mayo, 2011 · 68 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
México cuenta con uno de los sistemas de banca por internet y banca móvil más regulados y controlados del mundo. El logro lleva un nombre: Carlos Marmolejo
CONCIENTIZACIÓN Y REGULACIÓN:
$80.00 M.N.
EL DOBLE FACTOR DEL CAMBIO Carlos Marmolejo, director de Operaciones y Sistemas de Afore XXI y asesor de la Comisión Nacional Bancaria y de Valores
B:SECURE AWARD 2011
Seguridad en la Web Social Websense® TRITON™ la primera y única solución en la industria que provee seguridad unificada para contenido. La compleja naturaleza en el día a día social, móvil, y en la nube, con infraestructura orientada y reforzada con la sofisticación de malware moderna ha dado lugar a una “tormenta perfecta”. La solución segura de TRITON permite navegación en medios sociales, computación en la nube, y a trabajadores móviles mudar de oficinas y proteger la pérdida de datos mientras reduce los costos y la complejidad de los CISO de hoy. Para saber más o recibir una demostración visite:
www.websense.com/TRITON-LATAM
“TRITON promueve integración, consolidación e implementación hibrida a otro nivel” – Predicciones de Seguridad de Contenido: 2011 and Beyond: Forrester Research, Inc. 10 de Noviembre, 2010
MAY 2011
EVENTS
MOMENTO DE JUGAR AL CENTRO A lo largo de ocho años el b:Secure Conference ha servido como escenario para entender el valor de las palabras “continuidad de negocios”. Hoy su significado son la pieza central para la supervivencia de las organizaciones del siglo XXI.
LOGIN
ABUELITA TUMBA INTERNET EN TODO UN PAÍS Excababa en busca de cobre, cual cazadora de tesoros, cuando encontró unos cables “inservibles” que decidió cortar. Sin saberlo la mujer de 75 años dejó al 90% de sus paisanos sin acceso a internet.
B:SECURE FOR BUSINESS PEOPLE
¿CON QUÉ SE COME EL COMPLIANCE ? 2ª PARTE Si hablamos de la organización como un ente único y completo, ¿por qué dejamos que opere como varias, dependiendo de quién o qué nos audite?
ÁREA RESTRINGIDA
ESTRATEGIAS DE CIBERDEFENSA SABORIZADAS
Dicen que para comprender mejor a las personas debes “ponerte en sus zapatos”. Quizá vaya siendo hora que los profesionales de seguridad IT comiencen a calzar los zapatos de los cibercriminales.
ALWAYS MIND THE INFORMATION SECURITY GAP
08 CONCIENTIZACIÓN Y REGULACIÓN: EL DOBLE FACTOR DEL CAMBIO Quizá nunca ganemos el Mundial de Fútbol, pero gracias a Carlos Marmolejo la banca en línea, móvil y electrónica es de las mejor reguladas y controladas del planeta.
06 LOGIN
24 SINNÚMERO
UN, DOS, TRES POR MÍ Y POR TODOS MIS PROVEEDORES… La ley de proyección de datos personales implica cambios organizacionales, más allá de las paredes de nuestro negocio.
LA LEY Y EL DESORDEN
MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES 3ª PARTE Transferencia de Datos Personales, Facultades del Instituto y Autoridades, Procedimientos, Infracciones y Delitos.
Mayo, 2011 B:SECURE 1
8 de junio, 2011 Hotel Camino Real Monterrey 5o. bSecure Conference Monterrey La quinta edición presenta un programa de conferencias muy completo, que cubre los principales aspectos que un profesional de la seguridad IT necesita conocer para ser exitoso en un ambiente tan desafiante como el nuestro. Nos hemos concentrado en mostrar soluciones a partir de casos reales que resuenen con los objetivos del negocio, así como en enfrentar las restricciones presupuestales y la falta de apoyo de una alta dirección que muchas veces no comprende del todo la magnitud de las actuales amenazas.
5
razones para asistir
Actualizarse en más de 10 tópicos de interés que cubre el programa de conferencias y que provee el conocimiento que Usted necesita para tener éxito en un ambiente tan competitivo como el de hoy. Conocer soluciones del mundo real presentados por usuarios y expertos que comparten situaciones similares a la suya: amenazas, temas regulatorios, presupuestos restringidos y áreas de negocios que no siempre lo entienden. Interactuar con especialistas en seguridad y CISOs de las 500 empresas más importantes de México y países de Centroamérica. Visitar importantes proveedores de productos y servicios que estarán más que halagados de iniciar un diálogo. Además, Usted podrá comparar diferentes soluciones. Disfrutar del aprendizaje en un ambiente medieval lleno de caballeros, magos, villanos y alguna que otra sorpresa.
www.bsecureconference.com.mx/mty Informes: 01800 670 6040 (55)- 2629 7260 opción 4, 2629 7280, 81, 84, 85 eventos@netmedia.info
Adam Palmer El Estado de la Ciberseguridad: Amenazas actuales y sus posibles soluciones
El punto central de la conferencia será cómo el volumen y sofisticación de las amenazas cibernéticas se dispararon brutalmente durante el 2010. Abordaremos cómo en los últimos meses los ataques dirigidos contra las empresas han aumentado de manera dramática, aprovechando redes sociales y dispositivos móviles, y cómo este problema afecta de manera directa la colaboración entre autoridades judiciales y la industria en el combate y posible solución al cibercrimen. Adam Palmer trabaja dentro de la unidad JAG (Judge Advocate General’s), como fiscal líder en materia de cibercrimen para la milicia estadounidense. Anteriormente laboró como fiscal para la Marina de Estados Unidos (US Navy), cargo en el que fue responsable de procesar legalmente algunos de los primeros casos de cibercrimen militar en el país.
Jesús Torrecillas Cyberwarfare: Los 10 puntos críticos de la ciberguerra en un mundo globalizado
La guerra electrónica ha dado paso a la ciberguerra. Stuxnet es la punta del iceberg de lo que en estos momentos se está gestando en las profundidades más oscuras de la red. ¿Piensa usted que en este momento su red está libre de ataques? ¿Qué podemos hacer? En esta guerra la mejor posición es el empate, ignorarla significa perder la batalla. Jesús Torrecillas es profesor honorario en la Universidad Regiomontana y la Universidad Pontificia Comillas de Madrid. Es miembro fundador de la Asociación Mexicana de Seguridad Informática (AMSI).
Otros conferencistas destacados
Mesas redondas
Douglas Casas, gerente
Nubes en el horizonte Cloud Computing y el negocio: acuerdos de servicio, privacidad y regulaciones gubernamentales
Regional México RSA, la división se Seguridad de EMC
Joel Gómez, abogado
especialista en derecho informático y propiedad intelectual
Pavel Orozco, Lead Sales Engineer de Websense Adrián Palma, CISSP, CISA, CISM, BSA, director general de Integridata David Schekaiban, director de Código Verde
Carlos Arturo Marmolejo Trujillo, director de Operación Sergio Raúl Solís Garza, IAS, y Sistemas, Afore XXI.
MBA, CISA, CGEIT, gerente – Asesoría, Ernst & Young México
Jorge Mieres, Malware Analyst, Global Research & Analysis Team, Matt Stamper, vicepresidente LatAm Kaspersky Lab de Servicios redIT International
La batalla contra el reino de Threatening, el tirano Ciberamenazas: panorama y tendencias 2011 Vox Pópuli, Vox Social Mitigando el riesgo del Social Media en su negocio
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Carlos Fernández de Lara DIRECTOR EDITORIAL
LIBERAN DEL SECUESTRO AL HIJO DE EUGENE KASPERSKY
Un reporte a cargo de medios rusos reveló que la policía del país europeo rescató con vida a Ivan Kaspersky, hijo de Eugene Kaspersky, CEO y fundador de Kaspersky Lab´s. De acuerdo con las publicaciones, la policía logró detener y desarticular a los secuestradores de Ivan Kaspersky. Dicho rescate se logró sin que la familia haya tenido que pagar por la liberación del joven, destacaron. Informes no oficiales apuntan que la cifra demandada por los criminales ascendía a $4.3 millones de dólares. La versión sobre la liberación y la captura de los responsables fue confirmada por un vocero de la compañía de seguridad, el cual agradeció el apoyo que recibió la familia durante el secuestro del menor de los Kaspersky. Los reportes indican que Ivan Kaspersky fue secuestrado a finales de abril pasado, cuando se dirigía a la compañía InfoWatch, empresa propiedad de su madre y donde actualmente el joven labora, aclararon. Hasta el momento no se ha detallado información sobre el paradero del Ivan Kaspersky, ni sobre la banda de secuestradores capturada.
En lo que fue bautizada como la “operación más completa y comprehensiva en materia de combate al cibercrimen de la historia”, el FBI y el Departamento de Justicia (DoJ) de Estados Unidos lograron el desmantelamiento de la botnet Coreflood, culpable de infectar más de 2.3 millones de PC en todo el mundo. De acuerdo con la información publicada en el sitio web del DoJ, luego de meses de investigación el FBI logró aprender a 13 individuos, cuyos nombres no han sido identificados, quienes operaban como los principales responsables de contralar la botnet. Junto a los arrestos la autoridad estadounidense aseguró que también desactivó cinco Centros de Comando (C&C), servidores desde donde las redes bot comúnmente reciben instrucciones de sus operadores, y más de 29 dominios que eran utilizados por Coreflood. Según el DoJ, el modo de operación de la red zombi es muy similar al de botnets como ZeuS y Conficker, que además de tomar control de la PC del usuario, inyectan un código malicioso tipo keylogger (programa capaz de registrar todas las teclas oprimidas por el usuario) con el fin de robar sus nombres de usuarios o contraseñas de servicios bancarios, cuentas de correo, sitios de comercio electrónico o perfiles en redes sociales. Aunque la autoridad no ha determinado el impacto económico causado por Coreflood, el DoJ aseguró que la red robot controlaba más de 2.3 millones de computadoras, 1.8 millones de ellas ubicadas en Estados Unidos. Los trece acusado, identificados como John Does, enfrentan una demanda civil por participar en fraude electrónico, fraude bancario e interceptación ilegal de comunicaciones electrónicas.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA] Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
FABUOLUS BLOG
TEMA LIBRE
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
4 B:SECURE Mayo, 2011
Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
CAE BOTNET COREFLOOD A MANOS DEL FBI; 13 ARRESTADOS
AUNQUE ME CORRAN
Elba de Morán DIRECTORA COMERCIAL
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez, Mario Velázquez. COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Andrés Velázquez, Elihú Hernández, Mario Velazquez, Alberto Ramírez EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
PROTEJA su red
Seguridad HP TippingPoint. Proporciona un conjunto completo de soluciones de seguridad dirigidas a las sofisticadas amenazas en el perímetro y en el interior de la empresa. Descubra por qué más de 5,000 compañías en todo el mundo confían en HP TippingPoint.
www.hp.com.mx/networking/mx Contáctenos al: 5258 – 4979 (D.F.) y 01 800 752 – 6346 (Interior de la República)
*Para obtener más detalles, visite hp.com/networking/mx Copyright © 2011 Hewlett-Packard Development Company, L.P. La información que contiene este documento está sujeta a modificaciones sin aviso previo. Las únicas garantías para los productos y servicios HP se establecen en las declaraciones expresas de garantía que acompañan a dichos productos y servicios. Ninguna información contenida en este documento debe interpretarse como una garantía adicional. HP no se hará responsable de errores técnicos o de edición ni de omisiones contenidas en el presente documento.
LOGIN LOGIN
ABUELITA TUMBA INTERNET EN TODO UN PAÍS
Ya decía Andy Warhol a finales de la década de los sesenta: “En el futuro todos serán mundialmente famosos por 15 minutos”. Una mujer de Georgia le tomó la palabra y se hizo famosa luego de dejar a un país entero sin acceso a internet. De acuerdo con información del Ministerio del Interior de Georgia, la mujer de 75 años, cuyo nombre no se dio a conocer en los medios de comunicación, estaba excavando cerca de la capital Tbilisi en busca de pedazos o cables de cobre para venderlos en el mercado. Pero contrario a encontrar el metal, la ya bautizada “hacker de la pala” hayó los cables de fibra óptica que suministran los servicios de internet al país, mismos que cortó y dañó permanentemente, deshabilitando todo acceso web durante cinco horas.
Medios de comunicación como Guardian informaron que Georgia provee de acceso a internet a más del 90% de los habitantes de Armenia, por lo que el hackeo físico de la mujer dejó sin servicio web a los principales ISP del país y, por consiguiente, a más de 3.2 millones de personas. El Ministerio del interior informó que la mujer podría ser acusada de daño de propiedad particular, por lo que enfrentaría hasta tres años en prisión de encontrársele culpable. Los cables de fibra óptica están formados por hilos de cristal que transportan luz. La información entra de un lado en forma de luz y es entregada como unos y ceros de un código binario al final del cable. Comúnmente este tipo de cables están enterrados a metro y medio bajo tierra.
