Embed Size (px)
Citation preview
C
M
Y
CM
MY
CY
CMY
K
Portada_013.pdf 1 9/11/13 1:00 PM
C
M
Y
CM
MY
CY
CMY
K
Seminarios_ISC2_.pdf 1 9/11/13 12:45 PM
3Julio - Septiembre 2013
26 Desde la trinchera
contenido
» opinión
» editorial
5 ISO-27001:2013 ¿Qué hay de nuevo?
12 Metamétricas de seguridad (segunda parte)
16 El imperio contraataca: los criminales cibernéticos velan sus armas
18 Jugando a crear cultura de seguridad de la información – De la teoría a la práctica
22 Longitud vs complejidad en contraseñas
24 Uso de las redes sociales en la empresa: riesgos de seguridad
32 Cibercrimen en Latinoamérica y El Caribe: una visión desde la sociedad civil
4 EditorialHéctor Acevedo Juárez
Dulce González Trejo
Elia Fernández Torres
Esteban San Román
Carlos Villamizar Rodriguez
Gastón Olguín
Ma. José de la Calle
Patricia Prandini y Marcia Maggiore
» conexiones10
6
4Dirección GeneralUlises Castillo Hernández
Editor en jefeHéctor Acevedo Juárez
EditorDavid Gutiérrez Jiménez
Consejo EditorialUlises Castillo Hernández
Priscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres
ColaboradoresHéctor Acevedo
Ma. José de la CalleElia Fernández TorresDulce González Trejo
David Gutiérrez JiménezMarcia Maggiore
Gastón OlguínMarcos PolancoPatricia Prandini
Esteban San RománCarlos Villamizar Rodriguez
Marketing y ProducciónKarla Trejo Cerrillo
Correctora de estiloAdriana Gómez López
DiseñoSilverio Ortega Reyes
Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 4, número 3, 2013 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF 06500. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma México DF. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de Photos.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.
Para cualquier asunto relacionado con esta publicación, favor de dirigirse a [email protected]
13AÑO 4, NÚMERO 3, 2013
Marcos Polanco
30 Departamento de defensa
Redes complejas hechas fácilmente, ¿será posible?
David Gutiérrez
La evolución de los incidentes de seguridad y el papel de los profesionales en seguridad de la información
C
M
Y
CM
MY
CY
CMY
K
Seminarios_ISC2_.pdf 1 9/11/13 12:45 PM
10 Seguridad Informática
Héctor Acevedo ¿Guerra perdida?
4
editorial
Pareciera que repetimos lo dicho en 2011 y 2012: empezamos el segundo semestre del año con la esperanza de que se reactive la economía y podamos remontar los resultados de los primeros seis meses, tanto a nivel general como en el sector
de TI. Aunque sin duda tendremos alguna mejoría, lo cierto es que todos los analistas, nacionales
e internacionales, están revisando a la baja sus estimaciones de crecimiento y por ello tendremos que
ser más creativos para lograr los resultados esperados.
Como siempre, en Magazcitum tratamos de poner nuestro granito de arena ayudando a la difusión de la cultura
de seguridad. Deseamos que los temas en ella expuestos resulten interesantes y ayuden a nuestros lectores en la búsqueda de soluciones
creativas que les permitan cumplir sus objetivos de negocio. Por favor no dejen de hacernos llegar sus comentarios y sugerencias al respecto.
Cambiando de tema, aunque en la elaboración de cada número procuramos confirmar la originalidad de los artículos publicados, lo cierto es que no siempre es fácil y en esta ocasión tengo que ofrecer una sincera disculpa porque en el número 4-1 apareció un artículo que reproducía indebidamente ideas y textos de un blog escrito por alguien ajeno a la revista. El respeto a las ideas y la propiedad intelectual es de gran importancia en Magazcitum, por ello se decidió retirar del sitio web no sólo ese artículo sino todas las colaboraciones del autor en cuestión, además de que reforzaremos las medidas para evitar que algo tan penoso se repita en el futuro.
Nuevamente me disculpo con nuestros amables lectores y espero que sigan favoreciéndonos con su lectura cada trimestre.
Atentamente
Héctor Acevedo JuárezEditor en jefe
CISSP, CISA, CGEIT, ITIL y [email protected]
Héctor Acevedo
Preparándonos para elsegundo semestre
del 2013
4
6
A mediados del mes de marzo de este año, BSI publicó en su sitio Web el borrador del estándar internacional ISO/IEC-27001:2013 (DIS, Draft International Standard), así como la programación de una serie de sesiones para dar a conocer algunas de las modificaciones más
significativas que incluirá dicho estándar.
En esta nueva versión no solo se establecen cambios en el contenido sino también en la estructura, lo que se reflejará en otros documentos que forman parte de la familia ISO-27000
(la versión final del estándar se espera a finales de 2013).
Las principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el Anexo “A”, donde el número total de dominios era de 11 y ahora son 14 y se reduce el número de controles de 133 a 113, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad.
opinión
ITIL V3 e ISO [email protected]
Dulce González Trejo
ISO-27001:2013¿Qué hay de nuevo?
0. Introducción.
1. Alcance.
2. Referenciasnormativas.
3. Términosy definiciones.
PLAN
DO
CHECK
ACT
5. Liderazgo.
6. Planeación.
7. Soporte.
· Entendimiento de la organización y su contexto.· Expectativas de las partes interesadas.· Alcance del ISMS.
· Liderazgo y compromiso de la Alta Dirección.· Políticas.· Organización de los roles, responsabilidades y autoridades.
· Cómo abordar riesgos y oportunidades.
· Evaluación de riesgos de la seguridad de la información.· Manejo de riesgos de la seguridad de la información.
· Evaluación de riesgos de la seguridad de la información.· Manejo de riesgos de la seguridad de la información.
· Monitoreo y auditorias internas.· Revisión de la alta dirección.
· Recursos.· Competencias.· Conciencia.
· Comunicación.· Información documentada.
8. Operación.
9. Evaluación deldesempeño.
10. Mejora.
Estructura del nuevo estándar
ISO/IEC 27001:2013 ha sido desarrollado con base en el anexo SL de ISO/IEC del "Suplemento Consolidado de las Directivas ISO/IEC" (anteriormente publicado como "Guía ISO:83"), en el cual se proporciona un formato y un conjunto de lineamientos a seguir para el desarrollo documental de un sistema de gestión sin importar su enfoque empresarial, alineando bajo una misma estructura todos los documentos relacionados con los sistemas de gestión y evitando así problemas de integración con otros marcos de referencia. Así pues, la nueva estructura queda como sigue:
4. Contexto de la organización
7Julio - Septiembre 2013
Descripción de las principales secciones
0. IntroducciónEl cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque del proceso” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI). Además de la ya mencionada alineación con el Anexo SL de la ISO/IEC, sección 1.
1. AlcanceEn esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse.
2. Referencias normativasEl estándar ISO-27002 deja de ser una referencia normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés).
El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
3. Términos y definicionesLos términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.
4. Contexto de la organizaciónEsta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización.
» Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.
» Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI.
» Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.
5. LiderazgoAjusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:
» Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.
» Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).
» Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
6. PlaneaciónEsta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluación de riesgos:
» El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.
» Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.
» El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.
» Se ha eliminado el término "Propietario del activo" y se adopta el término "Propietario del riesgo". » Los requerimientos del SOA no sufrieron transformaciones significativas.
8
7. Soporte
Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:
» Recursos » Personal competente » Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición "información documentada" que sustituye a los términos "documentos" y "registros"; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI.
El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
8. Operación
Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el estándar.
Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido.
Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
9. Evaluación del desempeño
La base para identificar, medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada.
10. Mejora
El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.
Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan. Además se distingue entre las correcciones que se ejecutan como una respuesta directa a una "no conformidad", en oposición a las acciones correctoras que se realizan para eliminar la causa de la no conformidad.
9Julio - Septiembre 2013
Anexos
El “Anexo A - Referencia de objetivos y controles" continúa formando parte de este estándar, pero los anexos "B" y "C" se han eliminado.
Sin ser intención de este artículo brindar una descripción completa de los cambios efectuados, se detallan algunos de los principales:
a) El número de dominios del anexo aumenta de 11 a 14.
Ane
xo “A
” ISO
270
01:2
013
Obj
etiv
os d
e Co
ntro
l
A.10 Criptografía
y mantenimiento
seguridad
A.5 Políticas de seguridad
A.6 Organización de la información
A.7 Seguridad en recursos humanos
A.8 Gestión de activos
A.9Control de accesos
A.11 Seguridad física y ambiental
A.12 Seguridad en las operaciones
A.13 Transferencia de información
A.14 Adquisición de sistemas, desarrollo
A.15 Relación con proveedores
A.16 Gestión de los incidentes de
A.17 Continuidad de negocio
A.18 Cumplimiento con requerimientos legales y contractuales
Figura 2. Dominios Anexo “A” de ISO 27001:2013
b) Lista de controles que ya no forman parte del estándar:
Control Descripción Cambia por Incluye controles de ISO 27001:2005
A.6.1.1 Comité de gestión para la seguridad de la información Roles de la seguridad de la información y sus responsabilidades A.6.1.3 y A.8.1.1
A.6.1.2 Coordinación de seguridad de la información Contacto con autoridades A.6.1.6
A.6.1.4 Procesos de autorización para instalaciones para procesamiento de información
Seguridad de la información en la gestión de proyectos
A.6.2.1 Identificación de riesgos relacionados con agentes externos Política de dispositivo móvil A.11.7.1A.6.2.2 Direccionamiento de seguridad al tratar con clientes Trabajo a distancia A.11.7.2
A.10.2.1 Entrega del servicio
A.10.7.4 Seguridad del sistema de documentos
A.10.8.5 Sistema de información de negociosA.10.10.2 Seguimiento al uso de sistemaA.10.10.5 Falla en el registroA.11.4.2 Autenticación de usuarios para conexiones externas
Continúa en la página 10
10
A.15.1.5 Prevención del uso indebido de las instalaciones para el procesamiento de información
A.15.3.2 Protección de las herramientas de auditoría de sistemas de información
c) Nuevos controles propuestos
A.11.4.3 Identificación de equiposA.11.4.4 Puerto remoto de diagnóstico y configuración de protecciónA.11.4.6 Control para la conexión de redesA.11.6.2 Aislamiento del sistema sensible
Control Descripción Cambia por Incluye controles de ISO 27001:2005
A.12.2.1 Validación de datos de entrada Controles contra malware A.10.4.1A.12.2.2 Control de procesamiento internoA.12.2.3 Integridad de mensajeA.12.2.4 Validación de datos de salidaA.12.5.4 Filtración de la información
Conclusión
Esta nueva versión refleja una mayor flexibilidad para su implementación dentro de las empresas sin importar su tamaño, así como la necesidad de adaptarse a la evolución de las tecnologías, lo que para muchos ya era inminente desde hace algunos años.
