Seguridad asequible PYMES

1
Seguridad asequible para
PYMES
Araba Enpresa Digitala
Miñano
24-09-2013

Pág 2
SEGURIDAD ASEQUIBLE PARA PYMES
¿Quiénes somos?
Ángel Lafuente Echeazarra
● Consultoría informática
– Arquitectura e ingeniería de
sistemas.
– (el arte de dar) Soporte .
– Apoyo a la gerencia en direcciónTIC.
– Desarrollo
– Divulgación y formación.
● Software libre y cloud computing
Jon Urionaguena
● Consultoría de SeguridadTIC
– Infraestructura de Internet propia
– Migración de servicios a la nube
– Servicios Cloud Seguros
– Soluciones basadas en Software
Libre
– Tecnología propia de securización

Pág 3
¿Qué nos motiva?
● Nuestros equipos trabajan día a día en las infraestructuras sobre las que se
levantan los sistemas de información de nuestros clientes.
● La seguridadTIC es siempre un reto.
● La reducción de presupuestos de informática de las empresas penaliza
gravemente los proyectos de mejora de seguridad.
● Nuestro desafío = jornada de divulgación para PYMES.
– Las PYMEs tienen menos recursos
– Jornada muy práctica.
– Orientada a los problemas de seguridad más comunes de una PYME.
– Presentando soluciones preferiblemente software libre.
– Proponiendo una metodología mínima de implantación.

Pág 4
Programa
9:00 – 9:10 Presentación del seminario
9:10 – 9:50 Explícame una vez más por qué
debo invertir en seguridad.
● Conceptos básicos.
● Sospechosos habituales.
● Servicio vs seguridad: una falsa dualidad.
● ¿Cómo medir la mejora en seguridad?
● Regla de Pareto presupuesto asequible.→
● Un ejemplo ilustrativo.
9:50 – 11:00 Soluciones prácticas I
● Clásicos de la seguridad:
– Claves, SSL, malware, seguridad física y
control del software instalado.
– Restricción de uso de USB enWindows.
– Asegurando almacenamiento USB
incluidos (Truecrypt)
11:00 – 11:20 Descanso / Café / Networking
11:20 – 12:30 Soluciones prácticas II
● Seguridad en el móvil.
● Controlando los ficheros corporativos.
● Aplicaciones web corporativas seguras.
● Lecciones del caso Snowden (riesgos del
cloud)
12:30 – 12:45 Conclusiones

Pág 5
Materiales
● Presentación disponible en PDF en
http://bit.ly/16UEq43
● Comentarios enTwitter:
– Hashtag → #seguridadpymesED
– Organiza → @enpresadigitala
– Ponentes → @solidrockitnews @jon_uriona

Pág 6
Explícame una vez más por qué debo
invertir en seguridad

Pág 7
Conceptos básicos
● En la empresa, hoy día, el activo más importante
– Información:
● Almacenada (datos de negocio)
● Intercambiada (correo, e-commerce, B2B, etc...)
– Actividad de las máquinas – Producción
● Pensad un momento cómo funcionaríais hoy sin correo electrónico, móvil,
tablet, portátil, servidor, aplicaciones o servicios en Internet.
– Es como cuando se va el suministro eléctrico. Los trabajadores están mirando …
– La dependencia de lasTICs es creciente la sociedad de la información→

Pág 8
Conceptos básicos: activos y riegos
● Activos IT debemos “conocerlos”, valorarlos y clasificarlos.→
– Inventario y valoración
● Riesgos IT debemos “conocerlos”, valorarlos y clasificarlos.→
– El análisis de riesgos actividad es una transversal en la empresa. Es una actividad que
debería existir en otros ámbitos, financiero, procesos, proyectos, etc...
– Documentos relacionados: plan de seguridad y plan de contingencia.

