septiembre 2009 · 56 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
GUÍA PARA SOBREVIVIR AL COMPLIANCE EN IT Sea por regulaciones gubernamentales, estándares internacionales de calidad o por políticas de administración interna, las áreas de Tecnologías de la Información (IT) dentro las organizaciones enfrentan el reto entre desarrollar una estrategia integral de Compliance, gobernabilidad y administración de riesgos o lidiar con los tres por separado.
9 SEP O
ACCESO
6 APRESADOS POR ROBAR CASI 100 MIL TARJETAS DE CRÉDITO
08
GUÍA PARA SOBREVIVIR AL COMPLIANCE EN IT UN MANUAL DE BOLSILLO PARA TRAZAR LOS CONCEPTOS BÁSICOS EN TODA ESTRATEGIA DE CUMPLIMIENTO EN IT
Acusados de un fraude por más de cuatro millones de dólares, cinco delincuentes de Europa del Este podrían pasar los próximos 25 años de su vida en prisión.
7 CONTRA RELOJ LEGISLACIÓN EN FRAUDES
México podría convertirse en un paraíso para el fraude y el ilícito en internet en los próximos años si los actores involucrados y el gobierno no toman cartas en el asunto.
14 EL SECRETO DE LAS MEGA BRECHAS EN SEGURIDAD
Con malware especializado y de última generación los cibercriminales han encontrado una manera de penetrar en la infraestructura de red sin mover un solo dedo.
ALAPSI
16 LECCIONES APRENDIDAS EN IT POR LA INFLUENZA
Ante el inminente rebrote del virus de la Influenza Humana A/H1N1, la tecnología se posiciona como la clave para mantener las operaciones de los negocios.
B:SECURE FOR BUSINESS PEOPLE
18 OUTSOURCING DE
SEGURIDAD INFORMÁTICA
La era de los servicios y el cómputo en la nube pone sobre la mesa el valor y riesgo de tercerizar las plataformas de seguridad.
ÁREA RESTRINGIDA
20 CRIPTOGRAFÍA Y TPM
Los beneficios, riesgos y análisis de la tecnología de criptografía
OPINIÓN
21 ¿QUÉ ESTÁS HACIENDO EN ESTE MOMENTO?
ilustración: Pablo Rozenberg
Son las redes sociales como Twitter y Facebook ¿Un riesgo para el negocio y una ventana para la fuga de información?
CISO TO CISO
22 LA SEGURIDAD DE
INFORMACIÓN, FACTOR DE GOBERNABILIDAD
La diferencia entre mirar a la seguridad como un componente más del negocio o un transformador del mismo.
03 EN LÍNEA
04 LOGIN
24 SINNÚMERO
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL
SE TRAFICAN DATOS EN FACEBOOK
Con más de 300 millones de usuarios en todo el mundo, Facebook no se ha visto exento de ser blanco del crimen organizado en Internet. Expertos de PandaLabs advierten de un servicio apócrifo que promete “hackear” la cuenta de cualquier usuario, famoso o marca en la red social por 100 dólares. El servicio llamado “Hack Facebook online”, engaña a los internautas con la promesa falsa de entregarles el nombre de usuario y la clave de acceso de cualquier usuario de Facebook, explicó Luis Corrons, jefe de investigación de PandaLabs en el blog de la compañía. Para poder utilizar el servicio, explicó Corrons, el usuario tiene que ingresar los datos de su cuenta en Facebook y solicitar el nombre de usuario o cuenta que se desea hackear, para que el sistema provea los datos de identificación del perfil. De esta forma, el usuario que quiere contratar el servicio es engañado entregando sus propios datos confidenciales. De acuerdo con los datos de la página fraudulenta, el dinero debe ser enviado a Ucrania a la ciudad Kirovohrad, a nombre de Nikita Volgin. El sitio además cuenta con “promociones especiales”, en la cuales dependiendo de la cantidad de dinero enviado se ofrece un mayor número de créditos para hackear más cuentas de Facebook.
USAN VIDEO DE ABIERTO DE EU PARA PROPAGAR MALWARE Los cibercriminales tomaron ventaja, una vez más de lo sucesos y noticias más relevantes en Internet. En esta ocasión el video donde la tenista estadunidense Serena Williams explota en ira y amenaza con matar a la juez de línea por marcarle una falta, que le costó el partido en las semifinales del US Open, se convirtió en el canal perfecto para difundir malware en la red. De acuerdo con el Security Response Blog de la firma de seguridad informática Symantec, horas tras la divulgación de las escenas de la tenista en los medios de comunicación de todo el mundo y en plataformas multimedia en línea como YouTube, diversos sitios Web comenzaron a distribuir campañas de malware vinculadas a la reproducción del video. Así, con sólo buscar los términos en inglés “Serena Williams se vuelve loca” o “Serena Williams explota en ira” en Google los internautas son bombardeados con miles de sitios Web ofreciendo la reproducción del video, varios de ellos ya comprometidos por los cibercriminales. Al acceder a estos sitios Web vulnerados se despliega una pantalla invasiva que advierte al usuario de que su computadora ha sido infectada y requiere un escaneo completo para detectar y eliminar cualquier código malicioso, con un programa de antivirus falso.
Estos y otros artículos en
www.bsecure.com.mx b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
TEMA LIBRE
Elba de Morán DIRECTORA COMERCIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora
TECH&TRENDY
COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Andrés Velázquez, Irving García
Elisa Nájera, editora de WISH, comenta sobre las últimas tendencias de la Web 2.0. ¿Qué pasa en la blogósfera? ¿Qué redes sociales han muerto? ¿Qué está de moda?
EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares VIDEO Fernando Garci-Crespo DISEÑO Pablo Rozenberg
BLOGUEROS INVITADOS Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info
ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Sonia Gómez, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Septiembre, 2009 B:SECURE 3
LOGIN LOGIN
UN ANTIVIRUS PELIGROSAMENTE ECOLÓGICO Moda o responsabilidad la realidad es que empresas, gobiernos, ciudadanos y organismos sin fines de lucro se han montado al fenómeno del cuidado del medio ambiente, el calentamiento global y el unirse a la causa “verde”. Ahora son los cibercriminales los que se han montado a esta tendencia, al vender un programa de antivirus falso que promete donar parte de las ventas a una causa a favor del cuidado del planeta. Bajo el nombre de Green AV, un grupo de cibercriminales ha comenzado a vender un software de antivirus que, además de proteger tu máquina contra todo tipo de códigos maliciosos o amenazas cibernéticas promete donar parte del costo de la licencia a una causa para el cuidado y protección de la selva del Amazonia, informó la firma de seguridad informática Websense. El engaño explicó la compañía en su blog empresarial, es que el programa contrario a proteger la máquina de los usuarios la infecta con códigos maliciosos, además de timar a todos los que hayan pagado los 99.99 dólares por el costo del falso antivirus. “Con el crecimiento y preocupación que están generando los temas sobre el cuidado del medio ambiente, es fácil entender por qué los autores de malware buscan generar dinero a través de la venta de software de seguridad amigable con el medio ambiente”, mencionó Websense.
El sitio apócrifo contiene símbolos y mensajes sobre el cuidado y resguardo de los datos de los compradores. En ciertas partes de la página es posible visualizar el logotipo de seguridad en compras electrónicas de Verisign, así como las imágenes de autorización para vender el producto de instituciones financieras como Visa, MasterCard y American Express. A diferencia de versiones de antivirus originales, que ofrecen pruebas de evaluación gratuitas por 30 días, el Green AV únicamente tiene la posibilidad de comprar toda la licencia. Websense informó que el malware se propaga a través de usuarios previamente infectados por troyanos o gusanos que, al navegar por páginas web supuestamente infectadas despliegan publicidad promocionando el falso antivirus.
TOP 100 DE LOS SITIOS WEB MÁS PELIGROSOS Al igual que la Interpol y el FBI, tienen sus listas de los criminales más buscados y peligroso, Symantec, la firma de seguridad informática desarrolló un listado con los 100 sitios web más peligrosos y con el mayor número de vulnerabilidades o códigos maliciosos. Así, con el apoyo de una comunidad de más de 20 millones de internautas alrededor del orbe y, el análisis de millones de páginas en internet Symantec descubrió que 48 por ciento de los sitios web más peligrosos en
4 B:SECURE Septiembre, 2009
el mundo están relacionados a la distribución de contenido para adultos. Sin embargo, el análisis de la empresa publicado en el blog de la compañía y en su sitio Norton Safeweb, informa que sitios con datos relacionados a la caza legal o ilegal, el patinaje extremo, la oferta o préstamo de servicios legales y financieros y, las compras en línea también se encontraron dentro de las páginas más infectadas en el mundo. Expertos de la empresa aseguraron que Symantec se reservó el derecho de publicar el listado completo, pues en muchos casos con “simplemente visitar la página y sin dar clic en
alguna de las ligas, colocaban en severo riesgo de infección a la computadora”. El análisis de Symantec apunta que estos 100 sitios fueron catalogados como los más peligrosos primordialmente por el número de vulnerabilidades o virus que contienen, alrededor de 18 mil amenazas por sitio contra las 23 que tienen en promedio el resto de las páginas en internet. De hecho, 40 de las 100 páginas más peligrosas del listado contienen más de 20 mil riesgos o amenazas informáticas. Mientras que tres de cada cuatro de estos sitios, han distribuido malware como virus, gusanos o troyanos durante periodos de más de seis meses. Con el único objetivo de infectar las computadoras de los cibernautas para efectuar robos de información o identidades, fraudes financieros o de comercio electrónico. “El listado refleja perfectamente las advertencia sobre un crecimiento exponencial en las amenazas en internet y, las cuales constantemente están evolucionando, a medida que los criminales buscan nuevas formas para robar el dinero, información o identidad de los usuarios”, explicó Rowan Trollope, vicepresidente de la División de Consumo de Symantec.
WORDPRESS EN PELIGRO POR GUSANO WordPress, una de las principales plataformas de blogs y sistemas de manejo de contenido, y que tiene un alcance de más de 200 millones de internautas al mes reportó una vulnerabilidad en sus versiones anteriores, la cual permitiría que un gusano robe la cuenta y clave de acceso de los usuarios, para colocar spam o códigos maliciosos en los sitios. La notificación en el riesgo de la plataforma fue reportada desde mediados de agosto en el blog de la firma por Matt Mullenweg, uno de los fundadores de WordPress quien informó una vulnerabilidad en uno los URL de la plataforma la cual podría verse comprometida y permitir el paso de un atacante. “La vulnerabilidad permite al malware violar el nivel de seguridad de la plataforma y crear una cuenta de administrador, posteriormente usa JavaScript para esconderse de los programas para remover el gusano y sin que los usuarios lo noten se inserta en los comentarios o post más antiguos del blog o sitio para colocar spam o códigos maliciosos”, escribió Mullenweg.
EL error en la plataforma que al cierre de 2008 registró más de 15 millones de usuarios en todo el mundo no afecta a la versión más actual del sistema 2.4.8 ni la anterior a esta y, únicamente están en riesgos los usuarios que controlan hosting de sus propios blogs o sitios de WordPress y no los que se encuentran administrados por WordPress.com. Mullenweg, mencionó que el problema se corrige cuando los usuarios actualizan a la versión más actual del sistema. Para ello WordPress ha colocado una guía de actualización en su sitio web. De igual forma, la empresa también ha colocado una serie de instrucciones y recomendaciones para aquellos usuarios que sospechen o tengan la certeza de que sus blogs fueron comprometidos por dicha vulnerabilidad. Estas van desde escanear la computadora del usuario con algún software de seguridad, cambiar la clave de acceso al blog, hasta contactar el proveedor del hosting en caso de estar infectado con el gusano y respaldar todo o gran parte de los contenidos colocados en el sitio.