La recomendación para quienes ya poseen un SGSI implementado es considerar el apoyo de consultores con experiencia para llevar a cabo las modificaciones y dirigir los esfuerzos hacia una actualización exitosa de la norma, conforme lo dictan los requisitos. Después de todo, con la actualización de la norma el cumplimiento será más fácil de implementar con mejor flexibilidad para las empresas de cualquier tamaño. Y para ayudar con la transición, BSI proporcionará una guía de transición y una escala de tiempo para realizar las adecuaciones pertinentes y mantener la certificación.
Bibliografía:
- Draft BS ISO/IEC 27001 Information technology - Security techniques - Information security management system- Requirements.http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/Novedades/Noticias-2013/LD-News-Source-/nueva-iso-27001/
Control Descripción Absorbe los controles de la ISO 27001:2005
A.6.1.4 Seguridad de la información en la gestión de proyectos
A.12.6.2 Restricciones en la instalación de software
A.14.2.1 Política de desarrollo de seguridad
A.14.2.5 Desarrollo de procedimientos para el sistema
A.14.2.6 Desarrollo de un entorno seguro
A.14.2.8 Sistema de prueba de seguridad
A.15.1.1 Información de seguridad para las relaciones de proveedores A.6.2.3
A.15.1.3 Cadena de suministro ICT
A.16.1.4 Evaluación y decisión de los eventos de seguridad de la información
A.16.1.5 Respuesta a incidentes de seguridad de la información
A.17.1.2 Implementación de la continuidad de la seguridad de la información
A.17.2.1 Disponibilidad de las instalaciones para procesamiento de información.
Continúa de la página 9
C
M
Y
CM
MY
CY
CMY
K
Repurpose_SB_Mexico_Ad_21cmx27cm.pdf 1 9/11/13 3:42 PM
C
M
Y
CM
MY
CY
CMY
K
Repurpose_SB_Mexico_Ad_21cmx27cm.pdf 1 9/11/13 3:42 PM
12
De acuerdo a lo dicho en la entrega anterior, las “metamétricas” son para las métricas, lo que “metadata” es para los datos, en otras palabras,
metamétricas son información sobre métricas y en su mayoría proporcionan una base objetiva para
diseñar y seleccionar métricas que vale la pena medir, analizar, reportar y utilizar. En esta segunda parte del artículo se revisarán algunos ejemplos y se harán algunas conclusiones al respecto.
opinión
Elia Fernández Torres
A continuación se muestra un ejemplo de análisis de una métrica utilizando el método pragmático: Métrica: proporción de cuentas de usuarios de cómputo inactivas deshabilitadas de acuerdo con las políticas (inactive user accounts disabled).
Para calcular esta métrica, primero se debe verificar cuántas cuentas de usuario inactivas hubo en total en el sistema, y luego cuántas de ellas fueron deshabilitadas como debió ser de acuerdo con la política de la organización dentro del periodo de reporte (ejemplo, este cuartal). Contabilizar las cuentas inactivas es tedioso si eso implica además verificar manualmente registros de actividad mantenidos por los sistemas de TI individuales, pero es más sencillo si las verificaciones pueden realizarse corriendo scripts sobre un número limitado de sistemas de autenticación de usuarios de red compartidas/centralizadas (como domain servers for Windows domains), en cuyo caso, esto se convierte en una medida de cumplimiento relativamente sencilla, directa y útil.
En un ejercicio de la gerencia se podrían determinar los siguientes números PRAGMÁTICOS para esta métrica:
P R A G M A T I C Puntuación68 56 74 76 73 64 64 52 75 67%
Los puntajes o índices resultantes de la metodología PRAGMÁTICA son relativamente uniformes, en otras palabras, la métrica no es particularmente contundente ni débil en ningún factor. La gerencia parece tener cierta preocupación sobre su Relevancia respecto a la seguridad de información, ya que es una métrica técnica muy angosta, y también sobre el factor de Independencia, ya que aquellos que serían los indicados para estar midiendo y reportando la métrica tienen intereses privados en cuanto a esta. Por otro lado, consideran el hecho de que se trata de una métrica Genuina (lista para ser verificada o auditada si fuera necesario) y Costo-efectiva, siendo el caso de que la institución tenga un sistema centralizado para la administración de cuentas de usuario. El deshabilitar cuentas de cómputo cuando los empleados dejan la organización es un control de seguridad de TI básico. Si no se está dando de modo confiable, probablemente existen incidentes aún más serios con el proceso de administración de usuarios y, de hecho, con los controles de seguridad de información en general; en otras palabras, la métrica puede tomarse como un burdo indicador de la situación general de la seguridad de información en la organización. Esto disparó la puntuación respecto a qué tan Significativa (Meaningful) es la métrica.
Además, el rango de mejora de la métrica específica es también un indicador de la extensión con la que la gerencia de la organización está administrando, controlando o influenciando la seguridad de información en la organización en general: si el esfuerzo de incrementar la proporción de la desactivación de cuentas inactivas toma varios meses, digamos de 10% (pésimo) a 30% (pobre), esto significa algo peor que si la misma mejora sucede en el curso de días o semanas, o si la métrica alcanza 75% o más durante el mismo periodo.
Metamétricas de seguridad
(segunda parte)
13Julio - Septiembre 2013
Hablando de periodos, la frecuencia con la que la métrica es reportada es otro parámetro de medición que la gerencia puede ajustar. Es factible, por ejemplo, pedir actualizaciones más frecuentes sobre la métrica, mientras que el control está siendo atendido para ser mejorado (tal vez una vez por mes), y entonces cambiar por cada tres meses, o según sea necesario para una mejora suficiente. Otra opción podría ser el reportar cada cuatrimestre a la gerencia, pero dando seguimiento y reportando mes a mes o hasta semanalmente a los gerentes operacionales, quienes estén trabajando para mejorar la administración de las cuentas de usuario.
Otro ejemplo: retorno sobre la inversión (ROI).
ROI es una medida contable bastante utilizada por la gerencia. Es un medio para evaluar el valor neto (beneficios menos costos) de una inversión, muy común pero, ¿es en realidad una buena métrica de seguridad?
Existen situaciones patentes en algunas organizaciones en las cuales el ROI debe ser bueno, ya que aparece con frecuencia en casos de negocio, propuestas, o requerimientos de presupuesto, para justificar los proyectos o iniciativas corporativas. Y sin embargo, algunos prefieren otras métricas financieras, tales como el rango interno de retorno (internal rate of return, IRR).
Si la gerencia pusiera ROI como una métrica a ser evaluada por el método PRAGMÁTICO, podría surgir que esta métrica de seguridad es relativamente mediocre:
P R A G M A T I C Puntuación65 72 25 25 88 50 44 60 90 58%
ROI es una métrica Costo-efectiva (su cálculo toma solo una o dos horas) lo cual es presuntamente Significativo (Meaningful) para la audiencia para la cual está dirigida, ej. la gerencia, pero su puntuación no es tan buena en los criterios restantes.
No es muy Predictiva de los resultados de la seguridad. “Tirarle dinero a la seguridad” no son tiros muy efectivos para estar seguro, mientras que algunas empresas pichicatas parecen sobrevivir con el gasto mínimo en seguridad.
Los puntajes bajos en Precisión (Accuracy), Accionable y Genuina, reflejan una preocupación sobre el uso de esta métrica como una herramienta de soporte para la toma de decisiones. ROI es normalmente utilizada en forma aislada para justificar proyectos individuales que alguien ya ha elegido, en efecto, más que para comparar una gama de posibles inversiones, incluyendo varias combinaciones y permutaciones (administración del portafolio), lo cual quiere decir que un proyecto de seguridad dado podría tener un ROI positivo, pero una variedad de otras inversiones de seguridad, que no se encuentran sobre la mesa, podrían tener aún mejores retornos. Hasta con la asistencia técnica del departamento de finanzas para obtener la aritmética correcta, los análisis de ROI para inversiones de seguridad requieren numerosas suposiciones, en particular con respecto al ahorro proyectado a través de la mitigación de riesgos de seguridad, reduciendo la probabilidad o impacto de los incidentes de seguridad.
El puntaje de Oportunidad (Timeliness) sufre en este ejemplo, dado que la métrica se mide y se reporta, con frecuencia, previo al inicio de un proyecto o de una iniciativa, algunos meses o años antes de ser completado. Si la organización estuviera utilizando ValIT (ahora inmerso en COBIT 5), estaría rastreando costos y beneficios actuales versus los proyectados, actualizando y refinando de manera continua el caso de negocio y los cálculos de ROI. Pero para efectos de este ejemplo, se asume que la organización está utilizando el ROI y el caso de negocio como un intento de evaluar sus finanzas.
Una tabla de evaluación de métricas se vería así: Ejemplo de métrica P R A G M A T I C Puntuación
Metamétrica 96 91 99 92 88 94 89 79 95 91%
Madurez de la administración de activos 90 95 70 80 90 85 90 85 90 86%
Madurez de cumplimiento 90 95 70 80 90 85 90 85 90 86%
Madurez de la seguridad física 90 95 70 80 90 85 90 85 90 86%
Gasto de continuidad del negocio 75 92 20 82 95 70 70 70 70 72%
Ley de Benford 84 30 53 95 11 98 62 98 23 62%
Cobertura de controles 87 89 65 40 74 35 46 40 30 56%
Homogeneidad 67 70 40 59 67 50 33 65 45 55%
Estatus de la matriz de control de acceso 70 50 60 60 88 25 40 20 40 50%
Licencias de software no contabilizadas/identificadas 1 1 90 84 1 70 50 81 30 45%
Conteo de accesos no autorizados/inválidos 61 78 33 16 33 0 44 35 33 37%
14
Las métricas de seguridad pragmáticas explican:
» Por qué la seguridad de información es vital y sin embargo es tan difícil llevarla a cabo correctamente, al igual que la administración del riesgo en general;
» Por qué las métricas significativas son necesarias para administrar cualquier cosa en forma sistemática y racional, en lugar de apoyarse solo en suposiciones, experiencia e instinto;
» Quién necesita métricas de seguridad; quiénes son las audiencias, consumidores, y usuarios de métricas; » Cómo se mide hoy la seguridad de información, considerando enfoques sugeridos y utilizados en otras
instituciones; » Cómo identificar y desarrollar métricas de seguridad potenciales (o candidatas), incluyendo algunas fuentes
menos convencionales; » Cómo evaluar y medir métricas de seguridad potenciales utilizando el método pragmático.
Finalmente, un CISO estaría muy satisfecho de contar con una herramienta que le permita contar con métricas de seguridad prácticas, claras y sencillas de manejar. Será indispensable primero saber el statu quo, el por qué y el cómo de las métricas de seguridad. También es importante tener conocimientos de los diferentes métodos, conceptos, propósito y la audiencia para las métricas de seguridad. Después habrá que conocer los puntos precisos que haya que medir y dónde puede uno encontrarlos.