MÁS DE 77 MILLONES DE CUENTAS COMPROMETIDAS POR HACKEO A PSN DE SONY
EL REGLAMENTO DE LA LFDPPP NO ESTARÁ A TIEMPO: IFAI
Pese a que Sony reiteró ante la prensa internacional que sus sistemas de seguridad han sido reforzados, luego de sufrir uno de los mayores robo de información en la historia, la firma confirmó que su infraestructura y datos nuevamente fueron vulnerados. A través de un comunicado, Sony reconoció que este fin de semana más de 2,500 datos de sus clientes, entre nombres de usuario, correos electrónicos y contraseñas, fueron extraídos de forma ilegal de sus servidores. Estos se suman a los más de 77 millones de cuentas, de su servicio en línea PlayStation Network (PSN) y a los 25 millones de archivos comprometidos de la plataforma Sony Online. La compañía intentó minimizar la noticia indicando que dichos datos fueron recopilados en 2001 y que se trataba de información relacionada con un concurso realizado por la empresa. La empresa nipona ya ha sido citada por el Congreso norteamericano, quien urgió a Sony explicar las razones por las cuáles fue vulnerada su red. La respuesta por parte de Sony fue culpar a Anonymous, al señalar que el grupo hacktivista aprovechó una debilidad en los sistemas de seguridad para robar información sensible, la cual fue detectada durante la serie de ataques de Negación de Servicio (DDoS, por sus siglas en inglés) realizados por el grupo una semana antes. Anonymous, por su parte, se declaró inocente ante las acusaciones hechas por Sony y aseguraron que ellos jamás robarían información de internautas comunes para hacerla pública. En México, por su parte, el Instituto Federal de Acceso a la información (IFAI) ha emplazado al presidente de Sony México, Hiroshi Takahashi, para que presente un informe en el que explique a los usuarios mexicanos sobre las implicaciones que tienen para ellos el robo de información. Los gobiernos de España, Alemania y Holanda también han requerido a los responsables de la empresa en su país, indicando que éstos deben de responder por la brecha de información.
El ya esperado reglamento de cumplimiento de la Ley Federal de Datos Personales en Posesión de Particulares (LFDPPP) no estará listo sino hasta mediados de agosto, un mes después de lo establecido por el legislativo, reconoció Lina Ornelas, directora general de Clasificación y Datos Personales del Instituto Federal de Acceso a la Información (IFAI). Ornelas afirmó que el retraso no fue un problema del IFAI sino que se debió a un error del Legislativo, al no considerar bien los tiempos, procesos de revisión, desarrollo y consulta necesarios para su publicación. “No vamos alcanzar la resolución del legislativo de tener el reglamento al año de la publicación de la ley. La razón es que no se consideraron todos los tiempos y mecanismos que tenemos que enfrentar, entre ellos, los de sometimiento a revisión pública, para poder publicarlo. Estamos hablando que para finales de agosto, un mes después de lo que el legislador publicó inicialmente, podríamos tener el reglamento”, explicó. A pesar del retraso, la funcionara aseguró que el IFAI ha comenzado a adelantarse a los tiempos para compartir con las empresas ejemplos de Avisos de Privacidad, consejos o mejores prácticas. Ornelas también afirmó que el alcance del IFAI es limitado, dado la cantidad de atribuciones y responsabilidades a los que deben alinearse y, por lo tanto, demandó la corresponsabilidad de los responsables de proteger la información de las compañías. La funcionaria reconoció que por más presupuesto que puedan tener, el instituto no podrá darse abasto con todas las demandas y solicitudes de acceso de las entidades gubernamentales de todo el país y las empresas del sector del privado. “No nos preocupa tanto que, quienes incumplan con la ley, no quieran pagarnos la multa, se amparen o litiguen en contra de la decisión del IFAI. Lo que tienen que saber es que vamos hacer público el caso y el impacto en términos de imagen será mucho mayor para ustedes”, dijo. Ornelas expresó que la nueva ley representa una oportunidad para controlar el alcance y evolución que las nuevas tecnologías han generado dentro de las sociedades modernas.
6 B:SECURE Mayo, 2011
NETMEDIA EVENTS MOMENTO DE JUGAR AL CENTRO
A lo largo de ocho años el b:Secure Conference ha servido como escenario para entender el valor de las palabras “continuidad de negocios”. Hoy su significado son la pieza central para la supervivencia de las organizaciones del siglo XXI Por: Sergio López y Carlos Fernández de Lara
Vista general del salón principal
H
ay años que dejan marcas permanentes en una sociedad o industria. Mediados de los setenta: la invención de la Computadora Personal (PC, en inglés). Principios de los ochenta: la aparición del DyntaTAC de Motorola, el primer teléfono realmente móvil. Y 2010: el año en el que el concepto de la ciberseguridad cambió para siempre de paradigma. Para algunos, la afirmación podría sonar exagerada ante el hecho de que la industria de la seguridad IT llevaba más de una década gestándose dentro de las organizaciones y las sociedades modernas. Pero basta con escuchar palabras como WikiLeaks, Anonymous, ZeuS y Stuxnet para entender que el escenario de la seguridad IT y el rol de aquellos que se responsabilizan por ella será distinto a partir de la segunda década del siglo XXI. Y no por la novedad de estos fenómenos, pues la fuga o robo de datos, los grupos hackivistas, la venta de malware o los códigos maliciosos avanzados no nacieron durante 2010, ni tampoco son los primeros de su clase. Sin embargo, el crecimiento de internet, la llamada IT Consumerization, las regulaciones gubernamentales y el imparable crecimiento de los datos digitales hacen que, por primera vez, el impacto o daños causados por alguno de estos sucesos tengan repercusiones globales y casi instantáneas. Así, Anonymous quizá no sea el primer grupo de hackvistas en el mundo, pero si el primero capaz de reclutar cientos o miles de personas en cuestión de segundos y de forma anónima a través de redes sociales como Twitter y Facebook. Quizá Stuxnet no sea el primer malware dedicado a tomar control de sistemas de infraestructura (SCADA), pero sin duda es el primero que ha puesto a gobiernos de todo el orbe, a pensar palabras en como ciberterrorismo o ciberguerra, en contextos ajenos a la ciencia ficción. 8
B:SECURE Mayo, 2011
Y sin duda, WikiLeaks no es el primer escándalo de robo o fuga de información dentro de una empresa o gobierno, pero es el único que ha logrado dañar la imagen de un país en cuestión de minutos y en cada rincón del planeta. Más aún después de saber que la filtración fue interna y sencilla de ejecutar. EL ESPACIO PARA EL CAMBIO
En su octava edición, el b:Secure Conference México tomó la experiencia vivida por el gobierno estadounidense, firmas como Amazon, Visa, Sony, el gobierno Iraní, por mencionar algunos, como ejemplos de lo preparados que tenemos que estar al momento de resguardar y proteger la información más sensible de una organización. Ejecutivos y responsables de empresas como HP, Kaspersky, Symantec, Websense, CA Technologies, ISC2, Ernst & Young, Siemens y expertos internacionales y nacionales aprovecharon el marco del evento para señalar que WikiLeaks, Stuxnet o Anonymous son prueba clara de que los métodos y mecanismos de protección deben transformarse para adaptarse a las nuevas formas de ataque y a las realidades de los negocios digitalizados. Dmitry Bestuzhev, quien encabeza al equipo global de Análisis e Investigación de Kaspersky, señaló que a partir de las publicaciones de Wikileaks, los cibercriminales se percataron que no sólo la información vale dinero en el mercado negro, sino también los datos. Un ejemplo claro, son los precios de las tarjeta de crédito robadas, que varían dependiendo del país emisor y del tipo de tarjeta. Por ejemplo, en Estados Unidos una American Express alcanza hasta $40 dólares. En Canadá pueden ser compradas hasta en $50 dólares y una de México cuesta en promedio $17 dólares, lo mismo que en Francia, Alemania o Suiza.
Bestuzhev subrayó que los datos de los internautas se convirtieron en el nuevo blanco de los ciberdelincuentes, indicando que éstos aprovechan la falta de conciencia por parte de los usuarios de redes sociales y distintos servicios en línea para atacar. El ejecutivo agregó que la explosión del Web 2.0, tanto en el entorno laboral como familiar, obliga a las empresas a contar con nuevos sistemas de protección e indicó que, pese a sus ventajas, su uso significan nuevas brechas de seguridad para las compañías y gobiernos. El experto de Kaspersky concluyó denunciando que en la actualidad los cibercriminales no sólo buscan robar la identidad de los usuarios en las redes sociales, sino aprovechar las brechas que éstas generan en los sistemas de seguridad, para acceder a la inAnderson Ramos de ISC2 formación de las compañías.
EL CISO 2.0, EL CISO QUE CONOCE A SUS USUARIOS
Si se trata de entender hasta dónde permitir el alcance de las redes sociales y el uso de los dispositivos móviles en los ambientes empresariales Joao Rocha, estratega de Soluciones de CA Technologies, afirmó que primero es necesario contar con controles de acceso en la organización. El experto afirma que la tecnología juega a favor de los CISO, pues les permite desarrollar controles de acceso configurables de acuerdo al puesto y nivel de responsabilidad de cada usuario, por lo que preocupación sobre la restricción de servicios queda de lado. El especialista de CA concluyó que, una vez identificados los usuarios y definidos sus controles de acceso, es posible configurar por usuario el acceso a información específica.
Yair Lelis de Symantec
Ricardo Lira de Ernst&Young Will Gragido de HP
LA INGENIERÍA DEL HOMBRE: LA SOCIAL
Joao Rocha de CA
EL MALWEB 2.0
Al respecto de la evolución de internet y las plataformas de colaboración, Yair Lelis, gerente de ventas para Symantec, indicó en su conferencia Sociedad 2.0: Dejando Ser y Manteniendo el Control que el modelo para abordar la seguridad en las empresas se ha modificado. Esta nueva visión de seguridad contempla tres puntos esenciales: un motor de gobernabilidad, reforzamiento de políticas internas y auditoria de servicios en la nube, agregó Lelis añadió que la mayoría de las empresas han adoptado como propios los servicios de Facebook, Twitter, Linkedin, Google Docs, Office Web Apps y Chatter, entre otros. Estos servicios, lejos de afectar la productividad de la empresa, significan un riesgo para la seguridad interna de la misma, pero su prohibición no son la solución más adecuada para las compañías, acotó. El experto señaló que las corporaciones deben de cuestionarse hasta qué punto estas herramientas son benéficas para su desarrollo y hasta dónde se convierten en una amenaza para la empresa.
