en la versión en línea de este artículo (www.magazcitum.com.mx): ¿Le parecen esos 5 principios … … razonables? … muy incompletos y que requieren de otros muchos? … abstractos y por tanto inaplicables? ¿En la empresa de usted se aplican … … plenamente? … en gran medida? … muy poco? … bastante, pero no es el Consejo/Junta quien lo hace, sino la Dirección Ejecutiva/ Gerencia? 1 Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director. 2 De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. 3 http://www.nacdonline.org/index.cfm. [Consulta 20140825]. 4 NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series 2014. http://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687. [Consulta 20140825]. 5 Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura. 6 http://www.isalliance.org/ [Consulta 20140826]. 7 ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20 Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826]. 8 NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf
ESTÁAPAGANDOLAINSPECCIÓNDELTRÁFICO ENCRIPTADOPARAMANTENERELRENDIMIENTO? Presentamos el más rápido que nunca TENEMOS UNA MEJOR IDEA El trá co encriptado se está expandiendo en todo el mundo. Es por eso que WatchGuard ha lanzado dos nuevos dispositivos de seguridad que ofrecen una velocidad sin precedentes: el y .Firebox M400 M500 De hecho, el M500 es 61% más rápido que la competencia con todos los niveles de seguridad encendido.Y 149% más rápido para una alta capacidad de inspección HTTPS.* Ahora usted tiene el poder de ampli car el rendimiento de la red sin sacri car la fortaleza de su Seguridad. Copyright © 2015WatchGuardTechnologies, Inc. All Rights Reserved * ReportTB141118, Miercom, 2014, http://bit.ly/1yBAXGV Nunca comprometa la Seguridad. Adquiera los nuevos Firebox. Llámenos al +52 55 5347 6 063 o escríbanos un email: LatinInfo@watchguard.com
10 Ciberseguridad: ¿Verdaderamente estamos en un escenario más riesgoso? Marcos Polanco Velasco CISSP, CISM y CISA mpolanco@scitum.com.mx Constantemente escuchamos acerca de los riesgos a los que estamos expuestos hoy en día en el ciberespacio y de la relevancia que está tomando la ciberseguridad, esto reforzado por diversas noticias sobre incidentes (hackeo, fugas de información, robos de identidad y otros ataques). El perfil de los atacantes ha cambiado y por consecuencia el panorama de amenazas. La pregunta es si este nuevo contexto en realidad implica un escenario de mayor riesgo para nuestras organizaciones. En este breve artículo pretendo explicar y ejemplificar por qué la respuesta, desde mi punto de vista, es un rotundo SÍ. Iniciemos recordando que la seguridad informática tiene que ver con la administración de riesgos, y que riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad ocasionando un impacto en la organización. De esta definición, podemos identificar los tres elementos clave del riesgo: amenaza, vulnerabilidad e impacto. Si no hay amenaza no hay riesgo; si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo; y aunque haya amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo. Ahora revisemos cada uno de los tres elementos con más detalle: Análisis de las amenazas El nivel de amenaza al que una organización está expuesta tiene que ver con las capacidades e intenciones de los ciberactores1 de perpetrar un ataque. Es muy importante entender quiénes son los atacantes relevantes para una organización específica, de acuerdo a su presencia geográfica, al sector al que se dedica y a los activos que maneja (transacciones financieras, sistemas de control industrial, infraestructura crítica para una nación, estrategias de seguridad nacional, propiedad intelectual, etc.). Al ser sobre todo grupos organizados de delincuentes o financiados por los gobiernos, e incluso los propios gobiernos, los que están detrás de la mayor parte de los incidentes recientes, es claro que los recursos con los que cuentan son abundantes, por lo tanto podemos decir que la capacidad de los atacantes es mayor ahora. En relación a su capacidad técnica, sabemos que hoy están empleando métodos mucho más complejos y nuevos vectores para lograr su objetivo. Dicha capacidad técnica se determina principalmente por: »» Los métodos que utilizan, es decir, las técnicas de evasión, infraestructura, tecnología y codificación de los artefactos o arsenal cibernético. »» Los recursos empleados, tales como gente experta, herramientas tecnológicas y entrenamiento. A continuación menciono algunos ejemplos que demuestran cómo la capacidad de los atacantes se ha incrementado: »» Dragonfly es una campaña dirigida a comprometer sistemas de control industrial. Utiliza tres componentes de malware conocidos como remote access tools (RAT) en tres vectores de ataques: 1) Spearphishing, 2) Water Hole attack, es decir, la infección de sitios de interés para las víctimas, de tal forma que redirecciona a los visitantes a otro sitio que contiene el kit de explotación, el cual posteriormente instala el RAT y 3) Trojanized software, modificación del software oficial de los sitios de actualización de las plataformas de sistemas de control con RAT para que cuando los sistemas realicen la descarga de dichas actualizaciones también se contaminen con el malware. »» En noviembre de 2014 Symantec dio a conocer su reporte acerca de un malware denominado Regin, software que está diseñado para múltiples propósitos de obtención de inteligencia de largo plazo, manteniéndose indetectable. Está dirigido a gobiernos, operadores de infraestructura crítica (energía, telecomunicaciones, salud y aerolíneas), pequeñas empresas, investigadores y personas. El nivel de complejidad de este malware es muy alto, ya que es modular y permite la carga de funciones y objetivos específicos "sobre la marcha" dependiendo de la víctima, lo que sugiere que la cantidad de recursos utilizados para su desarrollo fue muy grande. México representa 9% del total de infecciones detectadas hasta el momento. 1 Ver definición en Magazcitum, Año 5, número 3, “Estableciendo un lenguaje común en ciberseguridad”
112014 - 2015 Como muchas cosas en la vida, sin motivación no hay resultados, y en este caso entre mayor sea la motivación, mayor es la intención de atacar. Debemos analizar dos preguntas clave: »» ¿Qué motivación puede tener un ciberactor? Puede ser fama, reconocimiento, "clamar justicia", o buscar algún tipo de ganancia ya sea política, financiera, militar, estratégica, operativa, etcétera. »» ¿Qué es lo que el atacante quiere extraer? Información personal, propiedad intelectual, información sobre planes estratégicos, base de datos de clientes, datos de tarjetas de crédito, acceso a sistemas de control industrial (ICS), etcétera. La venta de información sensible robada a organizaciones es un negocio muy lucrativo para los grupos delincuenciales, de igual forma, el ciberespionaje para recolectar información de inteligencia y secretos militares es muy atractivo pues permite, finalmente, tener capacidades para realizar operativos de ciberataque. A continuación describo algunos ejemplos que muestran cómo la intención de los atacantes ha cambiado: »» El Syrian Electronic Army (SEA), grupo hacktivista supuestamente ligado con el régimen sirio, en 2013 atacó sitios Web externos y cuentas de redes sociales de diversas organizaciones con el propósito principal de elevar la conciencia sobre su causa política. Utilizó dos tácticas para obtener acceso a las organizaciones víctima: la primera fue enviar correos tipo phishing desde cuentas internas y el segundo fue comprometer organizaciones de proveedores de servicio para utilizarlas como vehículo para llegar a la organización víctima. »» La campaña Dragonfly, descrita anteriormente, tenía como víctimas potenciales diversas empresas del sector farmacéutico y el objetivo era robar propiedad intelectual, planes de producción, capacidades y volúmenes de producción de las plantas de manufactura. »» APT28 es el nombre dado por Mandiant a un grupo de ciberespionaje ruso, aparentemente patrocinado por el propio gobierno de Rusia que está recolectando información sobre temas de defensa y aspectos geopolíticos. Se han identificado tres temas alrededor de este grupo: El Cáucaso, en específico el gobierno de Georgia; gobiernos y entidades militares del este de Europa y organizaciones específicas de seguridad como la OTAN. Dentro de la lista de posibles objetivos de este grupo de espionaje se encuentran diversos gobiernos, entre ellos el de México. Análisis del impacto El impacto tiene que ver con los efectos que el incidente puede ocasionar en la organización y estos pueden ser vistos desde dos grandes ópticas: operativos y estratégicos. El primero tiene que ver con las actividades del día a día de la organización, debe ser preferentemente expresado en términos monetarios, pueden ser directos debido a la indisponibilidad o inaccesibilidad de los servicios del negocio (hacia usuarios internos/clientes), o a la contención, remediación y erradicación del mismo. También pueden ser indirectos, tales como la improductividad de la fuerza laboral durante el suceso; los efectos secundarios con las entidades relacionadas en la cadena de valor y de suministro, o a los accionistas. A continuación menciono algunos ejemplos que muestran cómo el impacto operativo de algunos de los incidentes recientes ha sido muy alto: »» Stuxnet es un malware especializado en sistemas SCADA (supervisory control and data acquisition) que utilizan ciertas versiones de Siemens, el cual, para realizar la infección y propagación, explotó diversas vulnerabilidades del sistema operativo Windows bajo el cual corren estos sistemas. Permite tomar el control remoto de los equipos infectados; el vector de infección fue por medio de un USB, aprovechando una vulnerabilidad del "autorun" y directorios compartidos sin protección. Se identificó que los objetivos fueron plantas de energía y gas, principalmente en Irán, con la probable intención de sabotearlas reprogramando los controladores (PLC), de tal forma que se modificara la frecuencia de unos convertidores que controlan la velocidad de los motores, ocasionando fallas en cerca de 1,000 centrifugadoras de una planta de enriquecimiento de combustible en Natanz. »» Ataque a JP Morgan que afectó 76 millones de cuentas personales y 7 millones de cuentas de pequeños negocios, además de JP Morgan se identificó a más de una decena de instituciones financieras de los Estados Unidos con el mismo problema. »» La cadena Home Depot sufrió un ataque a través del cual se extrajeron 53 millones de direcciones de correo y 56 millones de tarjetas de crédito. Inició en la parte perimetral al obtener el usuario y contraseña de un proveedor y luego obtuvo mayores privilegios para moverse en el resto de los sistemas de la empresa. El malware utilizado no había sido visto antes.
12 El otro tipo de impacto es aquel que afecta los intereses estratégicos de una organización, esto se refiere a la pérdida de ventajas competitivas por robo de información relativa a planes estratégicos, planes de fusiones y adquisiciones, información sobre personal clave o directivos, información sobre clientes, etcétera. También considera los impactos no tangibles como afectación a la reputación, la cultura organizacional, aspectos geopolíticos, presencia en el mercado, por mencionar algunos. A continuación expongo ejemplos que demuestran el alto impacto de los incidentes recientes: »» Más de 100 millones de datos de tarjetas de crédito fueron robadas de las tiendas departamentales Target, lo que implicó un costo de millones de dólares y la renuncia del director general (CEO) y el director de sistemas (CIO). »» Para el caso de Home Depot expuesto anteriormente, aun cuando todavía no se tiene el monto del costo del incidente, este podrá incluir reembolsos por los fraudes a las tarjetas, costos por reemisión de los plásticos, demandas civiles, investigaciones gubernamentales, servicios legales, de investigación y consultoría, gastos adicionales e inversiones de capital para actividades de remediación. Estos costos podrán tener un impacto adverso en los resultados financieros de la empresa. Análisis de las vulnerabilidades En cuanto a las vulnerabilidades, los elementos a considerar son la gente, procesos y tecnología. Como siempre, el eslabón más débil somos las personas. Tanto las amenazas tradicionales como las nuevas tocan en algún punto a la gente, y en la medida que sigamos siendo vulnerables seguirán teniendo éxito. Un ejemplo que cómo los atacantes buscan tomar ventaja del factor humano es el siguiente: en la campaña de Dragonfly, el primer vector de ataque fue el envío de una serie de correos apócrifos (técnicamente conocidos como spearphishing) que contenía un anexo en formato XDP (Adobe XML Data Package) con malware. Estos correos fueron diseñados específicamente y dirigidos a 37 personas (altos ejecutivos y personal experimento) de 7 organizaciones objetivo, y el asunto de dichos correos era sobre aspectos administrativos de las empresas. Por otro lado, las vulnerabilidades de los sistemas siguen teniendo la misma dinámica, es decir, no son ni más ni menos seguros, lo que sucede es que ahora la superficie de exposición es mayor. Esto significa, por un lado, que ahora los empleados tienen presencia online en las redes sociales, lo cual puede ayudar a los hackers a obtener información para atacar de forma dirigida o para utilizarlo como parte de un vector de ataque. Y por el otro, las organizaciones cada vez tienen más infraestructura expuesta al ciberespacio, nuevas aplicaciones Web y en la nube, mayor cantidad de servicios basados en Web, servicios de hospedaje, BYOD, mayor interacción con terceras partes vía aplicaciones Web, etcétera. Conclusiones Grupos organizados con capacidades y recursos (económicos, tecnológicos y humanos) están generando ataques dirigidos, más complejos y muy difíciles de descubrir por medio de los mecanismos tradicionales. Sus principales motivaciones son económicas y políticas, por lo que sus blancos primarios son instituciones financieras y entidades gubernamentales. Es decir, los atacantes tienen mayor capacidad e intención para realizar ataques. El impacto de los incidentes ahora es mucho más significativo por el tipo de objetivos que se persiguen. Anteriormente poco hacíamos respecto a los riesgos que representaban un alto impacto ya que su probabilidad de ocurrencia era muy baja, ahora estos suceden con mucha mayor frecuencia. En resumen, hay amenazas más sofisticadas, por lo tanto mayor probabilidad de ocurrencia, esto sumado a que los impactos son más significativos da como resultado un escenario de mayor riesgo. Este contexto nos obliga a implementar estrategias específicas complementarias a las actuales para su mitigación. Fuentes: • Mandiant 2014 Threat Report. • FireEye Special Report APT28: A window into Russias´s cyber espionage operations? • Symantec Security Response. Regin: Top-Tier espionage tool enables stealthy survillance. • Belden White Paper Defending Against the Dragonfly Cyber Security Attacks. https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf • Symantec Security Report W32. Stuxnet Dossier. http://www.scmagazine.com/the-chase-breach-lasted-for-two-months-and-impacted-76-million-household-accounts-and-seven-million-business- accounts/article/375377/ • Implementation Framework - Cyber Threat Prioritization. Software Engineering Institute. Carnegie Mellon University • ISACA NOW. A simple definition of cybersecurity. • Scitum White Paper: ¿Qué es la Ciberseguridad?
· DIAGNÓSTICO Y PROTECCIÓN CONTRA AMENAZAS AVANZADAS · ANÁLISIS FORENSES AVANZADOS · RESPUESTA A CIBERINCIDENTES · CIBERINTELIGENCIA · GESTIÓN CONTINUA DE CIBERRIESGOS BASADA EN INTELIGENCIA C I B E R S E G U R I D A D S E R V I C I O S D E E V O L U C I O N A A N T E LO S N U E VO S D E S A F Í O S T U S E G U R I D A D M AYO R E S I N F O R M E S A L T E L É F O N O : 9 1 5 0 . 7 4 0 0 E x t . 1 8 0 9 y 1 7 3 1 Y A L CO R R E O E L E C T R Ó N I CO : v e n t a s @ s c i t u m . c o m . m x
14 c·o·n·e·x·i·o·n·e·s Conexiones Habilidades tradicionales vs malware Imelda Flores PMP, CISSP, ITIL, CCNA Security, Cisco IPS y Optenet Certified iflores@scitum.com.mx Durante el congreso de ciberseguridad realizado por Scitum y Telmex el pasado octubre, Shay Zandani, experto en ciberseguridad, habló de “la vieja escuela vs la nueva escuela” en seguridad, decía que la vieja escuela es seguir haciendo lo mismo que hasta ahora: controlar las vulnerabilidades, tener un firewall, un IPS y un correlacionador y esperar a que llegue un incidente, mientras que en la nueva escuela los individuos identifican las motivaciones de los atacantes y los posibles vectores de ataque, obtienen una radiografía de cómo está su seguridad, miden su nivel de riesgo de acuerdo a su entorno y realizan simulaciones de ciberincidentes. Comovemos,lavisiónde“lanuevaescuela”enfrentalosretosqueimponenlasnuevasciberamenazas: no existen fronteras ni legislación, son difíciles de detectar y se caracterizan por ser persistentes y dirigidas. Son justamente estos retos los que nos obligan a revisar tecnologías distintas a las tradicionales para, por ejemplo: »» Identificar las llamadas a los centros de comando y control del malware. »» Detectar movimientos laterales en la LAN. »» Realizar análisis forense en línea sin necesidad de esperar horas a obtener una imagen del equipo infectado. »» Hacer uso de los indicadores de compromiso para saber rápidamente si un host en realidad ha sido comprometido o se trata solo de un falso positivo. Y no basta con tecnología nueva, lo importante es contar con analistas que sean capaces de tomar acción a partir de la información arrojada por los dispositivos, ya que los falsos positivos siguen siendo el mayor desafío a la hora de integrar estas nuevas tecnologías a la seguridad por capas. Entendiendo que la tecnología para afrontar las amenazas avanzadas es diferente a la tradicional, nos deberíamos preguntar ¿Los analistas de la seguridad tradicional son los mismos que podrán lidiar con las tecnologías enfocadas a amenazas avanzadas? No necesariamente, ya que las alertas que arroja un firewall, un IPS, un filtrado de contenido o un antivirus son relativamente simples de interpretar, mientras que la mayor parte de las herramientas antimalware despliegan el resultado de los cambios al sistema operativo por parte del malware (inyecciones de código, mutex, llamadas a sistema, y un largo etcétera).