Contando con métricas y con una herramienta práctica para quienes requieren puntos de referencia de cómo “medir la seguridad”, solo resta el cómo diseñar un sistema de medición de la seguridad de la información utilizando este método. Tan sencillo como conocer los puntos de referencia que deben ser considerados, y cómo integrar la información para crear un sistema fácil de manejar y a la medida de la organización. Esta herramienta, además del conocimiento de buenos ejemplos de métricas, y de información suficiente para crear un sistema de métricas de seguridad a la medida de cualquier institución individual, sería un estándar muy valioso.
Conclusión
Importante es determinar cómo la organización puede identificar las métricas de seguridad que vale la pena utilizar, y cómo se pueden evaluar los méritos de una métrica. A la fecha, el enfoque común ha sido informal y subjetivo. Por el contrario, el método pragmático permite medir y evaluar una métrica en forma estructurada; obliga a analizar la métrica en detalle.
¿Qué hay de los analistas que reciben las métricas? ¿Se entregan las métricas de seguridad que uno piensa que son importantes, o se hace un esfuerzo por encontrar lo que la audiencia o el cliente quiere? y, si es así, ¿cómo se elabora dicha discusión?, ¿qué se hace para lograr distraer el tiempo de trabajo del responsable del negocio o de la entidad con la que se quiere trabajar para que se dedique a explicar sus necesidades?
Se requiere un método pragmático, económico y fácil de implementar, de tal forma que un gerente de seguridad ocupado pueda ponerlo en práctica a la brevedad.
¿Por qué no, tratar de evitar que la única métrica estratégica en la organización sea aquella para soportar el incremento de presupuestos?
Fuentes documentales:
Libros• W. Krag Brotby y Gary Hinson; “Pragmatic Security Metrics, Applying Metametrics to Information Security”, por, CRC Press, Enero, 2013.
• W. Krag Brotby “Information Security Management Metrics” (Métricas de administración de seguridad de información), 2009.
• Douglas Hubbard; “How to Measure Anything” (Cómo medir cualquier cosa), 2009.• Andrew Jaquith, “Security Metrics: Replacing Fear, Uncertainty and Doubt” (Métricas de seguridad: reemplazando miedo, incertidumbre y duda).
Artículos•“Métricasdeseguridad”porDavidGutiérrez,http://www.magazcitum.com.mx/?p=31
Sitios Web: • www.securitymetametrics.com• www.securitymetrics.org
Cada vez es más frecuente encontrar reportes, artículos y discusiones en los que se cuestionan algunos de los conceptos fundamentales que por años hemos defendido como los pilares de la seguridad informática (defensa en profundidad, administración de vulnerabilidades, correlación de información, desarrollo de programas de concientización o apego a mejores prácticas, entre otros).
Una y otra vez me encuentro con opiniones y estudios que hablan de los pésimos resultados que se obtienen al confiar la seguridad de la información en los conceptos arriba citados: tiempo y dinero desperdiciado, mejora casi imperceptible de la posición de seguridad, intrusiones no detectadas, información sensible comprometida y un largo etcétera.
¿Acaso hemos perdido la guerra y no vale la pena gastar en controles de seguridad? De repente pareciera que sí, pero yo creo que la cuestión es mucho más compleja y nunca hay que olvidar que la seguridad informática no es un proyecto, es un proceso y, como tal, debe adecuarse constantemente a los requerimientos internos y a la evolución del mundo.
¿Qué hacer entonces? Buscar la respuesta amerita, sin duda, un largo artículo al respecto. Pero por ahora me enfocaré en tres recomendaciones básicas:
a) Adaptarse al cambio y buscar mejores paradigmas. b) Pensar en los riesgos antes que ir directo a revisar las “amenazas”. c) Tener una estrategia gradual que vaya de lo básico a lo avanzado.
Adaptarse al cambio y buscar mejores paradigmas Recuerde que no hay fórmulas mágicas ni verdades absolutas, la evolución natural del eterno enfrentamiento entre las amenazas y los controles de seguridad modifica constantemente el ambiente. Así como los castillos medievales fueron casi inexpugnables hasta la aparición de la artillería, nuestras contramedidas no serán efectivas eternamente, por buenas que sean (en ediciones anteriores de Magazcitum, David Gutiérrez , Julio Angel Ayala y Ulises Castillo han abordado este tema).
Pensar en los riesgos antes que en las amenazasOlvídese del camino fácil de pensar en las amenazas que existen “allá afuera” y poner controles de seguridad para contrarrestarlas, sin ahondar en las vulnerabilidades e impactos específicos en su negocio. Casi siempre se trata de una idea muy mala que termina en la implantación de controles caros, poco eficientes o ambas cosas a la vez. Es mejor empezar con un análisis de riesgos y a partir de ello definir qué controles se requieren, sin tomar a priori como regla lo que otros hacen. En otras palabras, defina bien qué debe proteger, qué riesgos existen y a partir de ello establezca los mejores controles para USTED.
Tener una estrategia gradual que vaya de lo básico a lo avanzadoAunque parezca una verdad de Perogrullo, constantemente veo estrategias de seguridad que olvidan este enfoque.
¿Por qué construir un edificio sobre cimientos endebles? ¿Para qué diseñar un castillo con muros de 25 metros de alto y 3 de ancho, pero no colocar el portón de la entrada principal? Pareciera que nadie lo haría, pero lo cierto es que ese comportamiento es más frecuente de lo que uno cree y para muestra basta un botón: de acuerdo al reporte “Data Breach Investigations Report” emitido por Verizon Business en 2011, se encontró que en 63% de los casos, los controles para evitar un incidente de seguridad eran simples y baratos.
Así pues, si no ha logrado que sus usuarios dejen de tener sus contraseñas en papelitos pegados al monitor, olvídese de, por ejemplo, gastar cientos de miles de dólares en complejos sistemas SIEM (Security Information and Event Management), enfóquese primero en lo básico.
En resumen, al igual que muchas otras cosas en la vida, la guerra por la seguridad de la información es algo que nunca acabará, a menos que los mundos imaginados por George Orwell, Aldous Huxley y otros, se hagan realidad. Pero no siempre se requieren complejos y costosos sistemas para mantener a raya a los malos; en muchas ocasiones basta con un poco de sentido común para poder ganar la mayoría de las batallas, pensando siempre al mismo tiempo cómo estar preparados para recuperarnos cuando lleguemos a perder alguna batalla.
CISSP, CISA, CGEIT, ITIL y [email protected]
Héctor Acevedo
Seguridad informática ¿Guerra perdida?
Fuentes documentales:
• Métricas de seguridad (http://www.magazcitum.com.mx/?p=1528)• ¿Y si lo hacemos diferente? (http://www.magazcitum.com.mx/?p=2153) • Deje de comprar tecnología de seguridad (http://www.magazcitum.com.mx/?p=2058) • http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf
16
Jugando a crear cultura de seguridad de la información
– De la teoría a la prácticaCISA, CISM, CGEIT, CRISC, CobiT Foundation Certificate e ISO27001 LA
[email protected] / [email protected]
Carlos Villamizar Rodriguez
La gran mayoría de las personas desconoce los temas de seguridad de la Información y su alcance.
Diversos estudios han establecido que hoy en día la mayor cantidad de ataques de seguridad de la información provienen del interior de las propias empresas (empleados descontentos, fraude interno, acceso no autorizado, falta de motivación, ausencia
de entrenamiento organizacional, etcétera). Así mismo se ejecutan ataques a través de la ingeniería social1, debido a que resulta más fácil
obtener la contraseña de un usuario al interior de la entidad (como lo veremos más adelante), que vulnerar los sistemas de seguridad y cifrado. En algunas organizaciones, con tan sólo recorrer un par de lugares de trabajo, se pueden
encontrar contraseñas escritas y pegadas en la pantalla o debajo del teclado.
Las campañas de concientización y entrenamiento en seguridad de la información dentro de una entidad se realizan con el fin de modificar la conducta de los trabajadores respecto a este tema. Sin embargo, la tarea de definir y ejecutar un programa de sensibilización y entrenamiento que permita modificar verdaderamente la conducta de los empleados exige dedicar tiempo y recursos, en algunos casos en cantidad considerable.
En ocasiones no sabemos por dónde comenzar, en otras, se tienen limitantes como falta de dinero o tiempo, o tabúes, y ante cualquier iniciativa se escuchan expresiones del tipo “¡Eso no funcionará en esta empresa!”
En este artículo veremos desde los puntos de vista teórico y práctico algunos elementos que nos ayudarán a la creación de cultura de seguridad de la información de una manera costo-efectiva apropiada.
Guías
En mi práctica profesional he encontrado varias fuentes y documentos guía que he utilizado en algunos proyectos para encontrar respuestas a preguntas que me inquietaban relacionadas con este tema. Uno de ellos es “NIST 800-50 Construcción de un Programa de Concientización y Entrenamiento de Seguridad de Tecnologías de Información”, publicado por el Instituto Nacional de Estándares y Tecnología (NIST) en octubre de 2003, que proporciona una guía para la construcción de programas de seguridad de tecnologías de la información y soporte efectivos, con requerimientos especificados en la Administración de Seguridad de la Información Federal (FISMA), pero que finalmente puede aplicarse a cualquier tipo de entidad.
Dicho documento establece de manera clara la diferencia entre los tres componentes principales de un programa para desarrollar la cultura en seguridad de la información: concientización, entrenamiento y educación:
Concientización. Su propósito es enfocar la atención en seguridad de la información para posibilitar que el público objetivo reconozca los temas de interés, estableciendo al inicio qué comportamientos se quieren reforzar, por ejemplo, mantener el escritorio limpio, usar de forma adecuada las contraseñas, elaborar copias de respaldo, usar el correo responsablemente, etcétera.
Entrenamiento. Se centra en producir habilidades y competencias en seguridad de la información relevantes y requeridas con el fin de que el público objetivo las aprenda y aplique en el día a día.
Educación. Integra habilidades de seguridad y competencias de las diferentes especialidades funcionales dentro de un cuerpo común de conocimientos, enfocándose en producir especialistas en seguridad. Por ejemplo, capacitación en sistemas de gestión de seguridad de la información o en auditoría interna ISO27001.
17Julio - Septiembre 2013
En este ciclo el aprendizaje es continuo, ya que inicia con concientización y prosigue con el entrenamiento y desarrollo a través de la educación hacia la creación de cultura de seguridad de la información.
NIST 800-50 describe cuatro fases principales para el desarrollo de los planes de concientización y entrenamiento en seguridad de la información y sus tareas asociadas, las cuales se resumen en el siguiente gráfico:
El diseño, desarrollo e implementación de un programa exitoso de conciencia y entrenamiento en seguridad de la información requiere del compromiso y aprobación por parte de la alta dirección, la definición clara de un alcance, objetivos, responsables, entregables y fechas de compromiso en un marco de tiempo realizable en la organización, y la supervisión, evaluación y realimentación por parte del personal en el programa.
¿Qué hacer?
Hay una gran variedad de actividades y entregables que dan respuesta a esta pregunta, y aunque el dinero es un recurso importante, el buen uso que se dé a este y la imaginación pueden hacer la diferencia entre un programa de concientización y entrenamiento que logre los objetivos y uno que no.
