noviembre 2010 · 67 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
INFORME ANUAL DE PRESUPUESTOS DE SEGURIDAD
$80.00 M.N.
¿HUELE A LEY DE PROTECCIÓN DE DATOS PERSONALES? Al menos en México, el 2011 será un año para gastar en ciberseguridad. De acuerdo al Informe de Presupuestos anuales IT el gasto promedio en el rubro se elevará 30%. ¿Tendrá algo que ver la nueva ley de Protección de datos?
NOV 2010
ACCESO
LOS CÓDIGOS MALICIOSOS VAN A LA ESCUELITA Durante 2010 el sector educativo acaparó 44% del porcentaje de infección, esto es casi 30 veces más rango que el segundo lugar del listado, el sector gubernamental
ACCESO
USB Y BOTNETS: LOS CAPOS DI TUTTI CAPI DEL CIBERCRIMEN
Si los riesgos del mundo web fueran miembros de la famosa mafia italiana de los sesenta La Cosa Nostra, las botnets y los USB infectados serían sus principales jefes.
B:SECURE FOR BUSINESS PEOPLE
¿POR QUÉ LAS ORGANIZACIONES DEBEN TENER UNA ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN? Pensar en Continuidad de Negocios es pensar más allá de tecnología y riesgos, se trata de edificar una nueva forma de operar.
ÁREA RESTRINGIDA
SECUESTRO DE SESIONES WEB
Las redes sociales han sido víctimas de diferentes ataques desde su creación. La suplantación de identidades es uno de las más comunes, ¿pero técnicamente cómo sucede?
ALWAYS MIND THE INFORMATION SECURITY GAP
08 ¿HUELE A LEY DE PROTECCIÓN DE DATOS PERSONALES? Al menos en México, el 2011 será un año para gastar en ciberseguridad. De acuerdo al Informe de Presupuestos anuales IT el gasto promedio en el rubro se elevará 30%. ¿Tendrá algo que ver la nueva ley de Protección de datos?
04 LOGIN
29 SINNÚMERO
DATACENTER SWEET DATACENTER…
En la era digital los centros de datos son como los pulmones o incluso corazón de nuestro negocio ¿Sabemos qué es lo que sucede en esos lugares?
SEGURO QUE LO QUIERES
UNA MAC QUE LE DARÁ AIRE… A TU CARTERA No es netbook, no es tablet y no es laptop. La verdad sólo Steve Jobs sabe qué es la nueva MacBook Air. ¿Que dice tu Apple fanatismo o haterismo?
Noviembre, 2010 B:SECURE 1
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Carlos Fernández de Lara DIRECTOR EDITORIAL
DIRECTOR IT DESPEDIDO PLANEÓ HACKEO COMO VENGANZA El director IT de la firma de venta de equipos de telecomunicación Transmarx fue sentenciado por una corte del Distrito Este de Virginia, en Estados Unidos, a cumplir una condena de 27 meses en prisión además de una multa de $6,700 dólares por reparación de daños, dio a conocer el Departamento de Justicia. Darnell H. Albert-El de 53 años reconoció haber ingresado con sus accesos al sitio web de Transmarx y haber eliminado cerca de 1,000 archivos. Como defensa declaró que dicha acción había sido llevada a cabo en un momento de ira, ya que había sido despedido por la compañía un mes atrás. Durante su estancia en la empresa Albert-El fue el administrador de la red de Transmarx, lo cual incluye el sitio web de la empresa alojado en Suawanee, Georgia. El ejecutivo fue destituido de su cargo en junio del 2008. Tras el ataque, la compañía anunció que la gran mayoría de los documentos estaban respaldados por lo que los daños fueron mínimos y sólo tuvo pérdidas por $6,000 dólares. El FBI fue el encargado de la investigación contra Albert-El.
Elba de Morán DIRECTORA COMERCIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
DISCUTEN PROHIBIR VENTA DE VIDEOJUEGOS VIOLENTOS A MENORES DE EDAD Jueces del Tribunal Supremo de Estados Unidos escucharon las razones de autoridades del Estado de California que buscan prohibir la venta de videojuegos violentos a menores de 18 años. Autoridades de ese Estado argumentan que buscan evitar que los menores de 18 años tengan la opción de “matar, mutilar, desmembrar o atacar sexualmente la imagen de un ser humano” en un videojuego. Por su parte organizaciones que están en contra de la legislación señalan que dicha ley representa una violación a los derechos constitucionales de los menores, específicamente la Primera Enmienda, la cual habla sobre la libertad de expresión. El juez Antonin Scalia declaró que en caso de que dicha ley fuera aplicada, la libertad expresión se vería amenazada ya que esta clase de prohibiciones no tendrían límite. Por otro lado el juez Stepehn G. Breyer opinó que el gobierno de los Estados Unidos tradicionalmente tiene el deber de proteger a los menores y que esta situación no es la excepción para cumplir con sus obligaciones.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
AUNQUE ME CORRAN
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
FABUOLUS BLOG
TEMA LIBRE
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
2 B:SECURE Noviembre, 2010
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez, Mario Velázquez. COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández, Mario Velazquez, Alberto Ramírez EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
LOGIN LOGIN
CONFICKER REGRESÓ ¿CON OTRO NOMBRE?
La firma de seguridad TrenMicro alertó sobre la existencia de un nuevo virus, conocido como Licat, el cual ha atacado tanto empresas como a usuarios finales por igual, y su expansión se ha dado exponencialmente en Norteamérica, Europa y Japón. Según los informes de la firma el PE_LICAT.A ha mostrado un comportamiento muy similar al DOWNADUP/Conficker, el cual ha sido catalogado por distintos analistas como uno de los virus más peligrosos que han existido en el siglo XXI. El AntiPhisisng Working Group estima que Conficker logró infectar hasta 4.6 millones de equipos en todo el mundo, además lo consideró como el gusano que ha conseguido crear la mayor red bot de equipos infectados del planeta. TrendMicro detectó que el Licat se contagia desde un archivo con código malicioso y que éste utiliza un dominio de generación de algoritmo, esta es la misma técnica que Conficker explotó. En ese entonces una de las principales características
de Conficker era su nivel de distribución masiva a través de dispositivos USB, un mecanismo de infección que contrasta con los códigos maliciosos actuales, que se distribuyen a través del web. De acuerdo con el equipo de investigación de TrendLabs, una vez que el Licat ha sido descargado en el equipo, éste inyecta su código malicioso en los archivos de su víctima, por lo que cada que estos archivos se abren el código malicioso se ejecuta. Los expertos aclaran que Licat busca archivos .EXE, .DLL y .HTML a fin de poder modificarlos y añadir rutas maliciosas sobre estos. Según Trend Micro cuando alguno de estos ficheros es abierto Licat tiene la capacidad de generar una secuencia de hasta 800 direcciones de Internet. La firma aclara que los caracteres pseudoaleatorios son generados utilizando una función basada en la fecha y hora de la computadora infectada. Tras generar la secuencia de las direcciones, el malware intentará conectarse a cada uno de estos destinos. Como consecuencia genera que se ejecuten y descarguen nuevos componentes del código maliciosos o actualizaciones de sus Centros de Comando. Una similitud más con el gusano Conficker TrendLabs ha indicado que se encuentra analizando y bloqueando los archivos maliciosos utilizados en este ataque, así como las URLs activa relacionadas con la amenaza. —Sergio López
RETIRAN DIPUTADOS INICIATIVA PARA CACERÍA DE PIRATAS EN INTERNET La Cámara de Diputados comunicó a los legisladores que fue retirada la propuesta de modificar la Ley Federal del Derecho de Autor que autorizaría a las autoridades ordenar a los proveedores de servicios de internet (ISP, por sus siglas en inglés) el corte del servicio a quienes se les compruebe que descargó contenidos protegidos por dicha norma. La propuesta del diputado federal Armando Báez Pinal pretendía adicionar el Título VIII Bis, el artículo 231 Bis y modificar la fracción I del artículo 232, con lo cual se imitaría el modelo de persecución al delito de la piratería prevaleciente en Francia, también conocido como de los “tres strikes”. El modelo de los “tres strikes” establece que el servicio de internet será suspendido por su proveedor luego de que se haya comprobado que descargó de internet y compartió música, video, software o cualquier contenido protegido por la ley de derecho de autor, esto, luego de tres avisos. No obstante, la versión mexicana contemplaba que el ISP identificara al usuario infractor y que se le informara de las consecuencias legales de sus actos luego de dos avisos. La iniciativa buscaba que los ISP fueras corresponsables para evitar que los derechos de autor fueran violados en internet, así como la obligación de bloquear los sitios que facilitaran la presunta infracción e implementar medidas tecnológicas para la detección de casos de reincidencia. 4 B:SECURE Noviembre, 2010
Sin embargo, la propuesta padecía del mismo hueco legal que la del modelo francés, que consiste en la posibilidad de que la responsable sea otra persona distinta a quien contrató la línea telefónica que hace posible la conexión a internet. Otra propuesta de reforma a la Ley Federal de Derecho de Autor pero de los artículos 40, 148 Fracion IV, 232 fracción I, presentada también por Báez Pinal, aún continúa en proceso de ser aprobada por el pleno de la Cámara de Diputados. De ser aprobada la iniciativa, conocida como “Licencia para la copia privada”, se aplicaría un impuesto fijo de 8% a todos los productos, aparatos o soportes que permitan el almacenamiento, recolección y reproducción de contenidos digitales que estén protegidos por derecho de autor. Algunos de los dispositivos que quedarían grabados por el impuesto serían CD, DVD, memorias flash (USB), discos duros (internos y externos), reproductores multimedia, computadoras, teléfonos celulares y agendas digitales, entre otros. —Efraín Ocampo
CÓMPUTO EN LA NUBE, AL BANQUILLO DE LAS PREGUNTAS La penetración que ha tenido el cloud computing en México, según un estudio realizado por Gartner, reveló que fue de 18% de las empresas mexicanas optaron por este servicio en 2009 y se espera que para 2012 será de 50%, pero la seguridad será una de las preocupaciones a resolver, según información de RSA. Alejandro Soulé, ingeniero de sistemas para América Latina por parte de RSA, aseguró que para 2012 los servicios de cloud computing serán 60% menos seguros de lo que actualmente pueden ser los centros de datos. Ante estas cifras el ejecutivo informó que RSA se encuentra trabajando junto con Cisco, VMware y EMC para desarrollar soluciones que sean capaces de revertir tal pronóstico. Soulé aclaró que la inseguridad de los servicios en la nube ha incrementado e incrementará no porque las soluciones sean ineficientes sino porque las empresas muestran falta de interés al momento de adquirirlas. “La situación de la seguridad virtual en México es extraña pues en el mundo la principal preocupación al implementar servicios de Cloud Computting es la se-
guridad, 51% de ejecutivos contemplan las opciones que tienen para su empresa antes de migrar a la nube”, declaró Soulé. Cifras presentadas por el ejecutivo también demostraron que sólo 24% de las corporaciones están interesadas en adquirir seguridad virtual, mientras que 22% decide protegerse después de haber sufrido un ataque y 11% piensa que no sirven. Soulé indicó que las principales barreras que han enfrentado al ofrecer servicios de seguridad a las empresas han sido los bajos presupuestos, la mala percepción que se tiene de estos servicios y el mantenimiento. Por otro lado destaca que la compañía ha comenzado a evangelizar sobre los beneficios que representa la adquisición de la seguridad virtual. El ejecutivo dijo que RSA se encuentra trabajando en el desarrollo de soluciones específicas para PyME, las cuales representan 95% de las empresas del país. “Cuando las PyME sepan que estas opciones no son tan costas como éstas creen, cambiará su decisión sobre la compra de seguridad. Además ésta les representa ahorros en pérdidas de información sensible”, dijo.
GOOGLE ALEGA QUE GOBIERNO DE EU FAVORECE A MICROSOFT Google demandó al Departamento del Interior del gobierno de Estados Unidos acusándolo de favorecer a Microsoft en una licitación pública para proveer un nuevo sistema de correo electrónico. El principal alegato consiste en que entre los requisitos del contrato se exige que los productos que se ofrezcan sean compatibles con Microsoft Business Productivity Online Suite, según informó el Wall Street Journal. La compañía indica que este criterio excluye los servicios de Google Apps, argumentando que cuando el gobierno solicita un producto compatible con los de Microsoft, sus servicios se ven imposibilitados para competir. La importancia de dicha licitación reside en que el
ganador será el encargado de suministrar una solución de correo electrónico y una plataforma de colaboración para reemplazar 13 sistemas actualmente utilizados por su personal que consta de 88,000 empleados. El contrato tiene un valor de $59 millones de dólares y una vigencia de cinco años. Google ha instado al Departamento a reconsiderar su posición e insistió en que sus servicios ofrecen un ahorro millonario además de ser superiores a los de Microsoft. Por su parte el Departamento señala que eligió la plataforma de software de Microsoft pues tras evaluaciones de riesgos era la única que cumplía con los requerimientos de seguridad, las cuales Google Apps no ofrecía las mismas medidas. A dicho argumento Google ha respondido que sus aplicaciones y servicios han sido adoptados por otras instancias públicas y académicas, como los Laboratorios Nacionales de Energía de Lawrence Berkeley, dond opera 5,000 cuentas de correo electrónico, así como a 10 agencias federales han comenzado a probar las aplicaciones de la compañía.
