junio, 2013 · 74 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
IT elude Su prIncIpal aMenaza:
$80.00 M.N.
eMpleadoS
El Informe de ciberseguridad en México 2013 revela que seis de cada 10 empresas en México no capacitan a los trabajadores, a pesar de considerarlos, desde hace años, el mayor riesgo en seguridad IT
Check Point 3D Security LE AYUDA A IDENTIFICAR LAS VULNERABILIDADES DE SU RED
Permite a las empresas redefinir la seguridad gracias a la integración de las tres dimensiones en el proceso empresarial.
“Acérquese a nosotros y descubra esta Solución”
3D Reporte de Análisis de Seguridad
ENFORCEMENT La seguridad de la red consiste en obtener un mejor control sobre todos los niveles de protección. En un mundo en el que existen demasiados productos específicos diferentes, a menudo las empresas pierden, en lugar de aumentar, el control sobre la seguridad.
POLICY
La seguridad comienza por una política ampliamente conocida y bien definida (y que coincida, en la medida de lo posible, con las necesidades y estrategias de la empresa).
PEOPLE
Los usuarios de sistemas de TI forman parte del proceso de seguridad. En ocasiones, son los usuarios los que cometen errores que provocan infecciones de malware y la fuga de información.
Contacto: Daniel Sandoval
daniel.sandoval@maps.com.mx
TEL.: 01 (55) 53 87 - 35 00 Ext.: 461 Mayoristas de Partes y Servicios S. A. de C. V. URBINA 5 PARQUE INDUSTRIAL NAUCALPAN ESTADO DE MÉXICO C. P. 53489
w
w
w
.
m
a
p
s
.
c
o
m
.
m
x
jun 2013
LOGIN
Detienen a hacker por espiar y grabar viDeos sexuales De sus vecinos La Policía Nacional en Zaragoza, España, detuvo a un hacker por espiar a sus vecinos a través de sus cámaras web y grabarlos
accesO
uaM azcapotzalco ofrece reD ágil y segura a 15,000 aluMnos La institución optó por una autenticación personalizada a través de un portal que otorga al usuario una clave única para utilizar la red dentro del campus
BusINess peOpLe
outsourcing De seguriDaD it: verDaDes, Mitos y retos La alternativa podría solucionar muchos de los retos de protección de información de las organizaciones; siempre y cuando, su elección sea bien ejecutada
eL INvItadO
black hats, White hats, bufanDas aMarillas y superhéroes La desunión entre la comunidad de seguridad IT únicamente beneficia a nuestros verdaderos enemigos: los cibercriminales
seGurO que LO quIeres
10
México no aprenDe: Desconfía Del eMpleaDo, pero no lo capacita el estudio de netmedia research revela que solo 16% de las organizaciones que cuentan con un programa educativo hablan semanalmente con sus trabajadores sobre riesgos informáticos
glass y la era Del cyborg
El nuevo gadget de Google ya comenzó a causar conmoción, críticas, ambiciones y dudas sobre el futuro de la tecnología intrínsecamente unida al organismo humano
Junio, 2013 b:Secure 1
enlínea bSecure.com.mx
Mónica Mistretta directora general Carlos Fernández de Lara director editorial Elba de Morán directora comercial
EU vUElvE a rEsponsabilizar a China dE CibErEspionajE
El Gobierno de Estados Unidos responsabilizó a China del ciberespionaje realizado a sus sistemas de información y a los contratistas de defensa. Afirmó que la decisión del país asiático está ligada con el mapeo de capacidades militares que podrían ser explotadas en caso de que surgiera una crisis de seguridad. Un informe anual del Pentágono sobre capacidades militares señala que más de 90% de los ataques informáticos contra EU provienen de centros en donde operan organizaciones chinas. Hasta ahora los colaboradores del presidente Barack Obama habían sido cautelosos, pues evitaron en los últimos meses acusar directamente al Ejército de Liberación del Pueblo de China de usar armas cibernéticas para robar propiedad vEr nota ComplEta intelectual y obtener ventajas estratégicas. China, mientras tanto, rechazó nuevamente las acusaciones cuando la portavoz del Ministerio de Asuntos Exteriores, Hua Chunying, indicó en rueda de prensa que este tipo de reportes se publican cada año y reafirmó que su Gobierno está en contra de toda acción relacionada con espionaje web.
linkEdin CElEbra 10 años, fUndador rECUErda sUs iniCios La red social LinkedIn cumplió 10 años de vida, por lo que su cofundador Reid Hoffman publicó un documento virtual en el que habla sobre la evolución que ha tenido el sitio en su primera década. Hoffman recordó que fue un día de 2002 que se propuso, sentado en su sala, conectar a los profesionales del mundo para hacerlos más productivos y exitosos, por lo que inició con las pruebas de lo que se convertiría posteriormente en LinkedIn. “Inspirado por las relaciones de rol que habíamos desempeñado en nuestras propias carreras lanzamos LinkedIn con el nombre Relations Matter”, comentó Hoffman en el documento que compartió a través del blog oficial de la red social. El ejecutivo escribió que después del primer mes de lanzamiento, el sitio sumó más de 4,500 usuarios. En 2013 —agregó— podemos decir que LinkedIn forma parte de la vida cotidiana de los profesionistas en el mundo. vEr nota ComplEta Actualmente millones de personas en el mundo recurren a los servicios de la firma para conectarse con los demás, dar a conocer su perfil, gestionar sus identidades, obtener nuevos conocimientos acerca de sus profesiones y conseguir trabajos soñados. Use el código QR para ver la fotogalería de LinkedIn a través de su década de vida.
Estos y otros artículos en www.bsecure.com.mx [los EditorEs dE nEtmEdia hablan sobrE los tEmas dE más aCtUalidad dE la indUstria]
aUnqUe Me CORRan
On BeInG a WOMan On THe RUn FaMIlY anD TeCH
MeMORIa RaM
Gabriela Pérez Sabaté directora de proyectos especiales Alejandro Cárdenas director de arte Iaacov Contreras circulación y sistemas Gabriela Bernal directora administrativa José Luis Caballero asesoría legal
editor Carlos Fernández de Lara consejo editorial Adrián Palma, Alberto Ramírez Ayón, Ivonne Muñoz, Joel Gómez, Juan Carlos Carrillo Rafael García, Roque Juárez, Salomón Rico y Raúl Gómez. columnistas Pablo Corona, Adrián Palma.
editor on line Francisco Iglesias colaBoradores Ángel Álvarez, Cyntia Martínez weB master Alejandra Palancares asistentes de redacción César Nieto, Oscar Nieto
Francisco Iglesias, editor de Netmedia Online, escribe este blog de historias de las tecnologías que se usaban antes y que ahora ya son para museo. ¿Se acuerda o le contaron?
ventas y puBlicidad Eduardo López
BlOGUeROs InvITaDOs: Otoniel Loaeza (Telefónica), Pablo Corona (NYCE) y David Schekaiban (Código Verde)
suscripciones Sonco-Sua Castellanos
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
2 b:Secure Junio, 2013
Mónica Mistretta, directora general de Netmedia, comparte su visión sobre tendencias de la industria.