He conocido organizaciones con mucho dinero que creen que con dar un par de charlas por parte de un consultor en seguridad de la información se cumple el objetivo. Igualmente he conocido otras que con un poco de dinero y mucha creatividad han diseñado actividades dinámicas, lúdicas y de alta recordación entre el personal involucrado.
A continuación se presenta una pequeña lista de las actividades a llevar a cabo:
» Definir una mascota o personaje para la campaña. » Definir un eslogan para la campaña. » Elaboración de materiales diversos.
o Pendones.o Afiches.o Protectores y fondos de pantalla.o Videos.o Presentaciones animadas o en Power Point.
Monitoreo del programa
Métodos de evaluación y retroalimentación
Gestión del cambio
Mejora continua
Indicadores
1. Diseño
Estructura del programa
Evaluación de necesidades
Desarrollo de estrategias y planes
Definición de prioridades
Aprobación
Financiamiento
Concientización
Entrenamiento
Difusión
Técnicas para la entrega del material
Desarrollo del material
Posters
Videos
Conferencias
Boletines
Concursos
etc.
Selección de temas
Fuentes para el material
Modelo del programa de entrenamiento
Fuentes para el material
Cursos de entrenamiento
2. Desarrollo del material
3. Implementación del programa
4. Mantenimiento
ProgramaConciencia y
Entrenamiento
18
» Creación y entrega de recordatorios como llaveros, tazas, lapiceros o tarjetas para construcción de claves seguras.
» Desarrollar trivias. » Elaborar juegos como monopolio o álbum de figuras con temas relacionados por supuesto con seguridad
de la información. » Concursos basados en pictogramas, trivias, etcétera. » Obras de teatro, stand up comedy o cuentacuentos (nuevamente con temas relacionados con seguridad de
la información).
Son precisamente estas últimas actividades las que quedan grabadas más gratamente en la mente de las personas. La forma en que se hace llegar el mensaje al público influye para permear el subconsciente de las personas, y para los responsables de implementar el programa genera el reto de contar la misma historia pero de manera diferente y contribuir al proceso de cimentar la cultura de seguridad para la protección adecuada de la información.
Recuerdo en especial dos casos particulares que relato a continuación:
Caso 1. Entidad del sector giros y pagos de dinero: el programa incluyó la definición de una mascota y un eslogan, la elaboración de un video, posters con temas específicos de seguridad de la información y actividades lúdicas como llenar un álbum de figuras y juego de monopolio.
Las sesiones finales de sensibilización para el personal de la empresa (grupos de 35 personas aproximadamente) incluyeron una presentación a cargo de un consultor con los temas de seguridad de la información relevantes para la organización, un video, un ataque de ingeniería social en vivo en el cual se recogieron contraseñas de acceso de algunos de los participantes a cambio de un premio y, para finalizar, durante la última media hora, juego de monopolio de seguridad de la información en grupos de cuatro personas, como se muestra en la siguiente imagen:
Creo que los asistentes nunca olvidarán que mediante una sencilla práctica de ingeniería social, algunos me revelaron su contraseña delante de todo el grupo, habiéndoles indicado minutos antes que en ningún caso se debía dar a conocer la contraseña a otras personas.
Caso 2. Entidad del sector aeronáutico: el programa incluyó la definición de un personaje y un eslogan, la elaboración de un logotipo de la campaña, llaveros y plegables que incluían consejos de seguridad de la información, un video, un salvapantallas para el cual se diseñó una especie de radar con aviones que a medida que pasaban por un punto específico hacían aparecer/desaparecer consejos de seguridad, y un concurso lúdico basado en un pictograma con coordenadas en el cual aparecían caricaturizados algunos personajes de la entidad y en el que los participantes debían responder preguntas relacionadas con situaciones que comprometían la seguridad de la información.
En este segundo caso, el concurso atrajo la atención de buena parte de los empleados de la entidad, y a quien envió primero todas las respuestas con las coordenadas correctas, dentro del tiempo establecido, se le hizo entrega de un interesante premio.
Conclusión
Hemos pasado en este artículo de una guía de referencia a ejemplificar mediante casos reales. Jugar a crear cultura de seguridad de la información no es una tarea sencilla. Soy un convencido de que crear cultura de seguridad de la información mediante el juego y las actividades lúdicas es más viable y despierta más interés y recordación entre el público, que si se hace de manera plana y desabrida. En este, como en todos los aspectos de la vida, si los conocimientos generan interés, imaginación y, por qué no, pasión, se producen mejores resultados y se logran los objetivos.
1El término "ingeniería social" hace referencia al arte de engañar a las personas para burlar los sistemas de seguridadatravésdelaobtencióndeinformación de los usuarios ya sea por teléfono, correo electrónico, correo tradicional o contacto directo.
RecueRda BoRRaR tu SmaRtphone & taBleta con SeguRidad
¿Por qué borrar datos en dispositivos móviles?• con Blancco puedes estar 100% seguro que todos tus
datos personales, emails, contactos y fotos serán borrados de manera permanente
• al borrar tu equipo con seguridad puedes facilitar el reuso o venta de tu equipo
¿Por qué Blancco ?• Borrado 100% seguro• proceso rápido• la solución certificada para el borrado de datos
Contacta al Equipo de Blancco México tel. 55 4627 1576 email: [email protected] www.blancco.com
20
De lo que hemos aprendido de seguridad de la información a lo largo de los años, todo se puede reducir a que por un lado existen los chicos
malos, que tratan de acceder a los sistemas sin autorización, generan, distribuyen y explotan el poder del código malicioso; y por el otro, están los
chicos buenos, entre los que se cuenta a los administradores de seguridad de la información, los consultores, los especialistas de seguridad y las organizaciones que
ponen a disposición de una empresa mejores prácticas, productos y servicios de toda índole con la finalidad de minimizar los daños.¿Se ha puesto a pensar en el hecho de que la seguridad de la información no debe ser vista como un proyecto acotado en el tiempo, con un presupuesto y alcances limitados, sino que más bien se trata de un esfuerzo permanente? El crimen organizado trabaja todo el tiempo en mejorar sus técnicas y está en constante búsqueda de nuevas herramientas de ataque para obtener un beneficio financiero o competitivo.
¿Qué hace usted al respecto?
Si ya tiene definido un plan de seguridad, a partir del cual trazó una estrategia que incluye adoptar o mejorar procesos que se sustenten en la combinación efectiva de recursos humanos y tecnológicos que den cumplimiento a los objetivos de negocio. También ha terminado de conjuntar una poderosa infraestructura que se encarga de proteger el almacenamiento de sus activos de información y la transmisión de datos, ¿cree que ha concluido este esfuerzo?
En caso de que responda afirmativamente, probablemente ha omitido considerar que su contraparte continúa depurando su arsenal, afinando sus técnicas de ataque y apuntalando una estrategia a la que usted debe responder en consecuencia con acciones que la contrarresten, sin dejar de lado que nuestro entorno presenta los siguientes hechos:
» Conforme las herramientas de ataque se vuelven más económicas y sofisticadas, los riesgos a los que están expuestos los sistemas de información y los datos almacenados en ellos aumentan. Por ejemplo, el crimeware PiceBOT se comercializa en América Latina en $140 USD y se utiliza para sustraer información bancaria confidencial de la víctima1.
» El robo de identidad cobra nuevos bríos y ahora no solamente se traduce en robo de información, impacto financiero y el mal rato que se llega a pasar por descubrir gastos no realizados; hoy también, y de una forma mucho más alarmante, se comienza a utilizar para tramitar permisos de trabajo, visas o documentos que afectan ahora a los gobiernos que los otorgan. Esto facilita nuevos caminos al crimen organizado y al terrorismo por la posible infiltración de espías, criminales o mártires extremistas2.
» La aplicación de la legislación concerniente a la protección de datos personales enfrenta retos cada vez más complicados de cumplir. Hoy, el ciudadano común es más consciente y exigente sobre el trato que se le da a su información personal. La fuga de esta información puede transformarse en un auténtico dolor de cabeza para las empresas3.
» Las soluciones de protección han evolucionado de manera considerable en los últimos años, no obstante, el nivel de daño que puede ocasionar la materialización de un riesgo informático también lo ha hecho: un servicio para inundar buzones con correo spam puede cobrar tan solo $10 USD por generar un millón de correos4.
» Hoy utilizamos múltiples soluciones dedicadas a la productividad y al entretenimiento, también disponemos de nuevas dinámicas de trabajo en las empresas: interactuamos con colegas que colaboran sobre un mismo documento, almacenamos información en sistemas alojados en la nube o adquirimos contenidos y mercaderías en línea. Todo ello nos vuelve más susceptibles a ataques.
opinión
CISSP, CISA, CEH, ITIL y [email protected]
Esteban San Román
El imperio contraataca:los criminales cibernéticos velan sus armas
21Julio - Septiembre 2013
» Hasta que los usuarios no tomen conciencia de la importancia de actualizar sus sistemas y se mantengan en una cultura de postergación de crecimientos y mejoras, estarán expuestos a la explotación de vulnerabilidades ocasionadas por herramientas que están en constante evolución.
» Las amenazas pueden entrar en acción por la simple actividad cotidiana que realiza el usuario –por ejemplo, navegar páginas Web en búsqueda de información o acceder a sus cuentas de correo en la nube, o bien publicar y visualizar contenidos en redes sociales- todo esto es más complicado de detectar y prevenir con las herramientas tradicionales.
» Los dispositivos móviles, que extienden el poder de cómputo del usuario y sus posibilidades de procesamiento, igualmente son susceptibles de extender el alcance de las amenazas emergentes para estas plataformas.
» Las redes sociales, por su penetración y acepción se han transformado en vehículos para código malicioso; la posibilidad de manejar nuevos tipos de contenido y la inclusión de características que mejoran la experiencia del usuario, han permitido de la misma forma que se adhieran inadvertidamente scripts que atacan los sistemas del usuario sin que estos se percaten de ello.
» La nube se ha convertido en el siguiente objetivo para los criminales cibernéticos, un solo ataque exitoso puede desatar un impacto de magnitud considerable en una gran cantidad de empresas.
¿Y qué hacen los malos?
Para lograr su cometido, los criminales informáticos han desarrollado diferentes modelos de operación, algunos de ellos en clara alusión a esquemas que vemos en diferentes segmentos de la industria:
1) Presencia comercial. Crean un negocio legal, como pantalla, que comercializa información, productos y servicios con un tratamiento diferente: ganan por trabajar con la información de la víctima y ganan por apoyar a otros cibercriminales con esa información.
2) Delincuencia organizada. Reclutando grupos y asociaciones como Anonymous, LulzSec o Topfox, financiando sus actividades y trabajando de forma conjunta, el rastreo de la actividad criminal se complica porque los hackers usualmente están distribuidos en diferentes países
3) Outsourcing. Contratando a criminales que controlan redes de zombies (botnets) que a su vez crean un modelo mucho más sofisticado de ataque y más complejo para detectar.