¿CUÁNTOS VALES PARA LOS CIBERCRIMINALES EN INTERNET? Para nadie es sorpresa conocer que hoy, los criminales en internet van tras los números de tus cuentas bancarias, las contraseñas de tus correos electrónicos, tus datos o claves de identificación personal o cualquier documento con valor económico para ellos. Pero, te has pregunto ¿Cuál es el precio de tu información en el mercado negro de la web? La firma de seguridad informática Symantec ahora te permite calcular ese valor a través de su herramienta Norton Online Risk Calculator, un servicio web gratuito que permite evaluar y conocer el nivel de riesgo y, con ello determinar el precio de venta de tu información en el mercado negro. A través de una serie de preguntas sobre el tipo de actividades que los usuarios desarrollan en internet, como las compras en línea, consultas bancarias, descargas de contenidos en redes Peer to Peer, publicación de información en redes sociales o mediante correos electrónicos la herramienta de Symantec genera un promedio del valor de tus datos en la economía clandestina de internet. En una prueba realizada por el staff de Netmedia, un usuario que realiza compras y revisa sus estados de cuenta bancarios en internet, cuenta con una o más direcciones de correo electrónico y perfiles en redes sociales y que la suma de sus tarjetas de crédito rebasa los seis mil dólares, tiene un valor cercano a los 695 dólares en el mercado negro de la web. Es decir, toda su información podría ser subastada en menos de 12 dólares. Symantec aseguró, en información publicada en su sitio web, que el cibercrimen incluso ha rebasado en términos de generación de dinero al tráfico ilegal de drogas y estupefacientes y, donde una de cada cinco víctimas son propensas a ser engeñadas en la red. De acuerdo a datos de la firma de tecnología cada tres minutos y medios se comete un crimen en la ciudad de Nueva York, cada dos minutos y medio se delinque en Tokio, pero cada tres segundos es robada un identidad personal en la web, es decir más de 10 millones 512 mil identidades usurpadas al año. “El gran problema en esta situación es que los cibercriminales están haciendo una fortuna, mientras que las víctimas son olvidadas o ignoradas”, explicó Rowan Trollope, vicepresidente, de Productos de Consumo y Mercadotecnia de Symantec.
BREVE Symantec aseguró que las versiones 2010 de sus productos Norton contarán con una nueva tecnología basada en reputación con nombre código Quorum, la cual promete proteger y elevar el nivel de detección de malware a través del análisis y rastreo de millones de archivos y aplicaciones, basados en parámetros como su tiempo de vida, lugar de origen, firma digital y prevalencia en la web. Apple corrigió una serie de vulnerabilidades, que permitían a los atacantes ejecutar códigos arbitrarios para el teléfono iPhone, su reproductor multimedia iPod y el software de videos QuickTime con las nuevas versiones 3.1.1 y 7.6.4, respectivamente. Además, la firma californiana arregló otras diez vulnerabilidades para los dispositivos y cuatro más presentes en QuickTime. F-Secure firmó un acuerdo con el mayor desarrollador de celulares en el mundo Nokia, para ser el proveedor de software de seguridad de la nueva netbook, Booklet 3G mini-laptop de la compañía Finés. Los dueños de la máquina, cuyo lanzamiento aún no ha sido especificado, contarán con una versión de evaluación de 30 días del F-Secure Internet Security 2010.
Septiembre, 2009 B:SECURE 5
ACCESO APRESADOS POR ROBO CIBERNÉTICO DE 95 MIL TARJETAS DE CRÉDITO Por Carlos Fernández de Lara
Acusados de un fraude por más de cuatro millones de dólares, cinco delincuentes de Europa del Este podrían enfrentar penas de hasta 25 años en prisión.
L
os defraudadores cibernéticos siguen cayendo en manos de la justicia estadunidense, pues a menos de un mes de que el Departamento de justicia (DoJ, en inglés) aprendiera a Albert González por robar los datos de más de 130 millones de tarjetas de crédito, ayer el fiscal de distrito de la ciudad de Nueva York anunció la captura de tres cibercriminales más, responsables del robo de otros 95 mil números de tarjetas de crédito. A través de una conferencia y un documento publicado en el sitio web de la fiscalía de Nueva York, Robert Morgenthau, fiscal de distrito de Manhattan, informó sobre el arresto y extradición de Viatcheslav Vasilyev, Vladimir Kramarenko, Egor Shevelev y la búsqueda de Dzimitry Burak y Oleg Kovelin por tráfico global de números de tarjetas de crédito, cibercrimen y robo de identidad. Los cinco hombres, todos de Europa del Este, operaban sus engaños y fraudes financieros a miles de kilómetros de distancia de la Gran Manzana bajo los alias de “The Viver”, “Inexwor” y “DoZ”. Ellos fueron culpados por el robo de más de 95 mil números de tarjetas de crédito, en un fraude que rebasó los 4 millones de dólares. “El anuncio de hoy marca la tercera fase de un investigación de cuatro años en manos de la Fiscalía del Distrito de Manhattan y con la colaboración de la Unidad de Robo de Identidad y el Servicio Secreto de Estados Unidos”, dijo Morgenthau en su conferencia de prensa. Los cargos y acusaciones, explicó el fiscal, alegan que entre 2001 y
6 B:SECURE Septiembre, 2009
2007, los acusados participaron en una red multinacional de crímenes basados en internet conocida como “Western Express Cybercrime Group”, una agrupación dedicada al robo de números de tarjeta de crédito y otros datos personales. La Fiscalía de la Manhattan informó que esta red generó millones de dólares provenientes de la venta de los datos de las tarjetas de crédito y los datos personales de miles de personas, que posteriormente eran usados para comprar productos en el sitio de subastas en internet eBay o comprar dinero digital como el e-gold o Webmoney. “Lo más sorprendente del caso es que estos criminales de Europa del Este fueron capaces de tomar ventaja de la información y datos personales de los ciudadanos de Nueva York”, apuntó Morgenthau. Con los cargos que enfrentan los cinco cibercriminales podrían recibir penas de hasta 25 años en prisión, sin contar que enfrenta también cargos menores que elevarían la sentencia. Vasilyev de 33 y Kramarenko de 31 años de edad, que fueron arrestados el año pasado en Praga, ya fueron extraditados a Estados Unidos y tienen programado presentarse en los siguientes días frente a la Suprema Corte. Por su parte, Shevelev de 23 años, que también aprendido el año pasado espero el proceso de su extradición en Grecia. Mientras que Burak de 26 y Kovelin de 28, aún no han sido aprendidos por las autoridades y, se piensa se encuentran en Bielorrusia y Moldova. ●
ACCESO LAXAS LAS LEYES DE RESPONSABILIDAD FINANCIERA MÉXICO PODRÍA CONVERTIRSE EN UN PARAÍSO PARA EL FRAUDE Y EL ILÍCITO EN INTERNET EN LOS PRÓXIMOS AÑOS A MEDIDA QUE LAS TÉCNICAS Y MECANISMOS EN EL ROBO DE INFORMACIÓN O IDENTIDADES EVOLUCIONAN Y LAS LEYES SE ESTANCAN.
Por Carlos Fernández de Lara
C
on más de cien millones de dólares en pérdidas al año derivadas de los fraudes bancarios, según datos de la Asociación de Bancos de México (AMB), los delitos financieros representan una realidad poco conocida y difundida y, la cual podría incrementarse en los próximos años a medida que las técnicas y mecanismos en el robo de información o identidades evolucionan, explicó Jasbir Anand, Gerente de producto de la división de Fraude de Actimize. Así, tras una reunión a puerta cerrada con la AMB Actimize y su socio de negocios en México y América Latina Unisys, compartieron la posición y situación actual de México en materia de fraudes bancarios, en comparación con el resto del mundo. “México ha sido un país muy exitoso en el aumento de la base instalada de usuarios con acceso a la banca y conforme las ventas y transacciones electrónicas comienzan a aumentar es común que el fraude también lo haga, sin embargo el país ha sabido manejar, al menos por ahora, el crecimiento de la banca con el de los delitos o engaños financieros”, dijo Anand. Pero controlado no significa inexistente, aseguró el experto, y para muestran bastan los datos revelados por la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras (Condusef) que estiman, que al año el monto de los ilícitos con tarjeta bancaria supera los mil millones de pesos. El mismo organismo determinó que el número de quejas de usuarios por cargos indebidos en sus tarjetas de crédito asciende a los 150 mil pesos al año y, donde siete por ciento son resultado de fraudes en internet y 36 por ciento corresponden a delitos de clonación de tarjetas. Números que bien podrían ser únicamente la punta de un iceberg en fraudes bancarios del cual no conocemos nada, pues como refirió Anand, la falta de leyes en el país que obliguen a los bancos y comercios a divulgar la existencia sobre incidentes o fallas en sus sistemas de seguridad y, que hayan comprometido cantidades masivas de informa-
ción de los clientes imposibilitan conocer la realidad de los delitos financieros en México. “En Estados Unidos los bancos, instituciones financieras y comerciales están obligados, por ley, a reportar y divulgar públicamente la pérdida de datos masiva y sólo los casos más escandalosos llegan a los medios de comunicación, porque la realidad, es que en promedio se reportan 20 incidentes de robo de datos masivos por mes en ese país. En México no hay reportes, no porque no existan, sino porque no hay una regulación”, dijo. Sin embargo, reconoció que los bancos e instituciones financieras cuentan con unas de las infraestructuras más robustas y estables en términos de seguridad, por lo que los robos o fraudes bancarios suceden en los puntos más endebles de la cadena; los usuarios finales y los comercios donde se efectúa la transacción electrónica. “El robo, clonación o fraude bancario por internet, difícilmente sucede dentro de la infraestructura de un banco, los incidentes ocurren en toda la cadena que gira torno a la institución financiera, tiendas minoristas, sitios de comercio electrónico o a través de un engaño de ingeniería social a los usuarios”, explicó Anand. El problema con esta situación es que no existen niveles ni regulaciones que hagan responsables a este tipo de comercios por la pérdida de información, lo cual dificulta la resolución e investigación del delito e incrementa el número de fraudes, agregó. “Por ley los consumidores nunca deben de ser responsables por los fraudes o robo de sus números de tarjetas de crédito. Sin embargo, creo que debería existir una responsabilidad compartida de todos los actores y una, que requiere más educación que leyes”, mencionó Anand. Actimize y Unisys no hicieron comentario alguno sobre alguna estrategia en particular con la Asociación de Bancos de México (AMB) y aunque recalcó en el buen control de los fraudes en el país, subrayó que el tiempo para tomar medidas claras en esta materia tiene límite. ● Septiembre, 2009 B:SECURE
7
GUÍA SOBR COM
8 B:SECURE
Septiembre, 2009
PARA REVIVIR AL
MPLIANCE EN IT
Sea por regulaciones gubernamentales, estándares internacionales de calidad o por políticas de administración interna, las áreas de Tecnologías de la Información (IT) dentro las organizaciones enfrentan el reto entre desarrollar una estrategia integral de Compliance, gobernabilidad y administración de riesgos o lidiar con los tres por separado. Por Carlos Fernández de Lara carlos@netmedia.info ilustración: Pablo Rozenberg
Septiembre, 2009 B:SECURE 9
E
n 2001 Enron, una de las empresas de energía más importantes en el mundo, inundó las primeras planas de todos los periódicos del planeta, al colocarse como el principal actor de uno de los escándalos corporativos más grandes de la historia. Como reflejo de los malos manejos de la directiva, una serie de auditorías sesgadas y la alteración de sus resultados financieros Enron pasó, en menos de un año, de ser una compañía de clase global con más de 22 mil empleados en todo el orbe, ventas anuales por arriba de los 101 mil millones de dólares y con un valor por acción que rebasaba los 90 dólares, a una empresa con adeudos por arriba de los 21 mil millones de dólares, cuyos papeles bursátiles no rebasaban los doce centavos de dólar y en la bancarrota. Pero más allá del caos financiero, económico y social derivado del fraude corporativo, la caída de Enron provocó el nacimiento de una nueva regulación gubernamental para las empresas públicas, conocida mundialmente como el Acta Sarbanes-Oxley (SOX). Una regulación cuyo objetivo es entregar seguridad y confianza a los inversionistas sobre el manejo que las compañías hacen de su dinero, a través de la generación de políticas, reglas de control interno y mecanismo de protección de la información empresarial, para que un caso como el de Enron jamás se volviera a repetir. Pero el nacimiento de SOX también significó una transformación para los departamentos de IT, a medida que gran parte de esos controles de seguridad, procesos, políticas y regulaciones comenzaron a formar parte de sus responsabilidades diarias. Una actividad bautizada con el nombre de Compliance en IT y, con la cual los directores de sistemas (CIO) o los Jefes en Seguridad de la Información (CISO, en inglés) han tenido que lidiar
para alinear e integrar los procesos e infraestructura de tecnología de la compañía al cumplimiento de regulaciones como SOX, estándares internacionales o de normativas locales. Tarea que en muchos casos les quita hasta 70 por ciento de su tiempo, afirmaron expertos consultados en exclusiva por b:Secure. “Hace casi diez años, cuando se promulgó el Acta Sarbanes Oxley, los departamento de IT comenzaron a realizar los procesos y controles necesarios para pasar las auditorías y peticiones gubernamentales, con la idea en mente de que la regulación sería temporal y, que pronto podrían quitarse ese peso de sus funciones. Pero a la fecha las empresas todavía deben atenerse a las exigencias de SOX y de muchas otras leyes o estándares nacionales e internacionales, que difícilmente van a desaparecer”, comentó French Caldwell, Vicepresidente de Investigación de Gobernabilidad, Administración de Riesgos y Compliance de Gartner. CUMPLIDORES, PERO HASTA AHÍ