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
asistente de ventas Samara Barrera
6潞
www.governmentforum.com.mx Informes: Tel: (55) 26297260 opci贸n 4, 2629 7280, 84, 85 > 01 800 670 60 40 eventos@netmedia.info
Un evento de
login LOGIN
OEA: AméricA LAtinA nO Está prEpArAdA pArA cOmbAtir EL cibErcrimEn América Latina no se encuentra preparada para hacer frente al cibercrimen por la falta de recursos dedicados al desarrollo de programas de seguridad IT, la baja especialización del capital humano y la necesidad de mejores políticas públicas para perseguir este tipo de ilícitos. De acuerdo con el informe Tendencias en Seguridad Cibernética en América Latina y el Caribe y Respuestas Gubernamentales, elaborado por la Organización de Estados Americanos (OEA) y la firma de seguridad informática Trend Micro, “los grupos del crimen organizado son cada vez más capaces, cibernéticamente, y las bandas de hackers crecen en número y sofisticación”. El secretario general de la OEA, José Miguel Insulza, afirmó que “esta investigación responde a la necesidad de los gobiernos de la región —surgi-
da en tiempos de acelerada evolución tecnológica— de enfrentar el crimen cibernético, cada vez más frecuente y más amenazante, y que usa métodos en constante evolución”. La principales tendencias destacan un aumento en la frecuencia de ciberataques, un incremento en el hacktivismo, la extorsión y el lavado de dinero, así como ataques a infraestructuras críticas, entre otras. Según el informe, en México se registró un incremento del 40% en el número de incidentes cibernéticos en 2012. “A pesar de disponer de varias unidades encargadas de responder y analizar incidentes cibernéticos, el país todavía cita la ausencia de normas legislativas y conciencia del público como las razones de la falta de seguridad cibernética”, explica el estudio.
HALLAn vuLnErAbiLidAd En spOtify: dEscArgAn cAnciOnEs sin cOstO
dEtiEnEn A HAckEr pOr EspiAr y grAbAr vidEOs sExuALEs dE sus vEcinOs
Una extensión de Chrome aprovechó la falta de encripción en el reproductor web de Spotify y permitió que miles de usuarios descargaran, sin costo alguno, cualquiera de las más de 20 millones de canciones disponibles del catálogo del servicio de streaming de música. La extensión de Chrome Downloadify tomaba ventaja de la falta de encripción en el reproductor web HTML 5 de Spotify, el cual fue liberado en noviembre pasado por la compañía en formato beta. Con un simple par de clics, los usuarios podían descargar archivos en formato MP3, libres de controles de copiado digital o DRM. Las compañías no confirmaron el número de canciones descargadas a través de la extensión. Google reaccionó rápidamente a la falla y retiró casi de inmediato Downloadify de la tienda de Chrome. Aunque el acceso al catálogo completo de Spotify es exclusivo para los clientes Premium y tiene un costo de $99 pesos al mes, la firma ofrece a la mayoría de los nuevos usuarios la prueba del servicio por 30 días sin costo. La falta de cuidado en la seguridad de su plataforma podría costarle más que un par de canciones a Spotify, en un momento en el que la compañía trata de expandir su presencia global y ganar terreno frente al verdadero dueño del mercado de las descargas digitales: la piratería. De acuerdo con el informe más reciente de Digital Music Report del IFPI, en 2012 se registraron más de 20,000 millones de usuarios de servicios de streaming en línea en todo el mundo, 44% más que lo registrado un año antes. Sin embargo, la compañía sueca todavía tiene que lidiar con el principal problema de la música digital, la piratería. Datos de la misma IFPI estiman que más de 90% de las descargas de melodías digitales provienen de servicios ilegales. México es uno de los países donde el fenómeno de la piratería está más presente. De acuerdo con la Amprofon en su estudio Reporte de descargas digitales 2011 —el último que han liberado— en el país se descargan anualmente más de 6,068 millones de canciones de manera ilegal.
La Policía Nacional en Zaragoza, España, detuvo a un hacker por espiar a sus vecinos a través de sus cámaras web y grabarlos mientras mantenían relaciones sexuales. El ciberdelincuente de 34 años vulneraba las redes WiFi de sus vecinos. Para acceder a sus equipos de cómputo utilizaba un troyano que le permitía controlar casi por completo todas las funciones del equipo, entre ellas las de la cámara web. El hacker utilizó las webcams para grabar a sus vecinos cuando tenían encuentros íntimos. La policía encontró miles videos incriminatorios con imágenes de cientos de vecinos. “La configuración del programa, así como su manejo, es de alta complejidad técnica, pues también permitía el acceso a información sensible como contraseñas de distintos servicios web, copiar cualquier archivo almacenado en el disco duro, ejecutar programas o espiar las conversaciones de las víctimas en distintas redes sociales”, informó la policía especializada en delitos tecnológicos de la Brigada Provincial de Policía Judicial de Zaragoza. Las autoridades también encontraron un disco duro en el que el ciberdelincuente español almacenaba varios videos con nombres y contenido explícito de pornografía infantil, que incluso compartía a través de redes Peer to Peer (P2P).
4 b:Secure Junio, 2013
SkyDrive De MicroSoft Supera 250 MilloneS De uSuarioS
Breves Check Point presentó su nuevo Software Blade de cumplimiento de reglas, una solución de monitoreo en tiempo real que aprovecha el conocimiento de requisitos regulatorios, así como de las mejores prácticas de
Microsoft presumió que 250 millones de personas ya almacenan información en Skydrive, servicio que compite contra otros como Dropxbox, iCloud de Apple o Drive de Google; y que puede utilizarse desde casi cualquier dispositivo móvil. De acuerdo con la empresa de Redmond, el número de usuarios tuvo un incremento especial a partir de octubre del año pasado, cuando se llevó a cabo el lanzamiento de Windows 8. Desde entonces, 50 millones de nuevas personas han utilizado el servicio. Skydrive permite a los usuarios de Outlook —antes Hotmail— almacenar hasta 7GB de información en la nube de forma gratuita. El servicio de nube es el que más espacio otorga sin costo: Dropbox regala 2GB mientras que iCloud y Drive ofrecen 5GB. Microsoft ha trabajado en los últimos años por fortalecer Skydrive, que se creó en 2007 pero que apenas hace poco empezó a popularizarse. Apenas en agosto de 2012 fue rediseñado y se le agregaron nuevas características: una papelera de reciclaje, mejoras en la carga del servicio y la posibilidad de chatear con amigos de Facebook. También en ese mismo mes, Microsoft lanzó la aplicación para dispositivos Android. En diciembre llegó al Xbox 360, lo que permite a los usuarios examinar sus fotografías y videos sin necesidad de salir de la interfaz del juego. Actualmente el servicio puede usarse también en iOS y Windows Phone, así como en el sistema operativo Mac. La expansión del servicio de almacenamiento ha resultado. Tan solo en marzo pasado superó los 1,000 millones de documentos de Office cargados en el servicio de la nube, así como la integración con el nuevo MS Office. El fabricante de Windows espera reunir a 1,000 millones de usuarios de su servicio SkyDrive. Además promete más características para el futuro. Microsoft ha modificado su imagen y servicio, enfocándose a la movilidad, desde el lanzamiento de Windows 8: transformó su servicio de correo electrónico Hotmail a la plataforma Outlook, que trabaja con un diseño similar al de su nuevo sistema operativo, y desapareció Messenger para unificarlo con Skype, que ofrece no solo comunicación instantánea sino videollamadas desde cualquier dispositivo. Recientemente, la compañía también anunció que las cuentas de Microsoft habían superado 700 millones.