4) Esquemas mentor-aprendiz. Reclutan talento de países con economías emergentes (en África, América Latina o Asia) y que finalmente poseerán mayor capacidad de ataque. Hoy, los países que lideran estas tendencias son Rusia, China y Brasil, pero conforme sus aparatos legales mejoran, la delincuencia organizada apunta a economías y países emergentes como sus nuevos semilleros de talento.
Ante este escenario, es muy importante informarse oportunamente y anticiparse a las acciones que efectuará la delincuencia. Aquellas empresas que desarrollen una estrategia de defensa más proactiva se encontrarán en una mejor posición para enfrentar los riesgos latentes que plantea un crimen cada vez más organizado.
Le sugerimos, si usted tiene inquietudes sobre este tema, integrarse a foros y comunidades en sitios como Linkedin, asociaciones como los capítulos locales de ISACA e ISC2 o fuentes reconocidas como el SANS Institute, para estar al tanto de todo lo que ocurre actualmente en el medio de la seguridad de la información. También cabe mencionar que en el sitio Web de Magazcitum tenemos a su disposición una considerable cantidad de artículos que abordan temas de concientización y protección en diferente ámbitos. Los colaboradores de esta publicación estamos igualmente al pendiente de sus comentarios para tratar en mayor profundidad estos temas y estrechar la comunicación con usted.
1http://thehackernews.com/2013/02/picebot-crimeware-kit-targeting-latin.html2http://cis.org/IdentityTheft 3http://www.consumer.ftc.gov/articles/0272-how-keep-your-personal-information-secure4http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf
21Julio - Septiembre 2013
22
Longitud vs complejidad en contraseñas
opinión
Cada vez que algún conocido me pregunta qué puede hacer para tener una contraseña segura y lograr que sea difícil de romper, automáticamente se dispara en mí la respuesta cuasi robótica de: “Mira, tu contraseña debe tener una longitud mínima
de doce caracteres, y debe estar compuesta por mayúsculas y minúsculas, números y caracteres especiales como son mayor
que, menor que, gatito, porcentaje y demás símbolos.”, y seamos honestos, este método de buena práctica para contraseñas es
bastante efectivo y tiene una explicación matemática combinatoria que lo sustenta.
Una contraseña (una buena contraseña compleja) es la variación aleatoria de 12 elementos tomados del grupo de todos los caracteres que encontramos en el teclado de una computadora. Estamos hablando de que la contraseña puede estar compuesta por las 27 letras del alfabeto español, que en realidad debemos multiplicar por 2 ya que también hay que contar las mayúsculas, dando un total de 54, más 10 dígitos (del 0 al 9) y un aproximado de 33 caracteres especiales, es decir, que una contraseña puede ser formada por 97 caracteres. Esto en matemáticas se conoce como “variación con repetición” y el cálculo de las diferentes variaciones posibles está dado por la siguiente fórmula:
V Rm,n = mn
En donde llamamos variaciones con repetición de m elementos tomados de n en n a todas a las agrupaciones posibles con n elementos, independientemente de que se repita alguno.
Vamos a comprobar que esto es cierto; veamos cuántas variaciones de 0 y 1 existen formando grupos de tres elementos.
V Rm,n = 23 = 8Y es cierto, porque al hacer grupos de ceros y unos, de 3 elementos, solo son factibles las siguientes variaciones:
000 100
001 101
010 110
011 111 Después de constatarlo, ¿cuántas variaciones posibles existen de contraseñas de 12 caracteres con los 97 posibles elementos que podemos escoger?
V Rm,n = 9712 = 6.93842360995438 x 1023
Un número bastante grande. Pero seamos un poco más realistas, no es común que utilicemos contraseñas de 12 caracteres, es más probable que la mayoría de nosotros utilicemos una contraseña de 8 caracteres utilizando alguno de los 97 posibles valores. Tomando esto como cierto veamos cuántas posibles variaciones existen con estas condiciones:
V Rm,n = 978 = 7,837,433,594,376,961
Gastón Olguín
23Julio - Septiembre 2013
Igualmente un número bastante grande, aunque no tan grande como el primero. Ahora, pensemos que contamos con una computadora que puede ejecutar pruebas automatizadas de todas estas variaciones (lo que comúnmente se conoce como ataque de fuerza bruta), ¿cuánto tiempo tardaría en dar con la contraseña que hemos utilizado si la computadora hace 1000 pruebas por segundo? En el caso de una contraseña de 12 elementos la computadora tardaría aproximadamente 2.2 x 1013 años en probar todas y cada una de las posibles opciones, claro está que la prueba podría tardar mucho menos si utilizara algún método de probabilidad que le permitiese jugar con las variaciones más probables primero, sin probar las combinaciones linealmente, o si simplemente el atacante corriera con suerte. Regresando al caso de una contraseña de 8 caracteres la computadora tardaría aproximadamente 2.5 x 105 años en probar todas las contraseñas posibles.
Solo por curiosidad, calculemos cuánto tiempo tardaría la misma computadora en probar variaciones que contengan solo mayúsculas, minúsculas y números. En el caso de una contraseña de 12 caracteres tardaría aproximadamente 1.5 x 1011 años y con una de 8 caracteres tardaría aproximadamente 8926 años.
De estos números se deducen dos cosas, la primera, que el hecho de incluir los caracteres especiales aumenta considerablemente el tiempo que sería necesario para encontrar la contraseña correcta; y dos, que a mayor longitud de la contraseña aumenta considerablemente el tiempo requerido para encontrarla. Si observamos el caso donde se construyó una contraseña sin caracteres especiales, la diferencia de tiempo para probar todas las variaciones entre una de 8 elementos y una de 12 elementos es bastante amplia.
¿A dónde quiero llegar con todo este análisis? Utilizar caracteres especiales en una contraseña con una longitud considerable es indudablemente la mejor manera de obtener una contraseña robusta, sin embargo presenta una desventaja, es difícil de memorizar o recordar. Si eligiéramos 12 caracteres al azar como Tg7&3=9sy/4!? y los utilizáramos como contraseña, sería una buena práctica tomando en cuenta lo que he expuesto pero, hay que admitirlo, no es muy mnemotécnica y muy probablemente la lleguemos a olvidar pronto, sobre todo si no la manejamos con frecuencia. Si a esto le agregamos que otra buena práctica de las contraseñas que es no repetir la misma contraseña en cada uno de los mecanismos de autenticación (acceso a computadora, email, bancos, redes sociales, etc.), entonces se vuelve aún más complicado usar contraseñas como la que construí con 12 caracteres al azar, y existe mayor probabilidad de olvidar alguna, luego entonces, ¿qué opciones tenemos?, la más común es emplear palabras y cambiar algunas letras por números, con un símbolo para cumplir con la regla de incluir caracteres especiales, por ejemplo p4ssS3gUr0! o 5pUr543v3R<3. Seamos sinceros, este tipo de contraseñas se pueden poner en un diccionario después de haber hecho un poco de ingeniería social sobre la víctima para descubrir sus gustos, y luego proceder a un ataque de fuerza bruta con posibles contraseñas basadas en ellos.
Sin embargo hay otra opción no muy popularizada, ¿qué tal si basamos la contraseña en la longitud y no en la complejidad?, se podría utiliza una contraseña de cuatro palabras al azar, algo como “GatoLamparaLentesBote”, una contraseña de 21 caracteres solo entre mayúsculas y minúsculas: calculemos cuántas variaciones existen solo tomando 54 caracteres para crear las variaciones de una longitud de 21 elementos.
V Rm,n = 54 = 2.40031896369803 x 1036
El resultado es un número mucho mayor que las variaciones factibles con una combinación de 97 caracteres y 12 elementos, lo cual convierte a la contraseña de mayor longitud en una contraseña más difícil de adivinar pero más fácil de recordar, ya que podemos auxiliarnos en la memorización de la contraseña creando la imagen mental de “un Gato saltando sobre una Lámpara tirando unos Lentes al Bote”, y esta imagen mental sería más fácil de recordar que 12 caracteres aleatorios que no guardan relación entre sí.
No hace falta más ejemplificación, se observa fácilmente que a mayor cantidad de caracteres, mayor será el número exponencial de la fórmula, lo que conlleva a que al final las variaciones totales sean muchísimas más.
Basar una contraseña en la longitud y no en la complejidad parece arriesgado e incluso ir en contra de las buenas prácticas (y lo hace), pero hemos visto la matemática detrás de las contraseñas cimentadas en la longitud sustentando que hay mayor probabilidad de llegar a descubrir una contraseña compleja que una basada en longitud, sin embargo, al final es el lector quien tiene la última palabra acerca de qué tipo de contraseña elaborar, a menos que el mecanismo de autenticación no lo permita y solo pueda introducir contraseñas de unos cuantos caracteres, en ese caso sí es recomendable que se utilicen mayúsculas, minúsculas, números y caracteres especiales para contar con una contraseña segura.
21
24
Uso de las redes sociales en la empresa:
riesgos de seguridad
opinión
Las formas de colaboración en la empresa han ido evolucionando a
medida que lo ha hecho la tecnología, desde las reuniones personales y el correo
interno -en papel-, al teléfono, correo electrónico, la mensajería instantánea (IM, por sus siglas en inglés), reuniones virtuales por medio de Internet y las redes sociales.
A excepción del correo en papel, que casi ha desaparecido, las demás formas de colaboración han ido coexistiendo y se está utilizando
una u otra dependiendo del objetivo, del tiempo en que se necesite la colaboración o respuesta, y de otros factores como los usos y los husos
horarios.
Al contrario de lo que pasó con el teléfono y el correo electrónico, que se extendieron casi a la par en los ámbitos de negocios y privado, la mensajería instantánea y las redes sociales se han popularizado primero en lo personal y es ahora cuando empiezan a ser usadas en el mundo empresarial.
Según el McKinsey Global Institute1, 72% de las empresas se valen de las tecnologías sociales principalmente para llegar hasta los consumidores y recoger sus deseos, gustos y necesidades para el desarrollo de productos, publicidad y servicio al cliente. Sin embargo su mayor potencial está en la mejora de las comunicaciones y el intercambio de conocimientos, así como en la colaboración dentro de, y entre empresas.
Al igual que en el ámbito privado, se establecerá un entorno de sujetos “enlazados”, tanto de modo interno a la organización como externo con todas las entidades -clientes, proveedores y en general todos los actores relacionados de una u otra manera con la empresa- con las que esta haya de interactuar: es la empresa extendida.
Las redes sociales ofrecen la posibilidad de una gran apertura respecto a la información accesible por unos u otros -empleados o actores externos a la organización-. Esto que a priori se antoja positivo, ha de ser orquestado adecuadamente para que dicha información siga siendo fidedigna y segura para los objetivos de la organización, a pesar del vertiginoso aumento en el número de individuos y dispositivos que hoy crean e intercambian dicha información.
La organización debe establecer y poner en marcha una política de segmentación de la información para las personas que se relacionen con ella, sean empleados de la misma o no.