BREVES Adobe liberó una actualización de seguridad de su reproductor Flash para parchar más de 18 vulnerabilidades en el programa. Algunos de los errores hacian que la aplicación se impactara o permitiera el control remoto del sistema. La atualización afectaa todas las versiones para sistemas operativos Windows, Macintosh, Linux y Solaris. A mediados de noviembre la firma liberrá una nueva versión de seguridad para el software Reader y Acrobat. AppRiver advirtió sobre una nueva serie de ataques de phishing dirigidos a miembros de de entidades miltares en Estados Unidos y servicios financieros de la milcia. Los ataques tienen por objeto robar cuentas de acceso para generar fraudes financieros. De acuerdo con la firma de seguridad los delincuentes replicaron el logotipo e imagen del ejercito estadunidense en los correos falsos y utilizaron más de 1,500 dominios para el ataque. Kaspersky publicó en su sitio de noticias de seguridad ThreatPost que Microsoft liberará una actualización para parchar una falla de seguridad detectada en diversas versiones de Microsoft Office. Según la información del sitio la vulnerabilidad permitiría a los atacantes ejecutar código malicioso en equipos vulnerables. Se espera que esta actualización cubra el error en vesiones como Office 2007 Service Pack 2 y la más reciente Office 2010 con parches para 32 y 64 bits.
Noviembre, 2010 B:SECURE 5
ACCESO
Gusanos como Stuxnet son el ejemplo perfecto de que para los cibercriminales existe algo más que el robo de información sensible o dinero. Como en todo, también en este mundo hay interés político que motivan
LA INFORMACIÓN NO NOS BASTA: CIBERCRIMINALES
S
tuxnet pudo no haber sido el primero de su clase, pero el gusano, que infectó y tomó control de infraestructuras de sistemas en países de todo el mundo, dejó claro que el dinero y el robo de información no es el único motivo detrás de los ciberataques. Hoy, esta teoría se sostiene en la última encuesta de la firma de seguridad Symantec, Symantec 2010 Critical Infrastructure Protection Study Global Results, un análisis que revela que 53% de los responsables de seguridad afirman que su compañía ha sufrido ciberataques “políticamente motivados”. El análisis toma en cuenta la respuesta de más de 1,580 empresas de 15 países, entre ellos México. “La amenaza de sufrir ataques cibernéticos con un objetivo político en mente es real. Las empresas están comenzando a ser blanco de este tipo de ataques, las cuales son cada vez más frecuentes y tienen un impacto económico mayor para la organización”, citan los autores del reporte. Según los expertos de la compañía, Stuxnet es el ejemplo perfecto de este tipo de amenazas, pues fue concebido como un código malicioso con el único objetivo de espiar y reprogramar los sistemas de una compañía Lo alarmante de la encuesta es que si bien 53% afirman haber sufrido ataques de este tipo, 48% creen que sufrirán uno de estos ciberataques durante los próximos años. Y el reto de contención es alto, pues de las empresas atacadas 10% enfrentaron un promedio de 10 ataques durante los últimos cinco años. Según los datos revelados por Symantec, los ciberataques políticamente motivados no tienen el objetivo de robar dinero o información sensible de la empresa para generar una ganancia económica, su intención es la de manipular equipos, deshabilitar servicios o obtener información para otro tipo de ataques. Ya anteriormente firmas como McAfee han publicado reportes que 6
B:SECURE Noviembre, 2010
colocan este tipo de ataques como uno de los principales componentes de una ciberguerra. De modo que un país podría deshabilitar, a través de códigos maliciosos, servicios como la luz, internet, bancos o telefonía móvil. Al tiempo que también podría tomar control incluso de instalaciones militares del enemigo. Según los datos de Symantec entre el 59 y 61% de todos los ataques de este tipo fueron “extremadamente efectivos”, lo que limita mucho el nivel y modos de protección para las organizaciones. Hasta ahora, por lo avanzado y conectado de su infraestructura como nación, 74% de los ataques iban dirigidos a compañías en América del Norte. Según los encuestados el costo promedio de cada uno de estos ciberataques es de $850,000 dólares. Diversos expertos de seguridad han aplaudido que la encuesta revela una disposición de las organizaciones de todo el mundo para colaborar con los entes o autoridades de gobierno. De hecho 90% de los entrevistados aseguraron que ya trabajan en conjunto con el gobierno para proteger las infraestructuras más críticas. A pesar de la disposición y colaboración, los expertos de Symantec señalan que todavía queda una gran brecha por cerrar, pues únicamente 1 de cada 3 empresas se siente preparadas para combatir este tipo de ciberataques. Según la firma de seguridad existen varios aspectos que toda empresa debe de considerar para comenzar a avanzar en el tema: UÊ iÃ>ÀÀ ÊÞÊÀivÕiÀâ Ê`iÊ >ÃÊ« Ì V>ÃÊ`iÊ /°Ê UÊ *À ÌiVV Ê`iÊ >Ê v À >V °Ê UÊ > i Ê`iÊ `i Ì `>`iÃÊÞÊ>ÕÌi Ì V>V Ê`iÊ >ÃÊ Ã >Ã°Ê UÊ ` ÃÌÀ>V Ê`iÊÌ ` ÃÊ ÃÊà ÃÌi >ÃÊ Û iÃÊÞÊv Ã]ÊÛ ÀÌÕ> iÃÊ Ê ° UÊ *À ÌiVV Êi Ê >Ê vÀ>iÃÌÀÕVÌÕÀ>°Ê UÊ 6 >L `>`ÊÓ{ÝÇ° UÊ iÃ>ÀÀ Ê`iÊÕ >ÊiÃÌÀ>Ìi} >Ê`iÊ>` ÃÌÀ>V Ê`iÊ ÃÊ`>Ì Ã°ÊÊ●
ACCESO LOS CÓDIGOS MALICIOSOS VAN A LA ESCUELITA Casi la mitad de los ataques de malware y códigos maliciosos, durante los primeros seis meses del 2010 afectaron al sector educativo. Casi 30 veces más rango de infección que el segundo lugar del listado, el sector gubernamental
N
o cabe duda que si los alumnos no aprovechan sus estudios, los cibercriminales están dispuestos a sacarles mucho provecho. Al menos así deja ver el nuevo reporte de los laboratorios de seguridad de Trend Micro, que asegura que 44% de todos los códigos maliciosos de la primera mitad del 2010 afectaron al sector educativo. El análisis titulado Trend Micro TrendLabs Global Threat Trends 1H 2010 afirma que el número de ataques dirigidos a escuelas o recintos universitarios son reflejo del uso de programas viejos o software desactualizado entre los alumnos. “El sector educativo le tocó la peor parte de la primera mitad del año, pues alcanzó un rango de infección de 44%. Esto, podría ser reflejo del amplio número de estudiantes que utilizan programas o aplicaciones viejas o desactualizadas, combinado con el intenso uso de internet que tienen los alumnos y jóvenes sobre internet”, cita el reporte. Justo después del sector educativo, las industrias más infectadas por malware, entre enero y julio de este año, fueron Gobierno (10%), Tecnología (10%) y manufactura (6%). El resto de las industrias alcanzaron niveles entre 3 y 1%. La situación contra la masificación del malware no disminuye. De acuerdo a los expertos de Trend Micro cada 1.5 segundos se registra una nueva amenaza, es decir más de 250,000 códigos maliciosos nuevos al día. “A pesar de los 250,000 nuevos registros de malware diarios, diversos análisis demuestran que el número de códigos maliciosos únicos
podría ascender hasta 600,000 muestras nuevas cada 24 horas”, afirman los autores del reporte. Dado que la información personal y sensible es el plato más suculento para los cibercriminales, no es de extrañar que los troyanos representaran 60% de todo el malware del mundo y 53% de las detecciones registradas por el laboratorio de Trend Micro. El spyware y los troyanos de puerta trasera (backdoor) terminaron en segundo y tercer lugar, respectivamente. “No sorprende que los códigos maliciosos, asociados al robo de información y al cibercrimen sean lo más comunes”.
MY DEAR SPAM Si no recibes spam en tu correo es porque no tienes uno, pues las cifras de Trend Micro estiman que el promedio diario de correos basura entre enero y julio de 2010 osciló entre los 2.5 y los 3,000 millones. El crecimiento del spam, en los últimos años, ha estado asociado al expansivo número de botnets y PC zombis registradas en todo el mundo. Según los expertos, una PC que forma parte de una red bot es capaz de mandar hasta 2.5 millones de correos basura al día, sin que su dueño lo note. De todo el spam 95% estaba escrito en inglés, seguido del español y el chino. El contenido más común de estos mensajes fueron las ofertas acciones y comercio (28%), los fraudes, como el nigeriano (22%) y las ofertas de medicinas y salud (15%). ● Noviembre, 2010 B:SECURE
7
I N F O R M E
A N U A L
D E
P R E S
多HUELE A LEY DE
DATOS
8 B:SECURE
Noviembre, 2010
U P U E S T O S
D E
S E G U R I D A D
PROTECCIÓN DE
PERSONALES? EL 2011 SERÁ UN AÑO PARA GASTAR EN SEGURIDAD, AL MENOS EN MÉXICO. DE ACUERDO AL INFORME DE PRESUPUESTOS ANUALES DE SEGURIDAD IT, UNA TERCERA PARTE DE LAS EMPRESAS INCREMENTARÁN SU INVERSIÓN EN EL RUBRO Y EL GASTO PROMEDIO SE ELEVARÁ 30%. ¿TENDRÁ ALGO QUE VER LA LLAMADA LEY DE PROTECCIÓN DE DATOS PERSONALES? Por Carlos Fernández de Lara carlos@netmedia.info
D
icen que la forma más fácil de hacer las cosas es por obligación, cuando no tenemos otra opción ni posibilidad de aplazamiento. Así, aunque aún es difícil determinar la inferencia que la Ley de Protección de datos personales tiene sobre los programas de seguridad IT de las empresas en México, en 2011 el gasto para este sector se incrementará 30%, con respecto al de 2010. ¿Prevenidos u obligados? Podría ser la primera lectura que uno tomaría del Informe de Presupuestos de seguridad IT 2011, realizado por Netmedia Research con el apoyo de la firma de consultoría Select, y que tomó en consideración las respuestas de más de 124 CIOs y CISOs de firmas con un presupuesto anual de IT entre los $50,000 y los $50 millones de dólares. Por un lado los nubarrones de la crisis económica están totalmente atrás, pues en general 61% de los entrevistados aseguraron que el presupuesto general de IT será mayor durante 2011, contra 30% que lo mantendrán igual y únicamente 18% se verán en la necesidad de reducirlo. Situación que también se refleja en los presupuestos que se asignarán para seguridad IT en 2011. De acuerdo con el reporte 36% de las empresas incrementarán su inversión en este sector, cerca 50% la mantendrán en los mismos niveles y 3% reducirán su presupuesto de ciberseguridad.
Cifras que contrastan con las del Informe de Netmedia de hace un año, cuando más del 26% de los entrevistados confesaron que reducirían su presupuesto anual para Seguridad IT y sólo 25% lo incrementarían. Para Vic Wheatman, director de investigación de Gartner. el
CANDENTE SEGURIDAD Con respecto a 2010, su presupuesto dedicado a seguridad IT para 2011 es: No contamos con un presupuesto específico para seguridad IT 11% Menor
Mayor
Igual
50%
3%
36%
Fuente: Encuesta realizada por Netmedia Research a 124 profesionales IT de empresas medianas a grandes en México. Septiembre de 2010
Noviembre, 2010 B:SECURE 9
EL COLOR QUE MÁS IMPORTA: EL VERDE
laciones y cumplimientos nunca desaparecerán, las empresas que ya han puesto en marcha programas de protección de información y continuidad de forma eficaz, podrán reducir su gasto en ciberseguridad para 2011 entre el 3 y 6% sin problema alguno”, dice el analista.