seguridad IT. El software simplifica la posibilidad de establecer políticas que se adhieren a una gama amplia de regulaciones mundiales y valida que se mantengan los niveles adecuados de seguridad. McAfee anunció que adquirirá Stonesoft, empresa de productos de firewalls de red de próxima generación, por un valor patrimonial total de aproximadamente $389 millones de dólares. Stonesoft brinda soluciones basadas en software y orientadas al cliente para garantizar el flujo de información y simplificar la gestión de seguridad. Fortinet puso en marcha su Centro de Innovación de Seguridad (CIS), donde llevará a cabo un programa de entrenamiento para canales, con el que podrán reproducir ambientes reales de operación y mostrar a sus clientes la facilidad de uso e implementación de las arquitecturas. El CIS se encuentra en las oficinas de Grupo Dice en México. En este se puede configurar y personalizar cualquier requerimiento para recrear el ambiente del cliente.
acceso UAM AzcApotzAlco ofrEcE rEd ágil y sEgUrA A 15,000 AlUMnos
La institución optó por una autenticación personalizada a través de un portal que otorga al usuario una clave única para utilizar la red dentro del campus
Por Ángel Álvarez
E
“Desde que un usuario se conecta a la red es posible conocer qué polítil campus Azcapotzalco de la Universidad Autónoma Metropolitana (UAM) reemplazó más de 3,000 nodos de cableado por una red ina- cas se le deben aplicar, según su perfil: invitado, administrativo, académico lámbrica de hasta 54mpbs para los más de 15,000 alumnos y 3,000 o alumno”, agregó Arámbula. Con el proyecto, según Pedral, la institución educativa mejoró sustancialtrabajadores de la institución con los mejores estándares de seguridad y comente la disponibilidad de su red, expandió la cobertura y acceso, y facilitó nectividad de la industria. “La visión que teníamos era la de proveer la red de manera inalámbrica la administración de la infraestructura. Además, permitió a la UAM enfocar los esfuerzos del área de Servicios para que los usuarios se pudieran comunicar y hacer uso de los servicios que tenemos en línea”, comentó en entrevista Juan Carlos Pedral, coordina- de Cómputo para responder a fenómenos como BYOD (Bring Your Own Device), con el cual la institución podrá habilitar el uso de las aplicaciones dor de Servicios de Cómputo en la UAM. El área de Servicios de Cómputo buscó una alternativa que le permi- académicas en dispositivos de los alumnos, personal administrativo e incluso visitantes. tiera hacer más sencilla la administración de En México, la mayoría de las instituciones la red, agregar características de seguridad académicas han comenzado a renovar su infaen el acceso, mejorar el desempeño, comparestructura de red para responder a la crecientibilidad, flexibilidad y la gestión. te expansión de los dispositivos móviles. “Tuvimos que implementar claves perso“Es claro que 60% del éxito del proyecto nalizadas para que los mismos usuarios fuefue la planeación y la estrategia de implemenran responsables de su uso. Con la tecnología tación, pues saltamos de una red con libertinade Enterasys creamos un sistema de autenticaje a una completamente segura”, dijo Pedral. ción personalizado a través de un portal que Para el desarrollo del proyecto, la UAM elipermite al usuario tener una clave única y utigió la plataforma de conectividad de Enterasys lizarla en la red del campus. Ya depende de que consiste en switches core con capacidad de cada alumno que tan robusta es su contraseruteo de la familia Serie S, switches de acceña”, agregó Pedral. so de Secure Stack series A2, B3 y C2, Access Una de las principales características técPoints 4102, 3605 y 3610, y una controladora nicas que la UAM buscaba con el desplieC4110 capaz de administrar hasta 500 puntos gue de la nueva red era ofrecer conectividad de acceso en alta disponibilidad. con altos niveles de seguridad. El reto se reAnteriormente, la UAM contaba con redes solvió al implementar políticas internas, deinalámbricas cerradas con anchos de banda finidas por nivel y tipo de usuario, explicó máximos de 10 Mbps. Con el proyecto se miCarlos Arámbula, director de Ingeniería de gró a una tecnología de 54 Mbps y se expanProestel, compañía que implementó la soluJuan carlos Pedral, coordinador de Servicios de Cómputo en la UAM dió al resto de las áreas del campus. l ción de Enterasys. 6
b:Secure Junio, 2013
reserve reserve su su agenda agenda
4
de
julio
www.bsecureconference.com.mx
Informes: Tel: (55) 26297260 opci贸n 4, 2629 7280, 84, 85 > 01 800 670 60 40.
Un evento de
eventos@netmedia.info
Producido por
netmedia events Hora de formar
Héroes digitales Las organizaciones demandan un nuevo tipo de profesionista en ciberseguridad. ¿Está listo para formar parte de la Liga de la Seguridad?
D
esde los grandes estrenos de Hollywood, los videojuegos y las series de televisión, hasta los encabezados de los principales periódicos del mundo aparecen cada vez más espacios que abordan escenarios apocalípticos derivados de la enorme dependencia que las sociedades modernas tienen de la tecnología digital. La ciberseguridad se ha masificado. Pero más allá de la morbosidad y atracción que el cibercrimen ha provocado en la sociedad, para los responsables de seguridad IT dentro de las organizaciones
la evolución tecnológica representa uno de los retos más apremiantes en su carrera. Temas como el malware avanzado, las amenazas sociales, los códigos maliciosos móviles, el ciberespionaje industrial y ciberterrorismo demandan de los responsables de seguridad en las organizaciones una serie de nuevas habilidades —cuasi súper poderes— y exigen la creación de una nueva y urgente comunidad conocida como la Liga de la Seguridad que hará frente y combatirá al principal enemigo de empresas y Gobiernos en todo el mundo: el cibercrimen.
Ciberseguridad: ¿una prioridad de seguridad naCional o una responsabilidad de iT y la ofiCina de riesgos de las organizaCiones? La conferencia examinará cómo el sector privado y el gobierno responden a riesgos como el malware, el cibercrimen, el ciberespionaje o, incluso, el llamado ciberterrorismo desde diferentes perspectivas y cómo al separar ambas visiones se ha provocado una falta de cooperación y capacidad de respuesta a este tipo de incidentes en todo el mundo. Unificar el riesgo cibernético bajo un mismo criterio y perspectiva es el eslabón que hace falta en todo programa y proyecto de protección de información.