Por otra parte, si uno observa el soporte por el que se produce el intercambio de información, la cantidad transmitida a través de dispositivos móviles es cada vez mayor, lo que se ve favorecido por la constante reducción en tamaño y peso de los dispositivos, unido a un aumento de su potencia y a la ubiquidad de Internet. Según el último informe de tendencias de la analista Mary Meeker, de la firma KPCB2, la cifra ha pasado de un 0.9% en mayo de 2009, a 15% en el mismo mes de 2013.
Se transfieren permanentemente documentos del trabajo a ordenadores personales, tabletas, teléfonos inteligentes u otros dispositivos, particulares o corporativos, o se ejecutan aplicaciones en línea sobre información que puede constituir parte de la propiedad intelectual de la empresa. Parte de toda esta información rara vez se elimina de esos dispositivos móviles. Esto aumenta los escenarios de riesgo pues facilita la posibilidad de intrusión en los sistemas a través de aplicaciones, dispositivos y puntos de acceso a Internet poco protegidos. Además, favorece las fugas o pérdidas de información, por ejemplo, por robo o extravío de los dispositivos.
Ma. José de la Calle
25Julio - Septiembre 2013
Otro aspecto fundamental a tener en cuenta en el uso de estas herramientas de colaboración y comunicación social, es el factor humano. Cada vez más la comunicación e interacción entre las personas se produce a través de esas herramientas, pero sin los conocimientos y habilidades desarrollados para su utilización de forma segura.
Se hace necesaria una concienciación sobre las amenazas que dicho uso implica; sobre el posible coste, personal y empresarial, de la pérdida de fiabilidad de la información, o de la información misma; y sobre la relevancia que puede tener la creación, transformación y transmisión a través de medios que resultan no del todo seguros para las necesidades corporativas.
Al hilo de lo expuesto surge la siguiente pregunta: ¿Tiene la empresa el derecho de control sobre la información que se transmite por las redes sociales? Pregunta cuya respuesta cae tanto en el entorno técnico como en el legal, por cuanto tiene que ver con aspectos de privacidad, propiedad intelectual y otros temas.
Para terminar, unas noticias de prensa:
El 7 de junio, los diarios The Washington Post y The Guardian publicaron la existencia de dos programas de espionaje secretos, uno que registra datos de llamadas en EE. UU. y otro que permite a la inteligencia estadounidense acceder a servidores de las principales compañías de Internet y recabar datos directamente de los servidores de Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube y Apple.
El 13 de junio, el blog The PrivacySurgeon3 comentó la noticia de que el gobierno sueco había decidido prohibir el uso de cualquier producto de la nube de Google -incluyendo calendario, Gmail y Google Drive- dentro de instituciones públicas, ya que consideran que Google puede acceder a la información de los usuarios, y que los usuarios en el sector público no pueden tener la certeza de que los derechos de protección de datos están asegurados.
1http://www.mckinsey.com/insights/high_tech_telecoms_internet/the_social_economy2http://www.kpcb.com/insights/2013-internet-trends 3http://www.privacysurgeon.org/blog/incision/swedens-data-protection-authority-bans-google-apps/
26
c ·o ·n ·e ·x · i ·o ·n ·e · s
Desde la trinchera Redes complejas hechas fácilmente,
¿será posible?Marcos Polanco CISSP, CISM y CISA
Introducción
Los conceptos de virtualización y los servicios en la nube han transformado de una forma radical los ambientes aplicativos, de servidores y almacenamiento, donde las comunicaciones en tiempo real, rich-media y la movilidad son los temas dominantes. Sin embargo, la infraestructura de red que soporta estas aplicaciones y servicios no ha evolucionado a la misma velocidad, por lo que se ha quedado atrás, convirtiéndose en un obstáculo.
Imaginemos una red que responda y se adapte dinámicamente a lo que requiere la organización, permitiendo desplegar nuevos servicios rápidamente. Una red en la que las necesidades de negocio pudieran ser expresadas en forma de políticas de alto nivel y estas se pudieran aplicar de forma automatizada, reduciendo así la intervención manual y por ende el costo operativo, todo lo anterior sin causar interrupciones al negocio. Suena muy atractivo, ¿o no?
El concepto de redes definidas por software (software defined network, SDN) promete evolucionar las redes a un nuevo nivel, haciendo que las expectativas arriba mencionadas queden cubiertas. En este artículo resumo varios documentos y referencias con el fin de comentar qué es SDN, por qué surge, cuáles son los principales conceptos que propone y los beneficios que promete.
Problemática
Hoy en día existen varias tendencias que provocan cambios importantes en los requerimientos hacia la arquitectura de redes: el fuerte incremento en el uso de dispositivos móviles, la proliferación de la virtualización de servidores, la alta adopción de servicios en la nube, los prometedores beneficios que las estrategias de Big Data traerán, y la convergencia de las redes de datos, voz y video, implican grandes cambios en los patrones de tráfico que circulan en la red, nuevos requerimientos en los anchos de banda y diferentes niveles de calidad de servicio (QoS). En pocas palabras, se requiere que los usuarios se puedan conectar, asegurándoles una experiencia satisfactoria, dondequiera, cuando quiera y desde cualquier dispositivo.
Las arquitecturas de hoy en día carecen de flexibilidad y son altamente complejas, su foco ha estado en minimizar el riesgo de indisponibilidad de los servicios, más que en la adaptabilidad, flexibilidad y agilidad. La gestión de las redes actuales está poco automatizada y para aplicar una política específica es necesario configurar manualmente múltiples dispositivos a través de comandos de línea, lo que aumenta el riesgo de afectar los servicios debido a un error humano.
La nueva arquitectura
SDN es una nueva arquitectura de red enfocada a la entrega de servicios en la cual se separan y diferencian con claridad dos planos (capas) que tradicionalmente están incrustados monolíticamente en cada uno de los dispositivos de red. Permite a las aplicaciones abstraerse
de la infraestructura de red subyacente, como si fuera un solo switch lógico o virtual.
Trabaja bajo los principios de caracterización y conciencia de las aplicaciones (application aware), abstracción de la red, gestión centralizada y automatizada para asegurar el correcto
aprovisionamiento de los recursos necesarios para cumplir con la calidad de experiencia que los usuarios esperan.
X: 45.69
Y: 102.51X: 45.69
Y: 102.51
C
M
Y
CM
MY
CY
CMY
K
28
c ·o ·n ·e ·x · i ·o ·n ·e · s
Los dos planos que se disocian son los siguientes:
» Reenvío de datos (data forwarding).- Este plano permanece descentralizado y se encarga del reenvío de los paquetes tan rápido como sea posible. Permanece en el hardware de red y típicamente implementada a través de elementos especializados, conocidos como circuitos integrados de aplicación específica (application-specific integrated circuits, ASIC). Estos elementos de hardware deben operar con el protocolo Openflow para comunicarse con el plano de control e implementar las reglas de reenvío de tráfico.
» Control. Contiene la inteligencia de la red de una forma centralizada, entiende la topología de la red y puede tomar decisiones sobre a dónde debe ir un flujo de tráfico específico (este plano siempre está centralizado). Permite modificar el comportamiento de la red en tiempo real así como desplegar nuevos servicios en poco tiempo (horas). El controlador es una especie de middleware que abstrae los componentes físicos subyacentes de la red como ruteadores, firewalls o balanceadores. Al centralizar la inteligencia de la red, es posible verla de forma completa, es decir, end-to-end, lo que permite tomar mejores decisiones. Por otro lado, las políticas que se pueden implementar a través de este componente contemplan aspectos como control de accesos, control de tráfico, calidad de servicio, seguridad, etcétera. En esta nueva arquitectura, este componente en vez de estar en el hardware de red, está basado en software de propósito específico y típicamente corre en servidores x86 de uso general, ya sean físicos o virtuales.
Otra característica muy importante de SDN es el reconocimiento de la existencia de la capa aplicativa, en la cual se encuentran los servicios de red, las herramientas de orquestación y las aplicaciones de negocio que interactúan con el plano de control a través de API específicos. En el siguiente diagrama se puede observar la arquitectura conceptual divida en los diferentes planos.
Plano aplicativo
Aplicacionesde negocio
Aplicacionesde negocio
Aplicacionesde negocio
Plano de reenvío de datosOpe
nflow
API
s
Com
unic
ació
n“h
acia
aba
jo”
Com
unic
ació
n“h
acia
arr
iba”
Dispositivosfísicos de red
Dispositivosfísicos de red
Dispositivosfísicos de red
Dispositivosfísicos de red
Plano de control
Plataformade controlSDN
Serviciosde red
Serviciosde red
Serviciosde red
De este modelo de planos se derivan dos tipos principales de conversaciones:
» "Hacia abajo" (southbound), realizada principalmente a través del protocolo Openflow para comunicar al controlador con los equipos de red. Openflow permite el acceso y la manipulación directa del plano de reenvío (forwarding) de los equipos de red, ya sean físicos o virtuales.
» "Hacia arriba" (northbound), para comunicar al controlador con las aplicaciones de negocio y se realiza principalmente a través de interfaces de programación de aplicaciones (application programming interface, API).
29Julio - Septiembre 2013
Los beneficios esperados de una SDN son los siguientes:
» Simplicidad. La red puede ser controlada y gestionada de forma centralizada como una sola entidad. Las tareas de gestión son automatizadas y aisladas de la complejidad de la infraestructura física a través de interfaces fáciles de utilizar.
» Agilidad. Los nuevos servicios y aplicaciones pueden ser provistos en muy poco tiempo, además los administradores de TI obtienen la posibilidad de programar funcionalidades y servicios (programmability) según lo requieran, eliminando así la dependencia de los fabricantes de hardware.
» Control. A través del plano de control se puede supervisar de forma granular los flujos de la red, contemplando las aplicaciones como un elemento central. Permite lograr mejoras en la confiabilidad y seguridad de la red, centralizando la definición, configuración e implementación de políticas.
» Mejoras en la experiencia del usuario final. Al permitir que las aplicaciones exploten la información centralizada sobre el estado de la red y de la capacidad de adaptación del comportamiento de la misma, se pueden realizar ajustes en tiempo real para que los usuarios finales tengan un tiempo de respuesta de acuerdo a los niveles de servicio establecidos.
» Reducción de costos operativos. Finalmente, todo lo anterior redunda en el principal beneficio que se espera, que consiste en un menor costo operativo de gestión de las redes.
Situación actual de SDN
SDN surgió apenas hace un par de años, impulsado por los usuarios, es decir, por organizaciones que de alguna manera buscan un cambio en sus infraestructuras de red. Empresas como Microsoft, Yahoo, Facebook, Goldman Sachs, Google, Verizon y Deutsche Telecom, formaron la ONF (Open Networking Foundation, https://www.opennetworking.org/) que está dedicada a impulsar la promoción y adopción de este concepto y que definió el protocolo Openflow. De igual forma se ha creado el ONUG (Open Networking User Group, http://opennetworkingusergroup.com/) que es una comunidad de líderes de TI para el intercambio de ideas y mejores prácticas para la implementación de diseños de SDN.