Actualmente las empresas enfrentan el tema de Compliance en IT desde tres campos distintos. El legal, con regulaciones como SOX impuestas por gobiernos, el comercial, comúnmente exigido como un requisito para hacer negocios con un tercero, como la estándar de seguridad de los datos en el pago con tarjetas (PCI) y el organizacional, impulsado por la misma compañía con el objetivo de mejorar la imagen o calidad en sus procesos, a través de la certificación de estándares internacionales como el ISO 27001, explicó Caldwell de Gartner. El problema con las estrategias de Compliance en IT es que las organizaciones en México y en el mundo actúan bajo un esquema reactivo y no proactivo, en donde los procesos se “maquillan”, simplemente pasar la auditoría o alcanzar la certificación, explicó Adrian Palma, Director Comercial y de consultoría en Integridata. “Las empresas miran el tema de Compliance bajo un enfoque muy !NALIZAR Y EVALUAR la situación y requerimientos actuales de la organización general, como si fuera #ONOCER Y UTILIZAR al máximo la infraestructura de IT una piedra en el zapato para solucionar cuestio%VALUAR cada inversión en tecnología para no duplicar tareas nes correctivas a un incidente de seguridad o !POYARSE en los estándares y a las mejores prácticas de la industria (ITIL, ISO 27001, GRC COBIT) para cumplir una regu#OMENZAR con proyectos específicos en áreas críticas para el negocio lación y que no les quiten la licencia. No es una !SIGNAR responsables en cada uno de los procesos de cumplimiento prioridad de primer nivel ni una urgencia para $EMOSTRAR el beneficio real detrás del Compliance es el mejor promotor de la inversión en IT el negocio y la responsa-
EL SIETE MÁGICO DEL COMPLIANCE EN IT s s s s s s s
10 B:SECURE
Septiembre, 2009
bilidad recae completamente en las áreas de tecnología”, com- la capacidad de transferir su nivel de conocimientos y experiencia a las áreas de IT, una vez que el proceso de evaluación y desarrollo partió Palma de Integridata. El riesgo, explicó Caldwell de Gartner, es que la mayoría de las de la estrategia haya concluido, de lo contrario el gasto será inútil. “Si la empresa cuenta con el talento y personal para realizar el organizaciones optan por esperar hasta que los requerimientos o mejores prácticas se convierten en leyes u obligaciones, situa- análisis de la organización, no debe existir ningún problema con el ción que les quita el tiempo para planificar y evaluar la situación, desarrollo de la estrategia de Compliance en IT. Siempre es bueno tecnología y políticas con las que cuenta la compañía para cumplir e integrar sus procesos alrededor de dicha regulación. “HASTA QUE LOS DUEÑOS DE LA “Gobiernos de países como Canadá, Japón y de la ORGANIZACIÓN, NO VEAN EL BENEFICIO Unión Europea ya comenzaron a replicar regulacioREAL DE INVERTIR EN SEGURIDAD, SEGUIRÁ EXISTIENDO UN DIVORCIO TOTAL ENTRE LAS nes similares a SOX, con tal de generar mecanismos ÁREAS DE IT Y LOS NEGOCIOS. NO EXISTE de control, transparencia y seguridad. El problema, MEJOR PATROCINADOR PARA OBTENER LUZ es que las organizaciones apenas comienzan a penVERDE A CUALQUIER PRESUPUESTO”, sar en sus programas de cumplimiento y sin una ADRIÁN PALMA DE INTEGRIDATA. evaluación primaria de la situación actual de su negocio, muchos de los departamentos involucrados en el proceso de cumplimiento terminarán por duplicar sus esfuerzos, lo que implica más costos de operación y contar con el apoyo de un tercero, pero que sea responsable en su trabajo, pueda transferir su experiencia a la gente de la compañía productividad”, comentó el analista de Gartner. y tenga calidad”, compartió el Director Integridata. PRIMERO A CHECAR AL PACIENTE Independientemente de la industria o sector en el que la organi- ANTES DE COMPRAR APRENDER A USAR zación compita, los expertos afirmaron que antes de salir a bus- Con el análisis en manos de los departamentos de IT, se podrá car tecnología, plataformas o invertir millones de dólares en el por fin conocer la infraestructura con la que cuentan para tratar desarrollo de una estrategia de cumplimiento, los departamentos de aprovecharla al máximo sin necesidad de invertir en nuevas de IT deben analizar y conocer la empresa para la que trabajan. plataformas o soluciones. Sea de manera interna o con el apoyo de un tercero las em“Que prendan lo que tiene, muchas veces en la misma infraespresas primero deben generar una evaluación y análisis de las tructura de red, centros de datos, servidores y plataformas emnecesidades de seguridad, los riesgos y los requerimientos de la presariales, las compañías encuentran funcionalidades que les compañía para el cumplimiento. pueden ayudar a complementar su estrategia de Compliance, sin “Las empresas no deben pasar por alto la práctica de generar un tener que gastar en nuevas cajas”, mencionó Vicente de Cisco. análisis de riesgo, que les permita conocer la situación actual de la Con la infraestructura de IT aprovechada al máximo, dijo organización y, establecer una metodología para determinar el ni- Caldwell de Gartner, las organizaciones pueden buscar herravel de riesgo al que están expuestos y con base en ello definir una mientas que les ayuden a eliminar personal y horas de trabajo en estrategia para cumplir con los marcos regulatorios”, compartió el desarrollo de ciertos procesos como parte del cumplimiento Gilberto Vicente Reyes, Gerente de desarrollo de Negocio para Se- legal o de una certificación. guridad física y Seguridad lógica en Cisco Systems. “Hay herramientas que están hechas para automatizar algunos Si el análisis o evaluación provienen de un tercero podría en- procesos, que si hiciéramos de manera manual tomarían mucho tregar mayor objetividad al proceso de cumplimiento o certifica- tiempo y personal, lo importante al adquirir tecnología es que los ción que busca la empresa, toda vez que existirá alguien externo responsables de IT hagan un juicio de valor sobre su impacto real que de validez al procedimiento, comentó Salomón Rico, Socio en el negocio para que la adquisición no termine duplicando tareas de la práctica de Enterprise Risk Services y Technology & Infor- que ya hacen otros departamentos”, subrayó el analista de Gartner. mation Risk Services de Deliotte. Una buena ayuda siempre y cuando, agregó Palma de Integrida- LOS MODELOS ATRACTIVOS ta, el consultor cuente con la calidad necesaria en el tema y tenga En el desarrollo de una estrategia integral en Compliance de IT,
Septiembre, 2009 B:SECURE 11
un gran aliado de las áreas de seguridad de la información y tecnología puede ser la alineación de las operaciones a los estándares o buenas prácticas de la industria. Prácticas como ITIL o estándares como ISO 27001, ejemplificó Vicente de Cisco, ya cuentan con apartados explícitos sobre el marco de gobernabilidad, seguridad y control de la informa-
por ciento en sus necesidades y operaciones. “Al final del día son de gran ayuda (las mejores prácticas y estándares) sabiéndolas implementar y entendiendo su alcance e impacto real”. RESPONSABLES DEL IMPACTO REAL
En medio de la crisis económica actual el desarrollo de estrategias integrales de Compliance en IT pareciera ser una de las actividades más complejas paras los encargados de seguridad de la información, toda vez “MUCHAS DE LAS REGULACIONES EXIGIDAS que las empresas prefieren cumplir con las regulaPOR LOS GOBIERNOS A LAS EMPRESAS ESTÁN ciones con el menor esfuerzo e inversión de capital BASADAS EN LAS MEJORES PRÁCTICAS, DE MODO QUE ALINEAR LAS OPERACIONES DE humano y económico. LA COMPAÑÍA A ESTAS AYUDARÍA A REDUCIR El reto, concordaron lo expertos, es promover el EL IMPACTO QUE ENFRENTAN LAS ÁREAS desarrollo de una estrategia de Compliance, no baDE TECNOLOGÍA EN SU CUMPLIMIENTO”, sada en el cumplimiento de la ley como objetivo, GILBERTO VICENTE DE CISCO. sino en un impacto y beneficio real a las operaciones del negocio. “Una estrategia de cumplimiento tiene que generarción, administración de riesgos y transparencia en los procesos se desde arriba, no puede nacer y crecer sin el apoyo de la dirección y los departamentos involucrados. Si queremos que no perciban la de las organizaciones. “Muchas de las regulaciones exigidas por los gobiernos a las inversión como un gasto, los departamentos de IT tienen que deempresas están basadas en las mejores prácticas o estándares de mostrar el valor que pueden tener mejorar un proceso, el impacto calidad de la industria. De modo que alinear las operaciones de que implicaría enfrentar una amenaza o qué incidentes ha enfrentala compañía a estos ayudaría a reducir el impacto o peso que en- do la compañía anteriormente”, mencionó Rico de Deliotte. Así, contrario a desear una transformación general de la comfrentan las áreas de tecnología en su cumplimiento”, dijo Vicenpañía, es preferible comenzar a desarrollar y convencer a la alta te de Cisco. Al mismo tiempo, concordó Rico de Deliotte, el seguimiento de dirección del valor de contar con una estrategia de Compliance en IT, a través de proyectos específicos y en áreas claves para las buenas prácticas permitiría integrar las operaciolas operaciones del negocio. nes de los departamentos estrechamente vincuAl mismo tiempo, los CIO y CISO deben generar lados al cumplimiento de las regulaciones, responsables por cada departamento dentro de como el de gobernabilidad y administralos procesos o políticas para el cumplimiento de ción de riesgos. una regulación, lo que permitirá a la compañía “Modelos como el Governance, Risk contar con tablas de control claras y estableciManagement, and Compliance (GRC) das, para definir quién y en cuánto tiempo deofrecen integrar los diferentes esfuerben aplicar o verificar si todo marcha en orden, zos de las organizaciones en estos tres compartió Caldwell de Gartner. grandes campos y, que en la gran ma“Hasta que los dueños de la organización no vean yoría de las empresas operan como islas el beneficio real que les pueda entregar invertir en seindependientes incomunicadas y replicanguridad, seguirá existiendo un divorcio total entre do operaciones”, explicó Rico de Deliotte. las áreas de IT y los negocios. En el momenPero no por ello serán la panacea para to en que la directiva vea el impacto, no todas las organizaciones, pues como existirá mejor patrocinador que ese para mencionó Palma de Integridata, las obtener luz verde a cualquier presupuesempresas tienden a creer que las bueto”, enfatizó Palma de Integridata. ● nas prácticas deben embonar al 100
12 B:SECURE
Septiembre, 2009
ACCESO SERVICIOS Y APLICACIONES WEB
EN LA MIRA
A medida que el número de cibernautas y empresas conectadas a internet aumentan, las vulnerabilidades y ataques a las aplicaciones web se convierten en el mejor aliado de los atacantes en la red.
R
eportes de diversas firmas de seguridad informática y del Equipo de Computación de Emergencia Preventiva de Estados Unidos (USCERT) informaron una posible vulnerabilidad en los de Servicios de Información de Internet (ISS, en inglés) de Microsoft, las cuales podrían permitir a cibercriminales tomar posesión o control del sistema. Bajo el apartado de vulnerabilidades 276653, el US-CERT advirtió haber encontrado una vulnerabilidad en el servidor de transferencia de archivos FTP de las versiones 5 y 6 de IIS, en el que el servidor falla en administrar de manera adecuada los nombre del directorio, factor que podría permitir a un atacante crear cuentas en el directorio. “En los servidores con esta vulnerabilidad un atacante remoto tendría la posibilidad de ejecutar código arbitrarios. Para cargar al sistema archivos anónimos y tomar control del mismo, sin autorización alguna”, explicó el US-CERT en el documento. Conocidos como Servidores de Información de Internet, los IIS actúan como una serie de servicios web como FTP, FTPS, SMTP (correo electrónico), NNTP y los protocolos HTTP y HTTPS, los cuales fueron creados por Microsoft para ser utilizados en máquinas con su sistema operativo Windows y su solución Windows Server. El riesgo en la vulnerabilidad reside en el número de sitios web que operan con los servicios de la firma con sede en Redmond Washington, pues la tecnología IIS se mantiene en segundo lugar dentro del mercado de servicios de internet. De acuerdo con la firma de análisis e investigación Netcraft de los 238 millones 27 mil sitios de Internet entrevistados, 47.12 por ciento operan con la tecnología de Apache, mientras que 24.8 por ciento, es decir 66 millones 871 mil sitios son seguidores de la tecnología de Microsoft. Consultados por b:Secure y Netmedia.info, un vocero de la compañía aseguró que hasta el momento no han escuchado de algún ataque cibernético que aproveche esta vulnerabilidad en los servicios IIS. “Estamos investigando reclamos públicos sobre una posible vulnerabilidad en el protocolo de transferencia FTP en las versiones IIS 5 y IIS 6, pero hasta ahora no hemos sido advertidos de algún ataque aprovechando esta vulnerabilidad o impacto al usuario”, explicó el vocero de Microsoft. La compañía afirmó tomar cartas en el asunto e iniciar la investigación correspondiente, para posteriormente tomar las acciones necesarias. La más probable un parche de seguridad como parte de una actualización o soporte más directo para proteger a los clientes. Mientras tanto, el US-CERT, recomendó a los gerentes en sistemas
Por Carlos Fernández de Lara
y administradores de tecnología deshabilitar cualquier acceso de fuentes anónimas al servidor FTP, con el objetivo de mitigar el impacto de la vulnerabilidad.