Pág 9
Conceptos básicos: ¿qué es seguridad?
● ¿Qué significa que los activos estén seguros?
● Tengo que garantizar su:
– Confidencialidad.
– Integridad.
– Disponibilidad.
● Muy sencillo de definir … más difícil de implementar. ;-)

Pág 10
Conceptos básicos
● Activos:
– Valor
– Riesgo Por vulnerabilidad→
● Valoramos Impacto/Gravedad
● Según el valor del activo
– Amenaza – Probabilidad de que ocurra
● Gestión de riesgos IT:Wikipedia
– Actividad recurrente:
● Identificación de riesgos para el negocio/información
● Valoración (cualitativa y cuantitativa)
● PDCA de las medidas a aplicar para contener los riesgos
– Necesitamos valorar, medir - Métricas

Pág 11
Conceptos básicos: métricas de seguridad
● Qué son:
– Medida “objetiva” y comparable.
– Permite realizar una evolución en el tiempo, conociendo el estado en cualquier
momento
● Medidas de seguridad = Mecanismos para aminorar el riesgo
– Mitigación: reducir, evitar y traspasar
● Riesgo =Valor de la pérdida x Probabilidad de que ocurra
– Riesgo aceptado/tolerado = El punto en que el coste de la contramedida a aplicar
sobrepasa el valor de la pérdida
● ¡Priorización de riesgos!

Pág 12
Conceptos básicos: métricas de seguridad
● Ejemplo de métricas en un SIEM

Pág 13
Sospechosos habituales
● ¿A qué riesgos están expuesto mis activos?
● Mi organización es como las demás; estamos expuestos a los mismos
riesgos.
● Referencia encuesta global→
Kaspersky Labs Global Corporate IT Security Risks 2013 (May 2013)
● Algo más cercano → INTECO.

Pág 14
● Estadísticas de amenazas externas (fuente Kaspersky Labs)

Pág 15
● Estadísticas de amenazas internas (fuente Kaspersky Labs)

Pág 16
● Un análisis crítico de estos datos
– El perfil de las empresas de la encuesta no se ajusta al de la PYME.
– ¿Es una buena métrica el número de ataques,?
● Los ataques de spam, malware son los más numerosos porque son masivos y
porque las organizaciones grandes tienen estadísticas de los mismos.
● Las herramientas para medir ataques de otro tipo suelen menos efectivas (por
ejemplo, filtraciones) y el número de ataques menor, por lo que el margen de error
es mayor
● Falta correlación con otros parámetros
● Lo que aprendemos ya tenemos un→ listado de riesgos probables
– Ataques externos: malware, spam, phising, intrusiones de red, robos de móviles ..
– Ataques internos: vulnerabilidades de software, filtraciones accidentales, robo de
móviles, ….
– El “hacker peliculero” es poco probable. Hay más riesgo de negligencia o mala fé.

Pág 17
Seguridad vs servicio
● ServicioTIC: es un conjunto de personas y máquinas que soportan uno o
varios procesos de negocio. Por ejemplo: el servicio de correo electrónico.
● La seguridad suele ser vista como una causa de disminución de calidad de
servicio.
● Prefacio de la guía de seguridad de SLES
“A good system does what it is expected to do, and it does it well.
A secure system is a good system that does nothing else. “
● Los usuarios, los desarrolladores, el personal del CAU suelen percibir la
implantación de medidas de seguridad con gran resistencia al cambio.
● Ejemplo clásico: la rotación de contraseñas

Pág 18
Seguridad vs servicio: falsa dualidad
● El error está en concebir la seguridad de un servicioTIC como algo ajeno al
mismo.
– Una servicio inseguro es un mal servicio.
– Se desprecia fácilmente el valor de la información como activo por su intagibilidad.
● La seguridadTIC debe estar presente en todas las fases de un servicio:
diseño, construcción, funcionamiento, mantenimiento y cancelación.
● Tópico (pero cierto): la seguridad debe ser un proceso transversal.
● Asegurar un servicioTIC es un gran reto.
– Si el cambio es transparente para el usuario es que lo has hecho bien Nadie valorará→
tu éxito.
– Difícil de vender a la dirección es un esfuerzo que en términos de negocio no va a→
tener impacto.

Pág 19
¿Cómo medir la mejora en seguridad?
● Métrica sencilla
– Es un primer paso para probar a medir.
– Si funciona, podéis ir a metodologías y análisis más complejos.
– Lo importante es medir repetidas veces (¿anualmente?) con el mismo sistema.
● Disponemos una métrica de riesgo agregado sencilla pensando en un
negocio PyME
– Impacto: Nada, Leve, Moderado, Alto, Extremo
– Probabilidad: Nada, Poca, Media, Mucha
● Nos da un listado de prioridades
– Las medidas aplicadas bajarán, anularán o traspasarán el riesgo
– Descenso de la probabilidad de ocurrencia.