¿Cuál será su presupuesto IT para el siguiente año? Más de 50 millones
4.5% 4.5%
10 millones - 25 millones 5 millones - 10 millones
6%
Menos de 50,000
14%
50,000 - 100,000 1 millón - 5 millones
21%
18%
SÍ PERO NO
Y si bien en el resto del mundo las empresas que ya operan bajo modelos de Administración de Riesgos o Continuidad de Negocio podrán recortar su inversión en seguridad IT. En México la realidad de los CIOs y los 100,000 - 500,000 23% 500,000 - 1 millón 9% CISOs es otra. De acuerdo con los datos de la encuesta Nota: Cantidades en dólares. Se incluye hardware, software, servicios de consultoría y gastos internos de Netmedia para 2011 en promedio $9.7 Fuente: Encuesta realizada por Netmedia Research a 124 profesionales IT de empresas medianas a grandes en México. Septiembre de 2010 dólares de cada $100 serán destinados a dicho departamento, contra los $7.2 dólares incremento en los presupuestos de seguridad de México con- que asignaron en promedio como gasto de seguridad en 2010. De estos, $5.6 dólares se asignarán al desarrollo de nuevos trasta con los del resto del mundo, donde la inversión en esta área contrario a incrementarse han comenzado a estancarse o in- proyectos y $4.7 dólares se entregarán al mantenimiento de software, hardware o servicios previamente puestos en marcha. cluso reducirse. ¿Los motivos detrás del gasto? Según la encuesta, la preven“En 2009 mientras la inversión general de IT se reducía, como consecuencia de la crisis económica, la inversión en cibersegu- ción es la principal razón para gastar en ciberseguridad, seguida ridad creció ligeramente, con respecto al resto de las áreas. Sin de las Políticas internas, las regulaciones nacionales e internaembargo, para 2010 y 2011 los escenarios macroeconómicos cionales y en último lugar como respuesta a un incidente o riesmás estables impulsaron a que las empresas inviertan más en go ya acontecido. Aunque no es posible determinar si la recién aprobada Ley de otros sectores de tecnología”, dice Wheatman en entrevista. Según los análisis de la consultora internacional en 2010, y protección de datos personales en México tiene algo que ver con muy seguro durante 2011, la inversión en seguridad represen- los motivos detrás del desembolso de dinero, los números perte alrededor del 5% del total del presupuesto de IT, contra 6% miten especular al respecto. En 2010, los respondientes colocaron el tema de regulaciones que abarcó en 2009. “Aunque los riesgos, amenazas o problemas en torno a regu- nacionales e internacionales con un rango de 15 puntos porcentuales como factor decisivo. Menos de 12 meses después este rubro alcanzó un nivel A MÍ NADIE ME OBLIGÓ, PERO POR SI ACASO de 35%, es decir un incremento de 133%. Su inversión en sistemas, programas o consultoría en seguridad fueron reflejo de… El experto de Gartner reconoce que es muy complejo determinar cantidades y motivos detrás de la inversión en seguridad IT, Cambios en las políticas internas 56 sobre todo cuando los porcentajes de gasto varían dependiendo del país y sector de Regulaciones nacionales o internacionales 42 operaciones. En respuesta a un incidente 16 “Hay países con niveles muy elevados de seguridad y protección de datos persoComo acción preventiva 88 nales como los Europeos o Asiáticos. Pero también el presupuesto puede variar dependiendo de la vertical. Sectores como el de Fuente: Encuesta realizada por Netmedia Research a 124 profesionales IT de empresas medianas a grandes en México. Septiembre de 2010. Servicios, Gobierno y Banca invierten en-
10 B:SECURE
Noviembre, 2010
A PRIORI ¿Qué aspectos buscará cubrir con mayor urgencia en el área de seguridad? Seguridad de información y control de eventos
41
Protección y seguridad del correo electrónico
29
tre 5 y 7% de su presupuesto IT en este rubro. Mientras que otros, como manufactura o retail lo pueden tener abajo del 3%”, dice Wheatman ¿PARA QUÉ UN CISO?
Número de respuestas
Aunque el gasto en seguridad IT se incrementará para 2011 la realidad para los CISO Seguridad en la infraestructura Web (Secure Web Gateway Appliance) 26 no sufrirá grandes modificaciones. Es decir, pocas serán las empresas que piensan en deSoluciones de Web Access Management (WAM) 11 sarrollar esta función o posición dentro de su negocio. Plataformas de protección de punto a punto (EPP) 12 De acuerdo al Informe de Presupuestos de seguridad IT, 42% de las compañías cuenGasto en campañas o cursos de educación y concientización 15 tan con la posición de CISO o Responsable de Seguridad IT dentro de su organigrama, Fuente: Encuesta realizada por Netmedia Research a 124 profesionales IT de empresas medianas a grandes en México. contra 59% de las organizaciones en donde Septiembre de 2010. este tipo de temas son responsabilidad del CIO o de los departamentos legales. El experto de Gartner afirma que si bien durante 2011 muLOS CISOS UNIDOS JAMÁS SERÁN… chas empresas reducirán sus presupuestos para seguridad IT, te¿Su empresa cuenta con un encargado en seguridad (CISO)? mas como el administración de identidades y programas de Data Loss Prevention se volverán críticos para las organizaciones. Así, a medida que la información es más ubicua y accesible Sí 41% desde cualquier lugar y dispositivo, explica el experto, temas como el manejo de identidades y la fuga o robo de información se colocan como prioridades de inversión, impulsados en muchos casos por la alta dirección. “Sin importar la industria o país, urgimos a todas las empresas a evaluar detenidamente los criterios para asignar los presuNo 59% puestos anuales, sobre todo en el caso de seguridad, pues siendo el tema tan amplio podríamos estar pasando por alto varios factores de riesgo” afirma Wheatman. Y a usted ¿también le huele Fuente: Encuesta realizada por Netmedia Research a 124 profesionales IT de empresas medianas a grandes en México. Septiembre de 2010 a ley de protección de datos personales? ●
TODO MENOS ESTO POR FAVOR Ataques externos
80
Falta de regulación interna y educación a los usuarios
60
Robo de información
70
Ausencia de sistemas de respaldo o recuperación ante desastres
60
No cumplir cabalmente con las regulaciones o estándares requeridos dado su complejidad o inversión necesaria
40
Número de respuestas
¿Cuáles son sus mayores preocupaciones en cuanto a seguridad se refiere para 2011?
Fuente: Encuesta realizada por Netmedia Research a 124 profesionales IT de empresas medianas a grandes en México. Septiembre de 2010.
Noviembre, 2010 B:SECURE 11
ACCESO
USB Y BOTNETS: LOS CAPOS DI TUTTI CAPI DEL CIBERCRIMEN Si los riesgos del mundo web fueran miembros de la famosa mafia italiana de los sesenta La Cosa Nostra las botnets y los USB infectados serían sus principales jefes
L
as amenazas que viven dentro de los dispositivos extraibles de almacenamiento, por ejemplo un USB, fueron las más activas y dañinas durante el tercer trimestre de 2010, según un reporte realizado por la firma de seguridad BitDefender. El malware que se aloja dentro de los USB aprovecha la función Autorun de Windows para instalarse y propagarse en el equipo al cual fue conectado. Autorun es una característica del sistema operativo que permite ejecutar el software de los USB para ver y abrir su contenido. Según el reporte el troyano, como su nomenclatura lo indica, Trojan. AutounINF.Gen. fue la más activa en este lapso y responsable del 11% de las infecciones registradas por la firma de seguridad. El troyano permite el acceso de intrusos a las carpetas de la PC o controlar el equipo como parte de una red de zombis o botnet. “Este ejemplar de malware ha estado entre las amenazas más “populares” mes tras mes, ya que se propaga fácilmente a través de dispositivos extraíbles y carpetas compartidas en sistemas Windows”, comunicó Bitdefender. En el segundo sitio se colocó Win32.Worm.Downadup.Gen, el cual utiliza el mismo procedimiento para infectar la PC. Esta amenaza es responsable del 6% del los equipos infectados durante el periodo mencionado. Luego de que el gusano aprovecha la función Autorun, también aprovecha las vulnerabilidades del software de la PC para ejecutar otros ataques. En la tercera posición se encuentra Exploit.PDF-JS.Gen, que modifica los archivos PDF y aprovecha las vulnerabilidades que presenta el motor Javascript. Este tipo de amenazas permiten la infección desde una ubicación remota, especifica Bit Defender. La firma destaca la aparición de Trojan.Generic.4170878, troyano que permite que los ciberdelincuentes tengan acceso al sistema infectado. Esta amenaza es responsable de facilitar los robos de datos e información. Según el reporte es responsable de 3.13% de la infección de computadoras. En el último sitio, con 3%, se encuentra Trojan.Wimad.Gen.1, el cual se encuentra oculto en archivos descargados de sitios de Torrents. 12
B:SECURE Noviembre, 2010
El troyano entra en acción cuando el usuario accede a un enlace para descargar un video. Dicho enlace redirecciona al usuario a un URL malicioso, donde descarga malware sin que se percate de ello. El malware es camuflado para hacerse pasar como un códec para reproducir un archivo de video.
ZEUS ENCUENTRA A SU HÉRCULES Tras la alerta emitida este miércoles por la firma de seguridad TrendMicro cuando informó sobre la detección de un nuevo virus, LICAT, un nuevo reporte dio a conocer que este virus tiene como función allanar el camino para reclutar la PC infectada en la botnet ZeuS. Tras un estudio denominado “Archivo original de infección”, la empresa descubrió que el virus Licat prepara los sistemas infectados para que, cuando la botnet ZeuS intente infectarlos pueda pasar desapercibida. TrendMicro informó que Licat funciona como una auto-actualización para ocultar y propagar ZeuS, virus utilizado para robar información y datos en banca online en un esquema de botnet. Esto es preocupante ya que la relación con ZeuS se combina con la técnica de generar dominios aleatorios y archivos envenedados, por lo cual es más complicado eliminarlo del sistema y permite que ZeuS permanezca más tiempo en el equipo, indica el blog de Trend Micro. Según la firma de seguridad Damballa, ZeuS infectó cerca de 3.6 millones de equipos en Estados Unidos en sólo un mes. La firma comparó al Licat con Conficker ya que ambos trabajan de la misma manera. Conficker ha sido catalogado por distintos analistas como uno de los virus más peligrosos que han existido en el siglo XXI. Trend Micro también dio a conocer que Estados Unidos registra 15,000 casos, seguido por Noruega e Italia con 9,000 y 2,100, respectivamente. Según la compañía de seguridad, a dos días de haber descubierto el virus ha evitado la infección de 40,000 equipos. ●
ACCESO FRENA SENADO AL EJECUTIVO PARA NEGOCIAR ACTA
E
l Senado de la República aprobó un punto de acuerdo para exhortar al Ejecutivo Federal a que se retire de las negociaciones del Acuerdo Comercial Antifalsificaciones (ACTA, por sus siglas en inglés). El punto de acuerdo fue presentado y apoyado por los senadores Carlos Sotelo, Yeidckol Polevnsky, Javier Castellón Fonseca y Federico Döring, quienes argumentaron que es necesario que los términos del Acuerdo sean abiertos y que se debe generar una consulta social amplia debido a que las circunstancias de las negociaciones de ACTA han sido opacas y con intenciones de invadir la privacidad de los usuarios de internet. “Las negociaciones del ACTA se celebran con una gran opacidad por los países negociantes, sin embargo, como ha trascendido en internet, disposiciones del proyecto pueden ser contrarios a garantías de derecho a la intimidad y a la libertad de expresión”, argumentó el senador Sotelo, del PRD. El legislador de la Cámara Alta dijo que al negociar ACTA en dichas circunstancias está en riesgo de que los países que suscriban el Acuerdo puedan posibilitar el monitorear los archivos, el intercambio de archivos o los contenidos que los usuarios de internet acceden al navegar por la red, así como el uso que de ellos hacen. Además, criticó que se pretenda obligar a los proveedores de servicios de internet (ISP) a proporcionar información de los presuntos infractores de derecho de autor sin orden judicial de por medio. Por su parte el senador Federico Döring consideró que internet no puede ser una plataforma adicional de comercialización pues, dijo, es una plataforma universal que le pertenece a los ciudadanos y que no puede estar restringido únicamente a los mexicanos que tengan la posibilidad de pagar por accesar y por descargar esa información. Hacer eso, advirtió, con el pretexto de los derechos de propiedad inte-
Con el exhorto de la Cámara Alta se pretende que el gobierno suspenda las negociaciones e incluir a la discusión a funcionarios, académicos, expertos e interesados
Por Efraín Ocampo lectual, sería atentar contra la plataforma universal de información y de comunicación. “Nuestro voto no es para impedir que el gobierno haga esfuerzos para la lucha contra la piratería, nuestro voto es a favor de que haya un espacio para hacer política; nuestro voto es a favor de que podamos conocer un texto que nadie conoce, y que todas las voces que se han levantado en contra de los distintos textos puedan tener un espacio con transparencia para saber con toda claridad qué es lo que en su momento estaría firmando el gobierno mexicano, y en función de eso, que el gobierno escuche a los senadoras y senadores, y escuche a los ciudadanos”, dijo el senador Döring. En ese tenor el senador Javier Castellón Fonseca dijo que los legisladores aspiran a tener claro el texto completo del Tratado que se está negociando, entonces el Senado realizará un análisis que concilie proteger la industria y los derechos de los ciudadanos. En su intervención, Castellón criticó el desempeño de la entidad del gobierno federal encargada de las negociaciones de ACTA, el Instituto Mexicano de la Propiedad Intelectual (IMPI), y dijo que “no estaban tomando el tema con mayor seriedad”. El punto de acuerdo contempla la conformación de lo que llamó un “grupo plural de trabajo” que dé seguimiento al proceso de negociaciones de ACTA. Dicho grupo organizaría foros y consultas públicas con funcionarios, académicos, expertos y público interesado para definir una postura incluyente y constituir una agenda de iniciativas de ley para proteger en internet la propiedad intelectual industrial y los derechos de autor, a la vez que son protegidos por la libertad de expresión y el derecho a la intimidad. El día anterior en su comparecencia ante los Diputados, el Secretario de Economía Bruno Ferrari, dijo que el miércoles se hará pública la versión definitiva de ACTA. ● Noviembre, 2010 B:SECURE
13
LA ENTREVISTA CHECK POINT Y TIPPING POINT, POR LA ADOPCIÓN DE UNA CULTURA DE SEGURIDAD EMPRESARIAL En la actualidad las cifras por robo de identidad e información alrededor del mundo son alarmantes y el éxito de una empresa puede ser determinado por la capacidad que ésta tenga para mantenerse segura ante un posible ataque Por Sergio López
U
n estudio realizado por el Instituto Ponemon reveló que las empresas atacadas con el fin de sustraer información anualmente en Estado Unidos presentan pérdidas que van desde uno hasta 53 millones de dólares En México estas cifras deberían de alertar a las empresas y debido a que 95% de las compañías mexicanas pertenecen al rango de las Pequeñas y Medianas Empresas (PyMES), según el Instituto Nacional de Estadística, Geografía e Informática (INEGI), es importante que estas no sean vulnerables pues a diferencia de las grandes corporaciones difícilmente sobre14
B:SECURE Noviembre, 2010
vivirán ante un atentado cibernético, opina Juan Manuel Luna, gerente de ventas regional HP Tipping Point En entrevista, Luna habló sobre lo complicado que ha sido para la firma de seguridad adaptarse al mercado latinoamericano. Éste indica que contrario a lo que se puede pensar su principal barrera dentro de la región no ha sido la competencia. Por otro lado, Vicente Amozurrutia, director para el área norte de Latinoamérica de Check Point, subraya que pese a tener 10 años en el mercado latinoamericano la penetración para la empresa no ha sido la esperada.