Conferencista: scott C. algeier, presidente y Ceo de Conrad y director ejecutivo de la iT-isaC
(in)seguridad en Java: la biografía no auTorizada La inseguridad en Java está en boca de todos, pues la estabilidad de la plataforma ha sido cuestionada como resultado del descubrimiento de múltiples vulnerabilidades de día cero que han rebasado la capacidad de Oracle para remediarlas a tiempo. Sin embargo, existe un desconocimiento generalizado acerca de cuáles son los problemas de seguridad específicos que rodean a la popular tecnología de desarrollo de aplicaciones. En esta conferencia se explicarán las características de seguridad de Java y analizaremos la historia de las vulnerabilidades del lenguaje que pueden rastrearse hasta sus orígenes en la década de 1990, haciendo un recuento de las antiguas y, por supuesto, las nuevas.
Conferencista: romeo a. sánchez, enterprise Technical architect en Cemex
8
b:Secure Junio, 2013
Big data, BYOd Y clOud cOmputing vs las leYes de privacidad En esta sesión se presentarán los principales retos que enfrentan las tendencias de big data, BYOD y cloud computing para dar cumplimiento a la extensa y creciente serie de requisitos que derivan de la Ley Federal de Protección de Datos Personales, la Ley Federal de Protección al Consumidor y otras normas relacionadas que hacen obligatoria la confidencialidad, la seguridad y la disponibilidad de la información.
Conferencista: Joel gómez, especialista en derecho informático y propiedad intelectual
lOs 10 puntOs críticOs de cómO vender a la alta dirección la seguridad it
el retO para desarrOllar una verdadera seguridad predictiva
¿Sabe usted vender la función de seguridad a sus directivos? ¿Por qué es necesario vender a la alta dirección el concepto de seguridad IT? ¿Sabe cómo acercarse a cada nivel directivo de la organización? La conferencia busca convertirse en un decálogo o guía práctica que ayude a los profesionales de seguridad y tecnología de las organizaciones a evitar caer en los errores más comunes a la hora de vender a la alta dirección un proyecto de seguridad informática. Al mismo tiempo, se buscará mostrar el mejor camino para colocar el tema como prioritario entre la mayoría de los directivos de la empresa.
La actualidad demanda de las áreas de IT una nueva forma de comunicar y reaccionar ante los eventos relacionados con la ciberseguridad, para atenderlos en forma efectiva, clara y en tiempo. La sesión abordará cómo los departamento de tecnología pueden desarrollar procesos y soluciones de respuesta a incidentes que analicen de manera dinámica y respondan de forma proactiva al cambiante entorno de las amenazas digitales.
Conferencista: ricardo morales, director de seguridad y privacidad de deliotte
Conferencista: Jesús torrecillas, experto en seguridad, cumplimiento y protección de datos
WeBsense
KaspersKY
integración it: entre el cOnsumidOr Y la Organización
inteligencia en amenazas ciBernéticas: cOnOcimientO cOmO defensa
Entender el impacto del BYOD dentro de las organizaciones, los riesgos asociados y las estrategias de seguridad que se deben adoptar para hacer frente a la tendencia, ofrecen a los responsables de ciberseguridad y protección de datos la inteligencia necesaria para tomar decisiones clave en el éxito de la incorporación de nuevas tecnologías, el resguardo de información y el cumplimiento de regulaciones y gobernabilidad hacia el interior de la organización.
Conferencista: pavel Orozco, gerente de ingeniería y preventa de Websense américa latina
Las organizaciones del siglo XXI tienen un reto claro: las amenazas en seguridad IT. En los últimos años, los riesgos cibernéticos han evolucionado de manera rápida y sorprendente: pasaron de simples códigos maliciosos genéricos y visibles, a programas de robo de información invisibles, dirigidos y muy eficientes. En este escenario, cualquier organización, sin importar su tamaño, giro o ubicación, es un blanco atractivo. El reto para los profesionales en seguridad informática es saber cómo hacer frente al entorno hostil y utilizar el conocimiento, la información y las herramientas adecuadas como respuesta a las principales ciberamenazas.
Conferencista: roberto martínez, malware analyst, global research & analysis team de Kaspersky lab américa latina
Junio, 2013 b:Secure
9
inforM
México no desconfía del eMpleado
el estudio de netMedia research revela que solo 16% de las organizaciones que cuentan con un prograMa educativo hablan seManalMente con sus trabajadores sobre riesgos inforMáticos Por Carlos Fernández de Lara
10 b:Secure
Junio, 2013
ME dE cibErsEguridad En México 2013
oo, apr aprEndE: pEro no lo capacita L
as organizaciones reconocen —y desde hace muchos años— que los empleados son el mayor riesgo para la protección de su información; sin embargo, la mayoría de ellas no han hecho nada para cambiarlo, la capacitación es una acción que eluden constantemente. De acuerdo con el Informe de ciberseguridad en México 2013 de Netmedia Research, las dos principales preocupaciones o riesgos que actualmente enfrentan las organizaciones mexicanas son: “evitar las fugas de datos causadas por empleados” y “educar y concientizar a la organización”. En contraste, cuando se les preguntó sobre sus proyectos de capacitación, más de la mitad reconoce no tener. La contradicción es grande pues su desconfianza al trabajador se manifestó casi tres veces más que factores como “contratar profesionales con experiencia en seguridad”, “cumplir con regulaciones de gobierno” y “evitar las fugas de datos causadas por agentes externos” (Ver Gráfico: Lo que le quita el sueño al CSO). Las respuestas de los 189 profesionistas IT entrevistados son un claro ejemplo de la diferencia que existe entre la ciberseguridad en México y Estados Unidos. Según datos de la 2013 Strategic Security Gráfica 1
Survey de la revista hermana InformationWeek, los principales riesgos y preocupaciones que enfrentan las organizaciones estadounidenses son: “reforzar políticas de seguridad”, “administrar ambientes complejos de IT” y “controlar el acceso a sistemas de información”. El miedo al empleado ha mantenido una caída sostenida durante los últimos tres años, al pasar de 23% en 2010 a 11% en 2013. Educación: la gran falla
Los resultados del informe de Netmedia Research podrían parecer predecibles a simple vista. Durante años CIO, CSO, proveedores y expertos en ciberseguridad han hablado de los riesgos que impone la falta de educación o rencor de los empleados a la información más sensible del negocio. Frases como: “el eslabón más débil”, “durmiendo con el enemigo” o “la interfaz más insegura está entre el teclado y la silla” se han hecho recurrentes en la mayoría de foros, congresos o estudios de seguridad IT en México. En un escenario rodeado de escándalos de fugas masivas de información, casos de ciberespionaje industrial y gubernamental, redes de cibercriminales organizadas, malware avanzado y ataques de
Mal, pero no tanto
¿Siente que su organización es más vulnerable a códigos maliciosos y ciberataques de lo que era hace un año? ¿por qué cree que su organización es más vulnerable que hace un año?