ESPÍA DE LLAMADAS VOIP Pero las versiones anteriores de los servicios IIS de Microsoft no han sido los único blancos de ataque de los cibercriminales en el último mes, pues a principios de septiembre diversos expertos en seguridad advirtieron de la existencia de un troyano capaz de escuchar las conversaciones que los usuarios realizaban a través de famoso servicio de voz sobre IP (VoIP) Skype. “En los últimos años las aplicaciones y servicios de voz sobre IP (VoIP) transformaron la manera de comunicarnos. En algunas áreas incluso han sustituido las tecnologías tradicionales de comunicación. Sin embargo, como en muchos otros aspectos de la tecnología, al ganar la atención y uso suficiente se vuelven blancos de ataque”, escribió Karthik Selvaraj, analista del Symantec Security Response Team en el blog de la compañía. Con el nombre de Trojan.Peskyspy, Selvaraj afirmó que este malware tiene la capacidad de infiltrarse y grabar las conversaciones de VoIP, particularmente las generadas a través de Skype, que se coloca como el servicio de este tipo más popular en el mundo. “Este código malicioso podría ser el primer troyano de su clase”, apuntó la analista, pero añadió que su existencia no es reflejo de un falla en la infraestructura de Skype, “simplemente fue atacado por su popularidad en el mundo y su base instalada de usuarios, pero el troyano puede infiltrarse en cualquier servicio de voz sobre IP”. El código malicioso compromete los componentes de entrada y salida de audio de una computadora, lo que le permite interceptar todo el audio que viaja por dichos canales, mismos que posteriormente son almacenados en formato .mp3 en la computadora y enviados al criminal a un ubicación predeterminada. La experta de Symantec aseguró que el troyano no cuenta con un método de propagación entre computadoras por lo que su impacto, hasta el momento, es mínimo, pero agregó que es posible que en un futuro cercano existan variaciones de este troyano muchos más peligrosas. El anuncio del troyano contra el servicio de VoIP llegó una semana antes de que eBay, el sitio de comercio electrónico más grande del mundo y dueño de Skype, lo pusiera a la venta por mil 900 millones de dólares. Casi la mitad de lo que pagó por él en 2005, cuando eBay desembolsó dos mil 600 millones de dólares. ● Septiembre, 2009 B:SECURE 13
ACCESO REVELAN SECRETOS DETRÁS DE MEGA BRECHAS Por Netmedia Online
CON MALWARE ESPECIALIZADO DE SU LADO, LOS CIBERCRIMINALES HAN ENCONTRADO UNA MANERA DE PENETRAR EN LA INFRAESTRUCTURA DE RED DE COMPAÑÍAS ENTERAS, MUCHAS VECES SIN MOVER UN SOLO DEDO.
A
unque el Departamento de Justicia de EU ha dado a conocer que los cibercriminales responsables de muchas de las mega brechas de información más importantes emplearon tácticas simples y software malicioso conocido, hay ataques que ameritan métodos realmente muy sofisticados. La identificación y captura la semana antepasada de Albert Gonzalez y de algunos de sus cómplices fue un gran golpe al cibercrimen organizado, no sólo porque son presuntos responsables del robo masivo de 130 millones de tarjetas de crédito y débito, sino porque se comprobó que utilizaron técnicas conocidas y métodos nada sofisticados para cometer muchas de las grandes brechas en contra de empresas estadunidenses. Pero los grandes golpes no son siempre así. Un grupo de especialistas en informática forense que trabaja para instituciones financieras, hoteles, casinos y restaurantes dio a conocer que para robar datos de enormes cantidades de tarjetas de crédito y débito los cibercriminales han empleado malware único. Las piezas únicas de software malicioso encontradas por SpiderLabs en un hotel, un casino y un restaurante son tecnológicamente muy avanzadas y son escritas por desarrolladores expertos. Los especialistas en informática forense identificaron lo anterior en la complejidad de su distribución, sus canales de control y sus propiedades para exportar la información extraída. Entre los resultados de las investigaciones de SpiderLabs, los más sobresalientes son que las compañías perjudicadas comparten importantes debilidades en los controles aplicados en las redes, especialmente los perimetrales, los cuales calificaron de “muy laxos”. 14 B:SECURE
Septiembre, 2009
También revelaron que muchos de los casos comparten un modus operandi, el cual consiste en escoger como objetivo a un empleado de la empresa, para a través de él tener acceso al sistema. Una vez dentro del sistema, ejecutan un ataque llamado “vaciamiento de la memoria” para que el atacante pueda leer las transacciones de información que no están encriptadas que pasan por la memoria antes de ir a la aplicación requerida. En el proceso el atacante deposita piezas de malware especialmente diseñadas para la ocasión, con el fin de vaciar la memoria del sistema atacado en la computadora del hacker. La distribución de una de las mencionadas piezas de malware funciona como servicio, por lo que luego de que es utilizada es imperceptible, pero una vez instalado puede volver a utilizarse cuando se requiera sin necesidad de volver a penetrar el sistema nuevamente. Este recurso es especialmente útil cuando se requiere robar información de bases de datos, ya que la mayoría ya encriptan los datos almacenados en ellas. El problema es que los “vaciadores de memoria” regularmente no son detectados ya que trabajan de forma muy similar a los depuradores de errores. En el casino fue encontrado un keylogger muy escurridizo. Los sistemas de seguridad del staff IT no pudieron detectarlo, pero sabían que algo no estaba bien. El keylogger funcionaba con técnicas muy sofisticadas para parecer uno de esos virus inofensivos que existen en todo sistema. En el caso del restaurante, fue utilizado un sniffer plantado entre el servidor y sistema de punto de venta, el cual tiene como objetivo robar números de tarjetas de crédito y débito. Los atacantes aprovecharon que el negocio no encriptaba el tráfico interno de su aplicación de punto de venta. ●
E A V R ND E S E E R AG SU
lto ión a x de vac m o . or inno e a. f m E c i r e la s d bl co BR N . m i M O r ara elo n pú m p E I AT O u l l p mod ció r V E C e I a v fo t NO HERTÓR ni los istr n E S IS n in e D e L H m dm 12 TE O n a r , O R
H
ve o .g w w
T
N CE
w
5 28 4 7 9 62 ción 0 2 ) 4 55 0 op 0 60 o ( : 6 f l Te 9 72 0 67 a.in 0 i 2 26 018 ed m t ne @ os nt e ev
Un evento de
Producido por
´ OPINIÓN LECCIONES APRENDIDAS EN IT POR CONTINGENCIAS EN INFLUENZA Por Ezequiel Chávez
Comentarios del Ing. Ezequiel Chávez Torres, Director de Transparencia de ALAPSI, con el ánimo de aportar parte de su experiencia como especialista de Seguridad Informática.
PROBLEMÁTICA Y ENTORNO SOCIAL Dos recientes noticias del Gobierno del presidente Felipe Calderón y la Secretaría de Salud (Excélsior 19 sept.09, primera página), por un lado política (más impuestos para recaudar y más presupuesto a la atención de la salud) y por otro, la alerta sanitaria ante el 5% de incremento en los casos de virus por Influenza Humana AH1N1, es decir, poco más de mil 300 casos en una semana, al pasar de 25 mil 214 casos a 26 mil 556. Ante estas cifras la reflexión es un reflejo inmediato, pues dado el repunte y la inminente necesidad de estar preparados ante la nueva ola del virus de la Influenza Humana AH1N1, nos parece conveniente y de compromiso ante la sociedad aportar la experiencia y conocimientos, por parte de algunos miembros de la ALAPSI, sobre las lecciones aprendidas en materia de tecnología de la pasada contingencia sanitaria que se vivió a finales de abril de 2009. Podemos iniciar tipificando los diferentes casos presentados en los sectores laborales de Operación y Tecnología: UÊ ÕÃi V >Ê >L À> Ê« ÀÊ«ÀiÃVÀ «V Ê Ê« ÀÊ>viVÌ>V Ê`i ÊÛ ÀÕÃÊi Ê ÃÊ centros de trabajo. UÊ iv V i V >Ã]ÊÀiÌÀ>à ÃÊ ÊÃÕëi à iÃÊÊ«>À>Êi ÊVÕ « i Ì Ê`iÊ ÃÊ procesos o sistemas productivos por ausentismo. 16 B:SECURE Septiembre, 2009
UÊ *À Ûii` ÀiÃÊÞÉ Ê ÃÕ ÃÊ`iv V i ÌiÃÊ« ÀÊÀiÌÀ>à ÃÊ ÊÃÕëi à iÃÊ para el cumplimiento de las líneas productivas de salida. UÊ ÌÀi}>ÃÊ ÞÉ Ê ÃÕ ÃÌÀ ÃÊ `iv V i ÌiÃÊ V Ê ÀiÌÀ>à ÃÊ Ê ÃÕëi à nes en el programa laboral para el cumplimiento de las líneas productivas con afectación, disminución o grave impacto financiero, además de una falta por incumplimiento contractual. UÊ iv V i ÌiÊ Ê Õ >Ê«>ÀÌ V «>V Ê ÊÃi à L â>V Ê`iÊ ÃÊÊ` ÀiVÌ vos para atender la necesidad de establecer soluciones específicas enfocadas a casos reales, en apego a su entorno y objetivos de su responsabilidad social. Dado que la mayor consecuencia se presenta en la situación de menor participación laboral dentro de cualquiera de las problemáticas antes enunciadas, se requiere establecer un Plan Contingente en materia de tecnología que responda al menos a los siguientes compromisos: Contemplar la necesidad de laborar de manera remota (al menos) en los casos de la operación y en las funciones de tecnología que no requieran realizarse de manera presencial, pero sin perder la atención vía telefónica y de datos por Internet (back office). Se deberá proporcionar accesos a los servicios telefónicos y de datos preservando la confidencialidad e integridad de la información. La disponibilidad vendrá de los diferentes elementos redundantes, ancho de banda de los canales de comunicación y tiempos de respuesta de los sistemas informáticos centrales y distribuidos. Proporcionar computadoras portátiles con acceso a los sistemas Vi ÌÀ> iÃÊÞÉ Ê` ÃÌÀ LÕ ` Ã]Ê>ÊÌÀ>ÛjÃÊ`iÊÀi`iÃÊÃi}ÕÀ>ÃÊ6* ÊÞÊ >ÃÊV -
municaciones suficientes de datos que permitan el acceso remoto de los usuarios en horarios escalonados, para poder laborar fuera de los centros de trabajo.
DECISIONES Y RECOMENDACIONES PARA EL PLAN DE TRABAJO Sin ánimo de una situación alarmista, se debe dimensionar el RIESGO de no contar con el personal directivo, ejecutivo, operativo, administrativo y de control suficiente para mantener de manera continua y coordinada la operación de los procesos críticos de la empresa. UÊ ÃÌ>L iViÀÊà ÕV iÃÊiëiV v V>ÃÊÞÊi v V>`>ÃÊ>ÊV>à ÃÊÀi> ið UÊ Ê`iÃVÕ `>ÀÊ>ëiVÌ ÃÊL?à V ÃÊV Ê>ÕÌi Ì V>V ]ÊV ÌÀ Ê`iÊ>Vcesos y criptografía. UÊ >Þ ÀÊÃi à L â>V ÊÞÊV V i Ì â>V UÊ >Þ ÀÊV>«>V Ì>V Ê>ÊÕÃÕ>À ÃÊÞÊi V>À}>` ÃÊ`iÊ >ÃÊ?Ài>ÃÊ`iÊ /Ê UÊ >Þ ÀÊ ÛiÀà ʫ>À>ÊÀiv Àâ>ÀÊ >Ê vÀ>iÃÌÀÕVÌÕÀ>ÊÌiV } V>Ê`iÊ>Vceso remoto UÊ >Þ ÀÊ«>ÀÌ V «>V Ê`iÊ ÃÊ Ûi iÃÊ` ÀiVÌ Û Ã UÊ i À>ÀÊi ÊV Vi«Ì Ê`iÊ >Ê ` ÃÌÀ>V Ê Ìi}À> Ê`iÊ >Ê-i}ÕÀ `>`Ê Informática UÊ `>«Ì>ÀÊÞÊ«À L>ÀÊ ÃÊV> L ÃÊÌiV } V ÃÊ>` VÊ>Ê >ÃÊ iVià dades que alcancen a cubrir soluciones específicas y enfocadas a casos reales. UÊ >Þ ÀÊ>« Þ Ê«>À>Ê >Ê` vÕà ° UÊ ,i> â>ÀÊ > > â>ÃÊ iÃÌÀ>Ìj} V>ÃÊ V Ê V i ÌiÃ]Ê «À Ûii` ÀiÃ]Ê } L iÀ ÊÞÊÌ> L j ÊV Ê >ÊV «iÌi V >Ê«>À>ÊVÀi>ÀÊÕ ÊvÀi ÌiÊV Ö ÊµÕiÊ presenten soluciones coordinas, consistentes y de apoyo para generar repuestas básicas ante el evento.