El ejecutivo de Check Point señala que la mayoría de las compañías de la región optan por la compra de un antivirus para proteger sus sistemas debido a que esta “solución” es mucho más económica que la contratación de un sistema de protección en sus redes. “La compra de un antivirus es efectiva para un hogar o una familia pero las empresas deben de tomar conciencia y saber que éste no es capaz de brindarles la protección necesaria. Hemos tenido casos de compañías que luego de haber presentado grandes pérdidas económicas por algún tipo de ataque cibernético finalmente deciden optar por la protección en su red”, declaró Amozurrutia. En México los robos cibernéticos representan 6% del total de fraudes que sufrieron las empresas mexicanas en 2009 y constituyen 3% del monto de las pérdidas económicas, de acuerdo con la Encuesta de Fraude en México 2010 de la firma de auditoría y consultoría KPMG. El reporte muestra que los fraudes cometidos a través de las redes empresariales son pocos, pero son efectivos. Por ejemplo, según la encuesta los fraudes relacionados con compras tuvieron una incidencia de 21%, pero en cuanto a daños económicos se refiere apenas representaron 5%. Frente a estas cifras Luna insiste en la importancia que tiene la protección a las redes empresariales pero éste señala que las compañías mexicanas no han tomado cartas en el asunto, ya que la empresa ha tenido que evangelizar sobre los beneficios que sus servicios ofrecen. Dicha evangelización y labor de convencimiento ha hecho lenta la penetración de la compañía en México. El representante de Check Point también asegura que la respuesta, por parte de las PyMES poco a poco ha ido mejorando, de la misma manera que Luna, declara que la evangelización que han hecho las empresas ha sido determinante en que este sector opte por la adopción de nuevas soluciones de seguridad. Por otro parte, Amozurrutia destaca que las grandes empresas consideran que la protección y la seguridad es parte integral de su crecimiento, no como las PyMES, las cuales muchas veces creen que gastar en seguridad es más un gasto que una inversión a futuro. Luna presumió que como parte del entendimiento del mercado latinoamericano Tipping Point ha lanzado en la región soluciones enfocadas a las PyMES las cuales parten de equipos que protegen anchos de banda que corran desde 20 megas hasta los 300. El ejecutivo de Tipping Point cree que su mercado crecerá tras la adquisición que HP hizo de la empresa, ya que podrán aprovechar a los clientes que tienen a nivel global. Luna presume que TippingPoint es la única empresa que se mantuvo tras la compra que HP hizo de 3Com, por $2,700 millones de dólares.
También señaló que parte de este crecimiento será “real” cuando logren que las empresas, a las cuales prestan sus servicios, aumenten sus presupuestos destinados a seguridad y IT. El ejecutivo espera que exista un repunte en los primeros seis meses del 2011. Amozurrutia concuerda, una vez más, al también creer que cuando se logren presupuestos más altos para la seguridad y las IT, es cuando se podrá hablar de una penetración en el mercado. Éste aseguró que Check Point tienen una penetración de 35% en el mercado mexicano. Luna concluyó al argumentar que según sus expectativas el crecimiento del mercado llegará en los próximos dos años cuando el área IT en México comience a madurar, además en este lapso, dijo, las compañías se darán cuenta de que tan necesaria es la protección a sus redes. También señaló que las regulaciones que han exigido los gobiernos a las empresas también son responsables del crecimiento que este mercado pueda tener, ya que tras la implementación de dichas leyes la compañía a comenzado a crecer.
REDES SOCIALES Y DISPOSITIVOS MÓVILES El “Primer Informe Anual sobre el Indice de Riesgos de las Redes Sociales para PyMES” realizado por Panda Security reveló que 77% de los empleados de Pequeñas y Medianas Empresas (PyMES) en Estados Unidos tienen acceso a redes sociales en su horario de trabajo. De los encuestados por la firma de seguridad, 33% reconoció haber infectado su equipo al sufrir un ataque desde una red social, mientras que 23% informó que fue víctima de robo de identidad. Debido al crecimiento que han tenido las redes sociales la seguridad empresarial ha tenido que volverse más estricta, además se ha visto obligada a ofrecer controles más complicados de violar, por parte de los empleados y de los ataques, dijo Amozurrutia. Amozurrutia también apuntó que estos controles se han tenido que extender a los dispositivos móviles, ya que estos se han convertido en una brecha de seguridad que los responsables del área de sistemas muchas veces no toman en cuenta De acuerdo con un reciente estudio de RSA 23% de los responsables de seguridad aseguran que sus organizaciones sufrieron un “incidente serio” provocado por el uso de un dispositivo móvil de un empleado. Y a pesar de la rampante popularidad de smartphones como Blackberry, iPhone y otras tecnologías del mercado de consumo el reporte afirma que este fenómeno aún no impacta a las compañías como se espera que ocurra. Amozurrutia concluyó la entrevista argumentando de la misma manera que Luna, quién aseguró que el crecimiento de éste negocio dependerá del interés que el gobierno muestre, ya que las regulaciones ayudan a que estas empresas expandan sus servicios. “Mientras más seguras sean las empresas mejor desempeño tendrán y mejor le irá al país”, finalizó. ● Noviembre, 2010 B:SECURE
15
LALEYYELDESORDEN 2.0 .
UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES * ÀÊJoel A. Gómez Treviño
2ª PARTE
PRINCIPIOS DE PROTECCIÓN DE DATOS PERSONALES, DERECHOS ARCO Y SU EJERCICIO
E
l número impreso pasado de la revista di una breve introducción a esta ley, publicada apenas el 5 de julio de 2010 en el Diario Oficial de la Federación. Continúo con el resumen y comentarios del contenido de la ley, buscando terminar esta labor de síntesis y análisis en una tercera y última parte. Capítulo II. De los Principios de Protección de Datos Personales. La ley está basada en principios internacionalmente reconocidos desde hace muchos años en el ámbito de la privacidad y la protección de datos personales. Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Algunos puntos importantes en relación a la adopción obligatoria de estos principios son los siguientes: UÊ ÃÊ`>Ì ÃÊ«iÀà > iÃÊ`iLiÀ? ÊÀiV>L>ÀÃiÊÞÊÌÀ>Ì>ÀÃiÊ`iÊ > iÀ>Ê V Ì>°Ê La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos. UÊ ÊÌ ` ÊÌÀ>Ì> i Ì Ê`iÊ`>Ì ÃÊ«iÀà > iÃ]ÊÃiÊ«ÀiÃÕ iʵÕiÊiÝ ÃÌiÊ >Ê iÝ«iVÌ>Ì Û>ÊÀ>â >L iÊ`iÊ«À Û>V `>`° UÊ / ` ÊÌÀ>Ì> i Ì Ê`iÊ`>Ì ÃÊ«iÀà > iÃÊiÃÌ>À?ÊÃÕ iÌ Ê> ÊV Ãi Ì i Ì Ê`iÊÃÕÊÌ ÌÕ >À]ÊÃ> Û Ê >ÃÊiÝVi«V iÃÊ«ÀiÛ ÃÌ>ÃÊ« ÀÊ >Ê iÞ° UÊ Ê V Ãi Ì i Ì Ê ÃiÀ?Ê iÝ«ÀiÃ Ê VÕ> ` Ê >Ê Û Õ Ì>`Ê ÃiÊ > v iÃte verbalmente, por escrito, por medios electrónicos, ópticos o por VÕ> µÕ iÀÊ ÌÀ>ÊÌiV } >]Ê Ê« ÀÊà } ÃÊ iµÕ Û V ð UÊ -iÊi Ìi `iÀ?ʵÕiÊi ÊÌ ÌÕ >ÀÊV à i ÌiÊÌ?V Ì> i ÌiÊi ÊÌÀ>Ì> i Ì Ê`iÊ sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición. UÊ Ê V Ãi Ì i Ì Ê « `À?Ê ÃiÀÊ ÀiÛ V>` Ê i Ê VÕ> µÕ iÀÊ i Ì Ê Ã Ê µÕiÊÃiÊ iÊ>ÌÀ LÕÞ> ÊiviVÌ ÃÊÀiÌÀ >VÌ Û Ã°Ê*>À>ÊÀiÛ V>ÀÊi ÊV Ãi Ì miento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello. UÊ ÃÊ`>Ì ÃÊv > V iÀ ÃÊ Ê«>ÌÀ > iÃÊÀiµÕiÀ À? Êi ÊV Ãi Ì i Ì Ê iÝ«Àià Ê`iÊÃÕÊÌ ÌÕ >À]ÊÃ> Û Ê >ÃÊiÝVi«V iÃÊ«ÀiÛ ÃÌ>ÃÊi Ê >Ê iÞ° UÊ /À>Ì? ` ÃiÊ `iÊ `>Ì ÃÊ «iÀà > iÃÊ Ãi à L iÃ]Ê i Ê Àië Ã>L iÊ `iLiÀ?Ê LÌi iÀÊi ÊV Ãi Ì i Ì ÊiÝ«Àià ÊÞÊ« ÀÊiÃVÀ Ì Ê`i ÊÌ ÌÕ >ÀÊ«>À>ÊÃÕÊ tratamiento, a través de su firma autógrafa, firma electrónica, o cualµÕ iÀÊ iV> à Ê`iÊ>ÕÌi Ì V>V ʵÕiÊ> ÊiviVÌ ÊÃiÊiÃÌ>L iâV>° UÊ ÊÀië Ã>L iÊ«À VÕÀ>À?ʵÕiÊ ÃÊ`>Ì ÃÊ«iÀà > iÃÊV Ìi ` ÃÊi Ê >ÃÊ L>ÃiÃÊ`iÊ`>Ì ÃÊÃi> Ê«iÀÌ i ÌiÃ]ÊV ÀÀiVÌ ÃÊÞÊ>VÌÕ> â>` ÃÊ«>À>Ê ÃÊv nes para los cuales fueron recabados. UÊ ÊÌÀ>Ì> i Ì Ê`iÊ`>Ì ÃÊ«iÀà > iÃÊ`iLiÀ?Ê Ì>ÀÃiÊ> ÊVÕ « i Ì Ê de las finalidades previstas en el aviso de privacidad. 16 B:SECURE Noviembre, 2010
UÊ Ê ÌÀ>Ì> i Ì Ê `iÊ `>Ì ÃÊ «iÀà > iÃÊ ÃiÀ?Ê i Ê µÕiÊ ÀiÃÕ ÌiÊ iViÃ>À ]Ê adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. UÊ ÊÀië Ã>L iÊÛi >À?Ê« ÀÊi ÊVÕ « i Ì Ê`iÊ ÃÊ«À V « ÃÊ`iÊ«À tección de datos personales establecidos por la Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable. UÊ ÊÀië Ã>L iÊÌi `À?Ê >Ê L }>V Ê`iÊ v À >ÀÊ>Ê ÃÊÌ ÌÕ >ÀiÃÊ`iÊ ÃÊ `>Ì Ã]Ê >Ê v À >V ʵÕiÊÃiÊÀiV>L>Ê`iÊi ÃÊÞÊV ʵÕjÊv iÃ]Ê>ÊÌÀ>ÛjÃÊ del aviso de privacidad. Ê Õ Ì V Ì>` ʺ>Û Ã Ê`iÊ«À Û>V `>`»]ʵÕiÊiÃÊ` VÕ i Ì ÊV >ÛiÊà LÀiÊ i ÊVÕ> Ê} À>ÊLÕi >Ê«>ÀÌiÊ`iÊ >ÃʺÀië Ã>L `>`iûÊ`iÊiÃÌ>Ê iÞ]Ê`iLiÊ« nerse a disposición de los titulares a través de formatos impresos, di} Ì> iÃ]ÊÛ ÃÕ> iÃ]Êà À ÃÊ ÊVÕ> µÕ iÀÊ ÌÀ>ÊÌiV } >°Ê V Ê>Û Ã Ê`iLiÊ contener al menos la siguiente información: UÊ >Ê `i Ì `>`ÊÞÊ` V Ê`i ÊÀië Ã>L iʵÕiÊ ÃÊÀiV>L>Æ UÊ >ÃÊv > `>`iÃÊ`i ÊÌÀ>Ì> i Ì Ê`iÊ`>Ì ÃÆ UÊ >ÃÊ «V iÃÊÞÊ i` ÃʵÕiÊi ÊÀië Ã>L iÊ vÀiâV>Ê>Ê ÃÊÌ ÌÕ >ÀiÃÊ«>À>Ê Ì>ÀÊi ÊÕÃ Ê Ê` ÛÕ }>V Ê`iÊ ÃÊ`>Ì ÃÆ UÊ ÃÊ i` ÃÊ«>À>Êi iÀViÀÊ ÃÊ`iÀiV ÃÊ`iÊ>VVià ]ÊÀiVÌ v V>V ]ÊV> Vi >V ÊÕÊ « à V ]Ê`iÊV v À `>`ÊV Ê Ê` ëÕiÃÌ Êi Ê >Ê iÞÆ UÊ ÊÃÕÊV>à ]Ê >ÃÊÌÀ> ÃviÀi V >ÃÊ`iÊ`>Ì ÃʵÕiÊÃiÊiviVÌÖi Æ UÊ Ê«À Vi` i Ì ÊÞÊ i` Ê« ÀÊi ÊVÕ> Êi ÊÀië Ã>L iÊV Õ V>À?Ê>Ê los titulares de cambios al aviso de privacidad, de conformidad con Ê«ÀiÛ ÃÌ Êi Ê >Ê iÞÆÊÞ UÊ Êi ÊV>à Ê`iÊ`>Ì ÃÊ«iÀà > iÃÊÃi à L iÃ]Êi Ê>Û Ã Ê`iÊ«À Û>V `>`Ê`iLiÀ?ÊÃi > >ÀÊiÝ«ÀiÃ> i ÌiʵÕiÊÃiÊÌÀ>Ì>Ê`iÊiÃÌiÊÌ « Ê`iÊ`>Ì Ã°