Sobre la prohibición y control de accesos, Pavel Orozco, ingeniero senior de Websense para México, mostró una postura reservada y señaló que es preferible la educación del internauta antes que la negación de servicios. “¿Quién puede bloquear las descargas de software de Microsoft o el uso de Acrobat Reader para utilizar PDF o tantos otros programas que les ayudan en su operación diaria?”, cuestionó Orozco. El experto indicó que la mayor amenaza dentro de la red es la ingeniería social, y agregó que este fenómeno creció de 1 a 5% en tan sólo dos años. El problema es que, pese a que los sitios web que visitan los usuarios sean confiables, la descarga de malware se realiza de manera inocente por los internautas, los cuales en la mayoría de los casos fueron víctimas de un engaño por parte de un cibercriminal, dijo. Los cibercriminales se encuentran presentes en los sitios que mayor tráfico tienen, ya que es ahí donde más fácil les resulta atacar, aseguró Orozco. De la misma manera que los demás panelistas del b:Secure Conference, el ejecutivo de Websense señaló que los cibercriminales han pasado de un esquema masivo de robo de datos, a uno donde apuntan a archivos específicos, cuyo valor de venta es mucho mayor. Orozco recomendó a las empresas la construcción de políticas de seguridad, en las cuales se dé prioridad a la concientización de los empleados, con ejemplos de cómo las amenazas en línea ponen en riesgo su seguridad personal y la de la compañía. Mayo, 2011 B:SECURE
9
NETMEDIA EVENTS COMUNICADOS NO SIGNIFICA INSEGUROS
LAS AMENAZAS CAMBIAN, SU OBJETIVO NO
Si existe un reto que cualquier responsable de seguridad IT deberá considerar durante los siguientes meses es entender que“más conectados no significa más inseguros”, explicó José Alberto Cárdenas Iriarte, director del Área de Ingeniería y Desarrollo de Soluciones de Siemens Enterprise. Cárdenas comentó que el Web 2.0, internet y la movilidad abren las puertas a la transformación y crecimiento de todas las organizaciones, pero agregó que su apertura no debe de ser apresurada ni descuidada. “Nos llegó el momento de evolucionar hacia un modelo de CaaS (Communcations as a Service) abierto, orientado por tipo de usuario, flexible y controlable”, dijo. En ese sentido, el experto colocó al Cloud Computing como el camino perfecto para que una compañía alinee su colaboración y modelos de conectividad al CaaS. Cárdenas mencionó que los responsables de seguridad y de IT deben considerar siete aspectos vitales para operar bajo un modelo de cómputo en la nube: Acceso
Políticas, controles de acceso, definición de procesos, pero también los sistemas y mecanismo de protección contra las amenazas externas son elementos que serán fijos en la estrategia de todo responsable de seguridad, explicó Will Gragido gerente de Producto de DVLabs de HP Gragido agregó que no es posible dejar todo en manos de IT y que urge la concientización de los internautas y la colaboración de las autoridades para actuar con inteligencia y rapidez. Para el ejecutivo de HP, es determinante para la seguridad de las compañías que cuenten con filtros y sistemas que detecten amenazas en tiempo real, argumentando que sólo así una empresa puede estar segura. “Todo en este mundo se mueve por el dinero y las ganancias. También los criminales están organizados buscando mayores utilidades”, dijo. El ejecutivo dio ejemplos de ciberataques con alcance global, como Eligible Receiver (que data de 1997), donde hackers organizados se infiltraron en los sistemas IT del Pentágono estadounidense, to-
José Alberto Cárdenas de Siemens Dmitry Bestuzhev de Kaspersky
de usuarios con base a privilegios, cumplimiento de normatividad, ubicación de la información, segregación de los datos, recuperación, apoyo a la Investigación y la viabilidad del proyecto a largo plazo. “No se puede limitar a los usuarios el acceso a herramientas y dispositivos que ayuden a aumentar la productividad. Se les tienen que dar, pero también deben analizar los riesgos al poner información en la mano del usuario. Se deben crear mecanismos para minimizar riesgos y tener un plan de contingencia cuando suceda un evento”, apuntó
Pavel Orozco de Websense
mando control de las redes de energía de ese país y los sistemas 911 de las principales ciudades. “Los efectos de este hecho se siguieron viendo por años”, puntualizó. Gragido explicó que los ataques más peligrosos hasta el momento para las organizaciones son las ya conocidos Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), los Adversarios Persistentes Avanzados (APA) y las Amenazas Subersivas Multi-Vector (SMT). MUCHAS AMENAZAS, POCOS PROTECTORES
SI NO ES POR TEMOR SERÁ POR LEY
Ricardo Lira, gerente senior de Aseguramiento y Riesgos en IT y especialista en protección de datos de Ernst & Young, señaló que además de los retos de movilidad, los responsables de seguridad de IT ya deben de estar alineados con la Ley Federal de Protección de Datos Personales en Posesión de Particulares. “Bendita oportunidad. Ahora no solamente tenemos que proteger la información en posesión del área de sistemas, sino de las demás áreas del negocio y de los clientes”, opinó. El experto justificó su postura al indicar que la ley trae consigo la definición de principios de tratamiento de la información, además de señalar cómo alinear sus procesos de negocio al cumplimiento de la misma, diseñar o mejorar medidas de seguridad administrativas, reforzar las medidas de seguridad técnicas y físicas, así como, en caso de no haberlo hecho ya, la clasificación de los datos personales, sensibles o patrimoniales. Lira indicó que la promulgación de dicha ley manifiesta el compromiso del gobierno con la seguridad de las compañías y de los usuarios. “Necesitamos entender la operación de la empresa para saber cómo vamos a tratar la información que recaban para hacer sus negocios”. 10
B:SECURE Mayo, 2011
Como consecuencia del bajo nivel de profesionales especializados en seguridad IT, enfrentar y solucionar los principales problemas de ciberseguridad en América Latina no serán tareas fáciles, explicó Anderson Ramos, ejecutivo de la firma de consultoría en seguridad ISC². Ramos indicó que en la región apenas existen 1,000 profesionales IT certificados, frente a los casi 20,000 que tienen países como Estados Unidos. En México, por ejemplo, 52% de los profesionales dedicados a la seguridad poseen un título universitario y 46% cuentan con estudios de posgrado. Además 86% son hombres, contra 14% de mujeres, según cifras de ISC². Aunque la organización cuente con sistemas de seguridad adecuados, el apoyo gubernamental y empleados altamente capacitados para evitar amenazas, es necesario mantener en las filas de la corporación profesionales que sepan cómo actuar frente a un episodio que vulnere la seguridad, dijo. “El problema de la seguridad en las empresas es un problema humano, no necesariamente de capacidades o infraestructuras técnicas. Cómo pretendemos resolver los riesgos de seguridad IT, si no tenemos a quién acudir para solucionarlos” aseguró Ramos. O
CONCIENTIZACIÓN Y REGULACIÓN: EL DOBLE FACTOR DEL CAMBIO CARLOS MARMOLEJO LOGRÓ QUE LA SEGURIDAD EN LA BANCA POR INTERNET DEJARA DE SONAR COMO UNA SIMPLE PROMESA DE LOS BANCOS EN MÉXICO Y COMENZARA A OPERAR COMO UN SERVICIO CONTROLADO Y ASEGURADO, EN FAVOR DE LOS NEGOCIOS Y CIUDADANOS DEL PAÍS. Por Carlos Fernández de Lara carlos@netmedia.info
P
uede no gustarnos, sonar muy materialista o en extremo capitalista, pero la realidad es que desde hace siglos las sociedades están impulsadas por un mecanismo único: el dinero. Desde el trueque, con el intercambio de especies, animales de corral, granos, hasta el uso de metales, papel moneda o, más recientemente, el plástico, es el efectivo, para bien o para mal, el que actúa como el engranaje que da movimiento el actuar del hombre. Pero el dinero en el siglo XXI representa un nuevo reto para las sociedades modernas porque, a diferencia de siglos pasados, ese efectivo por primera vez en la historia es un intangible. Es decir, un activo formado de unos y ceros, de un código binario, cuya referencia y valor únicamente podemos apreciar a través de una pantalla digital. Pero como cualquier otro, éste también debe ser protegido y resguardado. La pregunta radica en, ¿cómo proteger algo que no existe físicamente? ¿Cómo asegurar el valor de un intangible, fácil de mover, transportar e intercambiar? Y, sobre todo, ¿cómo evitar que grupos criminales tomen provecho de aquellos huecos o vulnerabilidades presentes en todo sistema de transacciones? Sin saberlo, hace casi 20 años cuando a penas era un joven becario dentro la Comisión Nacional Bancaria y de Valores (CNBV), Carlos Marmolejo dedicaría gran parte de su vida a dar respuesta a varias de estas interrogantes y, eventualmente, jugaría un papel central en el desarrollo de uno de los sistemas de Banca por Internet y de medios electrónicos más regulados y mejor del mundo; el de México. Motivos suficientes para hacerlo acreedor al b:Secure Award 2011.
¿WEB 1.0?, MÁS BIEN WEB 0.5
Primero como supervisor de sistemas para el sector bancario mexi-
12 B:SECURE
Mayo, 2011
cano y, posteriormente como miembro y luego director general de Supervisión de Riesgo Tecnológico y Operacional de la CNBV, Marmolejo inició su labor en una era en la que los departamentos de IT eran escasos y poco esenciales para la mayoría de las organizaciones. Una época donde los Facebook eran los álbumes de fotos de nuestras madres, los únicos tweets que escuchábamos venían del trinar de las aves y lo más parecido a YouTube eran las videocintas de bodas, bautizos, quince años o vacaciones, que nuestro padre reproducía en las reuniones familiares en la cámara de video a la videocasetera VHS. Un momento en que la tecnología era un componente más de la vida humana y no un elemento vital para el desarrollo o crecimiento de un negocio, ciudad o país. Época, reconoce Marmolejo, afortunada para el área de IT de la CNBV. “Sin duda éramos un área importante en temas de regulación, pero no teníamos un punto de vista estratégico, ni preponderante dentro de la Comisión. Estamos hablando de 1994 y 1995, un momento en que la única preocupación de México era salvar al sector financiero de la crisis económica”, dice. Sentado en su nueva oficina, ahora del “otro lado de la moneda” como director de Operación y Sistemas de Afore XXI, Marmolejo recuerda que esa situación les permitió prepararse ante los cambios y sacar adelante varios proyectos para el futuro. AL CENTRO DEL ESCENARIO
Pero la posición de IT y la responsabilidad de Marmolejo dentro de la CNBV tarde o temprano cambiarían. Y lo harían de forma radical, tras la ola de fraudes por internet más grande que México ha enfrentado en su historia, a mediados de la primera década del siglo XXI. “En 2005 los fraudes o robo de dinero por internet en México eran
altísimos. Al grado de que únicamente seis bancos del país reportaron pérdidas por más de $1,000 millones de pesos”, comenta. La noticia inundó las planas de diarios y medios de comunicación en México y el extranjero. De acuerdo a estimaciones de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) los fraudes afectaron a más de 3,000 usuarios de la banca en línea y las pérdidas rebasaron los $600 millones de dólares. En algunos casos, los montos robados ascendieron a más de $1.2 millones de dólares. Para muchas personas, el robo, significó enfrentar la pérdida de “los ahorros de toda su vida y el futuro de su familia”, en cuestión de segundos, o para el caso, tras un par de clics. ¿La culpa? Según los usuarios, la tenían los bancos por no contar con medidas y sistemas de seguridad apropiados. Mientras que los bancos, culpaban al usuario de descuidado de sus claves de acceso. “A partir de ese momento la CNBV decidió tomar acciones concretas y dio un papel central a la dirección de Riesgo Tecnológico y Operacional, para tomar y crear medidas regulatorias alrededor de las transacciones electrónicas y por internet”, recuerda Marmolejo. La labor de investigación del equipo de profesionales IT, liderados por Marmolejo, y el resto de las áreas de la CNBV dieron como resultado una de las regulaciones más importantes del sistema financiero en México, la cual exige la creación de mecanismos de control y seguridad en las transacciones electrónicas y los servicios de la banca por internet. Es decir, el ya famoso Capitulo X de la CNBV. Para Marmolejo, el Capitulo X fue más que la creación de leyes o reglas para los bancos. Fue reflejo de una ardua tarea que comenzó desde revisar los centros de datos de las instituciones financieras más grandes de México, realizar análisis de vulnerabilidades y pruebas anithackeo (internas y externas), hasta revisar medidas, procesos de seguridad dentro de bancos, casas de bolsa o fondos de inversión y generar procesos de concientización o educación entre la alta dirección de las empresas financieras del país. La evaluación del sistema financiero mexicano, su situación, posibles vulnerabilidades y riesgos potenciales permitieron a la CNBV colocar el segundo factor de autenticación como una medida obligatoria para todos los bancos. Medida que, reconoce, prosperó con el brazo de la ley de su lado. “Para muchas instituciones financieras la seguridad IT era el último recurso en el que pensaban para proteger a sus clientes. Y no fue fácil obligarlos a cambiar porque hubo quienes operaron como punta de lanza y se adelantaron, pero también hubo varios que nos pidieron prórrogas para implementar el doble factor de autenticación, a días de cumplirse el plazo. No se los dimos, cancelamos operaciones en varios bancos y en días tenían el proyecto terminado”, recuerda. En cuestión de años, la banca en línea cambió por completo, asegura con orgullo, al alcanzar una disminución cercana al 95% de los delitos y fraudes por internet. Después de Singapur, dice, México tiene la regulación más fuerte en términos de transacciones en línea, al proteger con el doble factor de
Mayo, 2011 B:SECURE 13