Pág 20
¿Cómo medir la mejora en seguridad?
● Tabla ejemplo

Pág 21
Regla de Pareto presupuesto asequible.→
● En seguridad parece que nunca hay límite de gasto: siempre hay algo que
mejorar.
● Apliquemos la regla de Pareto para limitar el alcance de nuestro proyecto
de seguridad
– El 20% del esfuerzo supone el 80% de la mejora, luego reduciremos los riesgos
rápidamente.
– Método:
● Se completa la tabla anterior incluyendo agrupando los activos por servicioTICs.
● Se valoran según la métrica y se le asigna un presupuesto ajustado.
● Se ejecutará el 20 % del presupuesto total que supondría ejecutar todas las
contramedidas detectadas.

Pág 22
Invertir en seguridad es ser menos vulnerable
● La percepción del riesgo es subjetiva.
● Los riesgos sólo preocupan si son inminentes o si ya han tenido impacto.
● Invertir en seguridad es hacer que nuestra organización sea menos
vulnerable.
● No existe un argumento irrefutable que respalde una inversión en
seguridad.
● Es una cuestión de cultura corporativa a todos los niveles.

Pág 23
¿Cuánto ha supuesto en euros?
● Y eso que no eran responsables del incidente ….

Pág 24
Clásicos de la seguridad

Pág 25
Clásicos de seguridad: supuestos de partida
● Damos por descontando lo siguiente (¿ o no?):
– Problema 1: malware y virus de múltiples fuentes.
– Solución : software de seguridad (antivirus o similar) actualizado en todos los equipos
con MSWindows.
– Problema 2: acceso sin limitaciones al sistema por parte de los usuarios.
● Imposible control localizado para atacantes internos
● A través de estos usuarios un atacante externo puede hacer lo que le venga en
gana.
– Solución: usuarios sin privilegios.
– Problema 3: ataques de ingeniería social.
– Solución: atención y concienciación.
Punto de partida del seminarioPunto de partida del seminario

Pág 26
Clásicos de seguridad: supuestos de partida
●
Posibles intrusos/atacantesPosibles intrusos/atacantes
– Internos:Internos:
●
Empleados descontentosEmpleados descontentos
●
Gente que cambia de trabajoGente que cambia de trabajo
●
......
– ExternosExternos
●
VisitasVisitas
●
Partners en nuestras instalacionesPartners en nuestras instalaciones
●
Piratas en InternetPiratas en Internet
●
......

Pág 27
Clásicos de seguridad
● Problemas
– Acceso físico a equipos/servidores.
– Sesiones de usuario abiertas.
– Acceso a BIOS – Capacidad de arrancar otros SOs
– Baja protección de contraseñas.
– Compartición redes (redes locales, wifi).
– Pérdida de dispositivos y datos.
– Actualización del software.

Pág 28
Clásicos de seguridad
● Riesgos / Impacto
– Robo de identidad Impersonación→
– Robo de datos Confidencialidad→
– Manipulación de datos Integridad→
– Manipulación de sistemas Disponibilidad→

Pág 29
Sesión abierta – Contraseña en post-it
● Riesgo
– Atacante interno.
– Robo datos en el equipo, impersonando al usuario
– Ataque al PC de usuario y sus aplicaciones.
● Solución
– Formación y concienciación.
– Activar salvapantallas.
– Gestión razonable de cambio de contraseñas
● Repercusión en el servicio
– Baja, si no hay mucha rotación de contraseñas.
● Coste solución
– 15 minutos por usuario y equipo.

Pág 30
Acceso físico a los PCs
● Riesgo
– Acceso al sistema y sus sesiones. Sin modificación
– Acceso a los datos Robo de discos. Modificación→
● Solución
– Clave en BIOS
– Deshabilitar el arranque mediante DVD o USB.
– Cifrado de discos (vemosTruecrypt después)
– Passwords robustos con cambios periódicos
– Evitar LanManager.

Pág 31
– Bajo, si la rotación de contraseñas es razonable.
– El cifrado total de disco puede ralentizar el rendimiento en aplicaciones exigentes.
● Coste solución
– Cambios de BIOS 15 minutos por equipo.→
– Política contraseñas:
● 15 minutos en un dominio.
● 15 minutos por PC si no hay dominio.
– Cifrado de disco horas por PC dependiendo de la solución.→

Pág 32
● Demo acceso físico

Pág 33
Fuga de datos por USB
● Problema / Riesgo
– Vector de entrada PC, servidor, portátil.→
– Multitud de dispositivos tiene almacenamiento USB: disco externos (USB, SATA),
memorias USB, móviles, reproductores de música, discos extraíbles
– Puedo perder datos en forma de ficheros.
– Además, suele ser un punto de entrada a software malicioso o no deseado.
– El mayor punto de pérdida de datos.
● Ejemplo:
– Un empleado cambia de trabajo
– Sale de la organización.
– Le sobornan.
– Es bastante común hacerse una copia de seguridad en un USB para trabajar en casa.