i ÌÀ Ê`i ʺV>Ì? } »Ê`iÊ L }>V iÃʵÕiÊ >ÀV>ÊiÃÌ>Ê iÞ]Êà Ê`Õ`>Ê Õ >Ê`iÊ >ÃÊ ?ÃÊ « ÀÌ> ÌiÃÊiÃÊ >ʵÕiÊiÃÌ>L iViÊi Ê>ÀÌ VÕ Ê£ \ʺ/ ` Ê Àië Ã>L iʵÕiÊ iÛiÊ>ÊV>L ÊÌÀ>Ì> i Ì Ê`iÊ`>Ì ÃÊ«iÀà > iÃÊ`iLiÀ?Ê establecer y mantener medidas de seguridad administrativas, técniV>ÃÊÞÊv à V>ÃʵÕiÊ«iÀ Ì> Ê«À Ìi}iÀÊ ÃÊ`>Ì ÃÊ«iÀà > iÃÊV ÌÀ>Ê`> ]Ê pérdida, alteración, destrucción o el uso, acceso o tratamiento no auÌ À â>` °» La parte más importante de esta obligación de seguridad no termi >Ê> ]Ê«ÕiÃÊ>ÊÃÕÊÛiâÊi Ê>ÀÌ VÕ ÊÓäÊiÃÌ>L iViʵÕi\ʺ >ÃÊÛÕ iÀ>V iÃÊ `iÊÃi}ÕÀ `>`Ê VÕÀÀ `>ÃÊi ÊVÕ> µÕ iÀÊv>ÃiÊ`i ÊÌÀ>Ì> i Ì ÊµÕiÊ>viVÌi Ê de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titu >À]Ê>Êv Ê`iʵÕiÊiÃÌiÊÖ Ì Ê«Õi`>ÊÌ >ÀÊ >ÃÊ i` `>ÃÊV ÀÀië ` i ÌiÃÊ >Ê >Ê`ivi Ã>Ê`iÊÃÕÃÊ`iÀiV ð» Al final de este capítulo se determina una obligación genérica de
confidencialidad de la información, concretamente en el artículo 21: “El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.” Capítulo III. De los Derechos de los Titulares de Datos Personales. También a nivel internacional se reconocen los “Derechos ARCO” a toda persona cuyos datos personales se encuentren en una base de datos. Todo titular de datos personales podrá ejercer los derechos de Acceso, Rectificación, Cancelación y Oposición previstos en la Ley. Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos. Acceso.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento. Rectificación.- El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos. Cancelación.- El titular tendrá en todo momento el derecho a cancelar sus datos personales. La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. Una vez cancelado el dato se dará aviso a su titular. Sin embargo, la ley prevé algunas excepciones para este derecho. El responsable no estará obligado a cancelar los datos personales, entre otras razones, cuando: I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento; II. Deban ser tratados por disposición legal; III.Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; VII. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto. Oposición.- El titular tendrá derecho en todo momento y por causa legítima a oponerse al tratamiento de sus datos. De resultar procedente, el responsable no podrá tratar los datos relativos al titular. Capítulo IV. Del Ejercicio de los Derechos ARCO. El titular de datos personales o su representante legal podrán solicitar al responsable de su tratamiento en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen. La solicitud que busque el acceso, rectificación, cancelación u oposición de datos personales deberá contener y acompañar lo siguiente: I. El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud; II. Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
III.La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados. IV.Las modificaciones a realizarse y aportar la documentación que sustente su petición. La ley contempla la creación al interior de las empresas de una figura que la industria ha bautizado como “Chief Privacy Officer”, al establecer que “todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.” El responsable comunicará al titular, en un plazo máximo de veinte días, contados desde la fecha en que se recibió la solicitud de acceso, rectificación, cancelación u oposición, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta. El derecho de acceso a los datos personales es quizás el más fácil de ejecutar en la práctica, pues basta que se pongan a disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el aviso de privacidad. Tal como se prevén excepciones para la cancelación de datos personales, el responsable también podrá negar (total o parcialmente) el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos: I. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello; II. Cuando en su base de datos, no se encuentren los datos personales del solicitante; III.Cuando se lesionen los derechos de un tercero; IV.Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y V. Cuando la rectificación, cancelación u oposición haya sido previamente realizada. En todos los casos anteriores, el responsable deberá informar el motivo de su decisión y comunicarla al titular, o en su caso, al representante legal, en los plazos establecidos para tal efecto, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes. Es importante no perder de vista que la entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos. En la próxima y última entrega comentaremos cómo opera la transferencia de datos, cuáles son las facultades y atribuciones del Instituto y Autoridades Reguladoras, los Procedimiento de Protección de Derechos, Verificación e Imposición de Sanciones, así como de las Infracciones y Delitos en materia de protección de datos personales. ●
Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. abogado@joelgomez.com
Noviembre, 2010 B:SECURE 17
for
BUSINESS PEOPLE
¿POR QUÉ LAS ORGANIZACIONES DEBEN TENER UNA ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN? Por Adrián Palma funciones, podrán conocer el difícil, complejo y misterioso punto de equilibrio, entre el riesgo, el costo y la seguridad que necesita ser implantada, sin que estas medidas afecten la capacidad de operación y de servicio de la organización además de las ventajas competitivas que nos brinda la tecnología.
FIGURA 1
L
as organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de información, asegurando la tranquilidad de accionistas, directivos, funcionarios, clientes y socios de negocio. La gran incógnita es ¿cómo se puede lograr esto? ¿Por dónde empezar? ¿Qué se necesita realmente? ¿Cuánto presupuesto se necesita?, ¿Quién es el responsable de implementarlo? La respuesta es difícil y compleja ya que hoy día las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado. Una respuesta sería crear una Arquitectura de Seguridad de la Información, la cual permitirá identificar los elementos y los componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios apoyada en tres factores críticos de éxito: recursos humanos, procesos de negocio y tecnología. Nótese la diferencia entre una arquitectura de seguridad de la información y una Arquitectura de infraestructura de seguridad, donde ésta es diseñada con elementos tecnológicos exclusivamente y no con elementos que involucren a toda la organización. En las organizaciones todo cambia con el tiempo: las personas, la tecnología, la forma de hacer negocio, los procesos, los volúmenes de información, los riesgos etcétera, por lo tanto las necesidades y requerimientos de seguridad también cambian. Por lo que hace extremadamente complejo determinar el nivel de seguridad requerido para tratar de mitigar estos nuevos riesgos, es por eso que es fundamental contar con una arquitectura de seguridad, cuyo objetivo principal es el tener una base en la que los nuevos riesgos generados por cualquier tipo de cambio se incluyan en la arquitectura de seguridad y estén alineados bajo este marco, de forma que este proceso sea lo mas transparente y sencillo para la organización. Algunas de las etapas que se deben considerar en una arquitectura son: UÊ ? à ÃÊ`iÊ6Õ iÀ>L `>`iÃÊÞÊ Û> Õ>V Ê`iÊ ÌÀ ià UÊ ÀÀiVV Ê`iÊ6Õ iÀ>L `>`ià UÊ iÃ>ÀÀ Ê`iÊ* Ì V>Ã]Ê ÃÌ? `>ÀiÃ]Ê Õ >Ã]Ê*À Vi` i Ì ÃÊÞÊ >Ãi ià UÊ Ài>V Ê`iÊ >Ê Õ V Ê v À ?Ì V> UÊ ? à ÃÊÞÊ Û> Õ>V Ê`iÊ, iÃ} à UÊ ÃÌÀ>Ìi} >Ê`iÊ-i}ÕÀ `>` UÊ *À }À> >Ê`iÊ V i Ì â>V Ê UÊ `µÕ à V ]Ê iÃ>ÀÀ ÊiÊ ÃÌ> >V ÊÞÊ*ÕiÃÌ>Ê>Ê«Õ Ì Ê`iÊ iÀÀ> i Ì>à UÊ Ì Ài ]Ê Õ` Ì À >ÊÞÊ «ÕÌ Ê Ài Ãi° Ver figura 1. Ejemplo de Road Map Las instituciones y organizaciones que cuenten con una Arquitectura de Seguridad de la Información, diseñada a su medida y basada en sus propios riesgos tecnológicos, que impactan directamente a sus procesos de negocio o
El tener una arquitectura de seguridad también garantizará que se tendrán todos los elementos necesarios para una adecuada administración de À iÃ} ÃÊÌiV } V ÃÊÊ/ iÀ>À]Ê/À> ÃviÀ À]Ê Ì }>ÀÊ Êi Ê> }Õ ÃÊV>à ÃÊ Û Ì>À®ÊÊ y se podrá ser preciso en la identificación e implementación de los controles y mecanismos de seguridad, que realmente requiere la organización y así evitar inversiones cuantiosas e innecesarias. Las organizaciones que tengan la convicción real y la visión lograrán un liderazgo en su ramo como pioneros en la definición e implantación de una Arquitectura de Seguridad de la información y contarán con estándares y lineamientos de seguridad que les permitan responder de manera preventiva y proactiva ante cualquier intento de ataque, evento, incidente o fraude, que ponga en peligro la operación, el servicio o la información sensitiva y crítica de la organización. En caso de que este tipo de intentos llegasen a materializarse estar seguros de que no impactarán de manera significativa, recordemos que no hay ningún mecanismo 100% seguro y que en algún momento las organizaciones siempre se enfrentarán con un incidente de seguridad, la diferencia versará en que ese incidente no afectará la capacidad de operación, servicio y en algunos casos la supervivencia de las organizaciones. Quienes sigan este modelo serán capaces de operar de forma preventiva y no reactiva, asegurando la disminución de pérdidas ocasionadas por la materialización de los riesgos tecnológicos, a su vez se estarán preparados para recibir y aprobar cualquier tipo de auditoria o revisión en materia de seguridad IT, obtener cualquier tipo de certificación internacional y lo más « ÀÌ> ÌiÊ >Ê Ì>Ê ÀiVV ÊÌi `À?Ê >ÊÌÀ> µÕ `>`Ê`iʵÕiÊ >Ê À}> â>V Ê Ê institución se encontrará operando de manera segura y confiable. ●