CONCLUSIONES NECESARIAS, REFLEXIONES Y PROPUESTA DE LA ALAPSI: · Ý ÃÌi Ê >VV iÃÊ `iÊ >Ê Ì>Ê ÀiVV Ê µÕiÊ «iÀ Ì> Ê >ViÀÊ vÀi ÌiÊ >Ê ÃÊV>à ÃÊ`iÊ v Õi â>Êi ÊÃÕÊ i} V ¶Ê· Õi Ì>ÊV Ê ÃÊÃÕv V i ÌiÃÊL>V Õ«ÃÊ Õ > Ã]ʵÕiÊ«iÀ Ì À? ÊÀië `iÀÊ> Ê>Ì>µÕiÊ`i ÊÛ ÀÕÃ¶Ê · Ê ÃÊiÃÌ> ÃÊ«ÀiÛ i ` ÊÞʵÕjÊ>VV iÃÊV VÀiÌ>ÃÊÞÊ« > iÃÊ `iÊ>Ìi V ÊiÃÌ> ÃÊÀi> â> ` ¶
ÊV>LiÊ`Õ`>]ʵÕiÊ> ÌiÊÌ ` ÊiÃÌ>Êà ÌÕ>V ÊÀiµÕ iÀiÊ`iÊ ÕV >Ê conciencia por parte de la alta dirección y de los mandos medios para mitigar los riesgos inmediatos de este fenómeno sanitario, que >Û> â>Ê `iÊ > iÀ>Ê ÃÕLÀi«Ì V >]Ê Õ`>Ê Þ]Ê µÕiÊ VÕ> ` Ê ÃiÊ «ÀiÃi Ìi]Ê su impacto no será piadoso ni considerado y menos para aquellos confiados o negligentes que no se cuestionaron y desarrollaron un plan preventivo para enfrentar y reaccionar paulatinamente ante la emergencia. ·+ÕjÊ >ViÊ Ê «Õi`iÊ >ViÀÊ >Ê *- ¶\Ê Ê ÌÀ>ÛjÃÊ `iÊ ÃÊ VÕÀsos de inducción e introducción a la Seguridad Informática cada viernes de la tercera semana de cada mes, propone a todos ÃÊ µÕiÊ ÃiÊ Ìi}Ài Ê V Ê iÃÌ>Ê «Ài VÕ«>V Ê >Ê À}> â>ÀÊ >Ãià rías que permitan guiar para informar y dimensionar el proble >Ê `iÊ V Ì }i V >°Ê Ãià À>À iÃÊ «>À>Ê «Ài«>À>ÀÃiÊ >Ê Ài>VV >ÀÊ oportunamente en las áreas productivas, donde se requiera `iÃVi ÌÀ> â>ÀÊ ÃÊ Vi ÌÀ ÃÊ `iÊ ÌÀ>L> Ê « ÀÊ Õ `>`iÃÊ > ÌiÀ >ÃÊ `iÊ bajas aglomeraciones, (no todos los recursos laborales en el mismo techo). Es donde la tecnología debe aportar los recursos de oficinas virtuales para no romper la cadena de producción sin iÝ« iÀÊ>ÊÌ ` Ã]ÊÊ>ÊÌÀ>ÛjÃÊ`iÊ«iµÕi ÃÊ ÖV i ÃÊ >L À> iÃÊÃiÊ` Ãminuye el contagio y mediante los horarios escalonados se pueden cubrir todas las funciones. "ÌÀ>Ê >VÌ Û `>`Ê iViÃ>À >Ê >Ê Ài> â>ÀÊ Ã Ê ÃÊ >ViÀV> i Ì ÃÊ i ÌÀiÊ las diferentes cadenas de producción y de la sociedad para geneÀ>ÀÊ>VÕiÀ` ÃÊV Ãi Ã>` Ã]Êiv V i ÌiÃÊÞÊiv V>ViÃÊi ÌÀiÊ L iÀ ]Ê ? >À>Ã]Ê `ÕÃÌÀ >]ÊÃiÀÛ V Ã]Ê-iVÌ ÀÊ-> Õ`]ÊV iÀV > ÊÞÊv > V iÀ °Ê >Ê industria de telecomunicaciones debe aportar gran parte de las soluciones con recursos buenos, accesibles y para toda la sociedad. /> L j Êi ÊÃiVÌ ÀÊi`ÕV>Ì Û Ê« `À >Ê>« ÀÌ>ÀÊV ÊiÃÌÕ` > ÌiÃ]ÊÀicursos humanos adicionales, económicos y de posible disponibilidad para los centros virtuales de la cadena productiva. Y desde ahora, a los miembros y visitantes, les invitamos a aportar con noticias los hechos de preparación y de reacción que les han servido y que pueden servir a la comunidad y a las empresas V ÊÃÕÊÀië Ã>L `>`Êà V > °Ê >âÊ i}>ÀÊÌÕÃÊ Ì V >ÃÊV ÊÌÕÃÊ`>Ì ÃÊ a correo@alapsi.org / noticias@alapsi.org. ●
NOTICIAS Y EVENTOS ALAPSI (www.alapsi.org, 5594-9257) Taller de Awareness o Concienciación de Seguridad.
Desayuno de JFS La percepción de Seguridad en la Información 2009
Taller de Capacitación a Capacitadores de Seguridad.
Curso de Inducción e Introducción a la Seguridad Informática
Taller de Manejo Herramientas de Seguridad
Premio de Seguridad ALAPSI
Taller de Introducción a la Investigación Forense
Celebración del DÍA DE LA SEGURIDAD ALAPSI
Seminario CISSP, inicia en octubre
Septiembre, 2009 B:SECURE 17
for
BUSINESS PEOPLE
OUTSOURCING DE SEGURIDAD INFORMÁTICA
L
a seguridad de los datos y activos es vital para cualquier organización, desafortunadamente no todas las organizaciones tienen los recursos para atacar los problemas de seguridad. Hoy día el outsourcing es una alternativa muy acotada en comparación a todo el campo de la seguridad. Uno de los principales puntos es entender claramente la diferencia entre outsourcing y consultoría, la cual explicaremos por medio de una analogía, nosotros tenemos como una responsabilidad el lustrar nuestro calzado supongamos que, por cualquier razón no queremos o no podemos realizar la tarea (falta de tiempo o poca habilidad para hacerlo). Si nosotros vamos con un lustrador de calzado le estamos transfiriendo una responsabilidad que nos corresponde a nosotros sabiendo de antemano que acudimos a un experto, el cual nos garantizará que los zapatos nos quedarán perfectamente lustrados, por un precio específico y en determinado tiempo, eso es un outsourcing. La consultoría, por su parte sería que alguien nos recomendara un lustrador de calzado ubicado en cierta dirección y además nos asesorara en la forma que nos debiera de dar el servicio, por ejemplo que nos lustrara los zapatos con cierto tipo de grasa, que cepillara los zapatos con cepillos de cedras de cochino y que no nos cobrara mas de cierta cantidad. Es importante entender esta diferencia ya que muchas veces se confunden servicios de outsourcing con los de consultoría. El outsourcing de seguridad se podría definir cuando una organización transfiere la responsabilidad de su información o activos a profesionales en seguridad Informática. El outsourcing por naturaleza tiene riesgos significativos si no hay una definición perfectamente clara de los servicios, alcance, amenazas, roles, responsabilidades y una plena justificación del porqué elegir una alternativa como esta. Ventajas y desventajas del outsourcing. La mayoría de las compañías no están en el negocio de la seguridad informática. Éstas, quieren dedicarse a vender sus productos y servicios. Existen ventajas y desventajas al considerar el outsourcing de seguridad. La pregunta sería ¿Una organización en verdad quiere transferirle la responsabilidad de la protección de su información sensitiva y crítica a un tercero? En realidad no existe una receta de cocina como respuesta, cada organización debe determinar sus necesidades y tomar una decisión basada en un estudio de riesgo-costo-beneficio. La opción del outsourcing, no debería ser tomada a la ligera. Hay muchos elementos que deben ser examinados para determinar qué es lo mejor para una organización. Algunas organizaciones han decidido que todas las funciones de seguridad debenSegunda ser mantenidas de 2 internamente, partes