152014 - 2015 Es justo esta información de cambio la que da pie a una investigación profunda, cuando la identifica un ojo experto, que entiende el comportamiento del malware, sus vectores de ataque y sus mecanismos de evasión, además de que es capaz de hacer ingeniería inversa al artefacto, en caso de que la evidencia no sea contundente sobre su afectación al sistema, porque recordemos que el poder de las amenazas avanzadas radica en que se mueven sobre protocolos conocidos, usan puertos conocidos y aseguran su persistencia por meses a través del uso de distintas técnicas. Por ello, los profesionales de seguridad tradicional necesitan evolucionar hacia nuevas habilidades que les permitan estar a la vanguardia y no necesariamente todos los que administran la seguridad tradicional serán capaces de hacerlo, ya que para ello se requieren muy buenas bases en conocimientos de ensamblador, sistemas operativos, lenguajes de programación de bajo nivel, etcétera. Como siempre, el éxito en la protección es producto de atender los tres ejes: personas, tecnología y procesos, sin embargo la preparación del equipo de trabajo a cargo de la seguridad de las organizaciones resulta más relevante que nunca, o de lo contrario estas se pueden preparar para identificar sus incidentes cuando ya sea demasiado tarde, sin importar que posean el último dispositivo de seguridad del mercado. Ya no solo basta con tener “cajas”, es imperativo proveer un monitoreo 7x24 para convertir las alertas en inteligencia accionable y de esta manera actuar en el menor tiempo posible, ya que dadas las circunstancias que nos rodean todos podemos ser comprometidos, pero la diferencia entre un incidente con enormes pérdidas y un incidente contenido antes de que cause un daño irreparable puede ser de solo unas cuantas horas o incluso minutos.
16 Ser "compliance" o pagar más Fabián Descalzo Director certificado en seguridad de la información (Universidad CAECE), ITIL v3-2011 y auditor ISO 20000 fabiandescalzo@yahoo.com.ar opinión Cada vez que las áreas de negocio buscan nuevas oportunidades comerciales, hay costos asociados que no suelen tomarse en cuenta y habitualmente esto sucede por no convocar a todas las personas que pueden colaborar con su aporte, no solo para el éxito de la iniciativa, sino para evitar costos ocultos a futuro que afecten al negocio. Los nuevos proyectos que requieren de la tecnología como servicio son aquellos que están más fácilmente a merced de los errores de "visión", dependiendo del perfil de quien los lidere y de quienes compongan el equipo de proyecto. Para satisfacer las necesidades del negocio, desde las áreas tecnológicas surgen diversas ideas para brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento y disponibilidad de los datos, pero no siempre se consideran otros costos asociados... y sus riesgos. ¿Qué debe cuidarse entonces? Cuando las áreas de negocio y tecnológicas piensan en recibir y brindar un servicio, no siempre entienden que este debe llevar una parte de aseguramiento y cumplimiento regulatorio. El objetivo principal buscado es "información disponible y de rápido procesamiento", dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos, que como sabemos no solo son del negocio sino incluso de terceros, como es el caso de los datos personales, tarjetas de crédito, información financiera o de salud. ¿Cuántas veces nos preguntamos de qué depende el éxito? ¿Hacemos una lista de componentes necesarios para el éxito de cada proyecto del negocio, con base en el tratamiento de la información? ¿Los procesos de tratamiento de los datos están incluidos como factor necesario para el éxito? Para facilidad de análisis, pensemos como ejemplo en un proyecto de transferencia de dinero, que requiere de los siguientes componentes: »» Infraestructura tecnológica. »» Software aplicativo. »» Telecomunicaciones. »» Proveedor de servicios financieros y comunicación para la transferencia de dinero. »» Datos personales, bancarios y financieros de los clientes. Primero, y teniendo en cuenta el tipo de datos a tratar y que formarán parte del proceso de negocio, es conveniente consultar con el sector legal cómo abordar lo referente a la contratación de los proveedores, ya que se debe tener en cuenta que la responsabilidad y control del tratamiento de datos no es delegable. Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles, ya que nuestra empresa es responsable por los datos y debe velar por ellos durante todo el proceso del servicio ofrecido a sus clientes. En este aspecto tengamos en cuenta que diferentes leyes que regulan el tratamiento de datos determinan que las personas naturales y las personas jurídicas, tales como las emisoras y operadoras de tarjetas de crédito, las empresas de transferencia y transporte de valores y dinero están obligadas a informar sobre los actos, transacciones u operaciones sospechosas que adviertan en el ejercicio de sus actividades. Por ello deberemos velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOX, la legislación de protección de datos personales de nuestro país o región y las aplicables a transacciones con tarjetas de pago.
172014 - 2015 Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una guía que nos permita definir la infraestructura y su configuración adecuada para, de esta forma, dimensionar convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte tecnológico al proceso de negocio, contemplando entre otros los siguientes puntos principales: »» En todos los casos debe revisarse que el sistema esté preparado para disociar la información del tarjetahabiente así como el número PAN (Primary Account Number – Número Primario de Cuenta). »» Tratamiento y almacenamiento de los datos del cliente requeridos para registrar la operación, de acuerdo a lo especificado por las diferentes leyes de lavado de dinero en lo concerniente a la obligación de crear y mantener registros de las operaciones. »» Contemplar las variantes de datos a ingresar según el monto de las operaciones. »» Contemplar los plazos mínimos de guarda de los registros de las operaciones y su integridad, que pueden ser requeridos por las unidades de análisis financiero. Se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la integridad y confidencialidad de los datos, la imagen de nuestra empresa y las penalidades regulatorias posibles, por ejemplo: »» Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de información. »» Error en la integridad de la información por fallas en la conversión de datos en las interfaces con los aplicativos del proveedor. »» Error en la integridad de la información por fallas en la operación del proveedor. »» Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio. »» Mayores costos por el rediseño del proceso o del software, dimensionamiento deficiente del hardware, horas hombre adicionales y aplicación productiva fuera de línea. Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa posterior, cuando la aplicación ya esté en producción y el proceso en plena actividad: »» Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información regulatoria. »» Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad con los procedimientos y políticas de nuestra empresa. »» El acceso a los sistemas que contengan datos confidenciales debe ser asignado de modo adecuado a aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas. »» Los terceros deben notificarnos de todos los cambios de personal que afecten el servicio que nos proporcionan. »» Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica, personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles considerarán todos los requisitos regulatorios e imperantes establecidos por la ley. »» Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros, y los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado tendremos el derecho a revisar. »» Se deben firmar convenios de confidencialidad con los terceros con los que se intercambie información. »» Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y disposición final de la información. »» Contar con documentación de respaldo de los sistemas de comunicaciones con proveedores críticos donde se transfiera información sensible del negocio. »» Aprobar toda nueva conexión antes de integrarse al ambiente productivo. »» Las conexiones con terceros deben restringirse a los equipos centrales de proceso, aplicaciones y archivos específicos. »» El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar de configuración de seguridad y se debe verificar su cumplimiento con periodicidad.
18 En resumen, la idea detrás de todo es tener normatividad y controles a lo largo de todo el proceso, como se muestra en la imagen siguiente: En lo que respecta a la infraestructura tecnológica que brinda soporte y servicio al proceso de negocio, esta debe estar diseñada para asegurar el cumplimiento de los siguientes puntos esenciales: »» Régimen de los datos. Desarrollar un entorno de confidencialidad que asegure la no disposición de los datos ni el uso de los mismos para fines que no estén de manera expresa asociados con el servicio que se preste y, en caso que se trate de datos personales, con el consentimiento del titular de los datos. »» Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con todos los aspectos relacionados con la retención, registros de auditoría y destrucción de información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de procesamiento de datos. »» Seguridad en el acceso. Garantizar que la información solo será accesible para personal autorizado. »» Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. »» Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar los paros programados para mantenimiento con la suficiente antelación. »» Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros contratados. Recomendaciones finales »» Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad compartida entre el proveedor y nuestra empresa. »» Asegurar la intervención interdisciplinaria de diferentes sectores de la organización para todos los proyectos (áreas legales, de tecnología, de seguridad informática, desarrollo de sistemas, seguridad física, etc.). »» Ejecutar los controles y gestión de riesgos en forma continua. »» Mitigar los riesgos a través de contratos y SLA orientados a los controles y gestión de riesgo. »» En caso de tercerización, robustecer la seguridad con base en sus capacidades y así reducir la carga de cumplimiento al compartirla con el proveedor. Así pues, ser "compliance" requiere de un amplio conocimiento que solo conseguiremos integrando un equipo de trabajo con las diferentes visiones de nuestra empresa, que con su experiencia aportarán una mejor gestión de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al negocio y asegurarán también un servicio de calidad.
20 Las cosas de la vida y el Internet de las cosas: nuevos retos para la seguridad Esteban San Román El Internet de las cosas (IoT, Internet of things) se ha vuelto un tema recurrente en los artículos de tecnología y en los esquemas de solución tecnológica de los fabricantes. Con la versatilidad y funcionalidad que le son implícitas a la inclusión de más elementos en una actividad cotidiana de nuestro trabajo o de la vida diaria, también aparecen nuevos riesgos en la seguridad de estos dispositivos de igual manera que en la información que se transporta entre ellos. CISSP, CISA, CRISC, CEH, ENSA e ITIL esanroman@scitum.com.mx opinión El protocolo IPv6 permitirá asignarle una dirección única a prácticamente cualquier entidad que maneje algo de tecnología, no solo a los equipos de cómputo fijo o móviles tradicionales, sino también a nuevos elementos como el monitor de un marcapasos, un elevador de un edificio de oficinas, la máquina de refrescos de una universidad, un sensor colocado a un animal en una granja, o enseres domésticos como el refrigerador, el horno de microondas o los controles de temperatura e iluminación de nuestro hogar, por mencionar algunos. Muchos de estos nuevos elementos tienen sus peculiaridades, por ejemplo, sus “sistemas operativos” son usualmente de propósito específico, es decir, desempeñan una serie de funciones puntuales y nada más. Esto, por un lado, reduce la posibilidad de materialización de un ataque sofisticado pero también provee servicios vulnerables que, por esa misma falta de funcionalidad, hacen muy difícil contrarrestar las vulnerabilidades con una solución robusta. Así pues, la seguridad seguirá siendo, para bien o para mal, un tema ineludible en nuestro futuro próximo. Poniendo en orden la casa Para el Internet de las cosas existe hasta un foro de discusión (www.iofthings.org) que plantea cuatro directrices hacia los consumidores: »» Valor, para hacer la vida más eficiente, segura y transparente. »» Datos, para ayudar a entender los beneficios y el valor de la información contenida en esos datos. »» Seguridad, para construir confiabilidad alrededor de las experiencias con el IoT. »» Diseño, para consentir al consumidor con el producto y su utilidad. Android se ha convertido en la plataforma predilecta para una nueva generación de dispositivos que va desde teléfonos inteligentes, tabletas, consolas de juegos, y relojes, hasta dispositivos para automóviles y mucho más. Google tiene muy claro que su estrategia de comercialización debe ir enfocada a satisfacer necesidades de esos nichos de mercado como ya lo ha hecho con GLASS y con Moto 360. Amazon y su plataforma AWS están haciendo, por su parte, más fácil el desarrollo de aplicaciones para plataformas Android. Para dar vida a esta visión ya no tan futurista, hoy vemos una interacción sin precedentes entre fabricantes de dispositivos electrónicos de consumo masivo, circuitos electrónicos y marcas líderes, todas ellas con el compromiso de promover nuevas soluciones de diferentes tipos, estilos y tamaños para adecuarse a las necesidades y caprichos de una nueva generación de consumidores.
212014 - 2015 Evolución del Internet de las cosas ¿Cómo protegerse de incontables eventos de intrusión e interferencia que pueden comprometer la privacidad personal o amenazar a la comunidad? La seguridad de la información se volvió un asunto de interés general en el momento en que se comenzó a compartir información entre sistemas de cómputo; pasamos de los antivirus a los primeros firewalls de filtrado de paquetes y de ahí a los que trabajan de manera estrecha con los aplicativos, para llegar finalmente a aquellos contenidos en un solo procesador. Los IDS/IPS se introdujeron a este escenario para trabajar en un siguiente nivel de sofisticación, detectando comportamientos anormales del tráfico y los primeros ataques elaborados representados por firmas muy peculiares; todo esto más tarde se vio reforzado con soluciones especializadas como los filtros de correo, de tráfico Web, de bases de datos y transacciones basadas en portales Web. Este cúmulo tecnológico se comenzó a gestionar a través de las soluciones de manejo de eventos e incidentes (SIEM) y el propósito de principio a fin se ha mantenido prácticamente inalterado: mantener la actividad maliciosa fuera de los sistemas o detectarla y erradicarla. La evolución de la seguridad nos ha llevado de identificar lo que no queremos que pase (blacklisting), a distinguir lo que sí vamos a permitir (whitelisting) y de ahí para adelante. Todo esto ha sido enriquecido con técnicas de autenticación e identificación del usuario. El manejo de la privacidad de los datos personales, la propiedad intelectual, la confidencialidad de los contenidos a través de redes privadas virtuales y de soluciones que implementan estándares como 802.11i (WPA2), 802.1ae (MACsec), además de pruebas de confiabilidad a profundidad que se realizan a los aplicativos son también aspectos considerados en las soluciones de hoy y en particular del aseguramiento de la información transportada. ¿Cuáles son entonces los aspectos a tomar en cuenta? Bajo el contexto del Internet de las cosas hay varios aspectos que necesariamente deben ser adecuados para brindar los niveles de servicio y seguridad que se van a requerir. De entrada, la reingeniería de algunas soluciones se vuelve el primer aspecto a enfrentar. Utilizar el apoyo del blacklisting implica destinar una considerable cantidad de espacio de almacenamiento para que pueda tener una utilidad práctica. Los dispositivos que ahora forman parte del entorno de Internet de las cosas se caracterizan por tener un bajo consumo de energía; hay sistemas enteros contenidos en un solo chip, y estos dispositivos están concebidos para tener una conectividad muy definida y limitada. Como hemos comentado, al ser de propósito específico, el diseño está planteado para no realizar algo más allá de una serie de tareas específicas. Así pues, necesitamos, en primer lugar, considerar la seguridad desde el diseño de los dispositivos y desde la construcción de las aplicaciones. Dado que virtualmente cualquiera con un poco de entrenamiento puede empezar a generar aplicativos, es imprescindible cuidar que la calidad del código generado sea cada vez mejor. Si la seguridad se considera desde el planteamiento de los primeros bloques funcionales de la aplicación, es muy probable que desde su concepción el nuevo código tenga ya un primer nivel de seguridad. El siguiente gráfico muestra un breve recuento de lo que se ha presentado en el Internet de las cosas a partir de 1999, que fue cuando se acuñó este término. La evolución ha pasado por solventar necesidades de las organizaciones, como la reducción de los tiempos de operación y costos, la incorporación de tecnología inalámbrica, geolocalización y la disminución de tamaño de las soluciones, hasta el desarrollo de aplicaciones personalizadas para fines muy diversos.