Adrián Palma es licenciado en Informática cuenta con mas de 23 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP,CISA,CISM,CRISC,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de certificación de la misma, adrian.palma@integridata.com.mx 18 B:SECURE
Noviembre, 2010
OPINIÓN GPS FORENSICS Por Elihú B. Hernández Hernández
C
on la llegada de las redes de datos móviles y la madurez que estas han tenido durante los últimos años, el mercado de las comunicaciones móviles personales ha dado un giro de 360° en cuanto a las nuevas características, que actualmente se incluyen en los nuevos teléfonos inteligentes, principalmente iPhone y Blackberry. Y es que anteriormente, la revolución era ver un teléfono dotado con reproductor de MP3, cámara fotográfica, grabadora de video y porque no; el acceso a redes inalámbricas WIFI. Con estas funcionalidades, parecía que los productos de este tipo estaban completos y no necesitarían agregarle nuevas funcionalidades en un tiempo razonable. Sin embargo meses después, se incorporó las funcionalidades GPS, que hasta hace un par de años eran tecnologías exclusivas del ejercito y que actualmente podemos encontrar en un sin número de dispositivos con un margen de error de localización en promedio de 10 metros a la redonda. Esto aunado a los términos de contrato (que muchas veces desconocen los usuarios finales) puede representar una grave invasión a la privacidad para el portador de uno de estos equipos dotados con un sistema de GPS integrado. Tal es el caso del iPhone en donde Apple ( h t t p : / / w w w. a p p l e . com/privacy/) en su contrato de privacidad especifica que puede hacer uso de los datos de GEO localización del usuario para sí mismo o para terceros. Por otra parte desde el punto de vista del analista forense, puede suponer una ventaja que el fabricante de los dispositivos pueda contar en un momento determinado con la información de GEO localización de un usuario final, sobre todo si este está involucrado en algún delito. Ahora, orientando un poco el tema de GPS al título de este artículo, resulta por demás interesante el poder contar con este tipo de datos de geo-localización en una investigación. Por ejemplo, actualmente ya hay dispositivos que cuando to-
man una fotografía graban en las propiedades de los archivos además del nombre de la cámara (que regularmente hace referencia al tipo de dispositivo) información de las coordenadas geográficas de dónde se tomó la foto. Esto pudiera de ser de mucha ayuda sobre todo en un caso de secuestro, en donde a partir de esta foto con estas propiedades activas se pudiera localizar físicamente la zona geográfica de origen. Incluso aun cuando la foto no contara con datos de geo-localización si ésta se encuentra cerca de un establecimiento comercial conocido o mejor aún se visualiza algún nombre de calle importante, con la ayuda de Google Maps se podría obtener la ubicación precisa. Es aquí en donde los archivos de imágenes, normalmente marginados en las investigaciones forenses que no tienen que ver con pornografía infantil y con delitos asociados, retoma su importancia en conjunto con las tecnologías de Google Maps y Google Latitude. Como cereza del pastel todavía tenemos la posibilidad en la actualidad, mediante algunos sitios web, de rastrear los dispositivos que cuentan con GPS de una manera muy sencilla y sin un alto control de seguridad para quien implementa este tipo de búsquedas. De tal forma que con solo conocer un poco a la persona que se desea investigar y un poquito de ingeniería social, combinada con las configuraciones por defecto de los fabricantes, es muy posible que podamos rastrear en todo momento a una persona sin que ésta se de cuenta. Peor aún para aquellos usuarios corporativos de dispositivos móviles en donde la autoridad de rastreo está limitada únicamente por la ética de sus administradores, quien en todo momento pueden lanzar una geo-localización sin ningún problema. Se imagina usted ¿Qué pasaría si estos administradores vendieran esa información como pasó con el sonado caso la venta de información de la base de datos del IFE? Piense, reflexione y sobre todo asegure su dispositivo móvil
Elihú B. Hernández, GCFA (ehernandezh@produban.com.mx) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)
Noviembre, 2010 B:SECURE 19
EL INVITADO ¿CÓMO PREVENIR LA INTRUSIÓN DENTRO DE LAS COMPAÑÍAS? Por Alejandro J. Pastrana Jiménez, director de Seguridad lógica de Indra en México
U
na de las principales acciones que ocasiona pérdidas significativas a una compañía son las estafas que, en términos generales, se definen como la apropiación indebida o ilícita de valores, bienes o recursos a través del engaño, gestiones falsas o adulteradas, así como desvíos o una mala administración. De acuerdo al estudio Prevención e Investigación de Fraudes en las Organizaciones, realizado por PricewaterhouseCoopers, este ilícito es uno de los problemas más significativos para los negocios a nivel mundial, sin importar el país, sector, industria o el tamaño de la compañía. En la actualidad, las intrusiones más comunes en las empresas se basan en la manipulación de capital social y patrimonio que, por lo general, es realizado por administradores de recursos; fuga de información intelectual sobre la tecnología u organización; apropiación ilícita de dinero, valores y bienes, así como extorsión. Las motivaciones para realizar este tipo de acciones pueden ser individuales o corporativas. En la primera, influyen los incentivos financieros, decepciones en la carrera laboral, así como temor de ser despedido. En la segunda están relacionados los controles de seguridad insuficiente, falta de compromiso con la organización, posibilidad de usar la autoridad para saltar los controles y un gran número de staff en el anonimato.
PREVENCIÓN Y DETECCIÓN Para erradicar este tipo de intrusión es fundamental mantener ciertas medidas preventivas para minimizar los problemas que el fraude genera. Dentro de este contexto, es recomendable regirse bajo una política clara y determinante, mantener identificadas las actividades de riesgo y control, contar con procedimientos de investigación y correctivos, seleccionar los criterios de seguridad y
personal de manera exhaustiva, estar atentos a las conductas del personal, además de evaluar en forma periódica las formas laborales y controles del mismo. Considerando que detectar y, sobre todo, tomar acciones no es tarea fácil, resulta muy importante que las empresas cuenten con un experto en la materia que domine la técnica de investigación, cuente con conocimientos legales y técnicos de entrevista, tenga una vasta experiencia en la identificación de problemas financieros, conocimiento de evidencia, interpretación de información financiera, expertise en reconocer riesgos y evaluar controles, y, en el caso de que haya tecnología involucrada, debe de contar con conocimientos técnicos-informáticos.
RECOMENDACIONES PARA UNA BUENA PRÁCTICA Crear una cultura corporativa donde no exista tolerancia para actos ilegales, un comité de ética, identificar las áreas de mayor riesgo incluyendo países y/o unidades de negocios, contratos y terceras partes, establecer controles eficientes en las áreas identificadas como de mayor riesgo, realizar evaluaciones periódicas de procedimientos y controles, así como fomentar e impulsar la realización de investigaciones oportunas cuando se sospeche de casos irregulares, son aspectos fundamentales para dejar fuera de las compañías los actos de intrusión. En caso de que la compañía tenga una sospecha es importante no hacer sonar la alarma, salvaguardar las evidencias, recopilar documentación e información relevante, informar a la gerencia del área agraviada, coordinar apoyo técnico y legal, si es necesario, y evitar intervenir si no se es experto. Siempre será mejor prevenir que lamentar. ●
Alejandro J. Pastrana Jiménez, Indra en México. apastrana@indracompany.com
20 B:SECURE Noviembre, 2010
ÁREARESTRINGIDA SECUESTRO DE SESIONES WEB Por Roberto Gómez Cárdenas
I