autenticación operaciones desde un peso, hasta un millón de pesos. Y si bien, Marmolejo reconoce que México es un país donde los mitos, como “la banca por internet es insegura porque hay mucho fraude” y “los bancos tienen acceso a tu NIP y claves de acceso”, permanecen en el colectivo social, la realidad es que el uso de este servicio ha mantenido un crecimiento constante durante los últimos cinco años. De acuerdo al reporte La Banca por internet y su evolución de la Condusef, de los casi 30 millones de mexicanos con acceso al web, 13 millones (41%) utilizan los servicios de banca en línea. Según la Condusef, actualmente 25% de las transacciones financieras que se hacen en México (distintas al efectivo) se hacen a través de los servicios de banca por internet. El mismo Banco de México reportó que, entre enero y marzo de 2011, su Sistema de Pago Electrónico Interbancario (SPEI) manejó más de 24 millones de operaciones, que en conjunto rebasaron los $41 millones de pesos. El fenómeno apenas comienza, pues a medida que el número de usuarios web aumente y la tasa generacional se invierta, los medios electrónicos y el internet se convirtirán en los principales, o quizá los únicos, medios existentes para realizar transacciones financieras, convirtiendo al papel moneda en un bello recuerdo de las sociedades antiguas del siglo pasado. COMO DIRÍA ALBERT EINSTEIN…
A lo largo de su vida Albert Einstein acuñó casi un centenar de frases, hoy famosas y reproducidas alrededor del planeta. Aunque ninguna es específica a la ciberseguridad, existe una frase que embona en el quehacer diario de quienes se dedican a resguardar los sistemas de seguridad: “Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera”. Así, aunque el Capitulo X logró eliminar muchos de los problemas que la banca por internet enfrentó entre 2005 y 2009, el fraude web, robo de dinero electrónico, la sobre confianza del usuario y el cibercrimen no han desparecido, ni parece que lo vayan hacer. “México es el segundo país con los mejores niveles de seguridad en la banca a nivel global, pero esto no significa que siempre será así y es posible que el día de mañana un simple cambio pueda afectar a todo el sistema”, explica Marmolejo. El experto reconoce que el fraude y robo han comenzado a moverse a otras áreas como las sucursales bancarias, cajeros automáticos y algunos modelos de compras en línea, como reflejo de la falta de medidas de seguridad y educación alrededor de los mismos. Un caso concreto es la clonación de tarjetas bancarias. Según datos de la CNBV y el Banco de México los bancos reportan al trimestre pérdidas por más de $700 millones de pesos en tarjetas de crédito y $400 millones en tarjetas débito por problemas de clonación. Para Marmolejo el problema no será permanente pues, gracias a las modificaciones que hicieron al Capitulo X, el uso del chip será obligatorio para todos los bancos y todas las tarjetas para finales de 2012, eliminando así la mayor parte de los casos de clonación de-
14 B:SECURE
Mayo, 2011
rivados de la facilidad que existe actualmente para duplicar la información de la banda magnética de los plásticos. MOVILIDAD, ROBO DE IDENTIDAD Y CAMBIO DE CACHUCHA
Sin duda Marmolejo ya no es aquel becario de la CNBV de hace casi 20 años. Sentado, frente a su escritorio en su nueva oficina, su expresión mantiene una dualidad entre la seriedad de su puesto y su experiencia, con la fascinación que siente al relatar y hablar sobre temas de ciberseguridad en México. “Falta mucho y hay que seguir trabajando”, dice, y aunque reconoce que ya no estará dentro de la CNBV, verá con orgullo la entrada y funcionamiento de los esquemas y reglas para los servicios de banca móvil y pago móvil en México. “Ya no me tocó estar ahí, pero trabajamos arduamente para crear un ecosistema de banca móvil que contemple regulación no sólo para los bancos, sino para los operadores móviles, las corresponsalías, que incluya límites de transacciones, sistemas de monitoreo y avisos a los usuarios vía SMS. Para mí, es un orgullo decir que la banca móvil comenzará a ser un realidad a partir de 2011”, dice. Pero no todo son logros y metas cumplidas, pues reconoce que está en manos de las “nuevas generaciones” dar continuidad a todos estos temas, al tiempo que lidia frente a nuevos y crecientes retos como el robo de identidad, avanzados modelos de ingeniería social y la falta de concientización sobre estos temas entre los ciudadanos. “Creo que muchas organizaciones todavía ven el tema de seguridad como un gasto, en el que hay que invertir cuando ya tuvimos problemas. Sin embargo, cada vez son más personas a las que nos preocupa el tema. Si me hubieras preguntado hace 15 años diría que es terrible la situación, pero en el último lustro crea que ha mejorado”, afirma. Para él, la marcha continua y el cambio, que impulsó durante lustros en la CNBV, es el que busca llevar al sistema de afores y pensiones de Afore XXI, en su función de director de Operación y Sistemas. “Mi tarea es crear estándares, controles y niveles de seguridad en Afore XXI. Mi reto es construir la Afore más innovadora y segura de México. Sin duda será una tarea de mucha educación y convencimiento”. Y si bien, reconoce que en esta ocasión el brazo de regulador no estará de su lado, el logro será mucho más significativo porque son la concientización y educación las que realmente generarán un cambio permanente. Así, con una “cachucha” distinta (pero con un pie permanente (como asesor especial en seguridad dentro de la CNBV) Marmolejo asegura que la mejor manera de transformar los modelos de seguridad de cualquier empresa o gobierno del mundo, es educando a los individuos que los conforman a comprender la diferencia entre obligación y responsabilidad. “A mi me gusta mucho una frase de un escritor español llamado José Luis Coll que dice: ‘Un país habrá llegado al máximo de su civismo cuando en él se puedan celebrar los partidos de fútbol sin árbitros’. Aún estamos lejos de esa realidad, pero creo que es hacia donde debemos avanzar”, dice. O
GEEKYBUTLAWYER .
LA EVOLUCIÓN DE LAS LEYES O EL INSTINTO DE SUPERVIVENCIA QUERAMOS O NO EL MUNDO VIRTUAL ESTÁ CAMBIANDO AL FÍSICO. LOS BITS Y BYTES DEL UNIVERSO DIGITAL HOY SON LA COLUMNA VERTEBRAL PARA MUCHOS NEGOCIOS, GOBIERNOS E INCLUSO USUARIOS, PERO NO TODOS LOS USUARIOS DE ESTE UNIVERSO ESTÁN DISPUESTOS A QUE ESE CAMBIO SEA ORDENADO Y PARA BIEN.
Por Cynthia Solís
D
esde hace más de dos años me he enfocado al fenómeno de la cibercriminalidad y sus interesantes mutaciones, es apasionante la forma en la que los ataques se han sofisticado y diversificado y, más aún la figura, el cambio social que ha alcanzado la figura del ciber atacante, que ha dejado de ser un ente aislado para convertirse en una organización criminal. Existe una enorme diversidad de delitos cibernéticos, más de los que los usuario promedio conocen, que afectan a casi cualquier miembro de la sociedad desde empresas privadas, industria financiera, internautas, gobiernos, menores de edad, etcétera. La lista es casi interminable, gracias a la astucia e ingenio de los delincuentes y a la impericia de las víctimas, es un círculo vicioso.
Los gobiernos del mundo han empezado a reaccionar ante esta ola de ataques, lo cuales han tomado mayor relevancia tras las incómodas revelaciones de fenómenos WikiLeaks, el posicionamiento y fuerza mediática del grupo hacktivista Anonymous o el robo masivo de datos que sufrió una firma internacional como Sony. Quizás esto sea incómodo para muchos, pero a las personas relacionadas con la conservación del orden público, tanto gobierno como autoridades internacionales, poderes judiciales y abogados, nos toca la difícil tarea de encontrar medidas legales para frenar esta moda delincuencial en pro de lograr una adecuada seguridad en la sociedad de la información. Uno de los grandes y destacables avances en la materia fue aquél de 2001 por parte del Consejo Europeo con el Convenio de Budapest en materia de cibercriminalidad, que cubre todos los aspectos relevantes de la legislación, como derecho penal, derecho procesal y coope-
ración internacional y trata con carácter prioritario una política penal contra la ciberdelincuencia. Además ha inspirado a otros países americanos como Estados Unidos y Argentina a armonizar sus leyes locales con este convenio. Uno de los fenómenos que actualmente tiene preocupada a la sociedad son los ataques de Denegación de Servicios y Denegación de Servicios Distribuido, mejor conocidos por sus siglas en inglés como DoS y DDoS, que aunque no son nuevos han cobrado una nueva personalidad, abanderando ideologías políticas y filosóficas. En México hemos tenido nuestra propia versión de estos movimientos con “Operación Tequila”, que logró su objetivo principal al comprobar que un grupo de usuarios comunes y corrientes pueden manifestarse virtualmente. Muchas personas argumentan que como tal los DoS y DDoS no son delitos que se encuentre tipificados en la legislación penal. Sin embargo, en legislaciones penales como el Código Penal español que fue reformado el 23 de diciembre de 2010, en su artículo 264 ya se encuentra penalizado este tipo ataques, según se transcribe a continuación: 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años. 2. El que por cualquier medio, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.” En fin, para descontento de muchos y para tranquilidad de otros, las legislaciones penales a nivel internacional irán transformándose de tal manera que contemplen cada vez más estas actividades ilícitas relacionadas con sistemas informáticos y, desgraciadamente, también los delincuentes irán sofisticando más sus ataques, de modo que viviremos en una especie de cuento de nunca acabar. Sin embargo, nuestra misión como auxiliares de la justicia será siempre preservar el bien común y el orden público, y prevenir que esta ciberguerra se expanda a todo el mundo, aunque quizás ya sea demasiado tarde tenemos la misión de frenar los daños colaterales. O
Cynthia Solís es experta en Derecho Informático y Derecho de la Innovación Técnica. Ha trabajado en la Cámara de Diputados del Congreso de la Unión de 2000
a 2003, despachos corporativos y en el Instituto Mexicano de la Propiedad Industrial. Es co-fundadora del despacho boutique especializado en la materia LexInformatica, presidenta fundadora del capítulo mexicano de la Asociación Civil Internacional AGEIA DENSI y conductora del programa Legal Friday’s. Mayo, 2011 B:SECURE 15
LALEYYELDESORDEN 2.0 .
UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES Por Joel A. Gómez Treviño
3ª PARTE
TRANSFERENCIA DE DATOS PERSONALES, FACULTADES DEL INSTITUTO Y AUTORIDADES, PROCEDIMIENTOS, INFRACCIONES Y DELITOS
E
sta es la tercera y última entrega de esta serie de artículos que contienen un resumen y comentarios sobre la nueva ley de protección de datos personales.
CAPÍTULO V. DE LA TRANSFERENCIA DE DATOS
Uno de los mayores retos que toda ley de protección de datos busca regular es la transferencia de datos a terceros y las transferencias transfronterizas o internacionales. La ley prevé que cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. A su vez, el tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos. Existen algunas excepciones a esta regla general. La ley establece que es posible transferir datos nacional o internacionalmente sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos: UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊiÃÌjÊ«ÀiÛ ÃÌ>Êi ÊÕ >Ê iÞÊ Ê/À>Ì>` Êi Ê ÃÊ que México sea parte; UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊÃi>Ê iViÃ>À >Ê«>À>Ê >Ê«ÀiÛi V Ê Êi Ê` >}nóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊÃi>ÊiviVÌÕ>`>Ê>Êà V i`>`iÃÊV ÌÀ >` À>Ã]Ê subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊÃi>Ê iViÃ>À >Ê« ÀÊÛ ÀÌÕ`Ê`iÊÕ ÊV ÌÀ>Ì ÊVilebrado o por celebrar en interés del titular, por el responsable y un tercero; UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊÃi>Ê iViÃ>À >Ê Ê i}> i ÌiÊiÝ } `>Ê«>À>Ê >Ê salvaguarda de un interés público, o para la procuración o administración de justicia; UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊÃi>Ê«ÀiV Ã>Ê«>À>Êi ÊÀiV V i Ì ]Êi iÀV cio o defensa de un derecho en un proceso judicial, y UÊ Õ> ` Ê >ÊÌÀ> ÃviÀi V >ÊÃi>Ê«ÀiV Ã>Ê«>À>Êi Ê > Ìi i Ì Ê ÊVÕ plimiento de una relación jurídica entre el responsable y el titular. CAPÍTULO VI. DE LAS AUTORIDADES
La autoridad garante para los efectos de esta ley es el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI). Entre otros, el 16 B:SECURE Mayo, 2011
IFAI tendrá por objeto vigilar la debida observancia de las disposiciones previstas en la Ley y que deriven de la misma. Algunas atribuciones importantes del Instituto son las siguientes: UÊ *À « ÀV >ÀÊ>« Þ ÊÌjV V Ê>Ê ÃÊÀië Ã>L iÃʵÕiÊ Êà V Ìi ]Ê«>À>Êi Ê cumplimiento de las obligaciones establecidas en la presente Ley; UÊ Ì ÀÊ ÃÊVÀ ÌiÀ ÃÊÞÊÀiV i `>V iÃ]Ê`iÊV v À `>`ÊV Ê >ÃÊ` Ãposiciones aplicables de esta Ley, para efectos de su funcionamiento y operación; UÊ ÛÕ }>ÀÊiÃÌ? `>ÀiÃÊÞÊ i ÀiÃÊ«À?VÌ V>ÃÊ ÌiÀ >V > iÃÊi Ê >ÌiÀ >Ê de seguridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable; UÊ ViÀÊÞÊÀià ÛiÀÊ ÃÊ«À Vi` i Ì ÃÊ`iÊ«À ÌiVV Ê`iÊ`iÀiV ÃÊÞÊ de verificación señalados en esta Ley e imponer las sanciones según corresponda; UÊ «iÀ>ÀÊV Ê ÌÀ>ÃÊ>ÕÌ À `>`iÃÊ`iÊÃÕ«iÀÛ Ã ÊÞÊ À}> à ÃÊ >V nales e internacionales, a efecto de coadyuvar en materia de protección de datos. Por su parte, la Secretaría de Economía, en su carácter de Autoridad Reguladora, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital. Entre las principales atribuciones de la Secretaría, destacan las siguientes: UÊ Ì ÀÊ ÃÊ i> i Ì ÃÊV ÀÀië ` i ÌiÃÊ«>À>Êi ÊV Ìi ` ÊÞÊ> V> ces de los avisos de privacidad en coadyuvancia con el Instituto; UÊ >ÀÊ ÃÊ«>À? iÌÀ ÃÊ iViÃ>À ÃÊ«>À>Êi ÊV ÀÀiVÌ Ê`iÃ>ÀÀ Ê`iÊ ÃÊ icanismos y medidas de autorregulación a que se refiere el artículo 44 de la Ley (esquemas de autorregulación vinculante), incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto; UÊ iÛ>ÀÊ>ÊV>L Ê ÃÊÀi} ÃÌÀ ÃÊ`iÊV ÃÕ ` ÀiÃÊi Ê >ÌiÀ >Ê`iÊ`>Ì ÃÊ«iÀsonales y verificar su funcionamiento. El citado artículo 44 establece que las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.