22 Es muy importante destacar que en el mundo del Internet de las cosas la interacción personal es casi nula, lo que quiere decir que no existe una interacción con alguien de carne y hueso para asuntos como capturar las credenciales de acceso o decidir si un aplicativo es confiable, por lo tanto los dispositivos regularmente realizan sus propias decisiones sobre si se ejecuta o no un comando o una tarea determinada. En una topología tipo del Internet de las cosas encontraremos al dispositivo que se puede comunicar a través de una red cableada o inalámbrica y, de ahí, conectada a una nube pública como Internet, o privada como la red corporativa de su organización. El siguiente gráfico muestra este planteamiento: Topología tipo del Internet de las cosas Definiendo la estrategia La recomendación para este entorno es seguir un enfoque multicapa que inicia desde que se energiza el dispositivo, se integra a un entorno donde ya hay otros dispositivos que han sido endurecidos (conocido en arquitectura de seguridad como cómputo confiable o trusted computing) y a partir de ahí queda blindado contra cualquier entidad ajena al proceso o la tarea que se desee ejecutar.
232014 - 2015 Como ya se mencionó, la seguridad debe estar presente desde el diseño inicial del dispositivo hasta que este se integra a un ambiente operativo de solución, para lo que recomendamos: 1. Una inicialización segura que cuide la autenticidad y la integridad del software que utiliza el dispositivo y que puede estar verificado a través de algoritmos criptográficos que involucren firmas digitales. 2. Controles de acceso robustos que limiten los privilegios de los componentes y las aplicaciones que utilizan para que realicen únicamente las actividades que requieren para completar sus tareas. En caso de que algún componente sea comprometido, un buen control de acceso limitará el acceso a otras partes del sistema. Seguir el principio del menor privilegio es el proceder más adecuado. 3. Autenticación de dispositivos. Tan pronto el dispositivo se inicializa, y antes de que reciba o transmita información, debe pasar por un proceso de autenticación. A este nivel, la autenticación entre dispositivos se da consultando información resguardada en un área segura de almacenamiento. 4. Apoyo de elementos de seguridad. Con tecnologías de inspección de paquetes a profundidad se pueden analizar adecuadamente protocolos propietarios y conjuntos de instrucciones particulares que identifiquen si una transacción específica debe ser permitida o no. Aquí ya no se trata del análisis tradicional de protocolos como HTTP, sino de soluciones y protocolos muy específicos, muchas veces propietarios. 5. Actualizaciones y parches. Como cualquier otro elemento tecnológico, los dispositivos del IoT deben ser sujetos a actualizaciones que hacen más eficiente y seguro su código de operación, sin afectar por ello la funcionalidad y el desempeño de las soluciones. Conclusiones En el Internet de las cosas, que nos llenará de dispositivos conectados a la red para múltiples funciones en la vida diaria, la seguridad no debe tratarse como algo para agregar posteriormente al dispositivo, el enfoque debe ser en todo momento integral. El punto ideal de arranque es el sistema operativo, desde sus entrañas debe llevarse a cabo el endurecimiento para limitar las funciones del dispositivo a las que estrictamente sean necesarias. El mismo nivel de inteligencia que permite a una solución realizar funcionalidades específicas debe habilitarse para que tenga la capacidad de reconocer y contrarrestar las amenazas que pueda enfrentar. No nos esperemos a buscar soluciones que aún no existen, el enfoque debe estar en la construcción de soluciones que contemplen controles de seguridad optimizados para los retos que imponen las aplicaciones que se integran día a día como motores del Internet de las cosas.
24 c·o·n·e·x·i·o·n·e·s El propósito de esta serie de artículos es presentar los retos a los cuales se enfrentan las organizaciones en cuanto a la respuesta a incidentes de seguridad y dar algunas recomendaciones generales de cómo pueden fortalecer sus procesos. En la actualidad la industria parece estar más abierta a hablar de temas que anteriormente quería mantener en privado: hacking back hoy es parte de la estrategia de ciberdefensa y se acepta que en general todas las organizaciones están expuestas a ataques avanzados, por lo que solo es cuestión de tiempo para que sean penetradas. Lo anterior provoca que la seguridad cambie sus enfoques; en el pasado se hacía referencia a crear redes de computadoras que pudieran resistir cualquier tipo de ataque, la idea era no ser penetrado, y es ahí donde aspectos como la prevención tomaron mucho protagonismo. Ahora el paradigma se ha transformado y nos ha llevado a diseñar redes de computadoras que sabemos serán penetradas por ataques tradicionales y avanzados, por lo que deben ser monitoreadas constantemente para poder identificar de la manera más rápida y oportuna cuando son penetradas y actuar minimizando el impacto de la intrusión. En este punto la detección vuelve a ponerse de relieve, sin embargo trae los mismos problemas del pasado respecto a falsos positivos; al final pareciera que todo aquello que la detección nos prometió hacer hace años comienza a ser posible gracias a los avances tecnológicos con los que hoy se cuenta. Lo que es un hecho es que las amenazas actuales son dinámicas, multi-vectores, no se limitan al uso de malware y están diseñadas para evadir las restricciones de seguridad tradicionales y avanzadas. Incluso podemos asegurar que los actores que están detrás de muchos de los ataques son profesionales que han sido entrenados hasta por gobiernos, por ello, si las amenazas son dinámicas y detrás de ellas hay personal altamente capacitado, nuestras capas de protección deberían ser dinámicas también y operadas por personal altamente capacitado. Si tuviéramos que referirnos al proceso que nos ayudará en la protección de las amenazas avanzadas, este debería ser el de respuesta a incidentes de seguridad, dado que su naturaleza es preparar a la organización para entender y saber cómo debe responder. En el artículo “Embedding Incident Response into the DNA of the Organization”1 Sean Mason nos ayuda a entender que si no logramos que la respuesta a incidentes sea parte del ADN de la organización, resultará muy complicado enfrentarnos no solo a amenazas tradicionales sino también a las avanzadas, incluso Bruce Schneider2 escribió un artículo respecto al futuro de la respuesta a incidentes y las capacidades que se deberían generar. En el pensar de... La respuesta a incidentes en la época de amenazas avanzadas (primera parte) Eduardo Patricio Sánchez Díaz CISSP, CISM, GCIH, GWAPT y CEH epsanchez@scitum.com.mx Cuando se habla de respuesta a incidentes, existen diversos marcos como NIST SP800-613 y los lineamientos del CERT. En general todos ellos abordan las fases de la respuesta a incidentes de seguridad, las cuales se describen en la imagen siguiente: Fases del proceso de respuesta a incidentes de seguridad
252014 - 2015 Con un acercamiento tradicional cada una de las etapas podría ser lineal, sin embargo cuando sabemos que las amenazas cambian constantemente y cuando nos concientizamos de que cada día surgen nuevos vectores de ataque, estas fases no deben asumirse tan lineales y un acercamiento más correcto podría ser el mostrado en la imagen siguiente: Fases del proceso dinámico de respuesta a incidentes de seguridad La fase central de la respuesta a incidentes debería ser la primera y se llama preparación; en esta fase se crean aquellas capacidades que permitirán responder de manera correcta ante un incidente. La preparación se vuelve crítica ya que será el fundamento sobre el cual se base toda la estructura, además de que será aquella que alimente cada etapa posterior de capacidades. Las recomendaciones para lograr una fase de preparación adecuada son las siguientes: »» Establecer un grupo multidisciplinario para fungir como CSIRT: las organizaciones que cuentan con un equipo CSIRT por lo regular lo visualizan como un rol que pueden tomar diferentes personas en caso de requerirse; sin embargo, este enfoque puede no ser el más indicado puesto que hoy se requiere que las organizaciones tengan personal fijo y dedicado íntegramente a la respuesta a incidentes. Este grupo debe ser interdisciplinario dada la naturaleza de sus funciones, y en él deberían existir al menos los siguientes roles, los cuales pueden ser bajo demanda: o Abogado. o Relación con medios de comunicación. o Representante de operaciones. o Representante de servicios de tecnologías de información. o Representante de seguridad de la información. No obstante, de manera adicional debe existir personal dedicado que cubra las siguientes funciones: o Monitoreo avanzado de seguridad. o Hunting de amenazas. o Análisis de malware. o Pruebas de seguridad. o Fortalecimiento de sistemas. o Actividades de Triage.
26 c·o·n·e·x·i·o·n·e·s C M Y CM MY CY CMY K »» Arquitectura de seguridad dinámica: como parte de la preparación se debería contemplar proponer o desarrollar la nueva arquitectura de seguridad. Cuando de protección contra amenazas avanzadas se trata debemos considerar varios factores de detección, y por lo tanto de protección. Sin llegar a desarrollar estrictamente “seguridad en capas”, se debe monitorear y proteger diversos puntos de la red, entre los cuales los más representativos podrían ser: o Perímetro: aunque el perímetro de las organizaciones es cada vez una línea más difusa, debemos seguir protegiendo las entradas y salidas de datos de la organización. o Red interna: la detección de anomalías en la red interna debe ser una preocupación, los movimientos laterales que efectúan los atacantes en los mismos segmentos de red tienden a ser el punto ciego para muchas organizaciones, por ello es importante contar con una capa de seguridad ahí. o EndPoint: la protección a nivel de endpoint no puede descartarse y debe incluir desde servidores y equipos de cómputo personales hasta dispositivos móviles. Esta arquitectura debe estar pensada también para proteger los activos cuando están fuera de la organización y contar con una capa de visibilidad de contexto regional y global de las nuevas amenazas, que pudiera ser cubierto con suscripciones de “threat inteligence”. »» Mayor visibilidad de lo que sucede: contar con una capa de visibilidad de lo que realmente ocurre en la organización debe ser fundamental; esta capa debe cubrir al menos los siguientes aspectos: o Visibilidad en tráfico cifrado. o Visibilidad de los equipos que están conectados a la red o que tienen información de la organización. o Visibilidad de las vulnerabilidades en los activos tecnológicos (en tiempo casi real o, en su defecto, con ventanas muy cortas de detección). Antes de terminar, listo a continuación algunos de los principales retos para lograr una adecuada respuesta a los incidentes de seguridad: »» Personal adecuado: contar con personal calificado tanto en el entendimiento del negocio como en los detalles técnicos siempre será un reto para las organizaciones. Los perfiles requeridos son muy complejos de reclutar pero sobre todo para retenerlos. »» Presupuestos asignados: cuando la respuesta a incidentes de seguridad se convierte en parte de la organización, uno los beneficios que debiera obtenerse es su propio presupuesto; el reto aquí es cómo se balancea la asignación de recursos para contar con un proceso robusto de respuesta versus los beneficios, que muchas veces parecen intangibles. »» Visibilidad: lograr una capa de visibilidad de lo que sucede en la organización, que se aproxime a la visualización en tiempo real, siempre es algo difícil de lograr. »» Correlación: no sé si sea la palabra correcta o si debe ser security analytics, pero si una organización quiere enfrentar de manera correcta las amenazas avanzadas, requiere capacidad no solo de análisis y bitácoras de sistemas, también tiene que integrar aplicaciones que no generan bitácoras, debe incluir análisis de tráfico de red e incluso análisis de datos volátiles. Con esto y con mayor visibilidad incluso podrá llegar a contar con una capa de situational awareness. »» Entendimiento de los procesos de negocio: en el pasado ha sido crucial entender cómo funciona una organización para poder protegerla, sin embargo, para enfrentar amenazas avanzadas no solo basta conocer, se requiere entender completamente a la organización, sus procesos, puntos débiles y puntos fuertes. Como se ha manifestado y fundamentado, la respuesta a incidentes debería ser parte integral de toda organización, y si es posible debería convertirse en parte de uno de los procesos base del negocio para garantizar el cumplimiento de sus objetivos. En la siguiente parte me adentraré más en el detalle de las otras fases del proceso de respuesta a incidentes de seguridad. 1 Mason Sean, Embedding Incident Response into the DNA of the Organization, 1 de octubre 2014, http://blog.seanmason.com/2014/10/01/incident- response-muscle-memory 2 Schneider Bruce,’ The Future of Incident Response, 10 de noviembre 2014, https://www.schneier.com/blog/archives/2014/11/the_future_of_i.html 3 NIST, Computer Security Incident Handling Guide , agosto 2012, http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf
¿Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, lasolución líder del mercado: » Aprendizaje automático de laestructura de las aplicaciones ydel comportamiento de losusuarios » Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales » Mediante lasolución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas » Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades » Proporciona unalto rendimiento, implementación directa ygeneración de alertas, e informes claros yrelevantes desde el punto de vista empresarial » Cumple totalmente losrequisitos6.6 de PCI DSS SecureSphere WebApplication Firewall ThreatRadar Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520 Informes: cynthia.ortega@imperva.com Tel: 55 8000 2370 © Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.
28 c·o·n·e·x·i·o·n·e·s Tips Víctor David Casares CEH y CCNA btr1200@gmail.com ¿Windows guarda mi contraseña en texto plano? Esa es la pregunta a la cuál un consultor de seguridad informática se enfrenta cada vez que le piden obtener el control de un equipo y acceder a la contraseña de usuario en texto plano sin aplicar técnicas de cracking. La respuesta es NO, Windows no almacena la contraseña de un usuario en texto plano. Una vez que el usuario inicia sesión, la contraseña es almacenada en memoria de forma cifrada, sin embargo sí hay maneras de “obtenerla”. Dentro del sistema LSA (local security authority) existen varios proveedores de autenticación que vienen habilitados por omisión. Se pueden ver estos proveedores ingresando a la siguiente llave del registro: HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages Proveedores de autenticación En Windows XP y versiones posteriores existen 2 proveedores de autenticación que almacenan la contraseña de los usuarios: »» Wdigest: usado para dar seguridad a las conexiones HTTP que requieran autenticación del tipo Digest. »» Tspkg: empleado para dar seguridad a las conexiones SSO (single-sign-on) con Terminal Server.
292014 - 2015 Aunque dichos proveedores raramente son usados, vienen habilitados por omisión. Un investigador francés denominado Gentil Kiwi descubrió una falla de seguridad que permite obtener las credenciales en texto plano, e incluso creó una herramienta para ello: Mimikatz. Mimikatz puede ser ejecutada desde una sesión de meterpreter o bien de manera independiente en el equipo. Para ejecutarlo desde meterpreter se debe cargar el módulo de Mimikatz con el comando load mimikatz y luego utilizar el comando wdigest para obtener las credenciales en texto claro. También existe la opción de ejecutar el comando mimikatz_command –f sekurlsa:logonPasswords –a “full” para intentar obtener las credenciales por medio de todos los factores de autenticación. A continuación se muestra una imagen donde se obtiene la credencial de un usuario en texto plano utilizando una sesión de meterpreter. Ejecución de Mimikatz desde meterpreter
30 c·o·n·e·x·i·o·n·e·s Por otro lado, si tenemos acceso a una consola de Windows como usuario administrador, también se podría ejecutar Mimikatz. Como primer paso luego de la ejecución, debemos obtener privilegios de debug, lo cual se realiza con el comando privilege::debug. Luego de tener acceso a estos privilegios se ejecuta sekurlsa::logonPasswords “full”, tal cual se muestra a continuación: Credenciales en texto plano desde la consola de Windows La vulnerabilidad se encuentra presente en todos los sistemas operativos Windows, de XP en adelante, inclusive Windows 8 y Windows 2012. Hasta el momento, oficialmente Microsoft no ha liberado ningún parche para corregir esta vulnerabilidad, por lo cual se recomienda realizar un análisis con respecto a la utilización de los proveedores de autenticación afectados por ella y deshabilitarlos en caso de que no se requieran.
Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16