nternet se inventó en los sesenta y en un principio se utilizaba para conectar dispositivos localizados en diferentes lugares. La aplicación que dio a conocer a internet a los usuarios no informáticos fue el correo electrónico, inventado por Tim Robinson a mediados de los 60s. En 1991, en el CERN (Laboratorio Europeo de Física Nuclear de Ginebra ), Tim Berners-Lee crea el protocolo HTTP y el lenguaje HTML, base de lo que es WWW. Fue durante los años 2002 y 2003 que aparecen las redes sociales, una de las aplicaciones que ha popularizado el uso del WWW entre las personas. Las redes sociales han sido víctimas de diferentes ataques desde su creación. La suplantación de identidades es algo común, alguien puede darse de alta en una red social a nombre de otra persona. También es posible implementar un ataque de phishing, en el que el usuario entre a un sitio falso y proporcione sus datos de autenticación a otras personas. Los ataques de negación de servicio sobre este tipo de sitios también son factibles. Apenas hace un par de semanas, se presentó una herramienta que permite ver las sesiones de otros usuarios. El nombre de la herramienta es Firesheep y se basa en el concepto de secuestro de sesiones. Un secuestro de sesiones se da cuando un atacante logra colocarse entre dos máquinas, y apoderarse de la sesión establecida entre ambas. Para poder llevar a cabo lo anterior el atacante captura los paquetes que van dirigidos de una máquina a la otra, con el objetivo de conocer el número de secuencia y el número de acknowledge que vienen dentro de esto. Estos datos son necesarios para que el atacante pueda modificar los paquetes sin despertar sospechas en la víctima. Una vez conocidos estos valores, el atacante envía un paquete de término de sesión a una de las máquinas y continua la sesión capturada con la otra. Existen varias herramientas para IP Watcher, Hunt y T-Sigth. En algunos protocolos sólo se protegen los paquetes usados para llevar a cabo la autenticación y el resto se envía en claro, lo que permite que el atacante se apodere de la sesión aun esta fuera autenticada de forma segura. En 2007, en BlackHat, Robert Graham presentó una variante de un secuestro de sesiones a la que denominó Sidejacking. El ataque consiste en capturar las cookies que un cliente envía a un servidor
durante una sesión. Estas cookies son utilizadas para reconocer la sesión que se establece entre un cliente y un servidor. Una vez capturadas, estas se presentan al servidor para que envíe al atacante la misma información que le envía al cliente. Graham construyó dos herramientas una de nombre Ferret y otra de nombre Hamster. La primera de ellas, Ferret, es un sniffer que se encarga de capturar las cookies que ve pasar. Por otro lado, Hamster es un proxy que utiliza las cookies capturadas con Ferret para que el servidor envíe la información. El ataque funciona siempre y cuando Ferret sea capaz de capturar las cookies. Esto no funcionaría en una red switcheada ya que Ferret sólo vería las cookies que salgan de la computadora donde se encuentre instalado. Una opción para que el ataque funcione es llevar a cabo un envenenamiento de las tablas ARP de todas las computadoras. De tal forma que las cookies las pueda ver la máquina donde se encuentra instalado Ferret. Hay que tomar en cuenta que el ataque tendrá éxito siempre y cuando la tarjeta de red sea compatible con Ferret. En la conferencia Toorcon, celebrada en octubre del presente año, Eric Butler presentó una nueva implementación de un ataque de sidejacking de nombre Firesheep. La novedad es que el ataque se reduce a instalar winpcap y un plugin de Firefox. Una vez que la extensión se instala se puede apreciar un sidebar en el navegador, donde se encuentra un botón con la leyenda “Start Capturing”. El atacante solo tiene que activar el botón y poco tiempo después se desplegarán nombres y fotos de usuarios de redes sociales. Para acceder a la cuenta de uno ellos, basta con hacer un doble-click sobre la foto de algunas de las personas que se desplieguen. Si bien es cierto que el ataque no es nuevo, la simplicidad de uso hace que cualquier persona pueda llevar a cabo este tipo de ataque. Entre las posibles contramedidas se encuentran el forzar al servidor a utilizar el protocolo HTTPS, de tal forma que toda la información que circule entre cliente y servidor se encuentre cifrada y no se puedan recuperar las cookies. Esto se puede hacer usando la extensión HTTP Everywhere de Firefox, creada por la gente de la Electronic Frontier Foundation y el proyecto Toor, o la extensión Force-TLS de Sid Stamm. Otra opción, es no consultar las páginas de redes sociales en lugares públicos o que usen una red inalámbrica abierta. ● Noviembre, 2010 B:SECURE 21
ALWAYS MIND
THE INFORMATION SECURITY GAP
DATACENTER SWEET DATACENTER… Por Alberto Ramírez Ayón, - Ê]Ê - ]Ê , -
Primero aclaro para evitar confusiones: por datacenter me refiero a lo que se conoce también como: centro de procesamiento de datos centro de cómputo centro de datos ¿Qué es necesario tener en un datacenter? Obviamente, esto no es un checklist de auditoría ni buenas prácticas. Es solamente una lista de ítems que considero necesario tener en un datacenter: UÊ V iÌ `>ÃÊi jVÌÀ V>ÃÊ` L i]ÊÌ> ÊÛiâ® UÊ - ÃÌi >ÃÊ«>À>Ê«ÀiÛi ÀÊÞÊV ÌÀ >ÀÊ Vi ` ÃÊiÊ Õ `>V iÃÊV \Ê `Ài > iÃÊÞÊiÝÌ Ì Àià UÊ 6 >ÃÊ`iÊiÛ>VÕ>V UÊ *ÕiÀÌ>ÃÊÞÊ« ÌÕÀ>ÃÊ } vÕ}>ÃʵÕiÊ«À Ìi}i ÊV ÌÀ>ÊvÕi} ® UÊ ÀiÊ>V ` V >` UÊ 1*-Ê- ÃÌi >Ê`iÊ> i Ì>V Ê`iÊi iÀ} >Ê ÌiÀÀÕ « ` ® UÊ * à ÃÊÞÊÌiV ÃÊv> à à UÊ ÃÌ> >V Ê`iÊ> >À >à UÊ ÌÀ Ê`iÊÌi «iÀ>ÌÕÀ>ÊÞÊ Õ i`>`ÊV Ê>Û Ã Ã UÊ iÀÀ>`ÕÀ>ÃÊi iVÌÀ >} jÌ V>à UÊ ? >À>ÃÊ`iÊÃi}ÕÀ `>`Ê Ê
/6Ê ÀVÕ Ì ÊViÀÀ>` Ê`iÊÌi iÛ Ã ® UÊ iÌiVÌ ÀiÃÊ`iÊ Û i Ì UÊ />À iÌ>ÃÊ`iÊ `i Ì v V>V UÊ Ì?V À>ÃÊ`iÊ>VVià ÃÊ > Õ> ÊÞÊi iVÌÀ V>à UÊ Ì Ê `iÊ >«>}>` Ê `iÊ i iÀ}i V >Ê *"Ê « ÀÊ ÃÕÃÊ Ã } >ÃÊ i Ê } jÃÊ iÀ}i VÞÊ* ÜiÀÊ"ÕÌ>}i® UÊ ÌÀiÊ ÌÀ ÃÊ ÕV ÃÊ ?ÃÊ ÃÊÀiµÕiÀ i Ì ÃÊÛ>À >À? Êi ÌÀiÊV>`>ÊÕ ]ÊÞ>ʵÕiÊÀiV À`i ÃʵÕiÊ ÊÃ Ê ÃÊ Ã ÃÊÀ iÃ} ÃÊi ÊV>`>ÊÕ ÊÞÊÃÕÊ V> â>V ÊÌ> L j ÊÛ>À >°Ê ÊiÃÊ Ê Ã Êi Ê
ʵÕiÊiÃÌ?Êi Ê« > Ì>ÊL> >]ʵÕiÊi Êi Ê« à ÊÓn]ʵÕiÊi Ê i Êà Ì> ÊΰÊÊ ÊiÃÊ Ê Ã ÊµÕiÊiÃÌjÊViÀV>Ê`iÊ >Ê« >Þ>]ʵÕiÊi ÊÕ ÊV >Ê Ö i` Ê Êi ÊÕ >Êâ >Êà à V>°Ê ÊÕ >ÊV Õ`>`Ê Êi ÊÕ >Êâ >Ê> Ãlada de muchos factores, incluso, sociales: marchas, manifestaciones, bloqueos. Y tú, ¿sabes quién tiene acceso a tu datacenter? -i>ÊÕ Êië>V Ê«iµÕi Ê ÊÕ Ê i à ÆÊÃi V Ê ÊV « i ÊÞÊà v ÃÌ V>` ]ÊV ÊÕ Êà ÊÃiÀÛ ` ÀÊ ÊV Ê£xäÊ Ê ?ÃÊÀ>V ÃÆÊiÃÊ>Là ÕÌ> i ÌiÊ iViÃ>À ÊÌi iÀÊV ÌÀ Ê`iÊµÕ j ÊiÃÌ?Ê>VVi` i ` ÊÞÊ« ÀʵÕj°Ê 22 B:SECURE Noviembre, 2010
¿Quiénes deberían poder entrar? ¿Personal de sistemas, infraestructura, mantenimiento, Ãi}ÕÀ `>`¶Ê/> ÊÛiâ]Ê«iÀ ÊÌ> L j ÊÌ> ÊÛiâÊ Ê Ûiâ Ì ` ÃÊÞÊV>`>ÊÕ Ê`iÊ ÃÊ i LÀ ÃÊ`iÊ` V >ÃÊ ` V >à ?Ài>Ã°Ê >ViÊ> }Õ ÃÊ> Ã]ÊÀiÛ Ã> ` Ê >Ê ÃÌ>Ê`iÊ > ÃÌ> `i accesos en un datacenter, me percaté que inÌi > >VV Õà Ê}i ÌiÊ`iÊ > â>ÃÊÞÊ ÕÀ ` V ÊÌi > Ê>Và µÕ iÀ> i à Vià °Ê >` iÊ Ã>L >Ê « ÀµÕjÊ ÞÊ Ê Ã µÕ iÀ>Ê i ÃÊ sabían que habían habilitado esos accesos. }Õ >ÃÊ`iÊ >ÃÊ«Ài}Õ Ì>ÃʵÕiÊÌi i ÃʵÕiÊ Ìi i à µÕi hacernos en cuanto al datacenter son: UÊ ·+Õ j Ê Ì i iÊ Ê `iLiÊ Ìi iÀ®Ê >VVià ¶ >VVià ¶Ê ·* À ·* ÀÊ `iv µÕj¶Ê· Õ? Ì ÊÌ i « ¶Ê« `À >ÊÃiÀÊ `iv ` Ê ÊÌi « À> ® UÊ ·-iÊÀiViÀÌ v V> Ê ÃÊ>VViÃ Ã¶Ê ÃÌ ÊV Ê >Êv V > v nalidad de validar de manera frecuente los accesos. UÊ · }Õ i Ê Ì Ài>Ê ÃÊ>VVià öÊ- ÊiÃÊ>à ]Ê·µÕjÊÃiÊ >ViÊ ià >à ] ·µÕj Ãi >Vi con dicho monitoreo? UÊ · ÃÊÀ>V ÃÊiÃÌ? ÊViÀÀ>` öʷ Ê >Ûi¶Ê·+Õ j iîÊÌ i i ®Ê >Ê >Ûi¶ >Ûi¶ ·+Õ j iî Ì i i ® > >Ûi¶ UÊ · ÃÊÃiÀÛ ` ÀiÃÊÞÊiµÕ « ÃÊi Ê}i iÀ> ÊiÃÌ? Ê«À Ìi} ` ÃÊ« ÀÊV ÌÀ>Ãi}i iÀ> iÃÌ? «À Ìi} ` à « À V ÌÀ>Ãi >ÃÊV « i >î¶ UÊ - Ê >ÞÊ> }Ö ÊÛ Ã Ì> ÌiÊ Ê> }Õ i Êà Ê>VVià ]Ê·iÃÊiÃV Ì>` Ê ÊÃÕ«iÀÛ >VVià ] ·ià iÃV Ì>` Ê ÊÃÕ«iÀÛ sado mientras permanece dentro del datacenter? UÊ · ÃÌ?ÊÃi} i Ì>` Ê ÊµÕiÊiÃÊ«À « Ê`iÊ >Êi «ÀiÃ>Ê`iÊ ÊµÕiÊiÃÊ`iÊ«À veedores o terceras partes? UÊ · ÃÌ? Ê `i Ì v V>` ÃÊV>`>ÊÕ Ê`iÊ ÃÊiµÕ « öʷ iÊ > iÀ>Ê } V>ÊÞÊ física? UÊ · Ý ÃÌiÊ> }Õ >Ê« Ì V>Ê`iÊ>VVià öʷ-iÊà }Õi¶ *À L>L i i ÌiÊÀiÃÕ ÌiÊ«>À> V Ê«>À>Ê> }Õ ÃÊi Ê iV Ê`iÊÀiÛ Ã>ÀÊ Ê µÕiÊÃiÊ ÌÀ `ÕViÊ> Ê >Ì>Vi ÌiÀ]ÊÞ>ʵÕiÊ ÊµÕiÀi ÃʵÕiÊ> }Õ i ÊÌ iÊ v Ì }À>v >ÃÊ`i Ê Ã ]Ê ÊµÕiÊ ÌÀ `ÕâV>ÊÕ Ê1- Ê«>À>ÊiÝÌÀ>iÀÊ Ê ÌÀ `ÕV ÀÊ> } °Ê }Õ >ÃÊ«iÀà >ÃÊ«Õi`> Ê«i Ã>ÀʵÕiÊiÃÌ ÊiÃÊÕ >ÊiÝ>}iÀ>V ]Ê«iÀ ÊÀiV À`i ÃʵÕiÊ ÕiÃÌÀ>Ê v À >V Ê«iÀà > ÊÞÊ«À Û>`>Ê iÝ ÃÌiÊi Ê ÕV ÃÊ >Ì>Vi ÌiÀðÊ- Ê ÊÌ i iÃÊ ÊVÕi Ì>ÊL> V>À >Ê ÊÌ>À iÌ>Ê`iÊVÀj` Ì Ê Ê> } ÊÀi >V >` Ê> Ê> L i ÌiÊv > V iÀ ]Ê«ÕiÃÊÌ> L j Ê Ãi}ÕÀ> i ÌiÊ >ÞÊ v À >V ÊÌÕÞ>Êi Ê> }Õ >ÊL>ÃiÊ`iÊ`>Ì ÃÊ`iÊ> }Ö Ê `>Ì>Vi ÌiÀ]ÊÌi Ê« ÀÊÃi}ÕÀ \Ê i>ÊÌi iv V>]ÊVi Õ >À]Ê ]Ê --Ê Ê --/ Ê Ê> }Ö ÊVi ÌÀ Ê j` V ]Êi « i Ê>VÌÕ> Ê Ê«>Ã>` ]Ê/6Ê`iÊ«>}>]ÊÞÊ> }Õ ÃÊ
otros. La fuga de información es una realidad, el robo de información también lo es. Aún cuando existan leyes y políticas que intenten proteger los datos, las medidas de seguridad deben ser altas y estrictas, claro, dependiendo de la información que se quiera proteger. Por lo menos a un servidor, le gustar revisar esas medidas en un datacenter como si en éste estuviera mi información personal, laboral, de nómina, financiera, etcétera. No busco entrar a un bunker militar; sin embargo, hay medidas muy básicas que se deben de seguir en materia de seguridad física y de accesos. No citaré marcos referenciales, ya que el modelo a seguir varía entre compañías y giros. Hablando en un nivel muy gene gene-
comportamiento. De pronto, cuando el servidor se apagó, incluyendo el monitor, escucharon un ruido de aspiradora. Efectivamente, es lo que están pensando: la señora que hacía el aseo del datacenter, desconectaba un enchufe eléctrico para conectar su aspiradora, todos los días a la misma hora. Tal vez les de risa y tal vez no lo crean; pero es real. Por supuesto, esta compañía X no será de renombre ni tienen muchas medidas de seguridad –obvio– pero nos da una idea, de que las “cosas” sí pasan y la ley de Murphy ¡es LEY! Regresando al tema… otro factor son las pruebas. ¿Se realizan pruebas, mantenimiento, apagados completos, inspecciones, auditorías?