Pág 34
● Solución 1: deshabilitar USB
– Por BIOS.
– Por sistema operativo.
– En MSWindows 2003, XP,Vista, 2008 y posterior se puede hacer por políticas a nivel de
máquina y de dominio
● Existe la posibilidad de sólo permitir el acceso en sólo lectura.
● También se puede aplicar a todo tipo de almacenamiento extraible.
● Repercusión el servicio
– BIOS muy alto. Hay muchos dispositivos que funcionana vía USB.→
– Por sistema operativo alto. Los usuarios pierden una función a la que están muy→
habituados. ¿Equipo para conectar USBs?
● Coste: 15 minutos por PC para BIOS o configuración políticas.

Pág 35
● Demo

Pág 36
● Solución 2: dar acceso sólo a ciertos USB
– En MSWindowsVista, 7, 2008 y posterior se puede,por políticas a nivel de máquina y de
dominio
● Permitir que sólo ciertos USBs se monten en ciertos equipos o por ciertos usuarios.
● El control se hace restringiendo el tipo de driver que está permitido instalar.
● Estos significa que el control se hace por el modelo de USB.
● Tengo control si proporciono a los usuarios sus dispositivos USB oficiales.
● Evito la fuga en móviles, MP3 y resto de USBs.

Pág 37
● Demo

Pág 38
– Baja. Los usuarios disponen de USB corporativo.
● Coste solución
– Restricción USB desdeWindows.:
– Alta de USBs

Pág 39
Sniffing de datos
● Problema
– En una red se comparte el medio para transmisión de datos
● WLAN la señal electromagnética con el punto de acceso.→
● LAN Cable y elementos de conmutación/repetición→
– Los datos se pueden llegar a ver “en claro”.
● Casos vulnerablesWIFI:
● Sin clave evidente→
● Segura:
– WEP: Crackeable de manera sencilla
– WPA: Crackeable por diccionario
● Problemática de APs compartidos con entorno abierto:
– WEP: Nos dan la clave de cifrado
– WPA: Compartimos la contraseña de cifrado y por tanto podemos descifrar la
negociación de la clave de sesión.

Pág 40
Sniffing de datos
● Casos vulnerables red cableada
– Hub: En claro
– Switch: ARP spoofing o port monitoring a nivel de switch
● Riesgo Robo de credenciales→
– Impersonación
● Usuario/pass
● Cookies
– Otros...
● Bancos
● E-Commerce

Pág 41
Sniffing de datos
● Solución
– Cifrado de las comunicaciones
● HTTP HTTPS→
● Correo – SSL/TLS y STARTLS
– Evitar uso de WIFI, al menos fuera de la empresa.
– Protección del medio (cable).

Pág 42
Sniffing de datos
● Demo

Pág 43
Sniffing de datos
– SSL bajo. La mayoría de soluciones vienen preparadas para trabajar SSL.→
– No usarWIFI medio-alto si se restringe en la propia empresa. Los dispositivos→
móviles no tienen acceso a la LAN y los costes de datos móviles subirán.
● Coste solución
– SSL 1/2 hora por sistema a asegurar.→
– NoWIFI 1 hora.→

Pág 44
Aseguramiento del almacenamiento
● Problema / Riesgo
– Pérdida/robo de almacenamiento
● Un USB/CD
● Un portátil/tablet/móvil
– Acceso físico al mismo
– Confidencialidad de nuestros datos
● Competencia – Propiedad intelectual
● Robo de contraseñas para accesos
● Datos íntimos

Pág 45
● Solución
– Teoría: cifrado de la información, cifrado robusto (algoritmos válidos actualmente)
● Evita el acceso libre a los datos cuando hay acceso físico al soporte.
– Práctica: solución de cifrado en el propio almacenamiento, protegido por clave por el
usuario
– Herramientas:
● Cifrado a nivel filesystem: EFS, LUKS
● Cifrado a nivel de usuario:Truecrypt, Bitlocker
● Otros comerciales (soluciones DLP)
– Recomendamos Truecrypt por ser multiplataforma y software libre.