Los esquemas de autorregulaciรณn podrรกn traducirse en cรณdigos deontolรณgicos o de buena prรกctica profesional, sellos de confianza u otros mecanismos, y contendrรกn reglas o estรกndares especรญficos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serรกn notificados de manera simultรกnea a las autoridades sectoriales correspondientes y al Instituto. CAPร TULO VII. DEL PROCEDIMIENTO DE PROTECCIร N DE DATOS
Este es el mecanismo mediante el cual el titular de los datos podrรก iniciar una acciรณn en contra del responsable de los datos cuando alguno de sus derechos haya sido vulnerado. El procedimiento se iniciarรก a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamaciรณn y de los preceptos de la Ley que se consideran vulnerados. La solicitud de protecciรณn de datos deberรก presentarse ante el Instituto dentro de los quince dรญas siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable, en relaciรณn al ejercicio de alguno o todos los derechos ARCO (acceso, rectificaciรณn, cancelaciรณn y oposiciรณn). CAPร TULO VIII. DEL PROCEDIMIENTO DE VERIFICACIร N
El IFAI verificarรก el cumplimiento de la Ley y de la normatividad que de รฉsta derive. La verificaciรณn podrรก iniciarse de oficio o a peticiรณn de parte. La verificaciรณn de oficio procederรก cuando se dรฉ el incumplimiento a resoluciones dictadas con motivo de procedimientos de protecciรณn de derechos a que se refiere el Capรญtulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley. CAPร TULO IX. DEL PROCEDIMIENTO DE IMPOSICIร N DE SANCIONES
Si con motivo del desahogo del procedimiento de protecciรณn de derechos o del procedimiento de verificaciรณn que realice el Instituto, รฉste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciarรก el procedimiento de imposiciรณn de sanciones, a efecto de determinar la sanciรณn que corresponda. CAPร TULO X. DE LAS INFRACCIONES Y SANCIONES Infracciรณn cometida por el responsable de los datos t /P DVNQMJS DPO MB TPMJDJUVE EFM UJUVMBS QBSB FM BDDFTP SFDUJmDBDJยงO DBODFMBDJยงO V PQPTJDJยงO BM USBUBNJFOUP EF TVT EBUPT QFSTPOBMFT TJO SB[ยงO GVOEBEB FO MPT UยฑSNJOPT previstos en la Ley. t "DUVBS DPO OFHMJHFODJB P EPMP FO MB USBNJUBDJยงO Z SFTQVFTUB EF TPMJDJUVEFT EF BDDFTP SFDUJmDBDJยงO DBODFMBDJยงO V oposiciรณn de datos personales; t %FDMBSBS EPMPTBNFOUF MB JOFYJTUFODJB EF EBUPT QFSTPOBMFT DVBOEP FYJTUB UPUBM P QBSDJBMNFOUF FO MBT CBTFT EF EBUPT EFM responsable; t %BS USBUBNJFOUP B MPT EBUPT QFSTPOBMFT FO DPOUSBWFODJยงO B los principios establecidos en la Ley; t 0NJUJS FO FM BWJTP EF QSJWBDJEBE BMHVOP P UPEPT MPT FMFNFOUPT B RVF TF SFmFSF FM BSUยญDVMP EF MB -FZ t .BOUFOFS EBUPT QFSTPOBMFT JOFYBDUPT DVBOEP SFTVMUF JNQVUBCMF BM SFTQPOTBCMF P OP FGFDUVBS MBT SFDUJmDBDJPOFT P DBODFMBDJPOFT EF MPT NJTNPT RVF MFHBMNFOUF QSPDFEBO DVBOEP SFTVMUFO BGFDUBEPT MPT EFSFDIPT EF MPT UJUVMBSFT t /P DVNQMJS DPO FM BQFSDJCJNJFOUP QBSB RVF FM SFTQPOTBCMF MMFWF B DBCP MPT BDUPT TPMJDJUBEPT QPS FM UJUVMBS EFSFDIPT "3$0
Sanciรณn Apercibimiento
.VMUB EF B QFTPT B EยญBT EF TBMBSJP NยญOJNP WJHFOUF FO FM %JTUSJUP 'FEFSBM
t *ODVNQMJS FM EFCFS EF DPOmEFODJBMJEBE SFTQFDUP EF DVBMRVJFS GBTF del tratamiento de datos personales; t $BNCJBS TVTUBODJBMNFOUF MB mOBMJEBE PSJHJOBSJB EFM USBUBNJFOUP EF MPT EBUPT TJO IBCFS SFDBCBEP OVFWBNFOUF FM DPOTFOUJNJFOUP EFM UJUVMBS t 5SBOTGFSJS EBUPT B UFSDFSPT TJO DPNVOJDBS B ยฑTUPT FM BWJTP EF QSJWBDJEBE RVF DPOUJFOF MBT MJNJUBDJPOFT B RVF FM UJUVMBS TVKFUยง MB EJWVMHBDJยงO EF MPT NJTNPT t 7VMOFSBS MB TFHVSJEBE EF CBTFT EF EBUPT MPDBMFT QSPHSBNBT P FRVJQPT DVBOEP SFTVMUF JNQVUBCMF BM SFTQPOTBCMF t -MFWBS B DBCP MB USBOTGFSFODJB P DFTJยงO EF MPT EBUPT QFSTPOBMFT GVFSB EF MPT DBTPT FO RVF FTUยฑ QFSNJUJEB QPS MB -FZ t 3FDBCBS P USBOTGFSJS EBUPT QFSTPOBMFT TJO FM DPOTFOUJNJFOUP FYQSFTP EFM UJUVMBS FO MPT DBTPT FO RVF ยฑTUF TFB FYJHJCMF t 0CTUSVJS MPT BDUPT EF WFSJmDBDJยงO EF MB BVUPSJEBE t 3FDBCBS EBUPT FO GPSNB FOHBยฉPTB Z GSBVEVMFOUB t $POUJOVBS DPO FM VTP JMFHยญUJNP EF MPT EBUPT QFSTPOBMFT DVBOEP TF IB TPMJDJUBEP FM DFTF EFM NJTNP QPS FM *OTUJUVUP P MPT UJUVMBSFT t 5SBUBS MPT EBUPT QFSTPOBMFT EF NBOFSB RVF TF BGFDUF P JNQJEB FM FKFSDJDJP EF MPT EFSFDIPT "3$0 t $SFBS CBTFT EF EBUPT RVF DPOUFOHBO EBUPT QFSTPOBMFT TFOTJCMFT TJO RVF TF KVTUJmRVF MB DSFBDJยงO EF MBT NJTNBT QBSB mOBMJEBEFT MFHยญUJNBT DPODSFUBT Z BDPSEFT DPO MBT BDUJWJEBEFT P mOFT FYQMยญDJUPT RVF QFSTJHVF FM TVKFUP SFHVMBEP Z t $VBMRVJFS JODVNQMJNJFOUP EFM SFTQPOTBCMF B MBT PCMJHBDJPOFT FTUBCMFDJEBT B TV DBSHP FO UยฑSNJOPT EF MP QSFWJTUP FO MB QSFTFOUF -FZ t &O DBTP EF RVF EF NBOFSB SFJUFSBEB QFSTJTUBO MBT JOGSBDDJPOFT DJUBEBT FO MPT JODJTPT BOUFSJPSFT TF JNQPOESยธ VOB NVMUB BEJDJPOBM RVF JSยธ EF B EยญBT EF TBMBSJP NยญOJNP WJHFOUF FO FM %JTUSJUP 'FEFSBM t 5SBUยธOEPTF EF JOGSBDDJPOFT DPNFUJEBT FO FM USBUBNJFOUP EF EBUPT TFOTJCMFT MBT TBODJPOFT QPESยธO JODSFNFOUBSTF IBTUB QPS EPT WFDFT MPT NPOUPT FTUBCMFDJEPT
.VMUB EF B QFTPT B EยญBT EF TBMBSJP NยญOJNP WJHFOUF FO FM %JTUSJUP 'FEFSBM
.VMUB EF B QFTPT .VMUB EF B QFTPT
Resta concluir sobre el tema de las multas, que el IFAI fundarรก y motivarรก sus resoluciones, considerando: (a) la naturaleza del dato; (b) la notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en tรฉrminos de la Ley; (c) el carรกcter intencional o no, de la acciรณn u omisiรณn constitutiva de la infracciรณn; (d) la capacidad econรณmica del responsable, y (e) la reincidencia. CAPร TULO XI. DE LOS DELITOS EN MATERIA DEL TRATAMIENTO INDEBIDO DE DATOS PERSONALES 4F TBODJPOBSยธ DPO QSJTJยงOy t "M RVF FTUBOEP BVUPSJ[BEP QBSB USBUBS EBUPT QFSTPOBMFT DPO ยธOJNP EF MVDSP QSPWPRVF VOB WVMOFSBDJยงO EF TFHVSJEBE B MBT CBTFT EF EBUPT CBKP TV DVTUPEJB t "M RVF DPO FM mO EF BMDBO[BS VO MVDSP JOEFCJEP USBUF EBUPT QFSTPOBMFT NFEJBOUF FM FOHBยฉP BQSPWFDIยธOEPTF EFM FSSPS FO RVF TF FODVFOUSF FM UJUVMBS P MB QFSTPOB BVUPSJ[BEB QBSB USBOTNJUJSMPT t 5SBUยธOEPTF EF EBUPT QFSTPOBMFT TFOTJCMFT MBT QFOBT B RVF TF SFmFSF FTUF $BQยญUVMP TF EVQMJDBSยธO
Sanciรณn Prisiรณn de tres meses a USFT BยฉPT Prisiรณn de seis meses a DJODP BยฉPT Prisiรณn de seis meses a EJF[ BยฉPT
Creo que no es hasta esta รบltima entrega, particularmente despuรฉs de haber visto los montos de las multas y el tiempo que puede un responsable de datos ir a parar a prisiรณn, que prestaremos la debida atenciรณn y entenderemos la relevancia de cumplir con esta ley. Desde que se publicรณ la ley pululan โ despachos de consultoresโ que buscan brindar asesorรญa sobre el cumplimiento de la misma. Recuerde usted que se trata de una ley, por lo que sรณlo abogados especialistas estarรกn debidamente capacitados para ayudarlo a dar cumplimiento con ella y con su futuro reglamento, que se publicarรก a mediados de este aรฑo. No dudo que pueda encontrar โ soluciones informรกticasโ en estos despachos de consultores, pero รฉstas valen poco si no estรกn respaldadas por un consejo legal especializado. O
Joel Gรณmez (joelgomez@lexinformatica.com) es Abogado egresado del ITESM, con Maestrรญa en Derecho Comercial Internacional de la Universidad
de Arizona. Especialista en Derecho Informรกtico y Propiedad Intelectual desde 1996. Profesor de Derecho Informรกtico en La Salle y la Universidad Panamericana Campus Guadalajara. Mayo, 2011 B:SECURE 17
for
BUSINESS PEOPLE
¿CON QUÉ SE COME La realidad de la seguridad IT en las organizaciones va más allá de lo que un papel de auditoria o placa de cumplimiento de estándares internacionales dicen. Si hablamos de una sola organización, ¿por qué dejamos que opere como varias, dependiendo de quién o qué nos audite? Por Adrián Palma
L
a mayoría de las regulaciones son ásperas y aún confusas. Esto es una combinación fastidiosa para las organizaciones que tienen preocupación por los marcos regulatorios. Dichos marcos dan poca información sobre requisitos reales para la organización. Por ejemplo, incluso las leyes de seguridad más detalladas no indican requerimientos específicos para algunos de los mecanismos más comunes en la seguridad, tales como detección de intrusos, prevención de intrusos, encripción, antivirus y firewalls. Muchas ocasiones, los requerimientos de seguridad son consultados en otras fuentes, tales como estándares, mejores prácticas, guías oficiales, etcétera. Aunque puede ser frustrante en la mayoría de los casos, esta falta de especificación puede llegar a ser necesaria ante ciertos escenarios. Las leyes deben aplicarse universalmente a través de diferentes organizaciones y estar listas a determinado tiempo. Prácticamente hablando, esto significa que deben ser lo suficientemente flexibles para trabajar en organizaciones de diferentes tamaños, industrias y de diferentes amenazas. Deben de alguna manera preveer los avances de la tecnología y asegurar que se implementen con el debido cuidado ( Due Care ). Una regulación prescriptiva completa es factible dentro de industrias altamente reguladas y maduras, tales como la industria química, pero no para el área de seguridad de la información, la cual tiene apenas dos décadas de antigüedad. Uno de los graves problemas que tienen las regulaciones debido a esta falta de especificidad, es que las organizaciones son desafiadas a saber exactamente lo que deben hacer para lograr el cumplimiento. El secreto es que no existe una receta de cocina de lo que se debe hacer para lograr el cumplimiento, así que las organizaciones están en su derecho de determinar qué es razonable y apropiado para ellas. Careciendo de esta receta, el cumplimiento se convierte en una negociación entre las organizaciones y el auditor, por lo que las organizaciones deberán de fundamentar perfectamente lo que realmente es adecuado para la organización sin desvirtuar el cumplimiento. Otro grave problema, el mas grave desde mi punto de vista, es el que los marcos regulatorios no se hicieron pensando en la operación de las organizaciones. Es decir, las áreas de IT de las organizaciones deben de operar y además cumplir con los requerimientos de los distintos marcos regulatorios. He ahí el gran problema, porque en muchos casos la operación se trata de alinear a los requerimientos del compliance, hasta la máxima tolerancia posible y sin que afecte gravemente la capacidad de operación de la organización, todo esto sin tomar en cuenta que dicha operaciónde es exitosa. Por Segunda 2 partes
18 B:SECURE
Mayo, 2011
otro lado, al no ser expertos en riesgos y controles ( compliance ) nos apoyamos en lo que los “expertos” o auditores nos recomiendan y sus palabras las convierten en una verdad absoluta, unas que muchas veces distan mucho de la realidad. Muchas organizaciones, al seguir los pasos arriba descritos, se encuentran con la problemática de que tienen prácticamente una operación para Sarbanes-Oxley, una para ISO27001, otra para ITIL y una más para el auditor en turno, pero lo mas triste y patético del caso es que la operación real, del día a día, es distinta a lo presentado en los distintos tipos de compliance. Algunas de las consecuencias de lo anterior son las siguientes: UÊ 1 >Ê «iÀ>V Ê` ÃÌ Ì>]ʺÃi}Ö ÊµÕ j ÊÃi>û° UÊ iÊÌÀiÃÊ>ÊÃi ÃÊ iÃiÃÊÃiÊ >ViÊV « > Vi]ÊÞÊi ÊÀiÃÌ ]ÊÃiÊ >ViÊ ÊµÕiÊÃiÊ puede, es decir, su trabajo. UÊ ÊV « > ViÊi Ê ÕV ÃÊV>à ÃÊ Ê Ì À}>ÊÛ> ÀÊ> Ê i} V Ê Ê i À>ÃÊ sustanciales a los procesos. Un punto para reflexionar: “el éxito del cumplimiento no garantiza la seguridad de la información en las organizaciones”.