Recomendados

Isaca rev perspectivas nota 1 - la era de los controles
Isaca rev perspectivas nota 1 - la era de los controlesIsaca rev perspectivas nota 1 - la era de los controles
Isaca rev perspectivas nota 1 - la era de los controlesFabián Descalzo
 
Posters
PostersPosters
PostersFabián Descalzo
 
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...Fabián Descalzo
 
Remediacion parche o upgrade (INFORIESGO 2014)
Remediacion parche o upgrade (INFORIESGO 2014)Remediacion parche o upgrade (INFORIESGO 2014)
Remediacion parche o upgrade (INFORIESGO 2014)Fabián Descalzo
 
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterGobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterFabián Descalzo
 
Escenarios de control en sitios web
Escenarios de control en sitios webEscenarios de control en sitios web
Escenarios de control en sitios webFabián Descalzo
 
Percepciones cigras 2015 - Fusiones y Adquisiciones
Percepciones cigras 2015 - Fusiones y AdquisicionesPercepciones cigras 2015 - Fusiones y Adquisiciones
Percepciones cigras 2015 - Fusiones y AdquisicionesFabián Descalzo
 
Plan de seguridad FD2013
Plan de seguridad FD2013Plan de seguridad FD2013
Plan de seguridad FD2013Fabián Descalzo
 

Recomendados

Isaca rev perspectivas nota 1 - la era de los controles
Isaca rev perspectivas nota 1 - la era de los controlesIsaca rev perspectivas nota 1 - la era de los controles
Isaca rev perspectivas nota 1 - la era de los controlesFabián Descalzo
 
Posters
PostersPosters
PostersFabián Descalzo
 
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - IS...Fabián Descalzo
 
Remediacion parche o upgrade (INFORIESGO 2014)
Remediacion parche o upgrade (INFORIESGO 2014)Remediacion parche o upgrade (INFORIESGO 2014)
Remediacion parche o upgrade (INFORIESGO 2014)Fabián Descalzo
 
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterGobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterFabián Descalzo
 
Escenarios de control en sitios web
Escenarios de control en sitios webEscenarios de control en sitios web
Escenarios de control en sitios webFabián Descalzo
 
Percepciones cigras 2015 - Fusiones y Adquisiciones
Percepciones cigras 2015 - Fusiones y AdquisicionesPercepciones cigras 2015 - Fusiones y Adquisiciones
Percepciones cigras 2015 - Fusiones y AdquisicionesFabián Descalzo
 
Plan de seguridad FD2013
Plan de seguridad FD2013Plan de seguridad FD2013
Plan de seguridad FD2013Fabián Descalzo
 
Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadConferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadJoel A. Gómez Treviño
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSoluciones Informáticas IMPULSO TECNICO E.I.R.L.
 
TesisS4
TesisS4TesisS4
TesisS4Israel Rodriguez
 
Politica de seguridad en chile tic
Politica de seguridad en chile ticPolitica de seguridad en chile tic
Politica de seguridad en chile ticUniversidad Tecnológica del Perú
 
Sistemas y Tecnologias de la Información
Sistemas y Tecnologias de la InformaciónSistemas y Tecnologias de la Información
Sistemas y Tecnologias de la Informaciónprofgloria
 
Sistemas de Información
Sistemas de Información Sistemas de Información
Sistemas de Información profe_gloria
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgosDoris Suquilanda
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridadMaria Veronica Urdaneta Martinez
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiKramer Garay Gómez
 
4.Aspectos legales y éticos de la seguridad informática.
4.Aspectos legales y éticos de la seguridad informática. 4.Aspectos legales y éticos de la seguridad informática.
4.Aspectos legales y éticos de la seguridad informática. Sarii09
 
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]Denisse García
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1Vocecita Mova
 
ADA2_B1_JAHG
ADA2_B1_JAHGADA2_B1_JAHG
ADA2_B1_JAHGjesus Herrera
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Vigilancia Tecnológica: Intro
Vigilancia Tecnológica: IntroVigilancia Tecnológica: Intro
Vigilancia Tecnológica: IntroAlfredo Castañeda
 
Proyecto de word 30%
Proyecto de word 30%Proyecto de word 30%
Proyecto de word 30%francisco moralez
 
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 

Más contenido relacionado

Similar a Ser Compliance - Magazcitum año 5, numero4, pág 16

Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadConferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadJoel A. Gómez Treviño
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Sistemas y Tecnologias de la Información
Sistemas y Tecnologias de la InformaciónSistemas y Tecnologias de la Información
Sistemas y Tecnologias de la Informaciónprofgloria
 
Sistemas de Información
Sistemas de Información Sistemas de Información
Sistemas de Información profe_gloria
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
4.Aspectos legales y éticos de la seguridad informática.
4.Aspectos legales y éticos de la seguridad informática. 4.Aspectos legales y éticos de la seguridad informática.
4.Aspectos legales y éticos de la seguridad informática. Sarii09
 
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]Denisse García
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1Vocecita Mova
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Vigilancia Tecnológica: Intro
Vigilancia Tecnológica: IntroVigilancia Tecnológica: Intro
Vigilancia Tecnológica: IntroAlfredo Castañeda
 

Similar a Ser Compliance - Magazcitum año 5, numero4, pág 16 (20)

Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y SeguridadConferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
Conferencia Latinoamericana de Computación, Auditoría, Control y Seguridad
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad Informática
 
TesisS4
TesisS4TesisS4
TesisS4
 
Politica de seguridad en chile tic
Politica de seguridad en chile ticPolitica de seguridad en chile tic
Politica de seguridad en chile tic
 
Sistemas y Tecnologias de la Información
Sistemas y Tecnologias de la InformaciónSistemas y Tecnologias de la Información
Sistemas y Tecnologias de la Información
 
Sistemas de Información
Sistemas de Información Sistemas de Información
Sistemas de Información
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
4.Aspectos legales y éticos de la seguridad informática.
4.Aspectos legales y éticos de la seguridad informática. 4.Aspectos legales y éticos de la seguridad informática.
4.Aspectos legales y éticos de la seguridad informática.
 