Pág 46
● Demo

Pág 47
– Bajo. Supone un paso más para acceder a la información, pero es bastante amigable.
– Alto ,si se implanta en DVDs.
● Coste solución
– Depende del número de dispositivos y su naturaleza.
● Preparar un contenedorTruecrypt. De 15 a 30 minutos dependiendo del tamaño.
● Cifrar un dispositivo completo. De 30 a 60 minutos dependiendo del tamaño.
– Es fácil formar a los usuarios.

Pág 48
Actualización del software
● Problema
– Todo el software tiene un ciclo de vida
● Nuevas funcionalidades
● Corrección de errores - bugs
– De funcionalidad
– De seguridad
– Problemas de seguridad
● Ejecución de código arbitrario – Disponibilidad
● Inserción de payloads – Ejecución de código maligno
– Troyanos
– Robo de credenciales y de datos

Pág 49
● Problema
– Problemas de seguridad: conocidos por piratas
● A veces antes que el fabricante: 0 day
– Importante: siempre a la última versión del software
– Confiabilidad del software:
● ¿Qué hace el software por dentro? ¿Sólo lo que “parece”?
● Una actualización puede cambiar la funcionalidad – Inserción de un troyano.
● ¿Es el software original o ha sido alterado (P2P)?

Pág 50
● Solución
– Elección consciente del software
● Referencias y contratos con el fabricante
● Software Open Source:
– Podemos ver lo que hace.
– Normalmente auditado por comunidades abiertas.
– Disponer siempre de la última versión
● Actualizaciones
● Origen confiable del mismo: firma digital, hash, etc...

Pág 51
– Depende del grado automatización y de los permisos ¡Silent Updates para Java ya!→
– Alto si tenemos que implantar una herramienta de distribución se software.
– Depende del servicio y del software
● Aplicaciones certificadas con IE6.
– Conflicto clásico entre sistemas y desarrollo a ver quién actualiza una base de datos→
de una aplicación crítica.
● Coste solución
– Proporcional al número de usuarios y Pcs.

Pág 52
Seguridad en el móvil

Pág 53
● Problema
– Los dispositivos móviles (móviles y tabletas) ya no son meros teléfonos; nos sirven
como pequeños ordenadores conectados directamente a Internet.
– Almacenan toda clase de información sensible:
● Personal fotos, contactos, usuarios y claves de acceso a servicios en la nube y→
redes sociales.
● Corporativa fotos,contactos, archivos y claves de acceso a servicios en la nube y→
aplicaciones internas.
– Son fáciles de perder y objeto de deseo para ladrones.
– En el diseño de sus sistemas operativos (iOS, Android,Windows Phone ..), las funciones
de seguridad están siendo implantadas ahora que son sistemas maduros y el hardware
más potente (excepción Blackberry).
– Hay muchos tipos de sistemas operativos, lo que complica la gestión.
– Todavía no hay herramientas de gestión móviles (MDM) maduras para la PYME.

Pág 54
● Riesgo
– Infecciones en los dispositivos por malware.
● Robo de datos en línea.
● Uso no permitido de servicios e pago.
– Acceso a datos personales o confidenciales en caso de robo.
– Acceso a credenciales corporativas y personales.

Pág 55
● Reflexión
– Los dispositivos móviles son el punto más expuesto de nuestras empresas.
– Con estos dispositivos y los servicios en nube, los departamentos deTICs se han visto
desbordados:
● Hay mejores servicios en la nube que dentro de las propias empresas.
● No hay herramientas para implantar medidas de seguridad es como retrotraerse→
10 o 15 años al mundo del PC.
● Paradigma Dropbox→
– Si un dispositivo móvil es como un pequeño PC, apliquemos en ellos los principios de
clásicos de seguridad

Pág 56
● Solución 1: clásicos de seguridad
– Sesión abierta salvapantallas y patrón de seguridad.→
– Acceso físico es complicado tener acceso a los datos.→
– WIFI no usar redes WIFI públicas. El 3G es más seguro.→
– Actualización de software sólo usar sitios de aplicaciones oficiales. Los fabricantes→
no actualizan los sistemas todo lo que debieran, sobre todo en Android.
– Ninguna. Sólo formar a los usuarios en un uso razonable del dispositivo.
● Coste solución
– Ninguno adicional. Debe ser la configuración normal del dispositivo.