¿CÓMO SOLUCIONAR EL PROBLEMA? El punto importante y lo primero que debemos hacer como organización es pensar en lo que realmente necesita la organización, ese es el punto de partida y la piedra angular para resolver este tópico tan complejo. Esto lo podemos resolver realizando un análisis de riesgos y manejando dichos riesgos. Evitemos caer en el error generalizado de querer lograr el compliance aisladamente. Al trabajar en un proyecto donde se cubran realmente las necesidades de la organización por default o de manera natural, se podrá lograr cualquier tipo de compliance y evitaremos el mal gasto de todo tipo de recursos de la organización. Un segundo paso es contar con un ambiente de control o marco de control interno de IT. El ambiente de control es un conjunto básico de principios que deben reflejar procesos, formalización, medidas y control: UÊ > i Ê`iÊV> L ÃÊÞÊV v }ÕÀ>V ià UÊ L i ÌiÃÊÃi«>À>` ÃÊ`iÊ`iÃ>ÀÀ ]Ê«ÀÕiL>ÊÞÊ«À `ÕVV UÊ -i}Ài}>V Ê`iÊvÕ V ià UÊ `i Ì v V>V ÊÞÊ>ÕÌi Ì V>V UÊ , iÃÊÞÊÀië Ã>L `>`iÃÊV >À> i ÌiÊ`iv ` ÃÊ
E EL COMPLIANCE? UÊ Ê«À V « Ê`iÊ >Ê iVià `>`Ê`i ÊÃ>LiÀÊÞÊi Ê i ÀÊ«À Û i} UÊ Ì Ài ]Ê jÌÀ V>ÃÊiÊ v À ià UÊ VÕ i Ì>V 1 >ÊÛiâʵÕiÊiÝ ÃÌ>ÊÕ Ê> L i ÌiÊ`iÊV ÌÀ ÊiviVÌ Û ]ÊÕ >Ê À}> â>V Ê« `À?Ê « i i Ì>ÀÊ ÃÊV ÌÀ iÃÊiëiV v V ÃʵÕiÊ Ì }Õi Ê ÃÊÀ iÃ} ÃÊ>Ê ÃÊ Ûi iÃÊ«Ài`iv ` ð
SELECCIONANDO Y DEFINIENDO CONTROLES *>À>ÊÃi iVV >ÀÊ ÃÊV ÌÀ iÃÊ>«À « >` Ã]Ê >ÃÊ À}> â>V iÃÊ`iLi ÊÀi> â>ÀÊÕ Ê> ? à ÃÊ`iÊÀ iÃ} ÃÊ«>À>ÊÃi iVV >ÀÊV ÌÀ iÃÊÀ>â >L iÃÊÞÊ>«À « >` Ã]ʵÕiÊ Ì }Õi Ê ÃÊÀ iÃ} ÃÊ`i ÌÀ Ê`iÊÕ Ê«À }À> >ÊL i Ê` VÕ i Ì>` ]Ê «À >VÌ Û ÊÞÊ À i Ì>` Ê>Ê«À ViÃ Ã°Ê V Ê`iÊ ÌÀ>Ê > iÀ>]Ê ÃÊV ÌÀ iÃʵÕiÊ Ã Ê«À L>L iÃÊ`iÊÃiÀÊÃÕ iÌ ÃÊ`iÊÀiÛ Ã Ê« ÀÊ ÃÊ>Õ` Ì ÀiÃÊ`iLiÀ? ÊV>À>VÌiÀ â>ÀÃiÊ« ÀÊiÃÌ>ÀÊ À}> â>` Ã]ÊL i Ê` VÕ i Ì>` ÃÊÞÊL i Ê« > i>` Ã]ÊÞÊ`iLiÀ > Ê > i >ÀÊ> i >â>ÃÊÀi> iÃ]ʵÕiÊÌi }> ÊÕ ÊL> > ViÊi ÌÀiÊÃÕÃÊV ÃÌ ÃÊÞÊ Li iv V Ã°Ê Ê Õâ}>ÀÊVÕ? Ì>ÊÃi}ÕÀ `>`ÊiÃÊÃÕv V i ÌiÊÃiÊ >ÊV ÛiÀÌ ` Êi ÊÕ Ê`iÊ ÃÊ }À> `iÃÊÀiÌ ÃʵÕiÊi vÀi Ì> Ê >ÃÊ À}> â>V iðÊ- ÊÕ >ÊÀi}Õ >V ÊÀiµÕ iÀiÊ >Õ` Ì À >]Ê·VÕ? Ì>Ê>Õ` Ì À >ÊiÃÊÃÕv V i Ìi¶Ê- ÊÕ >ÊÀi}Õ >V ÊÀiµÕ iÀiÊi VÀ «V ]Ê·VÕ? Ì>Êi VÀ «V ÊiÃÊÃÕv V i Ìi¶Ê ÕV >ÃÊ À}> â>V iÃÊ > ÊiÃÌ>L iV ` ÊÀiµÕiÀ i Ì ÃʵÕiÊ > Ê i}>` Ê ?ÃÊ> ?Ê`iÊ ÃÊ ÌiÃÊ`iÊ ÊÀ>â >L iÊ ÞÊ>«À « >` ]ÊL>Ã? ` ÃiÊi Ê ÊµÕiÊÃÕÃÊà V ÃÊ`iÊ i} V ÊiÃÌ? Ê >V i ` ÊÞÊ >ÃÌ>Ê` `iÊ iÃÊÃi>Ê« à L iÊi iVÕÌ>À Ã]Ê`>`>Ê >Ê >`ÕÀiâÊ`iÊÃÕÃÊà ÕV iÃÊ >VÌÕ> iÃÊ`iÊÃi}ÕÀ `>`° ÊÌÀ>Ì>ÀÊÀ iÃ} ÃÊÀi}Õ >` ÀiÃ]Ê >ÃÊ À}> â>V iÃÊ`iLi Ê }À>ÀÊÕ ÊiµÕ LÀ ÊÀ>â >L iÊi ÌÀiÊ ÌiÀ«ÀiÌ>ÀÊi Ê >ÀV ÊÀi}Õ >Ì À ÊÞÊ >Ê « i i Ì>V Ê`iÊ V ÌÀ iÃ]ʵÕiÊÛiÀ`>`iÀ> i ÌiÊ > i i Êi ÊÀ iÃ} Êi Ê >ÃÊ À}> â>V iÃ°Ê >ÃÊ À}> â>V iÃʵÕiÊÃiÊi v V> Êi ÊV ViÀÊ ÃÊÀiµÕiÀ i Ì ÃÊÀi}Õ >Ì À ÃÊ Ì i `i Ê>Ê }À>ÀÊÕ >Êà >Ê iÌ>°Ê* ÀÊi i « ]ÊÕ ÊV ÌÀ ʵÕiÊ Ì ÀiiÊ >ÃÊ L Ì?V À>ÃÊ`iÊÕ Êv ÀiÜ> Êi Ê >Êi «ÀiÃ>Ê«Õi`iÊÃiÀÊ « i i Ì>` Ê«>À>Ê >ÊÀiÛ Ã Ê`iÊ ÃÊ>Õ` Ì ÀiÃÊÞ]Ê>Ö Ê « i i Ì>` ]Ê«Õi`iÊ Ê«À ÛiiÀÊÕ ÊÛ> ÀÊÀi> Ê i Êi Ê > i Ê`i ÊÀ iÃ} Ê`iÊ >Ê À}> â>V °Ê -i}Ö Ê Ê ` V>` Ê > ÌiÀ À i Ìi]Ê Ê >ÞÊ Õ >Ê >ÃiÀV Ê `iv Ì Û>Ê `i Ê VÕ « i Ì °Ê1 >Ê À}> â>V Ê`iLiÊi v V>ÀÃiÊi Êi Ê`iÃ>ÀÀ Ê`iÊV ÌÀ iÃÊiviVÌ Û ÃÊ«>À>Êi Ê > i Ê`i ÊÀ iÃ} Êi Ê >ÃÊ À}> â>V iÃÊV ÊÃÕÊ «À V «> Ê L iÌ Û ÊÞÊi Ì ViÃÊ> i>ÀÊià ÃÊV ÌÀ iÃÊ ÕiÛ> i ÌiÊ`i ÌÀ Ê`iÊ Ài}Õ >V iÃÊiëiV v V>Ã°Ê ÊÖ Ì >Ê ÃÌ> V >]Ê >Ê`iV à Ê`iʵÕiÊÕ >Ê À}> â>V ÊiÃÌ?Êi ÊVÕ « i Ì ÊÃiÊ>« Þ>ÊV Êi Ê>Õ` Ì ÀÊ Êi ÊVÕiÀ« ÊÀi}Õ >Ì À Ê>à } >` Ê«>À>Ê«À L>ÀÊÊ ÞÊÛiÀ v V>ÀÊÊV ÌÀ iÃ°Ê >ÃÊ À}> â>V iÃÊ`iLi Ê«Ài«>À>ÀÃiÊ«>À>Ê`ivi `iÀÊ>Ê V>«>ÊÞÊië>`>ÊÃÕÃÊ`iV à ið
CUMPLIMIENTO CONTINUO ÊVÕ « i Ì Ê`iLiÊÃiÀÊÌÀ>Ì>` ÊV ÊÕ Ê«À Vià ÊV Ì Õ Ê« ÀÊ ÕV >ÃÊ À>â iÃ°Ê >ÃÊ À}> â>V iÃÊà Ê` ? V>Ã]ÊVÕ> ` Ê> } ÊV> L >]Êi ÊVÕ « i Ì Ê`iLiÊÃiÀÊÀiÛ> À>` ÊV ÌÀ>Êi ÊV> L °Ê Ê> L i ÌiÊ`iÊ >Ê> i >â>ÃÊiÃÌ?ÊV> L > ` ÊV ÃÌ> Ìi i ÌiÊÞÊ ÃÊV ÌÀ iÃÊ`iLi ÊÃiÀÊ> ÕÃÌ>` ÃÊ«>À>Ê Àië `iÀÊ>Ê >ÃÊ> i >â>ÃÊ>VÌÕ> iðÊ*À L>L i i Ìi]Ê Ê ?ÃÊ « ÀÌ> ÌiÊiÃÊ µÕiÊ >Ê >Þ À >Ê`iÊ >ÃÊÀi}Õ >V iÃÊÀiµÕ iÀi ÊÀi« ÀÌiÃÊÀi}Õ >ÀiÃÊ ÊÛ> À>V iÃÊ> Õ> iðÊ- ÊÕ >Ê À}> â>V Êi VÕi ÌÀ>Ê >Ê iÀV >Ê`iÊÌÀ>L> >ÀÊV Ê >ÀV ÃÊÀi}Õ >Ì À Ã]Ê iÃÌÊ«À>VÌ ViÃÊ Ê À >Ì Û `>`Ê ÌiÀ >]Ê ÊÌi `À?Ê }Ö Ê «À L i >Êi ÊiÃÌ>ÀÊ«Ài«>À>`>Ê«>À>ÊvÕÌÕÀ ÃÊÀiµÕiÀ i Ì ÃÊ`iÊV « > Vi°Ê
TIPS PAR LOGRAR EL ÉXITO EN EL COMPLIANCE UÊ `i Ì v V>ÀÊ ÃÊÀ iÃ} ÃÊÞÊ> i >â>ÃÊÀi >V >` ÃÊV ÊÊi ÊVÕ « i Ì ° UÊ iVÕÌ>ÀÊÕ Ê> ? à ÃÊ`iÊÀ iÃ} ÃÊL>Ã>` ÃÊi Êi ÊVÕ « i Ì ° UÊ /À>L> >ÀÊ V Ê ÕÃÕ>À ÃÊ v > iÃÊ ÞÊ `i«>ÀÌ> i Ì ÃÊ i}> iÃÊ ÞÊ `iÊ VÕ « i Ì Êi Ê >Ê `i Ì v V>V Ê`iÊÀ iÃ} ÃÊ`iÊ /° UÊ Ãi >ÀÊÕ ÊiõÕi >ÊvÀ i ` ÞÊ`iÊVÕ « i Ì Êi ÊÌiV } >Ã]Ê«À Vià ÃÊÞÊ>« V>V ið UÊ Ì Ài>ÀÊ ÃÊV> L ÃÊi Ê >Ê i} à >V ]ÊÀi}Õ >V iÃ]ÊÀi} >ÃÊÞÊ À`i iÃÊ`iÊ >ÊV ÀÌiÉ} L iÀ ʵÕiÊ«Õi`> Ê «>VÌ>ÀÊi Ê ÃÊÀ iÃ} ÃÊÞÊ ÃÊ iV> à ÃʵÕiÊ >Ê À}> â>V Ê >Ê « i i Ì>` ° UÊ Ã `iÀ>ÀÊi ÊVÕ « i Ì ÊÀi}Õ >Ì À ÊV ÊÕ Ê«Õ Ì Ê iÀi ÌiÊi Ê >Ê ÌÀ `ÕVV Ê`iÊ ÕiÛ>ÃÊÌiV } >Ã]Ê«À Vià ÃÊÞÊ>« V>V iðÊÊO
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma educacion@alapsi.org Mayo, 2011
B:SECURE 19
OPINIÓN .