ral es importante que estén controlados cada uno de los accesos que hay en un datacenter, saber el día y hora que alguien accedió y el propósito. La siguiente anécdota es bastante humorística, pero cuando la analicé, realmente me hizo pensar muchas cosas. En alguna compañía X había un problema donde siempre, a la misma hora, unos de los sistemas se bloqueaba. Al principio el problema indicaba ser error de usuario, pero no era así. Se realizaban actualizaciones, parches, pero la falla continuaba. El sistema se “caía” a la misma hora todos los días. No sabían si era problema de Sistema Operativo, de base de datos, de aplicación. Revisando los logs (o bitácoras de eventos/auditoría) se percataron que todos los servicios del servidor, donde residía esta aplicación, se “reiniciaban” a al misma hora todos los días. Se instalaron sniffers y demás herramientas de monitoreo para revisar lo que pasaba “a esa hora”. La situación se ponía más alarmante ya que no hallaban el cuasante del problema y decidieron ver en la propia consola del servidor, dentro del datacenter, lo que iba ocurriendo antes de la hora. Cuando entraron al datacenter, únicamente encontraron a la persona de aseo y una vez reunidos en frente de la consola del servidor comenzaron a monitorear el
No cumplir con éstas, es una invitación a desastres que se pudieron haber previsto. No debemos dejar de pensar en temas como planeación de capacidad y expectativa de crecimiento, cableado bien “peinado”, evitar dejar cosas que obstruyan el paso, que sean inflamables. Además, si se realiza un cambio dentro del datacenter, ¿se programó? ¿Se revisaron los impactos? ¿Se aprobó el cambio? ¿Se hace en días u horas de menor impacto al negocio o a los usuarios? ¿Están controlados todos los aspectos? ¿Hay algún plan de retorno (roll back) si algo inesperado ocurre? Si su respuesta es negativa, convendría revisar sus procesos de control de cambios dentro del datacenter, y por “dentro” entiéndase de manera física o lógica. Este texto es sólo una recopilación somera de cosas que pienso cuando entro a un Datacenter. El hablar de seguridad en un datacenter involucra muchos aspectos, tantos que hasta existen libros. La intención es sólo crear conciencia de la inseguridad a la que están sometidos nuestros datos. Valdría la penar migrar aquella famosa frase Hogar Dulce Hogar, a un “Datacenter Dulce Datacenter”. ¡Cuidado con la brecha de seguridad de la información! Always Mind the Information Security Gap! ● Noviembre, 2010 B:SECURE 23
´ EXTREMA AUDITORÍA
PERPETUIDAD DE DATOS IGUAL A ALTOS COSTOS Los enormes volúmenes de datos almacenados, sin un adecuado programa de retención, suelen convertirse en un elefante blanco para las organizaciones
Por Mario Velázquez
H
ace un par de décadas el almacenamiento de datos en medios informáticos era tan caro que para optimizar los discos duros y las cintas necesarias para esto, los desarrolladores de aplicaciones recurrían a trucos de almacenamiento, como guardar información abreviada o las fechas julianas, táctica que, por cierto, ocasionó gran conmoción en las organizaciones durante el cambio de siglo, dado que puso en riesgo la continuidad de las operaciones. Afortunadamente, hoy en día el costo de los medios de almacenamiento ya no es una limitante para guardar toda la información de la operación y administración que las organizaciones necesitan resguardar, y las que no necesitan también. Ahora la tendencia se ha revertido. Dada la facilidad de guardar datos, hay empresas que acumulan un exceso de información. Además las ventanas de retención se han incrementado considerablemente, en ocasiones hasta llegar a la perpetuidad. Así, paradójicamente, mientras los costos de los medios de almacenamiento han disminuido, los gastos que realizan las organizaciones por este rubro van en aumento, en buena parte por los costos relacionados con el manejo y custodia de los enormes volúmenes de datos acumulados. La moda actualmente es que los dueños de la información “necesitan” acumular todos los datos de su operación y conservarla en línea por años. Están además los usuarios de otras áreas, como investigación de mercados, exigiendo acceso a las bases de datos para explotar su contenido. Y por otro lado, se encuentra el área de IT negando el acceso a los datos, basándose en reglas que generalmente la organización no ha escrito. De acuerdo a un estudio de Symantec, “Evaluación 2010 sobre prácticas de manejo de Información”, el principal origen de los excesivos volúmenes de datos es la falta de un plan formal de retención de información. Más allá de los costos que implica la retención infinita de datos, la falta de este plan también conlleva que los procesos de descubrimiento de información sean largos e ineficientes, además de comprometer la seguridad de los datos, ya que el estudio indica que 65 por ciento de las empresas admite que los usuarios ma-
24 B:SECURE Noviembre, 2010
nejan sus propios archivos a pesar de haber una prohibición tácita al respecto. La encuesta de Symantec obtuvo como resultado que muchas empresas guardan información por tiempo indefinido, en lugar de implementar políticas que le permitan eliminar con confianza datos no importantes. También revela que aunque la mayoría de las organizaciones considera necesario un plan de retención de la información, sólo 46 por ciento cuenta con este plan formalizado. Dado lo anterior, es evidente que las organizaciones deben recuperar el control de su información, para lograrlo es necesario formalizar un plan de retención de datos, considerando los siguientes aspectos: UÊ *À « i`>`Ê`iÊ ÃÊ`>Ì Ã° Definir claramente los propietarios de la información. Estos propietarios, y no el área de IT, deben definir las ventanas de retención de datos, en base a sus necesidades. UÊ >à v V>V Ê `iÊ >Ê v À >V ° La información no sólo debe clasificarse por cuestiones de confidencialidad, sino también para efectos de asignar períodos de retención más largos a los datos importantes y depurar los que no se necesitan. UÊ Ã `iÀ>ÀÊ Ài}Õ >V ið Los períodos de retención deben cumplir con las regulaciones fiscales y legales. UÊ -i}ÕÀ `>`Ê`iÊ ÃÊ`>Ì Ã° La seguridad debe basarse en la premisa del deber saber. UÊ * > Ê`iÊÀiVÕ«iÀ>V Ê`iÊ`iÃ>ÃÌÀið La retención de datos debe alinearse a las necesidades del DRP de la organización. UÊ *À }À> >Ê`iÊÀië> ` ð Debe establecerse un plan formal de respaldos de información que cumpla con los períodos de retención. Este plan debe considerar frecuentes pruebas de restauración. Un adecuado plan de retención de información debe brindar la confianza a la organización de que se conservarán sólo los datos que son de utilidad y se eliminarán aquellos que ya son basura, evitando gastos innecesarios y dolores de cabeza. Bueno, eso creo yo, pero ¿usted qué piensa? ● Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
SINNÚMERO EL CIBERCOCO VIENE POR LOS USUARIOS MAL PORTADOS
Cibercriminales, robo de información, malware, códigos maliciosos, fraude en línea. Si nos ponemos a pensar razones para temer a los peligrosos de la era digital hay de sobra. ¿Pero qué tan conscientes son los usuarios de esta realidad?
Para 51% de los entrevistados su mayor temor en la era digital es el robo de identidades, seguidos del hurto o hackeo de su información financiera con 14%. Más del 60% de los internautas se siente “seguros” en internet, contra 15% que se siente “poco seguros” o “nada seguros. El estudio revela un falta de conocimiento en materia de seguridad básica, pues del 58% de los usuarios que afirmaron contar con una herramienta de protección completa, sólo 37% de ellos realmente poseían AV de protección amplia en sus maquinas.
La firma de seguridad Symantec y la Alianza por la Ciberseguridad Nacional realizaron la encuesta
Seguridad en línea a más de 3,500 usuarios de servicios de internet y sistemas de cómputo. Ahora sí: “Ayy nanita”
Aunque 38% de los usuarios almacenan información financiera en su equipo de cómputo, casi cuatro de cada diez nunca ha realizado un respaldo en toda su vida. Las empresas juegan un papel importante en materia de educación en seguridad IT, pues aunque 43% de ellas sí entrenan a sus empleados en dicho tema, 55% no cuentan con ningún tipo de programa o curso de capacitación.
Noviembre, 2010 B:SECURE 25
SEGURO… QUE LO QUIERES UNA MAC QUE LE DARÁ AIRE… A TU CARTERA No es netbook, no es tablet y no es laptop. Estamos seguros de que es algo, pero la verdad sólo Steve Jobs sabe qué es la nueva MacBook Air. Como sea sabemos que algo en tu Apple fanatismo o haterismo te hace pensar Seguro que…
SEGURO QUE LA QUIERES POR
SEGURO QUE NO LA QUIERES POR
UÊ ÊÃ>LiÃÊ ÊVÕ? Ì ÊVÕiÃÌ>Ê ÊÃiÊÌiÊi ÌÀi}>Ê> } Ê i ÀʵÕiÊ >Ê >V]Ê >V ]Ê >V Ê*À ]Ê >VÊ ]Ê >V Ê ÀÊ£]Ê *>`]Ê * i]Ê * `ÊÌ ` îʵÕiÊÞ>ÊÌ i iðÊ*>À>ÊÌ Ê Ê « ÀÌ> ÌiÊiÃʵÕiÊ -ÌiÛiÊ LÃÊ >Ê«ÀiÃi Ì ÊV Ê> } ʺÀiÛ ÕV >À »°
UÊ Ê iÊÛiÃÊi ÊÕà °Ê iÊ iV ]ÊiÃVÕV >ÃÊV ÊÌÕÃÊ> } ÃÊ` Vi ʵÕiÊ µÕ iÀi ÊÕ >ÊÞÊà i ÌiÃÊÌÀ ÃÌiâ>Êi ÊÌÕÊV À>â Ê« ÀÊi ð UÊ - }ÕiÊà ÊÌi iÀÊ«ÕiÀÌ Ê`iÊV>L iÊ`iÊ Ì iÀ iÌ]ÊÞÊi ÊÌÕÃÊV ÃÌ> ÌiÃÊ Û > iÃÊ`iÃVÕLÀiÃÊ Ê ", Ê / Ê+1 Ê/ Ê °
UÊ *iÃ>Êà ʣ°£ÎÊ }À> Ã]ÊÌ i iÊ >ViÌ i]Ê i ÀÊL>ÌiÀ >ÊÞÊ ?ÃÊ `iÃi «i Êi ÊÃÕÊ` ÃV Ê`iÊiÃÌ>` Êà ` °
UÊ - ÊÞ>ÊÌ ` ÊiÃÊÎ Ê Êi Ì i `iÃÊ« ÀµÕiÊ ÃÌiÀÊ LÃÊ Ê> >` ÊÕ Ê i ÌÀ>`>Ê«>À>ÊV V>ÀÊ- Ê Ê VÀ - ÊÞÊ« `iÀÊ >Ûi}>ÀÊ` `iÊÃi>°
UÊ * ÀÊÃ ÊvÕiÀ>Ê« V ÊV ÀÀiÊV ÊÕ Ê*À ViÃ>` ÀÊ Ìi Ê ÀiÊ Õ Ê`iÊ ÕiÛ>Ê}i iÀ>V ÊÞÊÌ>À iÌ>Ê 6 Ê i ÀViÊÎÓä °
UÊ - Ê >ÊV «À>Ã]ÊÃ>L i ` ʵÕiÊÌ i iÃÊ * i]Ê *>`]Ê >V ÊÞÊ >V Ê ÀÊ£]ÊÌÕÃÊ> } ÃÊÃi Ì À? ÊÕ >Êi À iÊÌÀ ÃÌiâ>Êi ÊÃÕÊ V À>â iÃÊ« ÀÊ Ê > ʵÕiÊ «« iÊÌiÊ >Ê`i >` °
UÊ ÌÀ>`>Ê Ê Ã« >Þ* ÀÌÊ«>À>ÊV iVÌ>ÀÊi ÊiµÕ « ÊÊ>Ê Ì ÀiÃ]Ê «À ÞiVÌ ÀiÃÊ Ê«> Ì> >ÃÊ /6]Ê ÕiÌ Ì Ê«>À>ÊV Õ V>ÀÃiÊV Ê * `]Ê *>`ÊÞÊ * i]Êi ÌÀ>`>Ê`iÊÌ>À iÌ>Ê- ÊÞÊ` ÃÊ«ÕiÀÌ ÃÊ1- ° UÊ Ê i À\Êà ÊVÕiÃÌ>ÊÊf Ê` >ÀiÃÊ ?ÃÊ 6 Ê >ÊÛiÀà Ê`iÊÈ{ Ê V Ê` ÃV Ê`iÊiÃÌ>` Êà ` ÊÞÊÓ Êi Ê, °
UÊ ·-ÕÊ«ÀiV ÊiÃÊ`iÊVÕ? Ì ¶Êu ÃÊÕ ÊÀ L tÊ >ÊÛiÀà ÊV ÊÈ{ Ê ÞÊÓ Êi Ê, ÊVÕiÃÌ>Êf Ê` >ÀiÃ°Ê >ÃÊ >V Ê1 ÞL `ÞÊ > V>®ÊVÕiÃÌ>ÊiÝ>VÌ> i ÌiÊ Ê Ã ÊÌÀ>iÊÓxä Êi Ê` ÃV ]ÊÓ Ê i Ê, ]ÊÌ i iÊ«ÕiÀÌ Ê`iÊ Ì iÀ iÌÊÞÊ«iÃ>ÊÕ Ê Ê ?ðÊ
PESO PLUM A MACBOOK s 0ANTALLA AIR 2 DE O
PULGADA S s 0ROCESAD OR )NTEL #ORE $ U O A '(: O DEPENDIEND '(Z O DEL MODEL O s 0UERTO INI $ISPLAY0 ORT s $OS ENTRED AS 53" s 0UERTO DE TARJETAS 3$ s -EMORIA DE LOS '" A LOS '" s .6)$)! ' EN ESTADO SØ E&ORCE LIDO G RAPHICS PROCE s "LUETOOTH SSOR Y 7IFI N s 0RECIO DES DE HA STA LOS MÈS )6!
26 B:SECURE Noviembre, 2010