Pág 57
Seguridad en el móvil: Prey
● Solución 2: localización de dispositivos robados con PreyProject
– PreyProject es un servicio en nube.
● Gratis hasta 3 dispositivos.
● Versión de pago: más funciones y dispositivos.
– Localiza dispositivos móviles (Android e iOS) y PCs (Windows, Linux y Mac).
– Es software libre.
– Impacto casi nulo en el rendimiento.
– La aplicación está bien escondida para el usuario normal.
– Ninguna. Puede llegar a ser invisible para el usuario
● Coste solución
– 15 minutos por dispositivo y el coste del servicio de pago si se desea

Pág 58
Seguridad en el móvil: Prey
● Demo

Pág 59
Seguridad en el móvil: EDS Lite
● Solución 3: cifrado de datos con EDS Lite
– EDS Lite es una aplicación en Android que permite generar contenedores seguros para
archivos enAndroid.
– Es gratuita. Hay versión de pago.
– Los contenedores de archivos pueden ser abiertos porTruecrypt en PC sincronizar→
con Dropbox.
– Baja. Complica un poco el acceso a los datos.
● Coste solución
– 15 minutos de configuración por dispositivo y la formación a los usuarios 2 h

Pág 60
Seguridad en el móvil: EDS Lite
● Demo

Pág 61
Controlando los ficheros corporativos

Pág 62
● Problema
– Mucha información se guardan en ficheros y no en aplicaciones o bases de datos
corporativas.
● Estándares de facto: MS Office, Catia, AutoCad ...
● Usamos ficheros porque son fáciles de compartir mediante soportes o redes.
● Esta facilidad hace que las fugas de información a través de ficheros sea el riesgo
más común.
● La fuga puede ser malintencionada o no. Casi siempre el ataque es interno.
– Controlar los almacenamientos extraíbles no es suficiente. El activo es el fichero no el
medio USB.
● Por correo web o estándar.
● Por servicios en Internet: dropbox, mensajería instántanea-
● Mediante impresión.
– Las técnicas que tratan de evitar y detectar estas fugas se conocen como DLP (
Data Loss Protection) soluciones de seguridad complejas,→

Pág 63
● Riesgo
– Filtración de datos personales y confidenciales.
– Ataque a la propiedad intelectual
– Vulneración de legislación vigente y de contratos con clientes.
– No saber que he perdido información.
● Impacto
– Muy alto.
● Enfoque para una PYME
– Una solución DLP es muy cara.
– Es más barato restringir el acceso a la información delicada → los permisos en el
servidor de ficheros son un punto crítico.

Pág 64
● Comprendiendo cómo funciona un DLP
– Un DLP trata de controlar todos los puntos por donde la información puede salir de un
infraestructuraTIC. En un PC es como un antivirus.
– Es como poner un vigilante en cada puerta de una biblioteca.
– Pero hay muchos huecos:
● El teléfono, el fax, un libro que se arroja por la ventana.
● Pcs, USBs, móviles (Bluetooth oWIFI), impresoras, servicios web,
● Por eso resulta bastante compleja una solución DLP.
● MyDLP es un DLP de software libre.
– Sólo para realizar la demo.
– No lo recomendamos
● La versión de comunidad carece de funciones clave.
● No parece maduro y con un modelo claro de software libre.

Pág 65
Controlando los ficheros corporativos: Sealpath
● Demo

Pág 66
● Solución: Sealpath
– Sealpath protege los ficheros allá donde estén añadiendo una coraza de seguridad en→
vez de controlar las puertas de la biblioteca, se centra en proteger los libros.
– Está disponible como solución SaaS y como software tradicional.
– Protege ficheros de MS Office, PDF y XPS con un amplio espectro de permisos para el
documento.
– No guarda el fichero en sí, sólo gestiona la cobertura.
– Permite auditar el uso del fichero.
– Permite inutilizar un fichero a distancia.
– Disponible también en dispositivos móviles.
– Permite el uso de servicios cloud con tranquilidad.
– Es una empresa vasca. :-)
– No hay nada similar en software libre. :-(

Pág 67
● Demo Sealpath

Pág 68
– Baja, internamente La integración con Office y Adobe Reader facilitan la labor de
formación.
– Media, de cara al exterior. Hay que tener preparado un procedimiento para formar
rápidamente a los usuarios externos con quien compartamos
● Coste solución
– Instalación y configuración. 15 minutos por equipo.
– Formación: 1 h por usuario
– Sealpath Professional: 6 € al mes por usuario.