Es menos vulnerable
42%
Existen más formas y métodos para atacar a las organizaciones Sí
32%
Incremento de vulnerabilidades en productos de tecnología Los amenazas se han sofisticado mucho No hay una adecuada estrategia de seguridad de la información Falta de compromiso para hacer valer las políticas de seguridad Tenemos más información sensible que antes Un incremento en el número de ataques que enfrentamos Limitaciones de presupuestos
Es igual de vulnerable
26%
Nuestros productos de seguridad no son compatibles entre sí
40 25 20 17 16 12 11 10 4
Nota: Se permitieron múltiples respuestas Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT mexicanos que participaron en el Informe de Ciberseguridad de b:Secure 2013
Junio, 2013 b:Secure 11
Gráfica 2
Lo que Le quita eL sueño aL Cso
liciosos” y “análisis de seguridad de los logs y vulnerabilidades de los sistemas”. Sin embargo, cuando se les preguntó a los entrevistados si su organización contaba con programas Evitar las fugas de datos causadas por empleados 96 para educar y entrenar a los usuarios sobre los riesgos Educar y concientizar a la organización 93 informáticos, más del 60% respondió con un rotunReforzar las políticas de seguridad 86 do y preocupante “No”. (Ver Gráfico: Primordial eduControlar el acceso de los usuarios a los sistemas y datos 83 car, pero no se hace). Administrar el riesgo 52 La situación entre quienes afirmaron contar con Administrar seguridad en ambientes complejos y robustos 34 un programa educativo no es del todo reconfortanEvitar las fugas de datos causadas por atacantes externos 27 te, pues más de la mitad reconoció que habla con Cumplir con regulaciones de industria/Gobierno 23 los empleados sobre riesgos informáticos trimestral o Contratar profesionales con experiencia en seguridad 19 anualmente, 30% lo hace de forma mensual y, únicamente, 16% de manera semanal. Nota: Se permitieron múltiples respuestas Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT mexicanos que participaron en el Informe de Ciberseguridad de b:Secure 2013. Los medios preferidos entre los profesionistas IT para concientizar a los trabajadores son el correo el ingeniería social cada vez más especializados; las respuestas al infor- correo electrónico (36%), las presentaciones en PowerPoint (23%) y me por parte de los profesionistas mexicanos parecieran las indica- los boletines electrónicos (16%). Michael A. Davis, CEO de la firma de consultoría Savid Technodas y más conscientes. Pero, ¿dónde radica la falla principal? En la ironía. Según los re- logies, subraya un punto importante sobre este tipo de estrategias: sultados del Informe de ciberseguridad en México 2013, la principal ac- ¿Qué tanto puede recordar un empleado, al que se contacta una vez ción que ayudaría a la seguridad de las organizaciones es “la creación por trimestre o año, con presentaciones interminables de Powerde programas de educación para los usuarios finales”, seguida de la Point? ¿Cuál es el porcentaje real de lectura de los emails o boletines implementación de “sistemas de detección y análisis de códigos ma- de advertencia sobre la propagación de nuevos códigos o campañas
¿Cuál de los siguientes factores representa el mayor riesgo o reto de seguridad que enfrenta su organización? Seleccione máximo tres
Gráfica 3
eL Costo de La inseguridad
¿su organización ha sufrido alguna brecha de seguridad o ha sido víctima del ciberespionaje en los últimos 12 meses? No
61% Sí
14%
No lo sé
25%
¿qué tipo de brechas de seguridad o espionaje sufrió? Malware (virus, gusanos, botnets) Negación de servicios (DDoS) Robo físico de equipos Web/software exploit Nuestro sitio Web fue vulnerado (defacements) Phishing Intrusión en aplicaciones móviles Comprometieron bases de datos, contenido o sistemas de data management Atacaron vulnerabilidades de sistemas operativos
¿Cuáles fueron las consecuencias de la brecha o ciberataque? Falla en la red y las aplicaciones corporativas Clientes molestos o decepcionados Archivos internos dañados o destruidos Robo de propiedad intelectual o sensible Datos de clientes comprometidos o filtrados Riesgo legal Importante pérdida económica Daño físico a los sistemas de cómputo Mínima pérdida económica Robo de identidad Fraude
12 9 8 5 5 4 3 3 2 2 0
Nota: Se permitieron múltiples respuestas Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT que participaron en el Informe de Ciberseguridad de b:Secure 2013.
12 b:Secure
Junio, 2013
19 9 8 7 7 5 4 3 2 ¿aproximadamente, qué porcentaje de la facturación anual de su organización representó la fuga o robo de información? No lo se
50%
Menos del 5%
38%
Entre el 6 y 10% Más del 20%
4%
8%
Gráfica 4
¿Cuál temor al Ciberespionaje?
¿Cuáles son los principales temores o riesgos que podría enfrentar su organización en 2013? (Seleccione máximo tres) Vulnerabilidad en aplicaciones Empleados inconformes, vengativos o descuidados Robo de datos de clientes Cibercriminales Ataques de grupos hacktivistas (Anonymous) Espionaje industrial Espionaje de otros países
ni enterados
Gráfica 5
¿Cree que su empresa puede ser vulnerada sin que el área de seguridad o la organización lo note? No, lo sabríamos
32% 26% 21% 10% 7% 4% 0
28%
Sí, es posible Nota: Se permitieron múltiples respuestas Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT mexicanos que participaron en el Informe de Ciberseguridad de b:Secure 2013.
de phishing enviados por IT? Davis señala que un buen programa de seguridad no puede sobrevivir únicamente con los responsables de sistemas, sino que tiene que estar complementado por personal de Recursos Humanos, Legal o incluso de Mercadotecnia. “Muchas veces el error está en psicología del mensaje, no en la tecnología que lo transporta”. Además, el experto recomienda el uso de herramientas interactivas como el desarrollo de sitios o correos electrónicos falsos que soliciten al empleado información personal y corporativa sensible, con los que la organización podrá medir el porcentaje de trabajadores susceptibles a algunos de los ataques de ingeniería social más comunes. “Los programas de Security Awereness funcionan y sus efectos son exponenciales. En la medida en que sus empleados sean menos proclives a caer en ataques de ingeniería social o malware, menor será la oportunidad de que la información más sensible de su organización sea comprometida”, asegura Davis.
Gráfica 6
72%
Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT mexicanos que participaron en el Informe de Ciberseguridad de b:Secure 2013.
La ventaja de ser vuLnerado
El Informe de ciberseguridad en México 2013 comprueba que los encabezados de medios de comunicación sobre fugas o hackeos masivos en algunas de las empresas más grandes del mundo y las constantes amenazas de grupos hacktivitsas como Anonymous han provocado que las organizaciones vivan un momento de incertidumbre e inseguridad. Siete de cada 10 reconoció que es igual o más vulnerable a los ciberataques o robo de información de lo que era hace un año. La razón principal: “Existen más formas y métodos para atacar a las organizaciones”. Otros motivos son un incremento de vulnerabilidades en productos de tecnología, impulsada por la serie de fallas detectadas en los primeros meses de 2013 en lenguaje de programación de Oracle, Java. Más frustrante aún es que el incremento en los métodos de ataque es la incertidumbre que las organizaciones mexicanas —y del resto del mundo— padecen frente a la posi-
poCo futuro para el Cso en méxiCo
¿en su empresa cuentan con la figura del Chief security officer (Cso), Chief information security officer (Ciso) o similares? ¿Quién es el responsable de coordinar los programas de seguridad de la información de su organización? CFO
No
5%
CIO
54%
Existe una oficina de riesgos 18%
No lo sé
¿a quién reporta el Ciso?