18 B:SECURE
Septiembre, 2009
Por Adrián Palma
desde los guardias hasta la información y la seguridad de toda su infraestructura tecnológica. Esta decisión es tan válida como las necesidades del negocio lo requieran, pero como en todo se tienen ventajas y desventajas. La siguiente lista provee ventajas de esta elección: UÊ ,iÌi V Ê ÌiÀ >Ê`i ÊV V i Ì ÊÞÊÌ> i Ì ÊV Ê«À vià > iÃÊ`iÊÃiguridad que entienden el negocio central de la organización. UÊ ÃÊ«À vià > iÃÊi ÊÃi}ÕÀ `>`Ê«Õi`i Ê > Ìi iÀÊ i ÀÊ ÃÊ ÌiÀiÃiÃÊ de la organización, porque esto se refleja directamente en su trabajo. UÊ >ÊÀ Ì>V Ê`i Ê«iÀà > Êi Êi Ê ÕÌà ÕÀV }ÊÊÃiÊ`>ÊV Ê ÕV >Ê >Þ ÀÊ frecuencia que con los empleados internos. UÊ ÊV ÌÀ Ê« ÀÊ«>ÀÌiÊ`iÊ >Ê` ÀiVV ÊiÃÊ ÕV Ê i ÀÊÊVÕ> ` Êà ÊÊi pleados. Hay también desventajas que necesitan ser consideradas: UÊ Ê «>VÌ Êv > V iÀ Ê«>À>ÊV Ì>ÀÊV Êi Ê«iÀà > ÊÞÊÀiÌi iÀÊ>Ê ÃÊ«À fesionales en seguridad puede ser substancial para la compañía. UÊ Ê iV Ê`iʵÕiÊÕ Êi « i>` ÊÃi>Ê ÌiÀ Ê ÊiÃÊ }Õ >Ê}>À> Ì >Ê`iÊ que pueda ser más confiable que un empleado externo. UÊ Ê«iÀà > ÊiÃÊ i ÃÊv iÝ L i°Ê Ê> }Õ ÃÊV>à ÃÊ`iÊi iÀ}i V >Ê«Õi`iÊ no existir personal suficiente y, se tendrá que trabajar tiempo extra, lo cual puede causar estrés en los demás empleados. Si una organización decide utilizar el outsourcing de seguridad, existen las siguientes ventajas: UÊ >LÀ?Ê ÃÊà ÃÊ iViÃ>À ÃÊÓ{ÉÇ]Ê ÃÊÎÈxÊ` >ÃÊ`i Ê> Ê`iÊ«À vià > iÃÊ de seguridad capacitados. UÊ >ÊV «> >Ê Ê>Là ÀLiÀ?Êi Ê «>VÌ Êv > V iÀ Ê`iÊV ÌÀ>Ì>ÀÊ Êi ÌÀinar profesionales de seguridad de tiempo completo. UÊ >LÀ?Ê>VÕiÀ` ÃÊ`iÊÃiÀÛ V Ê- îʫ>À>ʵÕiÊ>à ]ÊÃiÊiÃÌ>L iâV>ÊÕ Ê Ûi Ê de servicio esperado y otra compañía pueda ser parcialmente confiable, si es que las medidas específicas de seguridad no son tomadas en cuenta o no se reacciona apropiadamente. UÊ ÃÊ«À Ûii` ÀiÃÊ`i ÊÃiÀÛ V ÊÌ i i ÊÕ >ÊÛ Ã Ê`iÊ >Ê `ÕÃÌÀ >Ê ?ÃÊ amplia y pueden ver más fácilmente en qué amenazas y ataques están trabajando otras compañías que están experimentando. UÊ >Êv iÝ L `>`Ê`i Ê«iÀà > ÊiÃÌ?Êi Ê` ë L `>`]Ê« ÀµÕiÊiÃÊ ?ÃÊv?cil cambiar a los miembros del personal externo que al interno. Las desventajas, también existen en esta alternativa: UÊ ÃÊ ÕÌà ÕÀViÃÊ`iÊÃi}ÕÀ `>`ÊÌi `À? Ê>VVià ÊÊ>Ê >Ê v À >V Ê>ViÀV>Ê de una organización. UÊ Ê ÕÌà ÕÀV }Ê«Õi`iÊV>ÕÃ>ÀÊvÀ VV ÊV Ê ÃÊi « i>` ÃÊ ÌiÀ ÃÊ« À-
que la percepción puede ser que los empleados internos son más leales a la organización que los externos. UÊ >ÞÊÀiÌ ÃÊVÕ ÌÕÀ> iÃÊi Ê >Êv À >Ê`iÊÌÀ>L> Ê`iÊ ÃÊ ÕÌà ÕÀViÃÊÊÞÊÃÕÊ > iÀ>Ê`iÊ iÛ>ÀÊ>ÊV>L ÊÊ >ÃÊvÕ V iÃÊi Ê ÃÊ«À Vià ÃÊ ÌiÀ ð
¿QUÉ DEBO OUTSORCEAR? ->LiÀÊiÝ>VÌ> i ÌiʵÕjÊiÃÊ ÊµÕiÊÃiÊ`iLiÊ ÕÌà ÀVi>ÀÊ ÊiÃÊ> } ÊÌÀ Û > Ê« ÀÊ Ê µÕiÊÃiÊ`iLi Ê`iÊÌ >ÀÊi ÊVÕi Ì>ÊÛ>À ÃÊi i i Ì Ã°Ê µÕ ]ÊÊiÝ« V>Ài ÃÊ` ÃÊ `iÊ ÃÊ«À V «> iÃ\Ê >ViÀÊÕ Ê> ? à ÃÊÞÊiÛ> Õ>V Ê`iÊÀ iÃ} ÃÊi ÊÊ >Ê À}> â>V ÊÞÊÀi> â>ÀÊÕ Ê> ? à ÃÊ`i Ê ÕÌà ÕÀV }° 1 Ê`iÊ ÃÊ}À> `iÃÊ«À L i >ÃʵÕiÊÃiÊÌ i i Ê ÞÊ` >Êi Ê ÃÊÃiÀÛ V ÃÊ`iÊ ÕÌà ÕÀV }Ê`iÊÃi}ÕÀ `>`ÊiÃÊ >Êv À >Ê`iÊi i} ÀÊ` V >Ê «V °Ê ÊÊ> }Õ >ÃÊ À}> â>V iÃÊi ÊvÕ `> i Ì ÊiÃÊi Êà }Õ i ÌiÆÊÊ> Ê À iÊ« ÀÊÕ ÊiõÕi >Ê`iÊ ÕÌà ÕÀV }Ê iÊµÕ Ì Êi Ê«À L i >Ê`iÊi V ÌÀ>ÀÊÞÊV ÌÀ>Ì>ÀÊ}i ÌiÊiëiV > â>`>]Êi Ê ÃÊV ÃÌ ÃÊ`iÊÃÕÊV>«>V Ì>V ]ÊiÛ Ì Ê >Ê« À>ÌiÀ >Ê`iÊiÃiÊV>« Ì> Ê Õ > ÊÞÊ> Êv > Ê iÊÛ ÞÊV ÊÕ ÊÌiÀViÀ ʵÕiÊiÃÊiëiV > ÃÌ>Êi ÊiÃÌiÊÌi >°Ê Ê«Õ Ì ÊiÃʵÕiÊiÃÌiÊÌ « Ê`iÊvÕ `> i Ì ÃÊÃ Ê ÕÞÊ`jL iÃ]Ê Ê `i> ÊiÃʵÕiÊ ÃiÊÌ i iʵÕiÊ >ViÀÊÕ Êi iÀV V Ê`iÊ> ? à ÃÊ`iÊÀ iÃ} ÃÊÞÊ`iëÕjÃÊ> Ê > i >ÀÊ ` V ÃÊÀ iÃ} ÃÊÊÌ iÀ>À]Ê Ì }>À]ÊiÛ Ì>ÀÊÞÊÌÀ> ÃviÀ ÀÊ®ÊiÛ> Õ>ÀÊ >Ê> ÌiÀ >Ì Û>Ê`iÊ ÌÀ> ÃviÀ ÀʵÕjÊiÃÊ ÊµÕiÊÃiÊ }>Ê>Ê ÃÊÃiÀÛ V ÃÊ`iÊ ÕÌà ÕÀV }°ÊÊ
ÊÃiÊ` ÃVÕÌ Ê«ÀiÛ > i ÌiÊiÝ ÃÌi ÊLi iv V ÃÊV >À ÃÊ`iÊÌi iÀÊ> L>ÃÊ > ÌiÀ >Ì Û>Ã]ÊÌi iÀÊÕ >ÊvÕ V Ê`iÊÃi}ÕÀ `>`Ê ÌiÀ >ÊÞÊ> Ê ÕÌà ÕÀV }Ê`iÊÃi}ÕÀ `>`°Ê >Êv À >Ê `i> ]ÊiÃÊ`>ÀÊi Ê ÕÌà ÕÀV }ÊÊÌ>Ài>ÃʵÕiÊ Ê« }> Êi Ê À iÃ} Ê> Ê i} V ]ʵÕiÊà i «ÀiÊÃi> Êv>VÌ L iÃÊÞÊ`i >ÀÊ >ÃÊvÕ V iÃÊiÃÌÀ>Ìj} cas en manos de las operaciones internas de seguridad. }Õ ÃÊ«>à ÃÊL?à V ÃÊ`i Ê> ? à ÃÊ`iÊÀ iÃ} ÊÃ Ê iViÃ>À ÃÊ«>À>Ê`iÌiÀ >ÀÊi Ê Ûi Ê`iÊÛÕ iÀ>L `>`ʵÕiÊÕ >Ê À}> â>V Êi vÀi Ì>°Ê ÃÌ>Ê v À >V Ê«Õi`iÊ>ÞÕ`>ÀÊ>Êi V ÌÀ>ÀÊ >ÊvÕ `> i Ì>V ÊÊ>«À « >`>Ê>ViÀV>Ê`iÊ >ÊÃi}ÕÀ `>`]ÊÊ `i Ì v V>ÀÊ> i >â>ÃÊÞÊ`iÌiÀ >ÀÊi ÊÛ> ÀÊ`iÊ ÃÊÀiVÕÀà ÃÊ`iÊ >Ê À}> â>V °Ê ÃÊà }Õ i ÌiÃÊà ʫ>à ÃÊL?à V ÃÊ`i Ê> ? à ÃÊ`iÊÀ iÃ} ʵÕiÊ «Õi`i Ê>ÞÕ`>ÀÊ>Ê`iÌiÀ >ÀÊ ÃÊÊÀ iÃ} ÃÊ`iÊÕ >Ê À}> â>V \ UÊ iÃVÕLÀ ÀÊVÕ? iÃÊÃ Ê ÃÊÀ iÃ} ÃÊi Ê >Ê À}> â>V ʵÕiÊ iVià Ì> ÊÃiÀÊ«À Ìi} ` ÃÊÞÊ`>À iÃÊ«À À `>`Ê`iÊ>VÕiÀ` Ê> Ê «>VÌ ÊµÕiÊÌi }> Ê >V >Êi Ê i} V ° UÊ > â>ÀÊ >ÃÊ> i >â>ÃÊ«>À>Ê ÃÊÀiVÕÀà ÃÊÞÊiÃÌ >ÀÊ >ÃÊ«jÀ` `>ÃÊ« Ìi V > ið UÊ >à v V>ÀÊ >ÃÊ> i >â>Ã]Êi ÊÌ i « ÊÞÊ ÃÊÀiVÕÀà Ã]ʵÕiÊ`iLi ÊÃiÀÊi v V>` ÃÊ i Ê«jÀ` `>ÃÊ> Ì>ÃÉÊiÛi Ì ÃÊ`iÊ> Ì>Ê> i >â>ÊÞ]Ê Ê «ÕiÃÌ Ê>Ê«jÀ` `>ÃÊL> >ÃÉ iÛi Ì ÃÊ`iÊL> >Ê> i >â>°
SERVICIOS DE OUTSOURCING >ÞÊ ÕV ÃÊÃiÀÛ V ÃʵÕiÊ«Õi`i ÊÃiÀÊ ÕÌà ÕÀVi>` Ã°Ê iëÕjÃÊ`iÊ`iÌiÀ >ÀÊ >ÃÊ iVià `>`iÃÊ`iÊ >Ê À}> â>V ]ÊÕ Ê«Õi`iÊiÃV }iÀÊÊVÕ> µÕ iÀ>Ê`iÊ ÃÊ siguientes servicios hasta lograr sus metas. UÊ ÊÃiÀÛ V Ê Ì Ài Ê`iÊ ÃÊ -Ê«Õi`iÊ>ÞÕ`>ÀÊ>Ê Ì Ài>ÀÊ ÃÊà ÃÌi >ÃÊ`iÊ`iÌiVV Ê`iÊ ÌÀÕà ÃÊi ÊÕ ÊiõÕi >Ê`iÊÓ{ÉÇ]Ê >ÃÊxÓÊÃi > >ÃÊ`i Ê año. UÊ ÃÊÃiÀÛ V ÃÊ`iÊ>` ÃÌÀ>V Ê`iÊv ÀiÜ> Ã°Ê ÃÌ Ã]Ê«Õi`iÊÃiÀÊiëiV > i ÌiÊÖÌ iÃÊi Ê >ÃÊ}À> `iÃÊi «ÀiÃ>ÃÊV Ê Ö Ì « iÃÊÞÊÛ>À >` ÃÊv ÀiÜ> ð UÊ ÃÊiµÕ « ÃÊ`iÊÀiëÕiÃÌ>Ê`iÊ V `i ÌiÃÊ«Õi`i ÊÃiÀÊ ÕÌà ÕÀVi>` ÃÊ«>À>Ê ` À } ÀÊ Ê>ÞÕ`>ÀÊÊ> Ê«iÀà > Ê`iÊ /ÊVÕ> ` Ê >ÃÊ> i >â>ÃÊ «ÀiÛ ÃÌ>ÃÊvÀÕVÌ v V> °Ê ÃÌ>Ã]Ê«Õi`i Ê V Õ ÀÊ>« Þ Ê i}> Êi Ê> }Õ ÃÊ`iÊiÃÌ ÃÊiÛi Ì Ã° UÊ ÃÊÃiÀÛ V ÃÊ> Ì Û ÀÕÃÊ«Õi`i Ê>ÞÕ`>ÀÊ>Ê Ì Ài>ÀÊÞÊ>Ê>VÌÕ>ÀÊi ÊV ÌÀ>Ê de ataques maliciosos.