Pág 69
Aplicaciones web corporativas seguras

Pág 70
● Problema
– Disposición de aplicaciones corporativas para el negocio basadas en web:
● ERP, CRM, intranet documental, tienda online, etc...
– Normalmente basadas en software generalista, con posibles desarrollos a medida
● Ejemplos:
– Web en Joomla,Wordpress o Drupal
– CRM tipo SugarCRM, etc...
– Tienda online basada en Prestashop
– Software en continuo desarrollo
– Problemas de seguridad habituales
● Inyecciones desde usuarios
● Vulnerabilidades en la gestión de identidades y permisos

Pág 71
● Problema
– OWASP 10

Pág 72
● Riesgo
– Robo de datos
– Manipulación de datos
– Disponibilidad de las aplicaciones
– Vulneración de leyes (LOPD)
– Pérdida de imagen corporativa

Pág 73
● Demo SQL injection en formulario de login
● Introducción de sentencias SQL por parte del usuario hasta el sistema de BD final,
a través del formulario de captura de datos de login
● Acceso completo a BD final:
– Crear, borrar, eliminar y consultar cualquier registro
● ¿Por qué?
– Errores en la codificación del código
– Falta de validación y filtrado de los datos entrantes del usuario
● ¿Cómo?
● Envío de datos del “navegador” al servidor – POST/GET para consultas/formularios
● Manipulación de los datos sin validación en servidor
● Consultas manipuladas a la BD

Pág 74

Pág 75
● Solución
– Actualización constante del software web
● Elección del ciclo de vida de los componentes determinante ¿cuánto tiempo va→
estar soportada mi aplicación web?
– Auditorías de seguridad PentestingWeb→
● No incluyen corrección de errores, sólo la detección.
– Desarrollo seguro
● Paradigma de desarrollo web seguro.
● Formación y método del equipo de desarrollo.
● Importante elección de proveedor si se externaliza un desarrollo. Es difícil de
valorar. ¿Certificaciones?

Pág 76
– Baja ya que la funcionalidad no debería cambiar.
● Coste solución
– Actualizaciones
● Incluida en la administración del sistema.
● Si hay una buena gestión de cambio, habrá que pasar un test funcional completo
en el entorno de pruebas 4 horas para aplicaciones sencillas.→
– Auditorías externas. Depende mucho de cada caso: aplicación, cliente, auditor y
alcance del proyecto.

Pág 77
Lecciones del caso Snowden
Riesgos del cloud

Pág 78
● ¿Quién es Edward Snowden?
– Es un ingeniero informático que trabajó para la CIA y la NSA.
– Filtró a la prensa, entre otros, la existencia de PRISM un programa de vigilancia
electrónica por parte del gobierno de EE.UU.
● Cronología resumida
– 6-6-2013. The Guardian y TheWashington Post revela la que la NSA y el FBI han
solicitado acceso a la infraestructura de Google, Microsoft , Facebook entre otros.
– 9-6-2013. Snowden confiesa ser la fuente de las filtraciones desde Hong-Kong.
– 15-6-2013. Microsoft y Facebook, entre otras, reconocen haber proporcionado datos
sobre miles de personas a agencias gubernamentales..
– 21-06-2013. The Guardian desvela que al gobierno británico, aliado con el
estadounidense, tiene capacidad para “pinchar” nodos centrales de Internet y recoger
información de forma masiva.
– 23-06.2013. Snowden recala en Rusia donde acabará exiliado. Continuará ...

Pág 79
● Cómo funciona PRISM (presuntamente)

Pág 80
● Problema los medios de que disponen son enormes.→ The Black Budget.

Pág 81
● Problema Nos vigilan→
● ¿Y esto es una novedad? → Programa ECHELON, SITEL.

Pág 82
● Problema
– Hechos
● Los gobiernos vigilan y vigilarán; es parte de su trabajo (lucha contra la pornografía
infantil).
● Siempre habrá personas que utilicen estos sistemas para beneficio propio.
● El espionaje industrial siempre ha sido una labor de inteligencia.
● En Occidente nos enteramos de la existencia de este tipo de programas; en Rusia,
en China “no existen” estos programas porque no hay filtraciones.
● Este tipo de actividades seguirá creciendo en los próximos años (ciberguerra,
cibercomandos)
● Existen otra clase de agentes agresivos como corporaciones, delincuencia de
organizada y grupos políticos como Anonymous.
INTERNET ES UN MEDIO HOSTIL
¿ADOPTAR SOLUCIONES CLOUD SUPONE UN RIESGO AÑADIDO?