WHITELISTING: REFORZANDO AL ESLABÓN MÁS DÉBIL DE LA CADENA QUIZÁ LOS USUARIOS SIEMPRE SERÁN EL ESLABÓN MÁS DÉBIL EN SEGURIDAD IT, PERO ¿NO SERÍA MARAVILLOSO QUE LA TECNOLOGÍA QUITARA GRAN PARTE DE LA ANGUSTIA QUE VIVEN CISO Y CIO? PARA MÍ, ESO ES EL WHITELISTING
Por Juan Carlos Vázquez
H
ace pocos días y aquí mismo, leí en b:Secure un artículo titulado: ¿Qué hacer cuando el antivirus no da el ancho? Y, precisamente, el tópico mencionado a continuación debiera ser una de las recomendaciones puntuales del mismo y una opción para los corporativos hoy en día. Muchas organizaciones han invertido recursos (tiempo y dinero) por entregar a sus usuarios, activos digitales mucho más seguros y estandarizados mediante el famoso concepto del COE (Common Operating Environment), que, en términos sencillos, trata de entregar una configuración uniforme de software y de hardware a nivel de desktop y laptop del usuario y, en algunos casos, para plataformas de servidores. Por increíble que parezca ese concepto se ve roto cuando, al final del día, se otorgan permisos administrativos sobre el equipo al usuario final, con lo cual se quiebra el principio del menor privilegio sobre la cuenta del usuario. Es decir, el COE original ya es inservible. Esto ocasiona un claro problema: La exposición directa al malware y la instalación descontrolada de aplicaciones fuera de estándar y soporte, que por obvias razones vuelven al activo “más vulnerable” y ponen al negocio en un estado de no cumplimiento y riesgo. El whitelisting de aplicaciones (AWL, por sus siglas en inglés) ha dejado de ser un mito o una tecnología venida del oscurantismo y difícil de implementar para muchos, para ser un componente medular en la estrategia de protección de activos, adicional a las capas tradicionales del Antivirus y de Prevención de Intrusiones a nivel de host. Añadir AWL a su arsenal de seguridad del endpoint y servidores le ayudará a ganar control, mejorar la postura ante las amenazas (riesgo) y a reducir costos. Mientras el antivirus inspecciona dinámicamente el contenido (archivos) de malware, AWL mantendrá la integridad del equipo de cambios no autorizados y ataques de día cero. Mediante un modelo de confianza dinámico, el equipo sólo se verá modificado si se detecta una política central, que determine cuáles serán las aplicaciones, procesos, usuarios o vendors autorizados para el cambio. De modo que, únicamente lo que debe de ejecutarse se ejecutará y lo que esté fuera de esa “burbuja” será bloqueado. El objetivo de AWL no es otro sino volver realidad lo que muchos administradores de plataforma querrían para su ambiente: que después de haber asignado un equipo (imagen COE), éste permanezca “intacto” luego de uno o dos años de haberse asignado y que, solamente, sea modificado como respuesta a los procesos y cambios na-
turales del negocio. Pero no existen soluciones mágicas y la integración exitosa de una tecnología de este tipo a la compañía, es pilar fundamental de su éxito. Más aún, si además se ha considerado a la gente y los procesos necesarios como parte de la implementación. Cuando la alta gerencia empuje, hacia el resto de la organización una política clara y visible, y al empleado se le haga sentir (concientizar) que el equipo asignado es propiedad de la compañía y tiene que estar alienado a estándares y controles, sin duda, será el momento en que todo mundo dormirá mucho más tranquilo. Si usted es de los que opera con una estrategia de seguridad basada en el concepto de “parcheo virtual”, donde la capa de red (IPS) y de análisis de vulnerabilidades (VM) son parte arquitectónica de ella, sin duda AWL es y será una contramedida necesaria que debería de considerar para proteger activos y tener una mejor postura ante el crecimiento desmedido del malware, ataques y vulnerabilidades. Sin mencionar, que se evitará el típico pánico de los “martes de parcheo”. Desde que los medios y conferencias de seguridad inundaron sus espacios con temas como los APT (Advanced Persistent Threats) y la ciberguerra, en particular tras Operación Aurora, Dragón Nocturno ó el mismo caso de Stuxnet, usted podrá ver en muchas publicaciones que AWL es una opción para contrarrestar las “ejecuciones no autorizadas de código”. Un reporte de Burton Group titulado Application Control and Whitelisting for Endpoints menciona que AWL debiera ser usado como una defensa (capa) de seguridad complementaria, pues los AV tradicionales, basados en “listas negras” para bloquear y erradicar el malware, no pueden estar al día frente al crecimiento exponencial de los códigos maliciosos. El reporte concluye que durante la estrategia de despliegue vale la pena con casos de uso más sencillos y estáticos, antes de saltar a escenarios mucho más complejos y dinámicos. Se puede hablar de un real whitelisting cuando se puedan combinar listas blancas, listas negras y e incorporar a la nube, bajo el concepto de reputación (Cloud Score), para identificar y mantener lejos lo “known-bad” y lo “unknown-bad”, pero sin negarle el acceso a los “unknown-good”. Una vez que esto pase, la tecnología de AWL se convertirá no solo en una solución para los ambientes corporativos sino también para el mercado de consumo. En ese momento, usted puede estar seguro de que, ni siquiera, el ejército de botnets más avanzado del mundo podrá reclutar la PC de la casa de su abuela. O
Juan Carlos Vázquez, es ingeniero en Sistemas computacionales egresado del Instituto Tecnológico de San Luis Potosí (1994-1999), con diplomados en seguridad por la UVM y el ITESM. Focalizado al mundo de la seguridad desde hace 8 años, cuanta con la certificación en BS7799-2 Lead Auditor y es un fiel creyente de la frase: “aquél que no sabe dónde está parado, dificilmente sabe a dónde se dirige”, cita que aplica muy bien para los temas de seguridad. Su twitter es @jc_vazquez 20 B:SECURE Mayo, 2011
ÁREARESTRINGIDA
ESTRATEGIAS DE CIBERDEFENSA SABORIZADAS Dice el refrán que para comprender mejor a las personas debes “ponerte en sus zapatos”. Quizá vaya siendo hora que los profesionales de seguridad IT comiencen a calzar los zapatos de los cibercriminales con el fin de comprender a quienes trabajan para vulnerar su infraestructura digital. Por Roberto Gómez Cárdenas
H
ace tiempo escuché una conferencia sobre seguridad informática de un muy buen amigo, en la que explicaba los principios del judo, un arte marcial que busca aprovechar la fuerza del contario para defenderse e inclusive atacarlo. Aunque suene descabellado, este concepto es posible aplicarlo al área de seguridad informática, mediante el uso de herramientas diseñadas bajo este principio, con el objetivo de confundir al atacante y, en algunos casos, responder al ataque. Existen diferentes personajes en el área de seguridad informática. Podemos mencionar a hackers, crackers, script-kiddies y otros. Lo cierto es que al final quedan sólo dos tipos: los que defienden y los que atacan. Para mucha gente es más interesante el rol de los que definen un ataque, que el papel que juegan los se defienden de uno. En varias organizaciones la estrategia de defensa se resume en crear reglas para el firewall, pagar la licencia de antivirus y administrar la instalación de parches. Sin embargo es posible hacer más interesante la defensa de los activos informáticos si involucramos técnicas de ataque dentro de la estrategia de defensa. Uno de los servicios que es más revisado por la gente que lleva a cabo pruebas de penetración es el de web. Estos servicios son escaneados usando software conocido con el nombre de web scanners. A principio de este año John Strand, uno de los participantes en el podcast de Pauldotcom, implementó un script en Phyton que afecta el desempeño de este tipo de herramientas y en algunos casos llega a “tirar” la herramienta. El script, de nombre SpiderTrap, se pone escuchar en el puerto 80, y muestra cuatro ligas de enlace web. Si se ejecuta un refresh de la página, el script genera de forma aleatoria otras cuatro ligas, por cada liga seleccionada, se generan otras cuatro ligas aleatorias adicionales. Lo anterior provoca que los scanners generen grandes cantidades de peticiones, llegando a llenar el buffer de la aplicación y, por consiguiente, a provocar una corrupción de memoria. Una semana después Ben Jackson desarrolló una aplicación en PHP de nombre weblabyrith, basándose en la misma idea. El autor describe su herramienta como una aplicación que crea una masa de páginas web falsas que confunden a los scanners de vulnerabilidades. El objetivo de la herramienta es retardar y mantener ocupados a scanners maliciosos, para que detectores de intrusos los puedan detectar y responder al ataque antes de que algún daño se provoque. Existe la po-
sibilidad de definir archivos de texto plano que contengan firmas del detector de intrusos usados dentro de la organización. Cuando este archivo se lea por parte del scanner, las firmas circularán en la red y el escaneo será detectado. Las herramientas anteriores se pueden complementar con una par más de estrategias. La primera de ellas consiste en definir números bajos como parte del rango de direcciones del que forman parte los servidores. Esto provocará un retardo en el recorrido de todas las direcciones a escanear. Por otro lado, también es posible definir ligas dentro de los servidores que redirijan a los atacantes a servidores instalados con el objetivo de analizar del ataque, i.e honeypots. Otra forma de contraatacar fue propuesta por Val Smith. Uno de los vectores de ataques con mayor éxito al momento consiste en incluir macros malignos en documentos de Office. El atacante envía el documento infectado al usuario y, al abrirlo, se lleva a cabo el ataque. La idea es utilizar este vector de ataque como parte de la estrategia de defensa. En el servidor web se dejan documentos Office para que el atacante los recupere. Los documentos cuentan con macros que servirán para dar un seguimiento al documento y en algunos casos conocer la dirección IP del sistema que bajó el documento. BeEF (Browser Explotation Framework) es el nombre de un framework usado para atacar exploradores web. En particular busca vulnerabilidades de tipo XSS en los navegadores. Otra estrategia de defensa consiste en utilizar esta herramienta dentro del servidor con el objetivo de detener el navegador usado por el atacante. Estas estrategias no son 100% infranqueables, pero sí nos permitirán diferenciar un verdadero pentest de aquel en el que sólo se corren herramientas y no analizan el sitio web. Algunas personas que se dicen expertos en pruebas de penetración, lo que hacen es correr el scanner en la noche, irse a dormir (o a otro lugar) y al día siguiente ver que regresó el escaneo. Después le ponen un formato bonito, de preferencia con diagramas de pastel, y lo presentan como un reporte de pentest. Las estrategias de defensa evolucionan y suena interesante implementar estrategias más reactivas. Sin embargo, hay que tomar en cuenta los posibles falsos positivos y las consecuencias legales de responder a un escaneo con un ataque. No cabe duda que esto le pone más sabor a la labor del defensor de los sistemas IT. O Mayo, 2011 B:SECURE 21
EL INVITADO SEGURIDAD INFORMÁTICA PROACTIVA A diario escuchamos lo avanzado y organizado que se han vuelto los ciberataques y cibercriminales, o lo simple que es perder información sensible. Pero muchas veces para hacer frente a los riesgos más modernos basta con dar el primer paso: actuar en vez de reaccionar. Por David Schekaiban, CISA, CISM, CISSP, CEH, LPT
L
a información es un activo de alto valor en cualquier organización. Sin importar su tamaño o naturaleza, el conocimiento acumulado y datos que procesa día con día son esenciales para su funcionamiento. Cuando hablamos de Seguridad Informática podemos fácilmente identificar dos enfoques que rigen las acciones y toma de decisiones: proactivo o reactivo. Los esfuerzos reactivos se refieren al manejo de incidentes y a la capacidad de respuesta. Actualmente la mayoría de las organizaciones tienen implementadas herramientas para bloquear y detectar virus y archivos maliciosos, dispositivos de seguridad como firewalls y filtros de contenido. Sin embargo, con la evolución constante de la tecnología el origen de los riesgos y amenazas se diversifica. Ahora no sólo manejamos información confidencial y datos sensibles en nuestra computadora personal, sino también en nuestros teléfonos y equipos móviles. Por otra parte, los diversos perfiles e identidades que creamos en las redes sociales hacen necesarios y justificados la aplicación de controles y medidas arriba mencionadas. Frecuentemente encontramos que las empresas no pueden disminuir el número de incidentes y ataques que los afectan, y que las actualizaciones y mejoras a sus equipos están siempre un paso atrás. Aquí es cuando una serie de soluciones proactivas, un marco de referencia y una base sólida para adelantarnos a los problemas nos ayudan a ser más efectivos. A continuación presento algunas estrategias y controles útiles a todas las organizaciones para contribuir al manejo seguro de su información: 1. Implementar políticas, donde la dirección exprese su visión, misión y objetivos de la organización; así como sus procesos documentados y revisados.