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
Practica 1 2_p_seguridad_de_informacion_en_la_red[1]
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1
 
ADA2_B1_JAHG
ADA2_B1_JAHGADA2_B1_JAHG
ADA2_B1_JAHG
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Vigilancia Tecnológica: Intro
Vigilancia Tecnológica: IntroVigilancia Tecnológica: Intro
Vigilancia Tecnológica: Intro
 
Proyecto de word 30%
Proyecto de word 30%Proyecto de word 30%
Proyecto de word 30%
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdfFabián Descalzo
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataquesFabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridadFabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 

Último (20)

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 

Ser Compliance - Magazcitum año 5, numero4, pág 16

  • 1.
  • 2. ¿Sabías que es el único Centro de Entrenamiento autorizado en México? Por lo que ahora puedes: 1.- Tomar el Seminario Oficial CISSP de (ISC)2 del 13 al 17 de abril de 2015, en Scitum a un precio de US$1,900.00 más IVA (precio regular en E.E.U.U.: $2,599.00). 2.- Presentar el examen de certificación con costo de US$599.00 a través de uno de los centros autorizados. Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: capacitacion-isc2@scitum.com.mx La fecha límite de inscripciones es el 30 de marzo de 2015.
  • 3. 32014 - 2015 contenido » opinión »editorial 6 Gobierno del Ciber-riesgo 16 Ser "compliance" o pagar más 20 Las cosas de la vida y el Internet de las cosas: nuevos retos para la seguridad 10 Ciberseguridad:¿Verdaderamente estamos en un escenario más riesgoso? 4 Editorial Héctor Acevedo Juárez Manolo Palao Fabián Descalzo Esteban San Román Marcos Polanco Velasco »conexiones ¿Windows guarda mi contraseña en texto plano? 14 10 6 4Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Víctor David Casares Fabián Descalzo Imelda Flores Monterrosas Manolo Palao Marcos Polanco Velasco Esteban San Román Canseco Eduardo P. Sánchez Díaz Marketing y Producción Karla Trejo Cerrillo Sofía Méndez Aguilar Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 6, número 1, 2015 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F x. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx 17AÑO 6, NÚMERO 1, 2015 14 Conexiones 24 En el pensar de... La respuesta a incidentes en la época de amenazas avanzadas (primera parte) Eduardo P. Sánchez Díaz 28 Tips Habilidades tradicionales vs malware Víctor David Casares Imelda Flores »
  • 4. 4 editorial Mucho se habla en todas partes del Internet de las cosas (IoT por sus siglas en inglés), que promete conectar casi cualquier aparato a la red, buscando el tan largamente acariciado sueño de un mundo interconectado con la presencia casi ubicua de Internet. Aunque sin duda tendremos múltiples ventajas y oportunidades a partir del IoT, también es cierto que se multiplicarán las vulnerabilidades y amenazas al aumentar la “superficie de contacto” del ciberespacio, lo que nos lleva a un nuevo paradigma de seguridad: la ciberseguridad. ¿Y qué cambia entre lo que ya empieza a conocerse como “seguridad tradicional” y ciberseguridad? Creo que puede resumirse así: en el modelo anterior se busca evitar a toda costa un incidente de seguridad, mientras que en el nuevo paradigma damos por hecho que este va a ocurrir y por ello tenemos todo un ciberecosistema de gente, procesos y tecnología (con recursos propios y asociaciones con otras entidades) que trabaja constantemente para evitar afectaciones a la seguridad de la información pero, y aquí el cambio importante, está mejor preparado para contrarrestar sus efectos cuando se materialice el riesgo. Así pues, dada la relevancia del tema, a partir de esta edición hemos incluido una nueva sección llamada Ciberseguridad, en la que nuestros colaboradores estarán escribiendo sobre el tema. Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Ciberseguridad e Internet de las cosas CISSP, CISA, CGEIT, ITIL y MCSE hacevedoj@scitum.com.mx Héctor Acevedo Atentamente Héctor Acevedo Juárez Editor en jefe
  • 5.
  • 6. 6 Gobierno del Ciber-riesgo Manolo Palao En el iTTi (Innovation & Technology Trends Institute) prestamos atención preferente al gobiernodelastecnologías(sobretodoinformáticas)porquientiene,enlasempresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración1 . ‘Gobierno corporativo de las TI’ (GCTI)… «… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI”. … es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el por qué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”. El Consejo de Administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados… … conlleva dos ámbitos principales -a veces antagónicos: el rendimiento [desempeño] y la conformidad…»2 . mpalao@ittrendsinstitute.org opinión Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo. Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD3 ) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo4 . Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba. Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.). Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo5 :
  • 7. 72014 - 2015 1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8). 2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros. El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11). 3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”. Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12). 4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)6,7 , que puede resumirse en: »» Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-. »» Crear un equipo con participación de todas las partes interesadas. »» Celebrar reuniones periódicas e informar al Consejo. »» Establecer una estrategia y un plan de gestión del ciber- riesgo de ámbito empresarial. »» Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal. Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas8 del NIST–que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones.
  • 8. 8 5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques. Propone que se debatan, al menos, las cuestiones siguientes: »» ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan? »» ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos? »» ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos? »» ¿Cómo debiéramos evaluar el impacto de los cibereventos? Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital…” (NACD 2014, p.9). Llegados a este punto, tenemos unas preguntas para usted, estimado lector. No es necesario que nos las conteste, respóndaselas usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta, un poco más amplia, que encontrará en la versión en línea de este artículo (www.magazcitum.com.mx): ¿Le parecen esos 5 principios … … razonables? … muy incompletos y que requieren de otros muchos? … abstractos y por tanto inaplicables? ¿En la empresa de usted se aplican … … plenamente? … en gran medida? … muy poco? … bastante, pero no es el Consejo/Junta quien lo hace, sino la Dirección Ejecutiva/ Gerencia? 1 Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director. 2 De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. 3 http://www.nacdonline.org/index.cfm. [Consulta 20140825]. 4 NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series 2014. http://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687. [Consulta 20140825]. 5 Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura. 6 http://www.isalliance.org/ [Consulta 20140826]. 7 ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20 Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826]. 8 NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf
  • 9. ESTÁAPAGANDOLAINSPECCIÓNDELTRÁFICO ENCRIPTADOPARAMANTENERELRENDIMIENTO? Presentamos el más rápido que nunca TENEMOS UNA MEJOR IDEA El trá co encriptado se está expandiendo en todo el mundo. Es por eso que WatchGuard ha lanzado dos nuevos dispositivos de seguridad que ofrecen una velocidad sin precedentes: el y .Firebox M400 M500 De hecho, el M500 es 61% más rápido que la competencia con todos los niveles de seguridad encendido.Y 149% más rápido para una alta capacidad de inspección HTTPS.* Ahora usted tiene el poder de ampli car el rendimiento de la red sin sacri car la fortaleza de su Seguridad. Copyright © 2015WatchGuardTechnologies, Inc. All Rights Reserved * ReportTB141118, Miercom, 2014, http://bit.ly/1yBAXGV Nunca comprometa la Seguridad. Adquiera los nuevos Firebox. Llámenos al +52 55 5347 6 063 o escríbanos un email: LatinInfo@watchguard.com
  • 10. 10 Ciberseguridad: ¿Verdaderamente estamos en un escenario más riesgoso? Marcos Polanco Velasco CISSP, CISM y CISA mpolanco@scitum.com.mx Constantemente escuchamos acerca de los riesgos a los que estamos expuestos hoy en día en el ciberespacio y de la relevancia que está tomando la ciberseguridad, esto reforzado por diversas noticias sobre incidentes (hackeo, fugas de información, robos de identidad y otros ataques). El perfil de los atacantes ha cambiado y por consecuencia el panorama de amenazas. La pregunta es si este nuevo contexto en realidad implica un escenario de mayor riesgo para nuestras organizaciones. En este breve artículo pretendo explicar y ejemplificar por qué la respuesta, desde mi punto de vista, es un rotundo SÍ. Iniciemos recordando que la seguridad informática tiene que ver con la administración de riesgos, y que riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad ocasionando un impacto en la organización. De esta definición, podemos identificar los tres elementos clave del riesgo: amenaza, vulnerabilidad e impacto. Si no hay amenaza no hay riesgo; si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo; y aunque haya amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo. Ahora revisemos cada uno de los tres elementos con más detalle: Análisis de las amenazas El nivel de amenaza al que una organización está expuesta tiene que ver con las capacidades e intenciones de los ciberactores1 de perpetrar un ataque. Es muy importante entender quiénes son los atacantes relevantes para una organización específica, de acuerdo a su presencia geográfica, al sector al que se dedica y a los activos que maneja (transacciones financieras, sistemas de control industrial, infraestructura crítica para una nación, estrategias de seguridad nacional, propiedad intelectual, etc.). Al ser sobre todo grupos organizados de delincuentes o financiados por los gobiernos, e incluso los propios gobiernos, los que están detrás de la mayor parte de los incidentes recientes, es claro que los recursos con los que cuentan son abundantes, por lo tanto podemos decir que la capacidad de los atacantes es mayor ahora. En relación a su capacidad técnica, sabemos que hoy están empleando métodos mucho más complejos y nuevos vectores para lograr su objetivo. Dicha capacidad técnica se determina principalmente por: »» Los métodos que utilizan, es decir, las técnicas de evasión, infraestructura, tecnología y codificación de los artefactos o arsenal cibernético. »» Los recursos empleados, tales como gente experta, herramientas tecnológicas y entrenamiento. A continuación menciono algunos ejemplos que demuestran cómo la capacidad de los atacantes se ha incrementado: »» Dragonfly es una campaña dirigida a comprometer sistemas de control industrial. Utiliza tres componentes de malware conocidos como remote access tools (RAT) en tres vectores de ataques: 1) Spearphishing, 2) Water Hole attack, es decir, la infección de sitios de interés para las víctimas, de tal forma que redirecciona a los visitantes a otro sitio que contiene el kit de explotación, el cual posteriormente instala el RAT y 3) Trojanized software, modificación del software oficial de los sitios de actualización de las plataformas de sistemas de control con RAT para que cuando los sistemas realicen la descarga de dichas actualizaciones también se contaminen con el malware. »» En noviembre de 2014 Symantec dio a conocer su reporte acerca de un malware denominado Regin, software que está diseñado para múltiples propósitos de obtención de inteligencia de largo plazo, manteniéndose indetectable. Está dirigido a gobiernos, operadores de infraestructura crítica (energía, telecomunicaciones, salud y aerolíneas), pequeñas empresas, investigadores y personas. El nivel de complejidad de este malware es muy alto, ya que es modular y permite la carga de funciones y objetivos específicos "sobre la marcha" dependiendo de la víctima, lo que sugiere que la cantidad de recursos utilizados para su desarrollo fue muy grande. México representa 9% del total de infecciones detectadas hasta el momento. 1 Ver definición en Magazcitum, Año 5, número 3, “Estableciendo un lenguaje común en ciberseguridad”
  • 11. 112014 - 2015 Como muchas cosas en la vida, sin motivación no hay resultados, y en este caso entre mayor sea la motivación, mayor es la intención de atacar. Debemos analizar dos preguntas clave: »» ¿Qué motivación puede tener un ciberactor? Puede ser fama, reconocimiento, "clamar justicia", o buscar algún tipo de ganancia ya sea política, financiera, militar, estratégica, operativa, etcétera. »» ¿Qué es lo que el atacante quiere extraer? Información personal, propiedad intelectual, información sobre planes estratégicos, base de datos de clientes, datos de tarjetas de crédito, acceso a sistemas de control industrial (ICS), etcétera. La venta de información sensible robada a organizaciones es un negocio muy lucrativo para los grupos delincuenciales, de igual forma, el ciberespionaje para recolectar información de inteligencia y secretos militares es muy atractivo pues permite, finalmente, tener capacidades para realizar operativos de ciberataque. A continuación describo algunos ejemplos que muestran cómo la intención de los atacantes ha cambiado: »» El Syrian Electronic Army (SEA), grupo hacktivista supuestamente ligado con el régimen sirio, en 2013 atacó sitios Web externos y cuentas de redes sociales de diversas organizaciones con el propósito principal de elevar la conciencia sobre su causa política. Utilizó dos tácticas para obtener acceso a las organizaciones víctima: la primera fue enviar correos tipo phishing desde cuentas internas y el segundo fue comprometer organizaciones de proveedores de servicio para utilizarlas como vehículo para llegar a la organización víctima. »» La campaña Dragonfly, descrita anteriormente, tenía como víctimas potenciales diversas empresas del sector farmacéutico y el objetivo era robar propiedad intelectual, planes de producción, capacidades y volúmenes de producción de las plantas de manufactura. »» APT28 es el nombre dado por Mandiant a un grupo de ciberespionaje ruso, aparentemente patrocinado por el propio gobierno de Rusia que está recolectando información sobre temas de defensa y aspectos geopolíticos. Se han identificado tres temas alrededor de este grupo: El Cáucaso, en específico el gobierno de Georgia; gobiernos y entidades militares del este de Europa y organizaciones específicas de seguridad como la OTAN. Dentro de la lista