61%
23%
Sí
39%
No lo sé
10%
CIO
38%
Junta de directores
14% CFO 3%
CEO
16%
Comité ejecutivo
19%
Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT mexicanos que participaron en el Informe de Ciberseguridad de b:Secure 2013.
Junio, 2013 b:Secure 13
bilidad de ser o estar vulneradas y no enterarse, miedo que fue compartido entre 72% de los entrevistados (Ver Gráfico: Ni enterados). La probabilidad incluso ya es asumida por algunos profesionistas IT, pues cuando se les preguntó si su organización había sufrido alguna brecha de seguridad o ciberataque en los últimos 12 meses, 14% dijo que sí, 25% reconoció que no lo sabía y 61% garantizó que no fueron comprometidos. El malware, los ataques de Denegación de Servicios (DDoS, por sus siglas en inglés) y el robo físico de equipos de cómputo se colocaron como las tres principales causas detrás de las brechas de seguridad (Ver Gráfico: El costo de la inseguridad). El mismo gráfico muestra que para la mayoría de las organizaciones vulneradas las consecuencias fueron: “Falla en la red y aplicaciones corporativas”, “Clientes molestos o decepcionados” y “Archivos internos daños y destruidos”. Dichas opciones tuvieron el doble de respuestas que algunas como: “Riesgo Legal”, “Robo de propiedad intelectual” o “Importante pérdida económica”. Este último es quizá uno de los puntos más débiles entre las organizaciones mexicanas que han o podrían ser vulneradas: su capacidad para realmente determinar el impacto que una brecha de seguridad generaría en su organización. No es de extrañar que la mitad de quienes reconocieron ser víctimas de brechas de ciberseguridad, respondieron que desconocían el porcentaje de la facturación anual de la organización que repreGráfica 7
sentó el ataque o fuga. Lo que no se mide, no se controla, aseguran los expertos. Para lograr medir y gestionar sus ambientes de seguridad, las organizaciones requieren de sistemas, programas y personal, y por ende más presupuesto. El caótico y actual escenario de inseguridad informática podría jugar a favor de los CIO y CSO mexicanos. Hace cinco años justificar la inversión en seguridad IT era un reto para las grandes organizaciones y un milagro para las pequeñas y medianas empresas. Sin embargo, el informe de Netmedia Research muestra que para 37% de los encuestados el gasto en el rubro en 2013 será mayor al del año pasado. De cierta forma, los hackeos de Anonymous, las constantes brechas o fugas de información anunciadas en medios de comunicación y las fuertes regulaciones gubernamentales han puesto el tema de ciberseguridad en la agenda de los CEO y CFO alrededor del planeta y en México no es la excepción. Si bien antes solo se trataba de pérdida de información, en la actualidad una amenaza de ese tipo implica consecuencias económicas para las empresas. El mejor referente en el país es la multa de $2 millones de pesos que el IFAI impuso a Farmacias San Pablo en 2012 por incumplimiento de la ley federal de protección de datos. Las organizaciones mexicanas deberían aprovechar el ejemplo de otras para concientizarse y emprender un camino de acciones preventivas que eviten la fuga o pérdida de información. Suena complicado pero se puede empezar por los propios empleados. l
Primordial educar, Pero no se hace
¿su empresa cuenta con programa de educación y concientización sobre temas de seguridad iT? No
64% Sí
33%
¿Qué tan seguido hablan con los empleados sobre riesgos o temas de seguridad de datos? Nunca
2%
Diariamente
1% Semanalmente
Anualmente o más
27%
16%
Trimestralmente Mensualmente No sé
3%
30%
¿Qué medios o canales de comunicación usan para su programa de educación en seguridad? Webinars Social Media Test interactivos
3%
8% Email
36%
¿cree que su programa de concientización de seguridad ayuda a reducir el riesgo? No sirve de mucho pero de todos modos lo hacemos 7%
4% Video 10%
Sí, mucho Presentaciones de PowerPoint 23%
Newsletter
16%
Fuente: Netmedia Research. Información proporcionada por 189 profesionales IT mexicanos que participaron en el Informe de Ciberseguridad de b:Secure 2013.
14 b:Secure
Junio, 2013
24%
35%
Sí, pero con un impacto menor 58%
for
business people
outsourcing d Verdades, mito La alternativa podría solucionar muchos de los retos de protección de información de las organizaciones; siempre y cuando, su elección sea bien ejecutada Por Adrián Palma • 1ª de 2 partes
L
a seguridad de los datos es un factor vital para cualquier organización. Sin embargo, no todas las empresas tienen los recursos, técnicos o económicos, para enfrentar algunos de los problemas más complicados en el campo de la ciberseguridad. Es ahí, dentro las ambientes más limitados, donde el outsourcing juega como una alternativa viable y recomendable. Pero antes de querer que nuestros problemas los solucione alguien más, primero tenemos que entender con claridad la diferencia entre outsourcing y consultoría. Hagamos una analogía simple: imaginemos que nosotros tenemos la responsabilidad de lustrar nuestro calzado, pero por alguna razón no queremos o no podemos ejecutar la tarea (falta de tiempo, poca habilidad para hacerlo, escasez de materiales, etcétera). Podríamos ir con un lustrador de calzado para transferirle nuestra responsabilidad y tener la garantía de que, como se trata de un experto en el área, los zapatos quedarán perfectamente boleados a cambio de un precio y tiempo determinado. Eso es el ejemplo perfecto de un outsourcing. Una consultoría, en la misma analogía, sería solicitar a un tercero que nos recomendara un lustrador de calzado con nombre, apellido y dirección. Además, esa persona también nos asesorará en la forma en la que nos deberán de dar el servicio: qué tipo de grasa o cepillos se tienen que utilizar para alcanzar una boleada perfecta y cuál es el mejor precio por este tipo de servicios. En ese sentido, el outsourcing de seguridad IT no es otra cosa que transferir la responsabilidad de proteger la información e infraestructura del negocio a un grupo de profesionales con experiencia y capacidades profundas en el ramo. Pero como en toda entrega de poder o funciones, existe un enorme nivel de riesgo si no se determina con claridad los servicios, el alcance, las amenazas a resolver, los roles a asumir y la plena justificación de por qué conviene optar por esta alternativa.