Los empleados deben conocer y tomar en cuenta dichas reglas para sus actividades. 2. Para la seguridad de los activos, se requiere tener políticas sobre un uso aceptable de los equipos, conexiones a internet y correo, así como otras fuentes de contenido, clasificación de información, accesos y privilegios, roles y tareas de cada departamento. Lo que se busca aquí es ser consistente en los objetivos de las tecnologías de información y los objetivos de la organización. 3. Probar nuestra infraestructura haciendo pruebas de penetración y análisis de vulnerabilidades nos sirve para detectar huecos de seguridad, así como servicios y aplicaciones que no cumplan con las metas del negocio. Es importante conocer nuestros riesgos y amenazas así como los puntos débiles, ya sea la fuga de información, falta de conocimiento, negligencia del personal, entre otras. 4. La capacitación y concientización de todo el personal de la empresa mantiene a cada empleado alerta ante posibles daños y lo convierte en un aliado para la protección de datos. Cuando un empleado no tiene el suficiente entrenamiento para realizar sus tareas puede afectar la confidencialidad, integridad y disponibilidad de la información. Al cumplir con estas iniciativas podremos enfrentar los incidentes de seguridad de una manera ordenada y sistemática, donde se tengan normas claras para cada etapa de nuestros procesos, conoceremos a fondo todos los activos de nuestra empresa, la forma en que los datos se almacenan y transportan, así como un monitoreo de cambios y afectaciones. Y finalmente, un equipo humano capaz de resolver problemas y, sobre todo, de anticipar amenazas y proteger su permanencia. O
David Schekaiban cuenta con las certificaciones CISSP, CISA y CISM, director de Código Verde. david@codigoverde.com
22 B:SECURE Mayo, 2011
ALWAYS MIND
THE INFORMATION SECURITY GAP
UN, DOS, TRES POR MÍ Y POR TODOS MIS PROVEEDORES La ley de proyección de datos personales (LDFPPP) implica más que educar, modificar y asegurar la forma en que nuestra organización maneja, almacena y transfiere datos personales de terceros; es necesario exigir esa misma transformación para todos los socios de negocios que trabajen con nuestros datos y los de nuestros clientes. ¿Estamos listos? Por Alberto Ramírez Ayón, CISM , CISA, CRISC
L
a información es un conjunto organizado de datos, que juntos forman un mensaje que cambia el estado de conocimiento de quien recibe el mismo. El dato por sí mismo, podría no representar información o conocimiento. Es decir, qué podrían ser mensajes cuyo significado sería imposible adivinar sin el resto de la información algo así como: 31 458732158 Roble #4 250,000 321789654-5 TT Pues son datos que no dicen mucho… pero si yo les digo que: el 1º es una edad el 2º es número de cuenta bancaria el 3º es una dirección física el 4º es un sueldo el 5º es un número de seguro social el 6º es un automóvil deportivo alemán Comienza a tener más sentido, ¿no? Ahora, si yo les digo que esos datos, le pertenecen a quien escribió este artículo, en otras palabras, son mis datos, mi información, pues cobran más relevancia, o al menos debería. <<Hago una aclaración antes de que regresen a leer nuevamente “mis datos” (sobre todo aquellos relacionados a la cuenta bancaria o el seguro social), pues no, no son míos, ni los de nadie más. Éstos son datos ficticios para poder ejemplificarles un poco la diferencia entre datos, información e incluso conocimiento>>
Podríamos decir que una vez que se entrelazan algunos datos, se van convirtiendo en información y ésta comenzará a cobrar más importancia. Muchas empresas grandes o internacionales, están sujetas a diferentes marcos legales, jurídicos, regulatorios, etcétera, dependiendo del giro o Core business. Particularmente en México, la Ley Federal de Protección de Datos Privados en Posesión de Particulares (LFPDPPP) tomará mucha fuerza. Pero ¡mucho ojo! Hoy en día, muchas empresas cuentan con proveedores, socios de negocios, outsourcing y en general terceras partes (in-
dividuos o compañías) que apoyan en diversas actividades y para los cuales terminan teniendo acceso a información confidencial, privada o personal; para procesarla o almacenarla. Algunos ejemplos: la nómina de una compañía tal vez la lleve una empresa especializada en esta materia; despachos jurídicos que apoyan en el ámbito legal; los servicios médicos que contienen historiales clínicos; las empresas que se dedican a almacenar cintas de respaldo o el archivo muerto, Centros de Datos que están con un tercero, las empresas que hacen hosting y la lista puede continuar. Como mencioné, estas compañías (y muchas otras más) que soportan diversos procesos operativos o estratégicos de las empresas, seguramente tienen acceso, procesan o almacenan información confidencial o privada. Creo que es responsabilidad de cualquier compañía el asegurarse que sus proveedores, socios y en general terceros -con los que exista alguna relación donde la información se comparta- tengan las medidas necesarias para resguardar y proteger los datos e información de la manera que aplique. No sólo es cuestión de firmar una cláusula de confidencialidad o un NDA (Non-disclosure Agreement). Implica tener procedimientos y políticas a la observación de que terceras partes tengan niveles suficientes o mínimos de seguridad. ¿Cuánto es suficiente o mínimo? Dependerá del tipo de datos o información manejada, de regulaciones que apliquen, de políticas corporativas. ¿Deberíamos exigirles a terceros tener al menos las mismas medidas que uno tiene en la empresa? Antes de responder, creo que deberíamos ponernos en el papel de cliente frente a la empresa que tiene nuestros datos e información, y si, por una razón operativa, la tiene que compartir con un tercero adicional nosotros, como clientes y dueños de la información, ¿queremos que nuestra información esté bien protegida en esta tercera parte? 4 No 5Sí ¿Creen que algunos de sus proveedores o terceras partes tengan alguno de los datos o información mencionados arriba? Si la respuesta es afirmativa, entonces les pregunto: ¿ustedes o su empresa se aseguran de que estos datos o información sean protegidos de manera apropiada? O Mind the Information Security Gap!
PARA CONSULTAR EL ARTICULO COMPLETO VAYA A: http://www.bsecure.com.mx/featured/un-dos-tres-por-mi-y-por-todos-mis-proveedores/ Mayo, 2011 B:SECURE 23
SINNÚMERO DE TUS BRECHAS A MIS BRECHAS, MEJOR SIN BRECHAS
Heartland: 130 millones de números de tarjetas de crédito, gobierno de Estados Unidos: 150,000 cables con información confidencial, Sony: 77 millones de cuentas con datos personales de sus usuarios de PSN. ¿Se tratan de meros blancos al azar o qué tienen en común las principales brechas de seguridad en la historia? La peor pesadilla de un CISO es que su organización sufra una fuga o robo de datos. Sin embargo, el número de brechas de seguridad dentro de las organizaciones en los ultimos cinco años han matenido una tendencia, lamentablemente a la alza. De acuerdo al reporte anual 2011 Verizon Data Breach Investigations Report, durante 2010 el número de brechas de seguridad en los negocios se duplicó en comparación con las reportadas durante 2009. UÊ 6iÀ â ]Ê Õ Ì ÊV Êi Ê-iÀÛ V Ê-iVÀiÌ Ê`iÊ ÃÌ>` ÃÊ1 ` Ã]Ê`iÌiVÌ Ê ?ÃÊ`iÊ 4 millones de documentos robados durante 2010, una importante reducción de los 144 millones de archivos sustraídos ilegalmente en 2009. UÊ Ê> Ê«>Ã>` ÊÃiÊÀi« ÀÌ>À Ê ?ÃÊ`iÊ760 brechas de seguridad en las organizaciones, contra 141 de 2009. UÊ Ê50%Ê`iÊ ÃÊV>à ÃÊ >ÃÊLÀiV >ÃÊÃiÊi iVÕÌ>À ÊÊ i` > ÌiÊ> }Õ >Êv À >Ê`iÊ >V i ]Ê{ ¯Ê V À« À ÊÊV ` } ÃÊ > V à ÃÊÞʣǯÊvÕiÀ ÊÀiv i Ê`i ʺ > ÊÕÃ Ê de privilegios de empleados”. UÊ Êi Ê92%Ê`iÊ ÃÊV>à ÃÊÀi} ÃÌÀ>` ÃÊ ÊvÕiÊ iViÃ>À ÊÕ Ê>Ì>µÕiÊV « i Ê para comprometer la infraestructura y robar la información. UÊ Ê76% de las brechas de seguridad toda la información de los servidores quedó comprometida o vulnerada. U
96% de los casos pudieron haberse evitado a través de medidas de control y políticas de procesos simples y claros.
24 B:SECURE Mayo, 2011
Regístrese para nuestra reunión de Seguridad Web - Mayo 24
Seguridad integrada para la Web Social Websense es la UNICA compañía que ofrece seguridad unificada para la web, correo electrónico y datos para el control dinámico de la web. Sin visibilidad en la media social; la inhabilidad de localizar el malware basado en navegador; sin una manera fácil de proteger contra la pérdida de datos por redes de colaboración. ¿Suena familiar? Websense ha redefinido el término 'unificado' con una consola de gestión para la seguridad de web, correo electrónico y datos. Ahora usted puede obtener una perspectiva combinada de amenazas que abarcan múltiples vectores — el tipo de amenazas que los piratas informáticos utilizan para eludir las defensas. Si mejor seguridad no fuera suficiente, Websense también permite fusionar su seguridad dentro de sus instalaciones y por fuera de ellas, todo administrado y desde la misma consola. Para descubrir más o para ver una demostración visite: www.websense.com/TRITON-LATAM Para recibir información sobre nuestra reunión de Seguridad en el Hotel Four Season de México D.F., envíe un correo a: mexicoroadshow@websense.com