Aunque se trata de un concepto relativamente nuevo, es una tendencia que no se detendrá y solo es cuestión de ver cuánto tiempo toma para que se vuelva una realidad para la mayoría de las organizaciones, no únicamente para los innovadores tempranos (early adopters): en un evento realizado por Network World1 solo 10% de los 450 asistentes dijeron entender el concepto de SDN. Por otro lado, de los miembros del ONUG 56% está revisando el concepto de SDN, mientras que 28% ya está corriendo pruebas de concepto (PoC), y 16% ha realizado ya implementaciones limitadas1. Así pues, se estima que las primeras implementaciones reales se iniciarán en 2014, alcanzando un valor de mercado de apenas $400 millones de dólares, y que pasarán tal vez de 5 a 7 años antes de que SDN se consolide1.
Conclusiones
SDN es un enfoque muy interesante que promete hacer de las redes un elemento mucho más dinámico y un gran habilitador de negocios, sin embargo, hay que estar atentos a las estrategias de adopción que los grandes fabricantes de infraestructura de red definan. Hoy en día ya la mayoría (Cisco, HP, Brocade, Juniper, Dell, Enterasys, por mencionar algunos) están trabajando y presentando sus propuestas, pero sus enfoques suelen ser diferentes.
También hay que observar al mercado, ya que están surgiendo nuevas compañías de nicho (startups) que retarán a los grandes y, como siempre, habrá fusiones y adquisiciones.
Por último, es muy importante observar la evolución y consolidación de estándares, protocolos y API para la interoperabilidad; en estos temas los organismos como la ONF y ONGU tendrán un papel de gran influencia.
Referencias
1NetworkWorldDigitalspotlight,ThepromiseofSDN(http://resources.idgenterprise.com/original/AST-0087944_NWW_SDN_v5.pdf)ONFWhitepaper,Software-DefinedNetworking:TheNewNormforNetworks(https://www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf )
Juniper White paper, Decoding SDN (http://forums.juniper.net/t5/The-New-Network/Decoding-SDN/ba-p/174651 )EnterasysWhitepaper,SoftwareDefinedNetworking(http://www.enterasys.com/company/literature/sdn_tsbrief.pdf)BrocadeWhitepaper,ExploringSoftwareDefinedNetworkingwithBrocade(http://www.brocade.com/downloads/documents/white_papers/exploring-sdn-wp.pdf )DellWhitepaper,SoftwareDefinedNetworkingaDellpointofview(http://i.dell.com/sites/doccontent/business/large-business/en/Documents/Dell-Networking-SDN-POV.pdf )ZDNet,10questionsaboutSoftwareDefinedNetworking(http://www.zdnet.com/10-key-questions-about-software-defined-networking-sdn-7000015822/)
30
c ·o ·n ·e ·x · i ·o ·n ·e · s
Departamento de defensa
David GutiérrezCISSP y CISA
La evolución de los incidentes de seguridad y el papel de los profesionales en seguridad de la información
Hace un par de años escribí en esta columna, con no poca dosis de drama, que como industria estábamos siendo autoindulgentes al tener en discusión temas como el retorno de inversión, metodologías de análisis de riesgos y tableros de control, cuando los incidentes de seguridad de la información se estaban materializando por la falta o ineficacia de controles elementales. En el reporte Data Breach Investigations Report1 que emitió Verizon Business en 2011 se leía: “¿Ustedes creen que estamos haciendo que ellos (los atacantes) se esfuercen por adaptarse? Año tras año nuestros datos (del reporte) sugieren que no lo estamos haciendo, y eso es algo que necesita cambiar”, y la idea remataba: “Pero dejemos de permitirles que sigan hallando éxito en nuestro estancamiento”, todo esto mientras se terminaba de pintar el cuadro con las frías cifras de “costo de las medidas preventivas recomendadas por porcentaje de incidentes”: en 4% de los casos, los controles recomendados para prevenir el incidente eran caros y difíciles de implementar, en 33% tenían costo y dificultad media, y en 63% eran simples y baratos.
Tratando de establecer una tendencia, revisé las ediciones de 20122 y 20133 solo para encontrar, otra vez, la frialdad de los números (ver tabla 1).
Costo y dificultad de implementación de los controles de seguridad 2011 2012 2013
Caros y difíciles de implementar 4% 3% N/D
Costo y dificultad medios 33% 31% N/D
Baratos y simples 63% 63% N/D
Desconocidos N/D 3% N/DTabla 1
No está muy clara la razón por la cual los datos correspondientes a esta categoría se dejaron de reportar para la edición de 2013, en la cual solo es posible encontrar dos datos que refuerzan la tendencia observada (ver tablas 2 y 3).
Dificultad de la invasión inicial Total 2013
Muy baja 10%
Baja 68%
Moderada 22%
Alta < 1%
Tabla 2
Dificultad de las acciones subsecuentes para invasión Total 2013
Muy baja 2%
Baja 71%
Moderada 7%
Alta 21%
Tabla 3
31Julio - Septiembre 2013
En esencia, la mayoría de incidentes de seguridad no presentó gran dificultad para los atacantes, de lo que podemos deducir que en realidad no hubo mejoras en la presencia y eficacia de controles de seguridad. Puedo entonces aventurarme a formular una hipótesis sobre la razón por la cual los datos de dificultad y costo de los
controles desaparecieron de la edición de este año: ¿Cuál es el punto de publicarlos?, los datos de 2012 son esencialmente una copia al carbón de los de 2011, y muy probablemente los de 2013 no serían diferentes, si
acaso ligeramente mejores. La dura realidad es que después de mucho revuelo con la seguridad en la nube, nuevas amenazas para dispositivos móviles y otros tantos temas que ocuparon la mente y páginas de la gente especializada
en seguridad de la información, continuamos haciendo un trabajo francamente malo como colectivo.
Es cierto que estos resultados poco dicen de las razones por las cuales los controles básicos no han sido implementados o se han implementado de forma ineficaz, es posible que mucha de la responsabilidad recaiga en la alta dirección al tomar decisiones equivocadas en cuanto a la inversión en seguridad de la información pero, entonces, ¿estaremos comunicándonos correctamente con los directivos?, ¿estaremos usando el discurso correcto para convencer?
Tratando de acercar esta información a un contexto más local, me encontré con que no hay una manera fácil de seccionar y visualizar los datos que corresponden con la región latinoamericana, información que nos podría dar una idea más clara de cuánto nos representan estos números; sin embargo, al menos dos países están representados –en mayor o menor medida, eso tampoco está claro- en los resultados: Brasil y México.
Es importante tener en cuenta las nuevas tendencias, amenazas y herramientas para integrarlas en nuestro programa de gestión de incidentes de seguridad, pero espero que los hechos que he presentado en esta columna nos hagan reflexionar sobre la prioridad de revisar los planes para asegurarnos de que están cubriendo de manera eficaz los controles elementales, porque parece que hasta el momento es la estrategia más rentable.
1http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf
2http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-ebk_en_xg.pdf
3http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf
32
CISA y CRISC CISA y CRISC [email protected] [email protected]
Patricia Prandini y Marcia Maggiore
Introducción
El cibercrimen es, sin lugar a dudas, un tema de gran actualidad e interés y, por supuesto, de gran
preocupación. En efecto, desde finales del siglo XX, las tecnologías de la información y las comunicaciones han
penetrado la vida de las sociedades y las organizaciones, siendo la aparición de Internet un hito fundamental, al transformarse
en un ámbito de generación y difusión del conocimiento e interconexión entre personas y organizaciones de todo tipo.
opinión
Cibercrimen en Latinoamérica
y El Caribe:una visión desde
la sociedad civil
Sin embargo, este uso cada vez más intensivo de las tecnologías de la información y las comunicaciones para el sostenimiento de la actividad económica y del bienestar de la población, en un mundo cada vez más conectado, ha traído aparejada la necesidad de enfrentar y paliar la actividad ilícita que deviene de dicho uso.
Los países de Latinoamérica y El Caribe, en adelante, LAC, no han sido ajenos a esta situación, acompañando y, en algunos casos, superando al resto del mundo en la incorporación de los avances tecnológicos y en el aprovechamiento de sus múltiples beneficios, pero registrando también un creciente desarrollo del cibercrimen en la región.
Consciente de esta realidad, el Registro de Direcciones de Internet de Latinoamérica y El Caribe, en adelante LACNIC, se propuso desarrollar una investigación, la segunda de su tipo, con el fin de conocer la situación a la fecha en materia de cibercrimen en LAC. Esta decisión fue adoptada con la certeza de que un mayor conocimiento de las características y la magnitud del impacto que este tipo de actividad maliciosa tiene sobre las personas, las organizaciones y los países de la región, contribuirá no solo a dimensionar adecuadamente el problema, sino también a asignar prioridades y a determinar en forma justificada las acciones que se deben emprender.
Esta investigación se enmarcó en los esfuerzos que viene realizando esta entidad para fortalecer la capacidad regional de atención y respuesta a incidentes de seguridad en LAC, buscando incrementar la resiliencia frente a los ciberataques que afectan la región. En particular, obedece a los lineamientos de uno de sus programas, conocido como AMPARO, cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de la problemática de seguridad de la información, fundamentalmente en el ámbito privado de las empresas y organizaciones sociales. El informe que da origen al presente artículo, así como otras acciones encaradas a través de AMPARO, como los manuales de gestión de incidentes y diversos talleres de capacitación en la materia, pueden ser consultados en www.proyectoamparo.net
33Julio - Septiembre 2013
Objeto de la investigación
El objetivo general del trabajo realizado fue la revisión de la situación al año 2012 de LAC en materia de cibercrimen, como posible origen y blanco de la actividad maliciosa.
En este sentido, y dada la multiplicidad de interpretaciones para términos como cibercrimen, ciberdelito, ciberamenaza, ciberataque, ciberseguridad, entre otros, se adoptó el primero de ellos, entendiendo por tal toda acción indebida o reprensible que ocurre en el ámbito de Internet, con independencia de sus implicancias legales y de si se trató de un ataque potencial o exitoso. En otras palabras, se incluye bajo esta denominación cualquier actividad maliciosa realizada con el fin de comprometer la confidencialidad, integridad y disponibilidad de la información, aprovechando las vulnerabilidades que presentan Internet y los dispositivos y sistemas involucrados. Por consiguiente, se solicita a los lectores del este artículo tener en cuenta esta explicación, con el fin de evitar cualquier interpretación errónea respecto a la información vertida en su texto.
En el desarrollo del trabajo se buscó conformar una visión lo más acabada posible del panorama de los cibercrímenes que afectan en mayor medida a los países de la región, y proyectar una serie de indicadores valorizados para obtener una idea de la magnitud del impacto económico de los incidentes de seguridad, buscando generar un marco para estimaciones futuras que pueda ser actualizado y mejorado cuando se disponga de información más precisa. El trabajo abordó también los resultados de la encuesta efectuada para conocer las características del uso de Internet en la región, desde la perspectiva de la seguridad y el cibercrimen.