de posibles objetivos de este grupo de espionaje se encuentran diversos gobiernos, entre ellos el de México. Análisis del impacto El impacto tiene que ver con los efectos que el incidente puede ocasionar en la organización y estos pueden ser vistos desde dos grandes ópticas: operativos y estratégicos. El primero tiene que ver con las actividades del día a día de la organización, debe ser preferentemente expresado en términos monetarios, pueden ser directos debido a la indisponibilidad o inaccesibilidad de los servicios del negocio (hacia usuarios internos/clientes), o a la contención, remediación y erradicación del mismo. También pueden ser indirectos, tales como la improductividad de la fuerza laboral durante el suceso; los efectos secundarios con las entidades relacionadas en la cadena de valor y de suministro, o a los accionistas. A continuación menciono algunos ejemplos que muestran cómo el impacto operativo de algunos de los incidentes recientes ha sido muy alto: »» Stuxnet es un malware especializado en sistemas SCADA (supervisory control and data acquisition) que utilizan ciertas versiones de Siemens, el cual, para realizar la infección y propagación, explotó diversas vulnerabilidades del sistema operativo Windows bajo el cual corren estos sistemas. Permite tomar el control remoto de los equipos infectados; el vector de infección fue por medio de un USB, aprovechando una vulnerabilidad del "autorun" y directorios compartidos sin protección. Se identificó que los objetivos fueron plantas de energía y gas, principalmente en Irán, con la probable intención de sabotearlas reprogramando los controladores (PLC), de tal forma que se modificara la frecuencia de unos convertidores que controlan la velocidad de los motores, ocasionando fallas en cerca de 1,000 centrifugadoras de una planta de enriquecimiento de combustible en Natanz. »» Ataque a JP Morgan que afectó 76 millones de cuentas personales y 7 millones de cuentas de pequeños negocios, además de JP Morgan se identificó a más de una decena de instituciones financieras de los Estados Unidos con el mismo problema. »» La cadena Home Depot sufrió un ataque a través del cual se extrajeron 53 millones de direcciones de correo y 56 millones de tarjetas de crédito. Inició en la parte perimetral al obtener el usuario y contraseña de un proveedor y luego obtuvo mayores privilegios para moverse en el resto de los sistemas de la empresa. El malware utilizado no había sido visto antes.
  • 12. 12 El otro tipo de impacto es aquel que afecta los intereses estratégicos de una organización, esto se refiere a la pérdida de ventajas competitivas por robo de información relativa a planes estratégicos, planes de fusiones y adquisiciones, información sobre personal clave o directivos, información sobre clientes, etcétera. También considera los impactos no tangibles como afectación a la reputación, la cultura organizacional, aspectos geopolíticos, presencia en el mercado, por mencionar algunos. A continuación expongo ejemplos que demuestran el alto impacto de los incidentes recientes: »» Más de 100 millones de datos de tarjetas de crédito fueron robadas de las tiendas departamentales Target, lo que implicó un costo de millones de dólares y la renuncia del director general (CEO) y el director de sistemas (CIO). »» Para el caso de Home Depot expuesto anteriormente, aun cuando todavía no se tiene el monto del costo del incidente, este podrá incluir reembolsos por los fraudes a las tarjetas, costos por reemisión de los plásticos, demandas civiles, investigaciones gubernamentales, servicios legales, de investigación y consultoría, gastos adicionales e inversiones de capital para actividades de remediación. Estos costos podrán tener un impacto adverso en los resultados financieros de la empresa. Análisis de las vulnerabilidades En cuanto a las vulnerabilidades, los elementos a considerar son la gente, procesos y tecnología. Como siempre, el eslabón más débil somos las personas. Tanto las amenazas tradicionales como las nuevas tocan en algún punto a la gente, y en la medida que sigamos siendo vulnerables seguirán teniendo éxito. Un ejemplo que cómo los atacantes buscan tomar ventaja del factor humano es el siguiente: en la campaña de Dragonfly, el primer vector de ataque fue el envío de una serie de correos apócrifos (técnicamente conocidos como spearphishing) que contenía un anexo en formato XDP (Adobe XML Data Package) con malware. Estos correos fueron diseñados específicamente y dirigidos a 37 personas (altos ejecutivos y personal experimento) de 7 organizaciones objetivo, y el asunto de dichos correos era sobre aspectos administrativos de las empresas. Por otro lado, las vulnerabilidades de los sistemas siguen teniendo la misma dinámica, es decir, no son ni más ni menos seguros, lo que sucede es que ahora la superficie de exposición es mayor. Esto significa, por un lado, que ahora los empleados tienen presencia online en las redes sociales, lo cual puede ayudar a los hackers a obtener información para atacar de forma dirigida o para utilizarlo como parte de un vector de ataque. Y por el otro, las organizaciones cada vez tienen más infraestructura expuesta al ciberespacio, nuevas aplicaciones Web y en la nube, mayor cantidad de servicios basados en Web, servicios de hospedaje, BYOD, mayor interacción con terceras partes vía aplicaciones Web, etcétera. Conclusiones Grupos organizados con capacidades y recursos (económicos, tecnológicos y humanos) están generando ataques dirigidos, más complejos y muy difíciles de descubrir por medio de los mecanismos tradicionales. Sus principales motivaciones son económicas y políticas, por lo que sus blancos primarios son instituciones financieras y entidades gubernamentales. Es decir, los atacantes tienen mayor capacidad e intención para realizar ataques. El impacto de los incidentes ahora es mucho más significativo por el tipo de objetivos que se persiguen. Anteriormente poco hacíamos respecto a los riesgos que representaban un alto impacto ya que su probabilidad de ocurrencia era muy baja, ahora estos suceden con mucha mayor frecuencia. En resumen, hay amenazas más sofisticadas, por lo tanto mayor probabilidad de ocurrencia, esto sumado a que los impactos son más significativos da como resultado un escenario de mayor riesgo. Este contexto nos obliga a implementar estrategias específicas complementarias a las actuales para su mitigación. Fuentes: • Mandiant 2014 Threat Report. • FireEye Special Report APT28: A window into Russias´s cyber espionage operations? • Symantec Security Response. Regin: Top-Tier espionage tool enables stealthy survillance. • Belden White Paper Defending Against the Dragonfly Cyber Security Attacks. https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf • Symantec Security Report W32. Stuxnet Dossier. http://www.scmagazine.com/the-chase-breach-lasted-for-two-months-and-impacted-76-million-household-accounts-and-seven-million-business- accounts/article/375377/ • Implementation Framework - Cyber Threat Prioritization. Software Engineering Institute. Carnegie Mellon University • ISACA NOW. A simple definition of cybersecurity. • Scitum White Paper: ¿Qué es la Ciberseguridad?
  • 13. · DIAGNÓSTICO Y PROTECCIÓN CONTRA AMENAZAS AVANZADAS · ANÁLISIS FORENSES AVANZADOS · RESPUESTA A CIBERINCIDENTES · CIBERINTELIGENCIA · GESTIÓN CONTINUA DE CIBERRIESGOS BASADA EN INTELIGENCIA C I B E R S E G U R I D A D S E R V I C I O S D E E V O L U C I O N A A N T E LO S N U E VO S D E S A F Í O S T U S E G U R I D A D M AYO R E S I N F O R M E S A L T E L É F O N O : 9 1 5 0 . 7 4 0 0 E x t . 1 8 0 9 y 1 7 3 1 Y A L CO R R E O E L E C T R Ó N I CO : v e n t a s @ s c i t u m . c o m . m x
  • 14. 14 c·o·n·e·x·i·o·n·e·s Conexiones Habilidades tradicionales vs malware Imelda Flores PMP, CISSP, ITIL, CCNA Security, Cisco IPS y Optenet Certified iflores@scitum.com.mx Durante el congreso de ciberseguridad realizado por Scitum y Telmex el pasado octubre, Shay Zandani, experto en ciberseguridad, habló de “la vieja escuela vs la nueva escuela” en seguridad, decía que la vieja escuela es seguir haciendo lo mismo que hasta ahora: controlar las vulnerabilidades, tener un firewall, un IPS y un correlacionador y esperar a que llegue un incidente, mientras que en la nueva escuela los individuos identifican las motivaciones de los atacantes y los posibles vectores de ataque, obtienen una radiografía de cómo está su seguridad, miden su nivel de riesgo de acuerdo a su entorno y realizan simulaciones de ciberincidentes. Comovemos,lavisiónde“lanuevaescuela”enfrentalosretosqueimponenlasnuevasciberamenazas: no existen fronteras ni legislación, son difíciles de detectar y se caracterizan por ser persistentes y dirigidas. Son justamente estos retos los que nos obligan a revisar tecnologías distintas a las tradicionales para, por ejemplo: »» Identificar las llamadas a los centros de comando y control del malware. »» Detectar movimientos laterales en la LAN. »» Realizar análisis forense en línea sin necesidad de esperar horas a obtener una imagen del equipo infectado. »» Hacer uso de los indicadores de compromiso para saber rápidamente si un host en realidad ha sido comprometido o se trata solo de un falso positivo. Y no basta con tecnología nueva, lo importante es contar con analistas que sean capaces de tomar acción a partir de la información arrojada por los dispositivos, ya que los falsos positivos siguen siendo el mayor desafío a la hora de integrar estas nuevas tecnologías a la seguridad por capas. Entendiendo que la tecnología para afrontar las amenazas avanzadas es diferente a la tradicional, nos deberíamos preguntar ¿Los analistas de la seguridad tradicional son los mismos que podrán lidiar con las tecnologías enfocadas a amenazas avanzadas? No necesariamente, ya que las alertas que arroja un firewall, un IPS, un filtrado de contenido o un antivirus son relativamente simples de interpretar, mientras que la mayor parte de las herramientas antimalware despliegan el resultado de los cambios al sistema operativo por parte del malware (inyecciones de código, mutex, llamadas a sistema, y un largo etcétera).
  • 15. 152014 - 2015 Es justo esta información de cambio la que da pie a una investigación profunda, cuando la identifica un ojo experto, que entiende el comportamiento del malware, sus vectores de ataque y sus mecanismos de evasión, además de que es capaz de hacer ingeniería inversa al artefacto, en caso de que la evidencia no sea contundente sobre su afectación al sistema, porque recordemos que el poder de las amenazas avanzadas radica en que se mueven sobre protocolos conocidos, usan puertos conocidos y aseguran su persistencia por meses a través del uso de distintas técnicas. Por ello, los profesionales de seguridad tradicional necesitan evolucionar hacia nuevas habilidades que les permitan estar a la vanguardia y no necesariamente todos los que administran la seguridad tradicional serán capaces de hacerlo, ya que para ello se requieren muy buenas bases en conocimientos de ensamblador, sistemas operativos, lenguajes de programación de bajo nivel, etcétera. Como siempre, el éxito en la protección es producto de atender los tres ejes: personas, tecnología y procesos, sin embargo la preparación del equipo de trabajo a cargo de la seguridad de las organizaciones resulta más relevante que nunca, o de lo contrario estas se pueden preparar para identificar sus incidentes cuando ya sea demasiado tarde, sin importar que posean el último dispositivo de seguridad del mercado. Ya no solo basta con tener “cajas”, es imperativo proveer un monitoreo 7x24 para convertir las alertas en inteligencia accionable y de esta manera actuar en el menor tiempo posible, ya que dadas las circunstancias que nos rodean todos podemos ser comprometidos, pero la diferencia entre un incidente con enormes pérdidas y un incidente contenido antes de que cause un daño irreparable puede ser de solo unas cuantas horas o incluso minutos.
  • 16. 16 Ser "compliance" o pagar más Fabián Descalzo Director certificado en seguridad de la información (Universidad CAECE), ITIL v3-2011 y auditor ISO 20000 fabiandescalzo@yahoo.com.ar opinión Cada vez que las áreas de negocio buscan nuevas oportunidades comerciales, hay costos asociados que no suelen tomarse en cuenta y habitualmente esto sucede por no convocar a todas las personas que pueden colaborar con su aporte, no solo para el éxito de la iniciativa, sino para evitar costos ocultos a futuro que afecten al negocio. Los nuevos proyectos que requieren de la tecnología como servicio son aquellos que están más fácilmente a merced de los errores de "visión", dependiendo del perfil de quien los lidere y de quienes compongan el equipo de proyecto. Para satisfacer las necesidades del negocio, desde las áreas tecnológicas surgen diversas ideas para brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento y disponibilidad de los datos, pero no siempre se consideran otros costos asociados... y sus riesgos. ¿Qué debe cuidarse entonces? Cuando las áreas de negocio y tecnológicas piensan en recibir y brindar un servicio, no siempre entienden que este debe llevar una parte de aseguramiento y cumplimiento regulatorio. El objetivo principal buscado es "información disponible y de rápido procesamiento", dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos, que como sabemos no solo son del negocio sino incluso de terceros, como es el caso de los datos personales, tarjetas de crédito, información financiera o de salud. ¿Cuántas veces nos preguntamos de qué depende el éxito? ¿Hacemos una lista de componentes necesarios para el éxito de cada proyecto del negocio, con base en el tratamiento de la información? ¿Los procesos de tratamiento de los datos están incluidos como factor necesario para el éxito? Para facilidad de análisis, pensemos como ejemplo en un proyecto de transferencia de dinero, que requiere de los siguientes componentes: »» Infraestructura tecnológica. »» Software aplicativo. »» Telecomunicaciones. »» Proveedor de servicios financieros y comunicación para la transferencia de dinero. »» Datos personales, bancarios y financieros de los clientes. Primero, y teniendo en cuenta el tipo de datos a tratar y que formarán parte del proceso de negocio, es conveniente consultar con el sector legal cómo abordar lo referente a la contratación de los proveedores, ya que se debe tener en cuenta que la responsabilidad y control del tratamiento de datos no es delegable. Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles, ya que nuestra empresa es responsable por los datos y debe velar por ellos durante todo el proceso del servicio ofrecido a sus clientes. En este aspecto tengamos en cuenta que diferentes leyes que regulan el tratamiento de datos determinan que las personas naturales y las personas jurídicas, tales como las emisoras y operadoras de tarjetas de crédito, las empresas de transferencia y transporte de valores y dinero están obligadas a informar sobre los actos, transacciones u operaciones sospechosas que adviertan en el ejercicio de sus actividades. Por ello deberemos velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOX, la legislación de protección de datos personales de nuestro país o región y las aplicables a transacciones con tarjetas de pago.