Ventajas y desVentajas del outsourcing Es un hecho que la mayoría de las compañías no centran su negocio en la seguridad informática. Su verdadero business core radica en vender o rentar sus productos y servicios. Existen ventajas y desventajas al considerar el outsourcing de seguridad. La pregunta sería: ¿Una empresa en verdad quiere transferirle la responsabilidad de la protección de su información más Segunda de 2 partes 16 b:Secure
Junio, 2013
sensible y crítica a un tercero? En realidad no existe una receta de cocina como respuesta, cada organización debe determinar sus necesidades y tomar una decisión basada en un estudio de riesgo-costo-beneficio. Por ello, la opción del outsourcing no debe ser tomada a la ligera. Hay muchos elementos que necesitan ser examinados para determinar qué es lo mejor para la organización. Algunas firmas, por ejemplo, han decidido que toda la función de seguridad tiene que residir, operar y administrarse internamente. Desde los guardias que cuidan la entrada de las instalaciones, hasta los programas e infraestructura tecnológica que protegen los datos. La siguiente lista provee una serie de ventajas para quienes optan por el camino de ser el guardián de sus propios datos: • Retención interna del conocimiento y talento con profesionales de seguridad que entienden el negocio central de la organización • El área de seguridad IT puede mantener mejor los intereses de la organización porque se refleja directamente en su trabajo. • La rotación del personal en el outsourcing se da con mucha mayor frecuencia que con los empleados internos • El control por parte de la dirección es mucho mayor cuando son empleados de la organización Pero jugar al guardián de los datos también conlleva desventajas o retos a resolver: • El impacto financiero para que la organización logré mantener y retener al personal en seguridad IT puede ser substancial • El hecho de que un empleado sea interno no es ninguna garantía de que sea más confiable que uno externo • El personal es menos flexible. En casos de emergencia, los trabajadores tendrán que trabajar tiempo extra lo cual puede provocar estrés y descontento Si, por el contrario, se busca optar porque otros “boleen los zapatos” también existen ventajas a considerar: • Contará con expertos capacitados en ramos o áreas específicas de seguridad 24/7 los 365 días del año • La compañía no tendrá el impacto financiero de contratar o entrenar profesionales de seguridad de tiempo completo • Los acuerdos de servicios (SLA, en inglés) permitirán que se lleve un control estrictico sobre la calidad del servicio entregado
de seguridAd it: Os y retOs • Los proveedores del servicio tienen una visión más amplia de la industria, lo que les permite conocer las amenazas más recientes e implementar soluciones ya exitosas en otras verticales o sectores • El personal externo no solo es más flexible, sino que también está más disponible Pero de ninguna manera es un modelo sin desventajas: • El proveedor del servicio tendrán acceso a la información acerca de la organización • El outsourcing puede causar fricción con los empleados internos porque la percepción puede ser que ellos son más leales a la organización que los externos • Existen retos culturales en la forma de trabajo entre el outsourcing y los empleados internos
¿OutsOurcing PerO qué? Saber exactamente qué es lo que voy a tercerizar no es algo trivial, es necesario tomar en cuenta varios elementos clave. Dos de los más importantes son: hacer un análisis y evaluación de riesgos en la organización y realizar un estudio sobre la empresa de outsourcing a contratar. Uno de los grandes problemas al adquirir servicios de outsourcing de seguridad IT tiene que ver con la manera en la que se elige dicha opción. En algunas organizaciones el fundamento es el siguiente: “Al optar por un esquema de outsourcing evito el problema de encontrar y contratar gente con experiencia en el área, olvido el reto de la capacitación constante y eliminóola posibilidad de que otros se lleven a mi personal especializado”. Sin embargo, se trata de un argumento débil porque no justifica la verdadera razón del porqué se quiere recurrir al outsourcing. De ahí lo importante del análisis de riesgos: permitir a la organización conocer cuáles serán los aspectos que se buscan transferir o entregar al tercero para su control. Los siguientes son algunos puntos básicos que debe cubrir el análisis: 1. Describir, detectar y medir cuáles son los riesgos que la organización puede enfrentar y darles prioridad conforme al impacto que pudieran tener en el negocio 2. Analizar las posibles amenazas contra nuestros recursos o activos más valiosos y estimar las perdidas potenciales 3. Clasificar las amenazas. Es esencial que el tiempo y los recursos se asigne con base en el impacto al negocio: las perdidas altas deben ser consideradas eventos prioritarios y viceversa
¿cómO selecciOnAr Al mAnAged security services PrOvider?
De aquí en adelante llamaremos al outsourcing de seguridad como Managed Security Services Provider (MSSP). Dado que la seguridad se ha convertido en un problema serio para las organizaciones, la mayoría de los proveedores del mercado tienen un catálogo para cubrir este tipo de servicios. En ese sentido, es mucho mejor tratar con una compañía con la cual uno ya ha establecido una buena relación. Aun así, es importante tener un proceso establecido para seleccionar un MSSP. Los siguientes pasos ayudarán a identificar un buen prospecto: 1. Elementos a considerar del proveedor: a. El alcance de sus servicios. ¿Ofrecen los servicios de seguridad requeridos por la organización? ¿Es la seguridad su principal enfoque o ha sido agregado recientemente a su oferta porque está de moda? b. Estabilidad financiera. ¿Tiene la compañía el capital financiero para permanecer en el mercado durante los siguientes cinco años? c. ¿Ofrece el MSSP un soporte de 24/7? d. ¿Cuánto personal emplea el MSSP? ¿Qué certificaciones poseen? ¿Qué tanta rotación tienen? e. Tiempos de respuesta. ¿Puede el MSSP responder en el tiempo requerido? f. Tiene el MSSP tecnologías best of breed evaluadas por terceros g. Su historia legal, número de demandas, etcétera h. Las referencias de otros clientes i. Las limitantes. ¿Qué puede el MSSP hacer y qué no? 2. Tomar una decisión con base al análisis anterior y el de riesgos 3. Asegurarse de que el proveedor tiene un entendimiento definitivo de lo que uno espera y quiere por escrito. Además, es vital colocar lo anterior en los acuerdos del nivel de servicio apropiados (SLA) y los contratos legales
mAnejAr el OutsOurcing Con el MSSP elegido, el siguiente paso es manejar el proceso. La organización querrá usar las mismas prácticas que tiene para otras áreas. Es importante que el proveedor sea revisado y auditado por lo menos una vez al año. Pruébelos: Tire de la clavija de un IDS o un IPS y vea cuánto tarda en responder y qué soluciones le recomienda. Además, siempre es bueno que la evaluación y auditoria la haga un tercero. l Continuará…
Adrián Palma es licenciado en Informática, cuenta con más de 23 años de experiencia en seguridad IT. Actualmente es director general de Integridata, tiene las certificaciones CISSP, CISA, CISM, CRISC, BSA. Es conferencista a nivel internacional y catedrático del diplomado de seguridad en el ITESM, también es director de certificación CISSP de la Alapsi. Contáctelo en adrian.palma@integridata.com.mx Junio, 2013
b:Secure 17
el invitado Black Hats, WHite Hats, Bufandas amarillas y superHéroes La desunión entre la comunidad de seguridad IT únicamente beneficia a nuestros verdaderos enemigos: los cibercriminales Por Pablo Corona
E
n el mundo de la seguridad de la información (Infosec) existen subgrupos antagónicos y con visiones muy distintas de lo que es hacer seguridad. Trataré de describir las características de cada uno y su papel en la historia. Por un lado, están los “chicos buenos” o White Hats, aquellos que se dedican directamente a proteger los sistemas y la información. La mayoría de ellos trabajan en organizaciones de mediano y gran tamaño, donde la seguridad de la información se ha detectado como un foco crítico, ya sea como CISO, CSO, gerentes de Riesgo o como consultores externos que apoyan a las organizaciones. Su labor es buscar la detección temprana de vulnerabilidades, hardening de sistemas, respuesta ante incidentes, concientización del personal y desarrollo y cumplimiento de las políticas internas, así como directrices y normativas que la organización debe cumplir por su naturaleza y las leyes que le apliquen. Del lado opuesto, tenemos a los Black Hats o “chicos malos”, como algunos los quieren ver. La mayoría se presentan como investigadores de seguridad y dedican gran parte de su tiempo a buscar vulnerabilidades en los sistemas para publicar sus trabajos y pruebas de concepto. En su línea de trabajo, no siempre siguen las reglas del juego y utilizan métodos poco ortodoxos para lograr identificar los puntos débiles de las plataformas y desarrollar herramientas para demostrar su posible explotación. Algunos ven a los Black Hats como delincuentes e infractores de la ley; sin embargo, vale la pena analizar su participación en el entorno de la seguridad de la información y su aporte al mismo. La identificación y pronta difusión de las vulnerabilidades que detectan los Black Hats permite que los administradores implementen controles a tiempo, de forma que los atacantes sean disuadidos o bloqueados.