Pág 83
● Riesgo
– Cada vez las empresas utilizan más servicios cloud y crece la cantidad de datos de la
empresa fuera de la infraestructura de la empresa.
● Aplicaciones completas: ERP, CRM en SaaS.
● Servidores en infraestructuras IaaS.
– La mayoría de empresas líderes en cloud son norteamericanas.
– Internet es una interconexión de redes.
● ¿Quién puede estar escuchando?
– El proveedor.
– El gobierno donde del país donde este alojado ese nodo de red.
– Fuera de Occidente el riesgo pasa a ser muy alto ya que los gobiernos controlan el
acceso a Internet. Por ejemplo: poner sedes en China o Oriente Medio.
– Nuestra propiedad intelectual se ve amenazada.
– Nuestro personal susceptible de ser chantajeado si se llega a sus datos privados.

Pág 84
● Solución 1: desactivar el modo paranoia
– El cloud tiene riesgos parecidos al hosting (web, correo, servidores)
tradicional y las empresas no lo perciben como tal.
– Es poco probable estar en el foco, pero no hay que descuidarse.
● Solución 2: segregar los datos más sensibles y aplicarles un tratamiento
especial.
– Cifrado de ficheros.
– No dejarlos en servicios cloud o sólo en servicios de confianza.
– Repercusión en el servicio
● Alto. Implica una buena formación, concienciación y auditoría interna.
● Coste. Medio.

Pág 85
● Solución 3: prestar servicios de nube internamente
– Por ejemplo: sustituir Dropbox por Owncloud (software libre).

Pág 86
– Depende de la diferencia de funciones y calidad entre el servicio en la nube y lo que
prestemos nosotros.
● Coste solución
– Normalmente caro.
– Cuanto más pequeña sea la organización más uso hará de SaaS.
– Los servicios en Internet son bastante buenos y a veces gratuitos.
● Gmail vs Zimbra
● Dropbox vs Owncloud
– ¿Son mis instalaciones seguras?

Pág 87
● Solución 4: controlar el hardware
– Tener la infraestructura en nuestras instalaciones.
– Llevar nuestra infraestructura a un proveedor cercano con el que haya poder de
negociación y más control. Por ejemplo: Cloud Norte ;-)
– Dependencia de AWS o Azure buscar en el futuro proveedores de OpenStack o crear→
nubes privadas para los datos críticos (infraestructura híbrida). proyecto conjunto→
Solid Rock IT + Cloud Norte en OpenStack.

Pág 88
Conclusiones

Pág 89
Presupuesto asequible
● Presupuesto para las soluciones presentadas
– Externalizar estas mejoras a 40 € / hora.
– 20 ordenadores: 15 Pcs y 5 portátiles en un dominio MSWindows.
– 10 smartphones.
– Contratamos Prey Pro para los smartphones y Sealpath para 5 usuarios.
– Dejamos la auditoría de aplicaciones y revisar nuestro uso de servicios en nube para
tiempos mejores.

Pág 90
Presupuesto asequible
● Lo más básico: ~ 2500 € 125 € / usuario el primer año→
● Mejora espectacular.

Pág 91
Conclusiones
● Detecta tus activos y valora tus riesgos tabla de métrica propuesta→ →
diagnóstico anual.
● Con un presupuesto limitado puedes mejorar notablemente.
● Olvídate de ataques complejos un atacante buscará primero el punto→
más debil: configuraciones por defecto, clásicos de seguridad e ingeniería
social.
● Piensa en la seguridad como una función más deTICs a la hora actualizar o
implantar nuevos sistemas.
● No trates todos los datos de igual modo: identifica los usuarios y la
información más sensible y protégelos.
● Se cauto cuando la información salga de tu infraestructura: USB, nube ...

Pág 92
Fin
Mila esker / Gracias
Para cualquier duda o consulta
angellafuente@solid-rock-it.com
jon.uriona@cloudnorte.com

Seguridad asequible PYMES

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (7)

Similar a Seguridad asequible PYMES

Similar a Seguridad asequible PYMES (20)

Último

Último (19)

Seguridad asequible PYMES