  • 17. 172014 - 2015 Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una guía que nos permita definir la infraestructura y su configuración adecuada para, de esta forma, dimensionar convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte tecnológico al proceso de negocio, contemplando entre otros los siguientes puntos principales: »» En todos los casos debe revisarse que el sistema esté preparado para disociar la información del tarjetahabiente así como el número PAN (Primary Account Number – Número Primario de Cuenta). »» Tratamiento y almacenamiento de los datos del cliente requeridos para registrar la operación, de acuerdo a lo especificado por las diferentes leyes de lavado de dinero en lo concerniente a la obligación de crear y mantener registros de las operaciones. »» Contemplar las variantes de datos a ingresar según el monto de las operaciones. »» Contemplar los plazos mínimos de guarda de los registros de las operaciones y su integridad, que pueden ser requeridos por las unidades de análisis financiero. Se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la integridad y confidencialidad de los datos, la imagen de nuestra empresa y las penalidades regulatorias posibles, por ejemplo: »» Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de información. »» Error en la integridad de la información por fallas en la conversión de datos en las interfaces con los aplicativos del proveedor. »» Error en la integridad de la información por fallas en la operación del proveedor. »» Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio. »» Mayores costos por el rediseño del proceso o del software, dimensionamiento deficiente del hardware, horas hombre adicionales y aplicación productiva fuera de línea. Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa posterior, cuando la aplicación ya esté en producción y el proceso en plena actividad: »» Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información regulatoria. »» Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad con los procedimientos y políticas de nuestra empresa. »» El acceso a los sistemas que contengan datos confidenciales debe ser asignado de modo adecuado a aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas. »» Los terceros deben notificarnos de todos los cambios de personal que afecten el servicio que nos proporcionan. »» Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica, personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles considerarán todos los requisitos regulatorios e imperantes establecidos por la ley. »» Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros, y los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado tendremos el derecho a revisar. »» Se deben firmar convenios de confidencialidad con los terceros con los que se intercambie información. »» Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y disposición final de la información. »» Contar con documentación de respaldo de los sistemas de comunicaciones con proveedores críticos donde se transfiera información sensible del negocio. »» Aprobar toda nueva conexión antes de integrarse al ambiente productivo. »» Las conexiones con terceros deben restringirse a los equipos centrales de proceso, aplicaciones y archivos específicos. »» El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar de configuración de seguridad y se debe verificar su cumplimiento con periodicidad.
  • 18. 18 En resumen, la idea detrás de todo es tener normatividad y controles a lo largo de todo el proceso, como se muestra en la imagen siguiente: En lo que respecta a la infraestructura tecnológica que brinda soporte y servicio al proceso de negocio, esta debe estar diseñada para asegurar el cumplimiento de los siguientes puntos esenciales: »» Régimen de los datos. Desarrollar un entorno de confidencialidad que asegure la no disposición de los datos ni el uso de los mismos para fines que no estén de manera expresa asociados con el servicio que se preste y, en caso que se trate de datos personales, con el consentimiento del titular de los datos. »» Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con todos los aspectos relacionados con la retención, registros de auditoría y destrucción de información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de procesamiento de datos. »» Seguridad en el acceso. Garantizar que la información solo será accesible para personal autorizado. »» Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. »» Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar los paros programados para mantenimiento con la suficiente antelación. »» Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros contratados. Recomendaciones finales »» Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad compartida entre el proveedor y nuestra empresa. »» Asegurar la intervención interdisciplinaria de diferentes sectores de la organización para todos los proyectos (áreas legales, de tecnología, de seguridad informática, desarrollo de sistemas, seguridad física, etc.). »» Ejecutar los controles y gestión de riesgos en forma continua. »» Mitigar los riesgos a través de contratos y SLA orientados a los controles y gestión de riesgo. »» En caso de tercerización, robustecer la seguridad con base en sus capacidades y así reducir la carga de cumplimiento al compartirla con el proveedor. Así pues, ser "compliance" requiere de un amplio conocimiento que solo conseguiremos integrando un equipo de trabajo con las diferentes visiones de nuestra empresa, que con su experiencia aportarán una mejor gestión de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al negocio y asegurarán también un servicio de calidad.
  • 19.
  • 20. 20 Las cosas de la vida y el Internet de las cosas: nuevos retos para la seguridad Esteban San Román El Internet de las cosas (IoT, Internet of things) se ha vuelto un tema recurrente en los artículos de tecnología y en los esquemas de solución tecnológica de los fabricantes. Con la versatilidad y funcionalidad que le son implícitas a la inclusión de más elementos en una actividad cotidiana de nuestro trabajo o de la vida diaria, también aparecen nuevos riesgos en la seguridad de estos dispositivos de igual manera que en la información que se transporta entre ellos. CISSP, CISA, CRISC, CEH, ENSA e ITIL esanroman@scitum.com.mx opinión El protocolo IPv6 permitirá asignarle una dirección única a prácticamente cualquier entidad que maneje algo de tecnología, no solo a los equipos de cómputo fijo o móviles tradicionales, sino también a nuevos elementos como el monitor de un marcapasos, un elevador de un edificio de oficinas, la máquina de refrescos de una universidad, un sensor colocado a un animal en una granja, o enseres domésticos como el refrigerador, el horno de microondas o los controles de temperatura e iluminación de nuestro hogar, por mencionar algunos. Muchos de estos nuevos elementos tienen sus peculiaridades, por ejemplo, sus “sistemas operativos” son usualmente de propósito específico, es decir, desempeñan una serie de funciones puntuales y nada más. Esto, por un lado, reduce la posibilidad de materialización de un ataque sofisticado pero también provee servicios vulnerables que, por esa misma falta de funcionalidad, hacen muy difícil contrarrestar las vulnerabilidades con una solución robusta. Así pues, la seguridad seguirá siendo, para bien o para mal, un tema ineludible en nuestro futuro próximo. Poniendo en orden la casa Para el Internet de las cosas existe hasta un foro de discusión (www.iofthings.org) que plantea cuatro directrices hacia los consumidores: »» Valor, para hacer la vida más eficiente, segura y transparente. »» Datos, para ayudar a entender los beneficios y el valor de la información contenida en esos datos. »» Seguridad, para construir confiabilidad alrededor de las experiencias con el IoT. »» Diseño, para consentir al consumidor con el producto y su utilidad. Android se ha convertido en la plataforma predilecta para una nueva generación de dispositivos que va desde teléfonos inteligentes, tabletas, consolas de juegos, y relojes, hasta dispositivos para automóviles y mucho más. Google tiene muy claro que su estrategia de comercialización debe ir enfocada a satisfacer necesidades de esos nichos de mercado como ya lo ha hecho con GLASS y con Moto 360. Amazon y su plataforma AWS están haciendo, por su parte, más fácil el desarrollo de aplicaciones para plataformas Android. Para dar vida a esta visión ya no tan futurista, hoy vemos una interacción sin precedentes entre fabricantes de dispositivos electrónicos de consumo masivo, circuitos electrónicos y marcas líderes, todas ellas con el compromiso de promover nuevas soluciones de diferentes tipos, estilos y tamaños para adecuarse a las necesidades y caprichos de una nueva generación de consumidores.
  • 21. 212014 - 2015 Evolución del Internet de las cosas ¿Cómo protegerse de incontables eventos de intrusión e interferencia que pueden comprometer la privacidad personal o amenazar a la comunidad? La seguridad de la información se volvió un asunto de interés general en el momento en que se comenzó a compartir información entre sistemas de cómputo; pasamos de los antivirus a los primeros firewalls de filtrado de paquetes y de ahí a los que trabajan de manera estrecha con los aplicativos, para llegar finalmente a aquellos contenidos en un solo procesador. Los IDS/IPS se introdujeron a este escenario para trabajar en un siguiente nivel de sofisticación, detectando comportamientos anormales del tráfico y los primeros ataques elaborados representados por firmas muy peculiares; todo esto más tarde se vio reforzado con soluciones especializadas como los filtros de correo, de tráfico Web, de bases de datos y transacciones basadas en portales Web. Este cúmulo tecnológico se comenzó a gestionar a través de las soluciones de manejo de eventos e incidentes (SIEM) y el propósito de principio a fin se ha mantenido prácticamente inalterado: mantener la actividad maliciosa fuera de los sistemas o detectarla y erradicarla. La evolución de la seguridad nos ha llevado de identificar lo que no queremos que pase (blacklisting), a distinguir lo que sí vamos a permitir (whitelisting) y de ahí para adelante. Todo esto ha sido enriquecido con técnicas de autenticación e identificación del usuario. El manejo de la privacidad de los datos personales, la propiedad intelectual, la confidencialidad de los contenidos a través de redes privadas virtuales y de soluciones que implementan estándares como 802.11i (WPA2), 802.1ae (MACsec), además de pruebas de confiabilidad a profundidad que se realizan a los aplicativos son también aspectos considerados en las soluciones de hoy y en particular del aseguramiento de la información transportada. ¿Cuáles son entonces los aspectos a tomar en cuenta? Bajo el contexto del Internet de las cosas hay varios aspectos que necesariamente deben ser adecuados para brindar los niveles de servicio y seguridad que se van a requerir. De entrada, la reingeniería de algunas soluciones se vuelve el primer aspecto a enfrentar. Utilizar el apoyo del blacklisting implica destinar una considerable cantidad de espacio de almacenamiento para que pueda tener una utilidad práctica. Los dispositivos que ahora forman parte del entorno de Internet de las cosas se caracterizan por tener un bajo consumo de energía; hay sistemas enteros contenidos en un solo chip, y estos dispositivos están concebidos para tener una conectividad muy definida y limitada. Como hemos comentado, al ser de propósito específico, el diseño está planteado para no realizar algo más allá de una serie de tareas específicas. Así pues, necesitamos, en primer lugar, considerar la seguridad desde el diseño de los dispositivos y desde la construcción de las aplicaciones. Dado que virtualmente cualquiera con un poco de entrenamiento puede empezar a generar aplicativos, es imprescindible cuidar que la calidad del código generado sea cada vez mejor. Si la seguridad se considera desde el planteamiento de los primeros bloques funcionales de la aplicación, es muy probable que desde su concepción el nuevo código tenga ya un primer nivel de seguridad. El siguiente gráfico muestra un breve recuento de lo que se ha presentado en el Internet de las cosas a partir de 1999, que fue cuando se acuñó este término. La evolución ha pasado por solventar necesidades de las organizaciones, como la reducción de los tiempos de operación y costos, la incorporación de tecnología inalámbrica, geolocalización y la disminución de tamaño de las soluciones, hasta el desarrollo de aplicaciones personalizadas para fines muy diversos.
  • 22. 22 Es muy importante destacar que en el mundo del Internet de las cosas la interacción personal es casi nula, lo que quiere decir que no existe una interacción con alguien de carne y hueso para asuntos como capturar las credenciales de acceso o decidir si un aplicativo es confiable, por lo tanto los dispositivos regularmente realizan sus propias decisiones sobre si se ejecuta o no un comando o una tarea determinada. En una topología tipo del Internet de las cosas encontraremos al dispositivo que se puede comunicar a través de una red cableada o inalámbrica y, de ahí, conectada a una nube pública como Internet, o privada como la red corporativa de su organización. El siguiente gráfico muestra este planteamiento: Topología tipo del Internet de las cosas Definiendo la estrategia La recomendación para este entorno es seguir un enfoque multicapa que inicia desde que se energiza el dispositivo, se integra a un entorno donde ya hay otros dispositivos que han sido endurecidos (conocido en arquitectura de seguridad como cómputo confiable o trusted computing) y a partir de ahí queda blindado contra cualquier entidad ajena al proceso o la tarea que se desee ejecutar.