Cabe resaltar que los datos y valores analizados fueron obtenidos de fuentes públicas provenientes de informes producidos tanto por organizaciones públicas como por entidades privadas de la región o de otros países del mundo.
En este sentido, corresponde aclarar que resulta difícil formular conclusiones precisas respecto a las consecuencias de fallas, incidentes o vulnerabilidades reales o potenciales, que afectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversos motivos, entre los que se encuentran:
» La reticencia de organizaciones a informar los incidentes ocurridos, frente a riesgos tales como daño en la reputación, pérdida de clientes, etcétera.
» Las dificultades que encuentran los usuarios para reportar los incidentes que los han afectado. » La existencia de publicaciones con datos disímiles, difundidos por entidades nacionales o internacionales
y la escasez de cifras de organismos oficiales. » La dificultad, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global de algunos
tipos de cibercrímenes. » El encadenamiento de las técnicas que resultan en un único ataque, que dificulta la recolección de datos. » La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentes
reportados, que pueden tornar impreciso el cálculo. » Las complejidades para cuantificar el efecto económico o
financiero sobre personas y organizaciones, tanto en forma individual como agregada.
» La falta de homogeneidad en la metodología de conteo de los incidentes.
» Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etcétera.
El cibercrimen en cifras
Para dar una idea de la presencia de la región en el ciberespacio, a fines de junio del año 2012, habitaba su territorio 10.6% de los usuarios de Internet del mundo. En cuanto a la penetración respecto al total de la población, a mediados del año pasado era de 42.9%, frente a 34.5% en el año 2011, muy por encima del promedio mundial (34.3%) y del de otras regiones del planeta. Estos valores provistos por “Internet World Stats” siguen mostrando una tendencia positiva a partir del ingreso al nuevo milenio, con un crecimiento de 1310.8% entre los años 2001 y 2012, superando también a otras áreas geográficas como Asia y África. Asimismo, la cantidad de usuarios de telefonía móvil 3G se multiplicó por diez en el mismo periodo, convirtiéndose en una de las regiones con mayor crecimiento del mundo para la telefonía celular, delante de Europa y América del Norte.
Julio - S
34
Esta importante apertura hacia el ciberespacio, además de los beneficios asociados, trae como consecuencia la exposición a las múltiples amenazas que lo surcan. A continuación brindamos algunos antecedentes y cifras que surgen de los informes de los laboratorios de las compañías de seguridad, los cuales dan cuenta de los diferentes tipos de ciberamenazas y de su evolución a nivel global y, en algunos casos, específicamente para LAC.
Lo que comenzó como pequeños códigos maliciosos, constituyen hoy piezas inteligentes de software que pueden atacar varias plataformas simultáneamente o bien adaptarse dinámicamente a los escenarios que se van presentando, haciendo así mucho más difícil su detección. Su evolución ha llegado a permitir el conocimiento de la víctima para realizar ataques dirigidos apuntando al robo de información muy sensitiva en las organizaciones. Más allá de las amenazas existentes, lo que se perfila es que la Web es el centro de atención ya que, no solo es un vector de ataque en sí misma, sino que da soporte a otros, tales como las redes sociales, los dispositivos móviles o los correos electrónicos, los cuales usan la Web para complejos escapes y funciones de ataque.
En cuanto a la participación de LAC en la actividad maliciosa, se destaca Brasil a nivel global y en los primeros puestos para la mayoría de los cibercrímenes. Dentro de la región, los principales actores, luego de Brasil, son Argentina, Colombia, México y Chile. Cabe mencionar, dado su impacto económico, que los ataques de phishing han aumentado en la región 20% más de lo que han crecido a nivel global, mientras que el crecimiento de los dominios usados para esta actividad duplicó el del orden mundial.
En el caso de las botnets, LAC fue la región más afectada por la denominada Dorkbot, con más de 80 mil bots (44% en Chile, 15% en Perú y 11% en Argentina).
Estos son solo algunos ejemplos ya que el SPAM, la fuga de datos, los troyanos bancarios, los ataques a dispositivos móviles y en las redes sociales, entre otros, alcanzan también a la región.
Es de hacer notar que a partir de fines de 2009, se registra el desarrollo de herramientas para la comisión de cibercrímenes desde dentro de la región. A manera de ejemplo, se han detectado botnets desarrolladas en sus países, como son los casos de Volk, SAPZ, BoteAR y AlbaBotnet. En el mismo sentido se tomó conocimiento del primer caso reportado de ciberespionaje a través de códigos maliciosos orientado específicamente a LAC. Por otro lado, y en los primeros meses del año 2013, se registraron casos de hacktivismo a través de los ataques producidos por Anonymous en Argentina, Honduras y Perú.
SymantecCorporation-Actividadmaliciosaporpaís,lasAméricas,2011
36
Websense Inc. - Crecimiento de web links maliciosos durante 2011 y 2012
El cibercrímen en valores económicos
Un ejercicio imprescindible para determinar la magnitud del cibercrimen en la región es estimar su impacto económico. Cabe preguntarse si lo que efectivamente se invierte en mecanismos de seguridad, tanto preventivos para la defensa, como correctivos cuando se trata de investigar, identificar y neutralizar el accionar de quienes cometen cibercrímenes, resulta suficiente o por lo contrario, es excesivo o si debería asignarse de otra manera.
En efecto, en todo el mundo se destina una considerable cantidad de fondos para asegurar la información. Dichos fondos son por naturaleza escasos, por lo que se deberá irremediablemente seleccionar objetivos y determinar prioridades, es decir, decidir cuánto invertir y en qué. Esto crea la necesidad de contar con datos certeros sobre la actividad maliciosa en Internet y de determinar lo más precisamente posible, las pérdidas que dicha actividad genera.
37Julio - Septiembre 2013
Sin embargo, intentar determinar el impacto económico, aunque sea aproximado, es una labor compleja, fundamentalmente por las dificultades para acceder a datos concretos y confiables sobre la ocurrencia de los incidentes de seguridad y para conocer en forma integral sus efectos y sus características. Esto lleva a que cualquier afirmación requiera la consideración de una serie de supuestos justificados y de presunciones sobre las cuales basar las conclusiones a las que se pueda arribar, a la hora de determinar total o en parte el impacto económico del cibercrimen.
En junio de 2012, un grupo de investigadores de varias universidades europeas y estadounidenses publicaron un artículo sobre la medición del costo de la actividad ilícita en Internet, elaborado como respuesta a un requerimiento del Ministerio de Defensa del Reino Unido. Este trabajo, considerado como la primera revisión sistemática y completa del impacto económico del cibercrimen ejecutado desde la Academia, fue tomado como base para el desarrollo de parte de las valoraciones realizadas, adaptando la metodología utilizada a la realidad de la región.
Atendiendo a dicha metodología y a otras fuentes analizadas, se logró estimar que en LAC, las pérdidas anuales por phishing bancario para los clientes de la región podrían rondar los 26 millones de dólares estadounidenses, y el spear phishing los 24 millones de la misma moneda. En cuanto a la inversión para evitar el fraude bancario en Internet en LAC, dicho valor sería de al menos 81 millones de dólares. Desde otro ángulo, el fraude en el comercio electrónico originado en reclamos de clientes podría estar alcanzando los 430 millones, y el robo de identidad, los 1,100 millones.
37Julio - Septiembre 2013
38
Conclusiones
La importancia de esta investigación reside en que el mayor conocimiento del impacto de la actividad maliciosa en Internet en la región, contribuye a dimensionar adecuadamente el problema, asignar prioridades y comprometer recursos en donde de verdad se necesitan.
Una primera conclusión es que la escasez de datos concretos sobre el cibercrimen, tanto en cuanto a su presencia como a sus características e impacto económico, hace difícil o casi imposible conocer su real magnitud, sus costos y la profundidad de sus consecuencias. Las organizaciones que los han sufrido son reticentes a denunciarlos por temor a que se vea afectada su reputación, mientras que en las personas persiste el desconocimiento sobre instancias de reporte o la creencia de que poco o nada sucederá en caso de hacerlo.
La investigación realizada mostró que en LAC el panorama del cibercrimen sigue mostrando una realidad de características cambiantes, con singularidades que le otorgan entidad propia. Efectivamente, los delincuentes van adaptando sus estrategias utilizando ataques cada vez más sofisticados, combinados y dirigidos, entre los que se puede mencionar el spear phishing y el ciberespionaje. En este periodo se observa un interés cada vez mayor en los dispositivos móviles, las redes sociales y las infraestructuras críticas. También se ha visto ataques más pacientes, concentrados en información altamente sensitiva, tales como los producidos por las amenazas persistentes avanzadas (APT), el desarrollo de herramientas para la comisión de cibercrímenes desde dentro de la propia región y casos locales de hacktivismo.
También mostró que la actividad maliciosa representa altos costos para las sociedades, organizaciones y personas que habitan la región. Para enfrentarla, se requiere conocer sus características y no solo estar en condiciones de anticipar el impacto, sino también de incrementar las instancias de respuesta.
A la hora de dimensionar la magnitud del problema, un ejercicio ineludible es estimar su impacto para la región, tanto en cantidad
de casos como en lo económico. Urge la necesidad de desarrollar mecanismos de recolección de datos, metodologías de análisis y métricas representativas que guíen las decisiones que se adopten. Solo así se podrán privilegiar las áreas donde deben profundizarse
los esfuerzos y asignarse apropiadamente los fondos disponibles.
Asimismo, se hace imprescindible la generación de planes de acción que, recogiendo sus características culturales y de desarrollo, muestren la factibilidad de generar un entorno seguro garante de la maximización del aprovechamiento de los múltiples beneficios de las tecnologías de la información y las comunicaciones, minimizando los riesgos que las acompañan.
C
M
Y
CM
MY
CY
CMY
K
SPA_AD_MGZCTM_ene-mar_2013.pdf 1 9/11/13 1:02 PM
C
M
Y
CM
MY
CY
CMY
K
SPA_AD_MGZCTM_ene-mar_2013.pdf 1 9/11/13 1:02 PM
Check PointSOFTWARE TECHNOLOGIES LTD.
R
Check Point Virtual Systemsgateways de seguridad en un solo dispositivo o servidor abierto - simplificando la seguridad, reduciendo los costos e impulsando el rendimiento para los entornos de nube privada.
permite que las empresas consoliden los
Los clientes pueden proteger varios segmentos de red al seleccionar cualquier combinación de protecciones de software blade de la marca, como:
FirewallVPNPrevención de intrusiones (IPS)Control deAplicacionesFiltrado de URLAntibotAntivirusVerificación de identidad
Brindando a los clientes la más amplia gama de protecciones de seguridad virtualizada disponible.
w w w . c h e c k p o i n t . c o m
C
M
Y
CM
MY
CY
CMY
K
check_point_curvas copy.pdf 1 5/21/13 1:55 PM