UÊ ÃÊÃiÀÛ V ÃÊ`iÊL µÕi Ê`iÊ ÃÊÃ Ì ÃÊÜiLÊ vÀiVi ÊÃiÀÛ V ÃÊ`iÊv ÌÀ>` Ê>Ã Ê V Êi ÊÕà Ê`iÊ jÌÀ V>ÃÊÊi Ê >ÊÜiL° UÊ ÃÊÃiÀÛ V ÃÊ`iÊiÃV> i ÊÊÀiÛ Ã>À? Ê«iÀ ` V> i ÌiÊ >ÊÀi`Ê«>À>Ê `i Ì v V>ÀÊ >ÃÊ ÛÕ iÀ>L `>`iÃÊ« Ìi V > iÃÊÞÊÀiV i `>ÀÊ >ÃÊV ÀÀiVV iÃÊ>«À « >`>à UÊ ÃÊÃiÀÛ V ÃÊ`iÊ v À >V ÊL>Ã>` ÃÊi Ê> iÀÌ>ÃÊ`iÊÛÕ iÀ>L `>`iÃ]Ê«>ÀV iÃÊÞÊ>VÌÕ> â>V ið UÊ ÃÊÃiÀÛ V ÃÊ`iÊ>Õ` Ì À >° · ÊÃi iVV >ÀÊ>ÊÕ Ê --*ÊÊ > >}i`ÊÃiVÕÀ ÌÞÊÃiÀÛ ViÃÊ«À Û `iÀ®¶
iÊ>µÕ Êi Ê>`i > ÌiÊ > >Ài ÃÊ> Ê ÕÌà ÀViÀÊ --*]ʵÕiÊiÃÊi Ê LÀiÊ ?ÃÊ V Ö Ê«>À>Ê >ViÀÊÀiviÀi V >Ê>ÊÕ Ê ÕÌà ÕÀViÀÊ`iÊÃi}ÕÀ `>`°ÊÊ
>` ʵÕiÊ >ÊÃi}ÕÀ `>`ÊiÃÊÕ Ê«À L i >ÊÃiÀ Ê`iÊ ÕV >ÃÊ À}> â>V iÃ]Ê muchos proveedores de servicios con los que una organización actualmenÌiÊÌÀ>Ì>]ÊÌ> ÊÛiâÊÞ>Ê vÀiVi Ê` V ÃÊÃiÀÛ V Ã°Ê ÃÊ ÕV Ê i ÀÊÌÀ>Ì>ÀÊV ÊÕ >Ê V «> >ÊV Ê >ÊVÕ> ]ÊÕ ÊÞ>Ê >ÊiÃÌ>L iV ` ÊÕ >ÊLÕi >ÊÀi >V ÊÞÊ>à ÊiÛ> Õ>ÀÊÃÕÃÊ viÀÌ>ÃʵÕiÊ«Õ` iÀ> ÊÊ«À L>ÀÊÀ?« `> i ÌiÊ ÃÊLi iv V ð ÃÊLÕi ÊÌi iÀÊÕ Ê«À Vià ÊiÃÌ>L iV ` Ê«>À>ÊÃi iVV >ÀÊÕ Ê --*°Ê ÃÊà }Õ i ÌiÃÊ«>à ÃÊ>ÞÕ`>À? Ê>Ê `i Ì v V>ÀÊÕ ÊLÕi Ê«À ëiVÌ \ £° i i Ì ÃÊ « ÀÌ> ÌiÃÊ>ÊV à `iÀ>À\ >°Ê Ê> V> ViÊ`iÊÃÕÃÊÃiÀÛ V ðʷ"vÀiVi Ê ÃÊÃiÀÛ V ÃÊ`iÊÃi}ÕÀ `>`ÊÀiµÕiÀ ` öʷ ÃÊ >ÊÃi}ÕÀ `>`ÊÃÕÊ«À V «> Êi v µÕiÊ Ê >Êà ` ÊÊÕ ÊÃiÀÛ V ÊÀiV i Ìi i ÌiÊ>}Ài}>` ÊÊÞÊ« ÀµÕiÊiÃÌ?Ê`iÊ `>¶ L°Ê ÃÌ>L `>`Êv > V iÀ>°Ê·/ i iÊ >ÊV «> >Êi ÊV>« Ì> Êv > V iÀ ÊÊ«>À>Ê «iÀ > iViÀÊÛ Û>ÊÊ`ÕÀ> ÌiÊ ÃÊà }Õ i ÌiÃÊxÊ> ö V°Ê·"vÀiViÊi Ê --*ÊÕ Êà « ÀÌiÊ`iÊÓ{ÉǶ `°Ê· Õ? Ì ÊÊ«iÀà > Êi « i>Êi Ê --*]ʵÕjÊViÀÌ v V>V iÃÊÌ i i ]ʵÕjÊÊÌ> Ì>ÊÀ Ì>V Ê >Þ¶ i°Ê/ i « ÃÊ`iÊÀiëÕiÃÌ>°Ê·*Õi`iÊi Ê --*ÊÀië `iÀÊi Êi ÊÌ i « ÊÀiµÕiÀ ` ¶ v°Ê / i iÊi Ê --*ÊÌiV } >ÃÊLiÃÌÊ vÊLÀii`° g. Conocer su historia legal como el número de demandas. °Ê >ÃÊÀiviÀi V >ÃÊ`iÊ ÌÀ ÃÊV i ÌiÃ°Ê °Ê >ÃÊ Ì> Ìiðʷ+ÕjÊ«Õi`iÊi Ê --*Ê >ViÀÊÞʵÕjÊ ]Ê«Õi`iÊ i À>ÀÊ >ÊV> `>`Ê`iÊÃÕÃÊÃiÀÛ V öÊiÃÊ « ÀÌ> ÌiÊV ViÀÊiÃÌiÊÌ « Ê`iÊ«À L i >Ã°Ê Ó° Ê/ >ÀÊÕ >Ê`iV à ÊV ÊL>ÃiÊi Êi Ê> ? Ã Ã°Ê Î° ÊÊ Ãi}ÕÀ>ÀÃiÊ`iʵÕiÊi Ê«À Ûii` ÀÊÌ i iÊÕ Êi Ìi ` i Ì Ê`iv Ì Û Ê`iÊ Ê µÕiÊÕ ÊiëiÀ>ÊÞÊµÕ iÀiÊ« ÀÊiÃVÀ Ì °Ê `i ?ÃÊV V>ÀÊ ÃÊ>VÕiÀ` ÃÊ`i Ê Ûi Ê `iÊÃiÀÛ V Ê>«À « >` ÃÊ- îÊÞÊ ÃÊV ÌÀ>Ì ÃÊ i}> ið
MANEJAR EL OUTSOURCING >L i ` Ê`iÌiÀ >` Ê> Ê --*]Êi Êà }Õ i ÌiÊ«>à ÊiÃÊ > i >ÀÊi Ê«À Vià °Ê >Ê À}> â>V ÊʵÕiÀÀ?ÊÕÃ>ÀÊ >ÃÊ Ã >ÃÊ«À?VÌ V>ÃʵÕiÊÕÌ â>Ê«>À>Ê > i >ÀÊ VÕ> µÕ iÀÊ?Ài>]Ê V ÕÞi ` \ UÊ >ÊÕÌ â>V Ê`iÊ >ÃÊ i ÀiÃÊ«À?VÌ V>ð UÊ `ÕV ÀÊi Ê`ÕiÊ` }i Vi° UÊ iv ÀÊÀiµÕiÀ i Ì Ã°Ê UÊ iv ÀÊÊÀ iÃÊÞÊÊÀië Ã>L `>`ið ÃÊ « ÀÌ> ÌiÊÌ> L j ʵÕiÊi Ê --*ÊÃi>ÊÀiÛ Ã>` ÊÞÊ>Õ` Ì>` Ê> Ê i ÃÊ > Õ> i Ìi]Ê«>À>Êi ÊÊ«ÀÕjLi Ã]ÊiÃÊ`iV À]ÊÊÌ ÀiÊ`iÊ >ÊV >Û >Ê`iÊÕ Ê -Ê ÊÕ Ê *-ÊÞÊÛi>Ê· Õ? Ì ÊÌ>À`>Êi Ê --*Êi ÊÊÀië `iÀ¶]Ê·+ÕjÊiÃÊ ÊµÕiÊi Ê --*Ê ÃÕ} iÀi¶Ê `i ?ÃÊiÃÊ « ÀÌ> ÌiÊÌi iÀÊÕ >ÊÌiÀViÀ>Ê«>ÀÌiÊÛiÀ v V>` À>Ê`iÊÕ Ê MSSP. ●
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Septiembre, 2009
B:SECURE 19
ÁREARESTRINGIDA CRIPOTGRAFIA Y TPM (TRUSTED PLATAFROM MODULE) Por Roberto Gómez Cárdenas
L
a criptografía es una herramienta que, bien utilizada, nos proporciona confidencialidad, integridad y autenticación. Uno de los elementos clave en toda aplicación criptográfica es el manejo de llaves. Un mal manejo de llaves provoca que el sistema se vea comprometido independientemente del algoritmo de cifrado que se esté utilizando. Dos aspectos esenciales a cuidar dentro del manejo de llaves son la generación y el almacenamiento de llaves. En primavera de 1999 la Trusted Computing Platform Alliance (TCPA) tenía por misión el alentar la participación de la industria en el desarrollo y adopción de una especificación abierta para una plataforma de cómputo confiable. Los participantes se enfocaron a dos objetivos, el garantizar la privacidad y mejorar la seguridad de los dispositivos de computo. Entre los miembros de la TCPA podemos mencionar a Intel, Microsoft, National, Atmel y otras organizaciones. El sucesor de la TCPA es el TCG, Trusted Computing Group. Existen diferentes opiniones con respecto a la seguridad que este grupo aporta a las computadoras personales, el rol que están jugando en el área de derechos de autor (DRM) y de combate contra la piratería. Las opiniones son diversas y encontradas. En este artículo tan sólo se abordarán los aspectos técnicos de uno de las implementaciones de la especificación conocida como TPM. El principal objetivo de la especificación es generar confianza en las plataformas de cómputo. El TPM (Trusted Platform Module) proporciona una instanciación de la especificación de la TCPA. La versión actual de la especificación es la 1.2 y se encuentra en su revisión 103. La arquitectura TPM (Trusted Plataform Module) reposa sobre un micro-controlador seguro con funcionalidades criptográficas adicionales. En el chip se almacenan de forma segura llaves y credenciales PKI únicos. Se integra con el sistema operativo a pesar de estar físicamente separado del CPU, el TPM se encuentra en la tarjeta madre de la computadora portátil. El TPM proporciona facilidades para la creación segura de llaves, y la generación de números pseudoaleatorios. Usa un hash para crear una huella digital de la configuración del hardware y del software, de tal forma que un software de terceros puede verificar que el software no ha sido modificado. El descifrado de datos se hace a través de una llave que el TPM libera cuando la contraseña adecuada es proporcionada. Desde el 2006 varias computadoras se han vendido con chip de TPM dentro de ellas. Las funcionalidades criptográficas proporcionadas por el TPM se llevan a cabo dentro del hardware de este. De acuerdo a la especificación se deben soportar como mínimo los algoritmos siguientes: RSA, SHA-1 y HMAC. Es posible añadir más algoritmos, pero este es el mínimo de algoritmos a soportar. 20 B:SECURE Septiembre, 2009
El TPM cuenta con una llave de soporte (denominada EK, por sus siglas en ingles). Se trata de una llave RSA de 2048 bits. La llave pública es conocida como PUBEK y la privada como PRIVEK y ambas cuentan con medidas de privacidad y seguridad. Estas llaves son generadas antes que el usuario reciba su dispositivo o computadora portátil. La entidad del TPM ( Trusted Platform Module Entity) que lleva a cabo la generación de la EK, también es responsable de la generación y firma del certificado que valida al TPM y a la EK. El TPME es el fabricante de la TPM. A través de estas llaves es posible autenticar dispositivos de hardware. La especificación de TPM también incluye una cortina de memoria, un almacenamiento seguro y verificación a distancia. La cortina de memoria permite el aislamiento de áreas sensitivas de la memoria, donde se pueden encontrar llaves criptográficas. El sistema operativo no tiene acceso a esta memoria, por lo que la información almacenada dentro de esta se encuentra protegida aun si alguien toma control del sistema operativo. El almacenamiento seguro protege la información privada, asociándola a información de configuración de la plataforma, incluyendo el software y hardware que se está usando. Esto implica que la información sólo podrá ser leída si se usa la misma combinación de hardware y software con la que fue asociada. Esto implica que un archivo sólo puede ser leído en una sola computadora y, que si alguien lo extrae de forma ilegal de la computadora original, este no podrá ser utilizado en otra máquina. La verificación a distancia permite que terceros detecten cambios a la computadora. Una organización podría verificar que un usuario modifica aplicaciones de forma maliciosa. Para lograr esto el TPM genera un certificado que acredita lo que actualmente se está ejecutando. Este certificado se presenta a la entidad que lo requiere para demostrar que el software no se ha modificado. Es posible usar esta verificación con cifrado asimétrico, de tal forma que la información sólo se pueda leer por los programas que presenten y soliciten este certificado. La principal función del TPM son las aplicaciones de cifrado total del disco, como el BitLocker de Windows Vista. El TPM se utiliza para proteger las llaves usadas para cifrar la partición que contiene el sistema operativo y, son utilizadas para proporcionar integridad y autenticación al software de arranque de la máquina. Por otro lado, y se dice que es el principal objetivo de esta tecnología, está todo lo relacionado con DRM y protección de licencias de software. Esta tecnología permitiría detectar contenidos y aplicaciones no firmadas y evitar su reproducción o uso. Siempre habrá forma de darle la vuelta para la copia de material multimedia (canciones y videos), sin embargo en el caso de piratería de software y de juegos parece que el objetivo sí se logro. ●
´ OPINIÓN ¿QUÉ ESTÁS HACIENDO EN ESTE MOMENTO? Por Andrés Velázquez
T
engo que ser sincero cuento con varios perfiles en diferentes redes sociales y últimamente estoy muy metido en Twitter, donde me he podido enterar que Mónica Mistretta sale a correr todas las mañanas y que Carlos Fernández de Lara (a quien le damos la más cordial bienvenida como nuevo editor de esta revista) queda varado en Polanco gracias a las lluvias torrenciales e inundaciones de la Ciudad de México. Ahora con mi twitter “cibercrimen” he podido dar mis opiniones de la realidad que vive un examinador forense digital. Pero hay muchas otras historias alrededor de estas redes sociales, las cuales nos invitan a compartir “con una serie de amigos” lo que estás haciendo. Carlos llega a la oficina donde trabaja desde hace poco más de dos años. Antes de llegar, ya utilizó su red social para quejar quejarse del tráfico, de las lluvias y de que está desvelado y obviamente cansado como para ir a trabajar. Durante el día ha actualizado 20 veces el famoso Facebook, posteando su estado de ánimo, sus quejas del trabajo y abriendo las galletitas de la fortuna. Su jefe inmediato, también tiene cuenta en Facebook, e incluso es “amigo” de Carlos, por lo que puede ver sus actualizaciones de estado, cuántas veces se conecta y lo que coloca en la red social. Luis trabaja en una empresa que no tiene nada que ver con seguridad de la información, sin embargo, últimamente ha tenido problemas con uno de los altos directivos. La semana pasada posteó en la red social Twitter “Me acaban de amenazar que no me darán liquidación y que podría demandarlos si quiero”. Muchos amigos contestaron y en algunos casos colocaron el nombre de la empresa y la persona a la cual se refería. Pilar siempre ha sido inquieta y en la incesante búsqueda de nuevas oportunidades ayer posteó que estaba harta de su trabajo, que era sumamente aburrido ya que lo único que tenía que hacer era actualizar la base de datos de clientes como X y Y. El tema de las redes sociales siempre se ha visto como un fenómeno que principalmente afecta a los niños. Situaciones de abuso, pornografía infantil o pedofilia son mencionadas en diferentes foros para poder llegar a evitarlo. El hecho del uso de las redes sociales dentro de la organización no es, “por ahora”, un punto dentro de la agenda de los responsables de la seguridad de la información y mucho menos de los altos directivos de la organización. Si bien, he expresado en ocasiones anteriores, que el realizar un estudio de antecedentes a las personas que serán los próximos res-