  • 23. 232014 - 2015 Como ya se mencionó, la seguridad debe estar presente desde el diseño inicial del dispositivo hasta que este se integra a un ambiente operativo de solución, para lo que recomendamos: 1. Una inicialización segura que cuide la autenticidad y la integridad del software que utiliza el dispositivo y que puede estar verificado a través de algoritmos criptográficos que involucren firmas digitales. 2. Controles de acceso robustos que limiten los privilegios de los componentes y las aplicaciones que utilizan para que realicen únicamente las actividades que requieren para completar sus tareas. En caso de que algún componente sea comprometido, un buen control de acceso limitará el acceso a otras partes del sistema. Seguir el principio del menor privilegio es el proceder más adecuado. 3. Autenticación de dispositivos. Tan pronto el dispositivo se inicializa, y antes de que reciba o transmita información, debe pasar por un proceso de autenticación. A este nivel, la autenticación entre dispositivos se da consultando información resguardada en un área segura de almacenamiento. 4. Apoyo de elementos de seguridad. Con tecnologías de inspección de paquetes a profundidad se pueden analizar adecuadamente protocolos propietarios y conjuntos de instrucciones particulares que identifiquen si una transacción específica debe ser permitida o no. Aquí ya no se trata del análisis tradicional de protocolos como HTTP, sino de soluciones y protocolos muy específicos, muchas veces propietarios. 5. Actualizaciones y parches. Como cualquier otro elemento tecnológico, los dispositivos del IoT deben ser sujetos a actualizaciones que hacen más eficiente y seguro su código de operación, sin afectar por ello la funcionalidad y el desempeño de las soluciones. Conclusiones En el Internet de las cosas, que nos llenará de dispositivos conectados a la red para múltiples funciones en la vida diaria, la seguridad no debe tratarse como algo para agregar posteriormente al dispositivo, el enfoque debe ser en todo momento integral. El punto ideal de arranque es el sistema operativo, desde sus entrañas debe llevarse a cabo el endurecimiento para limitar las funciones del dispositivo a las que estrictamente sean necesarias. El mismo nivel de inteligencia que permite a una solución realizar funcionalidades específicas debe habilitarse para que tenga la capacidad de reconocer y contrarrestar las amenazas que pueda enfrentar. No nos esperemos a buscar soluciones que aún no existen, el enfoque debe estar en la construcción de soluciones que contemplen controles de seguridad optimizados para los retos que imponen las aplicaciones que se integran día a día como motores del Internet de las cosas.
  • 24. 24 c·o·n·e·x·i·o·n·e·s El propósito de esta serie de artículos es presentar los retos a los cuales se enfrentan las organizaciones en cuanto a la respuesta a incidentes de seguridad y dar algunas recomendaciones generales de cómo pueden fortalecer sus procesos. En la actualidad la industria parece estar más abierta a hablar de temas que anteriormente quería mantener en privado: hacking back hoy es parte de la estrategia de ciberdefensa y se acepta que en general todas las organizaciones están expuestas a ataques avanzados, por lo que solo es cuestión de tiempo para que sean penetradas. Lo anterior provoca que la seguridad cambie sus enfoques; en el pasado se hacía referencia a crear redes de computadoras que pudieran resistir cualquier tipo de ataque, la idea era no ser penetrado, y es ahí donde aspectos como la prevención tomaron mucho protagonismo. Ahora el paradigma se ha transformado y nos ha llevado a diseñar redes de computadoras que sabemos serán penetradas por ataques tradicionales y avanzados, por lo que deben ser monitoreadas constantemente para poder identificar de la manera más rápida y oportuna cuando son penetradas y actuar minimizando el impacto de la intrusión. En este punto la detección vuelve a ponerse de relieve, sin embargo trae los mismos problemas del pasado respecto a falsos positivos; al final pareciera que todo aquello que la detección nos prometió hacer hace años comienza a ser posible gracias a los avances tecnológicos con los que hoy se cuenta. Lo que es un hecho es que las amenazas actuales son dinámicas, multi-vectores, no se limitan al uso de malware y están diseñadas para evadir las restricciones de seguridad tradicionales y avanzadas. Incluso podemos asegurar que los actores que están detrás de muchos de los ataques son profesionales que han sido entrenados hasta por gobiernos, por ello, si las amenazas son dinámicas y detrás de ellas hay personal altamente capacitado, nuestras capas de protección deberían ser dinámicas también y operadas por personal altamente capacitado. Si tuviéramos que referirnos al proceso que nos ayudará en la protección de las amenazas avanzadas, este debería ser el de respuesta a incidentes de seguridad, dado que su naturaleza es preparar a la organización para entender y saber cómo debe responder. En el artículo “Embedding Incident Response into the DNA of the Organization”1 Sean Mason nos ayuda a entender que si no logramos que la respuesta a incidentes sea parte del ADN de la organización, resultará muy complicado enfrentarnos no solo a amenazas tradicionales sino también a las avanzadas, incluso Bruce Schneider2 escribió un artículo respecto al futuro de la respuesta a incidentes y las capacidades que se deberían generar. En el pensar de... La respuesta a incidentes en la época de amenazas avanzadas (primera parte) Eduardo Patricio Sánchez Díaz CISSP, CISM, GCIH, GWAPT y CEH epsanchez@scitum.com.mx Cuando se habla de respuesta a incidentes, existen diversos marcos como NIST SP800-613 y los lineamientos del CERT. En general todos ellos abordan las fases de la respuesta a incidentes de seguridad, las cuales se describen en la imagen siguiente: Fases del proceso de respuesta a incidentes de seguridad
  • 25. 252014 - 2015 Con un acercamiento tradicional cada una de las etapas podría ser lineal, sin embargo cuando sabemos que las amenazas cambian constantemente y cuando nos concientizamos de que cada día surgen nuevos vectores de ataque, estas fases no deben asumirse tan lineales y un acercamiento más correcto podría ser el mostrado en la imagen siguiente: Fases del proceso dinámico de respuesta a incidentes de seguridad La fase central de la respuesta a incidentes debería ser la primera y se llama preparación; en esta fase se crean aquellas capacidades que permitirán responder de manera correcta ante un incidente. La preparación se vuelve crítica ya que será el fundamento sobre el cual se base toda la estructura, además de que será aquella que alimente cada etapa posterior de capacidades. Las recomendaciones para lograr una fase de preparación adecuada son las siguientes: »» Establecer un grupo multidisciplinario para fungir como CSIRT: las organizaciones que cuentan con un equipo CSIRT por lo regular lo visualizan como un rol que pueden tomar diferentes personas en caso de requerirse; sin embargo, este enfoque puede no ser el más indicado puesto que hoy se requiere que las organizaciones tengan personal fijo y dedicado íntegramente a la respuesta a incidentes. Este grupo debe ser interdisciplinario dada la naturaleza de sus funciones, y en él deberían existir al menos los siguientes roles, los cuales pueden ser bajo demanda: o Abogado. o Relación con medios de comunicación. o Representante de operaciones. o Representante de servicios de tecnologías de información. o Representante de seguridad de la información. No obstante, de manera adicional debe existir personal dedicado que cubra las siguientes funciones: o Monitoreo avanzado de seguridad. o Hunting de amenazas. o Análisis de malware. o Pruebas de seguridad. o Fortalecimiento de sistemas. o Actividades de Triage.
  • 26. 26 c·o·n·e·x·i·o·n·e·s C M Y CM MY CY CMY K »» Arquitectura de seguridad dinámica: como parte de la preparación se debería contemplar proponer o desarrollar la nueva arquitectura de seguridad. Cuando de protección contra amenazas avanzadas se trata debemos considerar varios factores de detección, y por lo tanto de protección. Sin llegar a desarrollar estrictamente “seguridad en capas”, se debe monitorear y proteger diversos puntos de la red, entre los cuales los más representativos podrían ser: o Perímetro: aunque el perímetro de las organizaciones es cada vez una línea más difusa, debemos seguir protegiendo las entradas y salidas de datos de la organización. o Red interna: la detección de anomalías en la red interna debe ser una preocupación, los movimientos laterales que efectúan los atacantes en los mismos segmentos de red tienden a ser el punto ciego para muchas organizaciones, por ello es importante contar con una capa de seguridad ahí. o EndPoint: la protección a nivel de endpoint no puede descartarse y debe incluir desde servidores y equipos de cómputo personales hasta dispositivos móviles. Esta arquitectura debe estar pensada también para proteger los activos cuando están fuera de la organización y contar con una capa de visibilidad de contexto regional y global de las nuevas amenazas, que pudiera ser cubierto con suscripciones de “threat inteligence”. »» Mayor visibilidad de lo que sucede: contar con una capa de visibilidad de lo que realmente ocurre en la organización debe ser fundamental; esta capa debe cubrir al menos los siguientes aspectos: o Visibilidad en tráfico cifrado. o Visibilidad de los equipos que están conectados a la red o que tienen información de la organización. o Visibilidad de las vulnerabilidades en los activos tecnológicos (en tiempo casi real o, en su defecto, con ventanas muy cortas de detección). Antes de terminar, listo a continuación algunos de los principales retos para lograr una adecuada respuesta a los incidentes de seguridad: »» Personal adecuado: contar con personal calificado tanto en el entendimiento del negocio como en los detalles técnicos siempre será un reto para las organizaciones. Los perfiles requeridos son muy complejos de reclutar pero sobre todo para retenerlos. »» Presupuestos asignados: cuando la respuesta a incidentes de seguridad se convierte en parte de la organización, uno los beneficios que debiera obtenerse es su propio presupuesto; el reto aquí es cómo se balancea la asignación de recursos para contar con un proceso robusto de respuesta versus los beneficios, que muchas veces parecen intangibles. »» Visibilidad: lograr una capa de visibilidad de lo que sucede en la organización, que se aproxime a la visualización en tiempo real, siempre es algo difícil de lograr. »» Correlación: no sé si sea la palabra correcta o si debe ser security analytics, pero si una organización quiere enfrentar de manera correcta las amenazas avanzadas, requiere capacidad no solo de análisis y bitácoras de sistemas, también tiene que integrar aplicaciones que no generan bitácoras, debe incluir análisis de tráfico de red e incluso análisis de datos volátiles. Con esto y con mayor visibilidad incluso podrá llegar a contar con una capa de situational awareness. »» Entendimiento de los procesos de negocio: en el pasado ha sido crucial entender cómo funciona una organización para poder protegerla, sin embargo, para enfrentar amenazas avanzadas no solo basta conocer, se requiere entender completamente a la organización, sus procesos, puntos débiles y puntos fuertes. Como se ha manifestado y fundamentado, la respuesta a incidentes debería ser parte integral de toda organización, y si es posible debería convertirse en parte de uno de los procesos base del negocio para garantizar el cumplimiento de sus objetivos. En la siguiente parte me adentraré más en el detalle de las otras fases del proceso de respuesta a incidentes de seguridad. 1 Mason Sean, Embedding Incident Response into the DNA of the Organization, 1 de octubre 2014, http://blog.seanmason.com/2014/10/01/incident- response-muscle-memory 2 Schneider Bruce,’ The Future of Incident Response, 10 de noviembre 2014, https://www.schneier.com/blog/archives/2014/11/the_future_of_i.html 3 NIST, Computer Security Incident Handling Guide , agosto 2012, http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf
  • 27. ¿Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, lasolución líder del mercado: » Aprendizaje automático de laestructura de las aplicaciones ydel comportamiento de losusuarios » Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales » Mediante lasolución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas » Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades » Proporciona unalto rendimiento, implementación directa ygeneración de alertas, e informes claros yrelevantes desde el punto de vista empresarial » Cumple totalmente losrequisitos6.6 de PCI DSS SecureSphere WebApplication Firewall ThreatRadar Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520 Informes: cynthia.ortega@imperva.com Tel: 55 8000 2370 © Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.
  • 28. 28 c·o·n·e·x·i·o·n·e·s Tips Víctor David Casares CEH y CCNA btr1200@gmail.com ¿Windows guarda mi contraseña en texto plano? Esa es la pregunta a la cuál un consultor de seguridad informática se enfrenta cada vez que le piden obtener el control de un equipo y acceder a la contraseña de usuario en texto plano sin aplicar técnicas de cracking. La respuesta es NO, Windows no almacena la contraseña de un usuario en texto plano. Una vez que el usuario inicia sesión, la contraseña es almacenada en memoria de forma cifrada, sin embargo sí hay maneras de “obtenerla”. Dentro del sistema LSA (local security authority) existen varios proveedores de autenticación que vienen habilitados por omisión. Se pueden ver estos proveedores ingresando a la siguiente llave del registro: HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages Proveedores de autenticación En Windows XP y versiones posteriores existen 2 proveedores de autenticación que almacenan la contraseña de los usuarios: »» Wdigest: usado para dar seguridad a las conexiones HTTP que requieran autenticación del tipo Digest. »» Tspkg: empleado para dar seguridad a las conexiones SSO (single-sign-on) con Terminal Server.
  • 29. 292014 - 2015 Aunque dichos proveedores raramente son usados, vienen habilitados por omisión. Un investigador francés denominado Gentil Kiwi descubrió una falla de seguridad que permite obtener las credenciales en texto plano, e incluso creó una herramienta para ello: Mimikatz. Mimikatz puede ser ejecutada desde una sesión de meterpreter o bien de manera independiente en el equipo. Para ejecutarlo desde meterpreter se debe cargar el módulo de Mimikatz con el comando load mimikatz y luego utilizar el comando wdigest para obtener las credenciales en texto claro. También existe la opción de ejecutar el comando mimikatz_command –f sekurlsa:logonPasswords –a “full” para intentar obtener las credenciales por medio de todos los factores de autenticación. A continuación se muestra una imagen donde se obtiene la credencial de un usuario en texto plano utilizando una sesión de meterpreter. Ejecución de Mimikatz desde meterpreter
  • 30. 30 c·o·n·e·x·i·o·n·e·s Por otro lado, si tenemos acceso a una consola de Windows como usuario administrador, también se podría ejecutar Mimikatz. Como primer paso luego de la ejecución, debemos obtener privilegios de debug, lo cual se realiza con el comando privilege::debug. Luego de tener acceso a estos privilegios se ejecuta sekurlsa::logonPasswords “full”, tal cual se muestra a continuación: Credenciales en texto plano desde la consola de Windows La vulnerabilidad se encuentra presente en todos los sistemas operativos Windows, de XP en adelante, inclusive Windows 8 y Windows 2012. Hasta el momento, oficialmente Microsoft no ha liberado ningún parche para corregir esta vulnerabilidad, por lo cual se recomienda realizar un análisis con respecto a la utilización de los proveedores de autenticación afectados por ella y deshabilitarlos en caso de que no se requieran.