Podemos hacer la comparación con los superhéroes, todos dedicados a defender la paz y la justicia pero cada quien con sus propios métodos. Algunos muy apegados al buen comportamiento, la moral y la ética como Superman, Hombre Araña, Capitán América o Batman. Otros, en ocasiones doblan un poco las reglas a su conveniencia para alcanzar un “beneficio mayor” como: Ojo de Halcón, Flecha Verde, Nick Furia o Gatúbela y los guardianes del universo como Linterna Verde. En realidad la batalla de todos los grupos de la comunidad InfoSec es contra los verdaderos malos de la película: los cibercriminales. Les aseguro que no son aquellos chicos en su sótano buscando vulnerabilidades y desarrollando aplicaciones para publicarlas en el siguiente CFP de algún congreso o reunión de seguridad. Este grupo de expertos solo buscan demostrar que existen vulnerabilidades y creo que debiéramos darles más crédito por tratar de advertirnos —tal vez no de la forma que más nos gustaría— sobre los peligros que conlleva cierta actividad o sistema. Los verdaderos malos van tras los secretos industriales, las patentes de una empresa, la propiedad intelectual de un negocio y los planes de mercadeo de su siguiente producto, las bases de datos de clientes y sus números de tarjeta de crédito con los que podrían hacer fraudes multimillonarios y retirarse a Islas Caimán el resto de sus vidas, o por lo menos eso han de pensar. Hagamos un frente común, cada quién desde su trinchera. Algunos del lado de los procesos, otros de las mejores prácticas, sistemas de gestión, investigaciones de seguridad, pruebas de penetración, análisis forense, auditoría de seguridad, análisis de vulnerabilidades, ethical hacking, vulnerabilidades en módems o donde quiera que se desarrollen, el objetivo está en sumar y no restar. Todos ellos tienen súper poderes en la seguridad de la información. ¿Usted en qué bando está y qué hace para convertir este cibermundo en uno más seguro? l
Pablo Corona es ingeniero en sistemas, certificado como mcsa, itil, iso/iec20000 service manager, riskassessment y it Governance. es gerente de certificación de sistemas de Gestión de it en nyce. Ha participado en el diseño, implementación y mantenimiento de infraestructura de it, gestión de servicios y administración de sistemas en empresas de diferentes ramos, implementando las mejores prácticas de it. es auditor en iso20000 e iso27000 y desarrolló el kit de implantación de iso20000 para pymes.
18 b:Secure Junio, 2013
seguro… que lo quieres Glass y la era del cyborG El nuevo gadget de Google ya comenzó a causar conmoción, críticas, ambiciones y dudas sobre el futuro de la tecnología intrínsecamente unida al organismo humano
Si existe un gadget con el que puedes tener la garantía que serás la envidia de todos tus conocidos geek y despertará la curiosidad del resto de tu comunidad no es el Galaxy S4, ni mucho menos el aún no lanzado iPhone 5s. El dispositivo que toda la industria IT desea probar es Google Glass. Conocido coloquialmente como los lentes digitales de Google, Glass podría ser definido como el primero dispositivo de realidad aumentada que no pertenece a la ciencia ficción. ¿Por qué? Hasta antes de Glass, todos los equipos electrónicos que ofrecían modalidades de realidad aumentada, donde el mundo digital se traslapa con el físico, requerían de un dispositivo visiblemente presente como un celular, tableta, cámara web o consola de videojuegos. Aunque Galss no deja de ser un gadget muy notorio a simple vista, al tratarse de unos lentes, no requiere casi ninguna manipulación física para su uso. Únicamente necesita la voz y movimiento de cabeza del usuario para ejecutar la mayoría de sus funciones. A principios de abril, el puntocom californiano comenzó a distribuir la edición Explorer de Glass a unos cuantos cientos de personas. Entre ellos, quienes tuvieron la fortuna de ganar uno, forman parte de la prensa especializada IT estadounidense, pagaron $1,500 dólares, son famosos como Justin Bieber y Lady Gaga o son presidentes de naciones de primer mundo como Barack Obama.
laS Entrañ aS
dE loS lEn tES
aquí las esp ecificacion es técnicas • Pantalla de Glass virtual de a lt a resolución • Cámara d e 5 megapix eles capaz d a 720p e grabar vid eo • Transduct or de condu cción ósea • Wifi 802.1 1 b/g • Bluetooth 2.0 • 12GB de memoria má s conectivid Drive ad con Goog le • Entrada m icro USB • Sistema o perativo And roid 4.0.3
SEGuro quE lo quiErES porquE
SEGuro quE no lo quiErES porquE
• Es la primera pieza de hardware del mundo de la ciencia ficción real. Se acabó eso de soñar que tu iPhone te teletransportará o se convertirá en un traje a la Ironman. Bienvenido a la nueva era de los gadgets.
• Estás cansado de tener que velar por la batería de tu celular, laptop, tableta, reloj inteligente, pulsera para medir pasos y calorías y ahora hasta los lentes. ¿Qué sigue los pantalones y zapatos?
• Te imaginas en la reuniones con amigos o en las juntas de trabajo y sabes que no importa lo que digas todos sabrán que hay sabiduría en tus palabras. Después de todo, eres uno de los poquísimos dueños de Glass.
• Si los compras únicamente estás contribuyendo a destruir la poca privacidad que la humanidad todavía conserva.
• Son unos lentes con los que puedes grabar y tomar fotos sin necesidad de sacar una cámara o celular. Mundo del espionaje ¡aquí vamos! • Siempre pensaste que usar lentes te daba estilo, pero no padeces miopía, astigmatismo o vista cansada; con Glass tienes el pretexto perfecto. • Tu amigo ya tiene el Galaxy S4 y el iPhone 5s seguro será lo mismo y te urge un gadget que te ponga un nivel arriba de él. 20 b:Secure Junio, 2013
• Trataste de comprárselo a un chico que lo vendía por eBay y luego descubriste que si Google se entera de la venta podría desactivar remotamente y de forma permanente el equipo. • Sientes que traer una pantalla todo el tiempo frente a uno de tus ojos podría ser perjudicial para tu vista 20/20. • ¿Lentes? Por favor el gadget del futuro no son unos lentes incomodos, esperen a ver el nuevo iWatch de Apple.