ponsables de la seguridad de la información dentro de una empresa, creo que el tema de realizar revisiones de la existencia de una red social, su configuración (si se encuentra el perfil público) y la información que publican en ella son primordiales para entender la posibilidad de que exista una fuga de información por ese medio. En Estados Unidos ya se presentó el caso donde una persona fue despedida de la organización por postear en redes sociales información confidencial o simplemente por el hecho de que se encontraba aburrida; situación que afecta directamente a la imagen de la empresa. Incluso, en algunas redes sociales orientadas a los ejecutivos o para búsquedas de prospectos u oportunidades de negocio como lo LinkedIn, es posible encontrar los perfiles de altos funcionafunciona rios de gobierno, su trayectoria, datos de contacto y algunas veces, los proyectos en los cuales están trabajando. Simplemente mientras escribía esta columna se me ocurrió buscar en Twitter el término “trabajo”, no fue una sorpresa enen contrar comentarios como: “Mucho trabatraba jo... y pocas ganas de hacerlo... en especial en este martes tequilero... jeje”. ¿Deberíamos entonces restringir las redes sociales dentro de la organización? Yo creo que no, ya que al igual que en casa, si le prohibimos a nuestro pequeño el acceso a Internet, muy probablemente vaya a casa del vecino o al cibercafé a conectarse. De igual manera, no podemos prohibir a los empleados de una organización el acceso y uso de estas plataformas, porque al salir de la oficina, sea a través de su computadora personal o desde sus teléfonos inteligentes como el iPhone o Blackberry podrán actualizar sus estados. Creo que una vez más, el capacitar, explicar y desarrollar las capacidades de entender lo que es privado, confidencial o público en las organizaciones y también a nivel personal será un tema que tendremos que platicar y discutir dentro de las empresas, para que no sean las redes sociales un canal más para divulgar o filtrar información importante, con dolo o por simple descuido. Y usted, ¿ya es esclavo de las redes sociales? ●
Andrés Velázquez es un mexicano especialista en delitos informáticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat.edu
Septiembre, 2009
B:SECURE 21
CISOTOCISO LA SEGURIDAD DE INFORMACIÓN, FACTOR DE GOBERNABILIDAD Y DIFERENCIADOR ESTRATÉGICO EN LOS NEGOCIOS Por Ricardo Morales, --*]Ê - ]Ê - ]Ê / ]Ê -"ÓÇää£]Ê /
E
l Gobierno de Seguridad de Información (GSI) es una práctica que está incorporándose más frecuentemente en organizaciones que sí consideran a la seguridad de la información como un área estratégica. Según el IT Governance Institute, el Gobierno de Seguridad de Información, “es el conjunto de responsabilidades y prácticas ejercidas por el grupo directivo, con el objetivo de proveer dirección estratégica, asegurar que los objetivos se alcancen, validar que los riesgos de la información sean apropiadamente administrados y verificar que los recursos de la empresa se usen responsablemente.” En términos generales, la meta esencial de un Gobierno de Seguridad de Información es reducir impactos adversos en la organización, a un nivel aceptable de riesgos. Todo lo anterior nos lleva a determinar que un GSI basa mucho de su éxito en la adecuada administración de los mismos, aunque por definición siempre existen riesgos residuales, (los que quedan remanentes después de implementar un control de seguridad). Es decir, no hay un nivel de riesgo igual a cero, y no hay ningún control que tenga una eficiencia de 100%.
¿QUÉ HACE? Para ayudar a las organizaciones a minimizar los impactos adversos y manejar adecuadamente los riesgos, este modelo tiene varios objetivos: Alineación estratégica. Un GSI deberá empujar la alineación del área de seguridad de la información con los objetivos del negocio. Para esto hay diversas opciones, como basarse en aspectos regulatorios o legales, proveer mayores ingresos o proteger los que se tienen, mantener la reputación de la compañía y la productividad, etc. UÊ ,i`ÕVV Ê`iÊÀ iÃ} ÃÊ>ÊÕ Ê Ûi Ê>Vi«Ì>L i°Ê V ÊiõÕi >Ê`iLiÊ 22 B:SECURE Septiembre, 2009
permitir que las organizaciones puedan establecer sus niveles de riesgos razonables de acuerdo a las necesidades del negocio y que la seguridad de la información trabaje bajo este marco. UÊ 1à ÊiviVÌ Û ÊÞÊiv V i ÌiÊ`iÊÀiVÕÀà ðÊ*ÕiÃÌ ÊµÕiÊi Ê - ÊÌÀ>L> >Ê con modelos de riesgos, las principales decisiones sobre inversión en recursos se deben de basar en los riesgos del negocio, porque así se asegura un razonable uso de recursos de todo tipo. UÊ i` V iÃÊ«>À>Ê>Ãi}ÕÀ>ÀÊi Ê }À Ê`iÊ ÃÊ L iÌ Û Ã°Ê Ê « i i tar este tipo de gobierno, es posible definir las métricas en seguridad de información alineadas a los objetivos del negocio, las cuales deberán mostrar resultados periódicos, para comparar su efectividad y mejorar el mismo GSI.
ARMANDO LAS PIEZAS Para implementar este tipo de gobierno de seguridad es necesario considerar ciertos elementos y no olvidar ninguno, si es que se pretende llevarlo a la práctica con éxito. Plan Estratégico de Seguridad de Información. Se deberá establecer un plan que considere objetivos al menos anuales, dependiendo del tipo y tamaño de organización. Hoy, con toda la información que existe con base a experiencias de implementación de un GSI se puede establecer un plan estratégico con un horizonte de dos a tres años. Estos planes deberán contener información de leyes y regulaciones con los que la organización requiera estar relacionada en términos de seguridad de información. Habrá también que establecer un área que tenga a cargo la función de seguridad de información. Además se debe de crear la figura del comité de seguridad de información y establecer un marco de procesos básicos de seguridad, que deberán definirse dentro de la estrategia e implemen-
tarse como normatividad. Por supuesto no se debe olvidar incluir aspectos, como: respuesta a incidentes, continuidad de negocios, control de accesos, administración de riesgos, entre otros. Modelo del GSI. Uno de los factores fundamentales del éxito de un gobierno de seguridad es que esté alineado a algún modelo probado. Está demostrado que las mejores prácticas estándares a nivel mundial tienden a mejorar la calidad y a reducir los costos. En este sentido me atrevo a sugerir el ISO27001. Este estándar tuvo su origen en el Reino Unido y contiene todo un marco de gestión de la seguridad de información, así como un conjunto de controles, que cubren los 360 grados de lo que una organización deberá considerar en materia de seguridad. Asimismo, el ISO27001 permite que organizaciones terceras (es decir: proveedores o socios de negocio) certifiquen sus sistemas de seguridad, lo cual brinda mayor confianza a todas las partes interesadas. Proceso de Administración de Riesgos. Como ya hemos establecido, es crucial para un GSI contar con un modelo de riesgos competitivo, de manera que éste deberá contar al menos con las siguientes características: UÊ Ã `iÀ>ÀÊ Ûi Ì>À ÃÊ`iÊ>VÌ Û ÃÊ UÊ , iÃ} ÃÊ V > iÃÊÞÊÀià `Õ> iÃÊ UÊ À> Ê` ÛiÀà `>`Ê`iÊiÃVi >À ÃÊ`iÊÀ iÃ} à UÊ > i >ÀÊL> `>ÃÊ`iÊÀ iÃ} ÃÊ>Vi«Ì>L ià UÊ >ÀÌ>ÃÊ`iÊ>Vi«Ì>V Ê`iÊÀ iÃ} ÃÊÀià `Õ> ià UÊ Ã `iÀ>ÀÊÛÕ iÀ>L `>`iÃÊÌjV V>Ã]Ê`iÊ«À Vià ÃÊÞÊ`iÊ«iÀà >à UÊ , LÕÃÌ ÊÌÀ>Ì> i Ì Ê`iÊÀ iÃ} à Otro de los aspectos relevantes de estos modelos de administración de riesgos es que deben incluir componentes cuantitativos, porque algunos rubros, como el de riesgo residual, es imprescindible cuantificarlos, y no todo modelo cumple este objetivo. Así que lo recomendable es utilizar los que sí apoyan en este sentido como el NIST (National Institute of Standards and Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), ISO27005, etc. Claro que la experiencia dicta que es necesario adaptar a cada organización el modelo de administración de riesgos que más le
convenga, de acuerdo a su tipo de industria y a su tolerancia al riesgo. Sistema de Gestión del GSI. El gobierno de seguridad deberá contar con un sistema de gestión muy sencillo, quizá basado en aspectos, como: definir-> controlar-> medir - > mejorar. Es decir, deberá basar su estructura en un modelo como el de Deming (Ciclo de Deming), en el cual está basado todo sistema de mejora continua. Para la fase de definición o planeación habrá que desarrollar el alcance, políticas y normas relevantes y ejecutar el proceso de análisis de riesgo, entre otras cosas. En la de controlar se deberá hacer la implementación de los controles que mitigan los riesgos en materia de seguridad, basándose en un plan de tratamiento de riesgos. Mientras que en la fase de medir o verificar se revisa la implementación del GSI y se documentan los hallazgos que estén fuera de lo establecido. En tanto que en la de mejorar o actuar se cierran los hallazgos de la anterior, con base a los planes de acción definidos y ejecutados. Todo lo anterior es una definición de un sistema de gestión de seguridad de información a 60,000 pies de altura. El ISO27001 contiene todo el detalle necesario para poder utilizar una guía confiable sobre cómo construir este sistema.
CONCLUSIÓN: Avanzar en implementar un GSI vale la pena si se considera que hoy día toda organización con vocación de alta competitividad deberá demostrar con firme determinación que la seguridad de la información es parte de su DNA. Además implementar un GSI es brindar más valor a la organización. Pero no se debe olvidar que el adecuado manejo de los riesgos es una característica distintiva de este esquema, ni que la mejor y más efectiva forma de alinear la seguridad de información al negocio es basar las decisiones del mismo en los riesgos y en su administración efectiva. ● Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste. Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el certificado ISO27001. Su mail: rmoralesg@alestra.com.mx.
Septiembre, 2009 B:SECURE 23
SINNÚMERO AY NANITA
El crimen, robo, usurpo y delincuencia han sido fenómenos prevalentes a través de los siglos y en todas las sociedades del mundo. Pero la tecnología, el Internet y la llamada era de la información han abierto nuevas puertas y caminos para que los delincuentes alcancen a sus víctimas, mediante ataques más certeros, efectivos, pero sobre todo mucho más anónimos. En el SIN NÚMERO de septiembre abordamos el tema de los fraudes financieros y electrónicos, y la falta de cifras o números en México sobre este tipo de ilícitos debido a la falta de legislación u opacidad por parte de los bancos o instituciones comerciales.
UÊ £ääÊ iÃÊde dólares al año le cuestan a los bancos en México los fraudes con tarjetas de crédito y débito
UÊ ÓÊ ÕÌ Ã bastan para clonar una tarjeta de crédito
UÊ ä¯ de los delitos con computadora fueron ejecutados por empleados de la propia empresa
UÊ Ç¯ de las más de 150 mil quejas por cargos indebidos a tarjetas bancarias que recibe la Condusef al año son por fraudes en internet
UÊ x]äääÊ Ê ià de pesos se pierden al año por delitos relacionados al robo de identidades
24 B:SECURE Septiembre, 2009