Qué deben tener en cuenta los CISOs en las métricas de seguridad de la información

noviembre 27, 2013 § Deja un comentario

La semana pasada fue publicado por OWASP el documento Application Security, Guide for CISOs [PDF] que contiene una serie de lineamientos para los encargados de la seguridad en las empresas. Uno de los puntos tratados dentro de esta guía para CISOs tiene que ver con algunas recomendaciones sobre que se debe medir dentro de una empresa en materia de seguridad de la información.

Cuando se realizan inversiones en materia de seguridad, puntualmente en seguridad informática, se vuelve complejo justificar este tipo de gastos ante una junta directiva y más si se deben medir los efectos de estos nuevos controles implementados para que no sean vistos como un gasto realizado para el cumplimiento de una normativa.

Además para que los planes de seguridad de la información tengan un nivel alto de aceptación es importante demostrar que son eficaces y que tienen un verdadero impacto en la reducción del riesgo en el negocio.

En resumen, dentro de las métricas el CISO de la empresa debe asegurarse de tener información para gestionar los procesos y las tecnologías que componen el programa de seguridad. Basados en la información de la guía de OWASP se pueden definir al menos tres categorías para cubrir los factores mencionados:

  • Métricas de procesos de seguridad: El objetivo de las métricas de procesos es determinar qué tan bien los procesos de seguridad en la organización cumplen con los requisitos definidos por las políticas de seguridad y las normas técnicas seguidas por la empresa.
  • Métricas de riesgos de seguridad: Como parte de las métricas es muy importante conocer la eficacia de las medidas tanto preventivas como correctivas que se implementan en la empresa como parte de la gestión de la seguridad. Por ejemplo, tener medidos los tiempos de respuesta a incidentes productos las pruebas de los Planes de Continuidad del Negocio. También tener un inventario de los problemas de seguridad que han sido explotados y relacionarlos con los análisis de vulnerabilidad realizados y las acciones correctivas implementadas, de esta forma se puede conocer la eficacia de las medidas de control.
  • Seguridad en el ciclo de vida de desarrollo de las aplicaciones: Un aspecto a menudo descuidado es el gasto en seguridad que se hace sobre las aplicaciones antes de que salgan a producción. En este sentido si se hiciera inversión en pruebas para determinar la seguridad de las aplicaciones, los costos de las correcciones serían menores a hacerlo cuando ya están en producción. Algo que puede sonar tan obvio muchas veces no es aplicado buscando la agilidad en los procesos de desarrollo. En este sentido tener un control sobre el cumplimiento de los tiempos de desarrollo, puede ayudar a que no se limiten los tiempos de prueba con el propósito de cumplir con la implementación.

Es muy importante que las actividades dentro de la gestión de la seguridad sean medidas utilizando parámetros enfocados en la toma de decisiones. De esta forma se pueden tener las señales adecuadas que permitan monitorear la gestión y así asegurar que las actividades se cumplan correctamente, logrando evaluar los resultados de la gestión frente a los objetivos planteados. Es así como las métricas, sean cuantitativas o cualitativas deben ser la herramienta que permita obtener datos sobre procesos a través de los cuales se pueda conocer la evolución de los programas de seguridad para lograr tomar las medidas de mejora a tiempo.

Fuente: Laboratorio de ESET

Guía de protección de Infraestructuras Críticas

noviembre 25, 2013 § Deja un comentario

Destinada a operadores de infraestructuras críticas, la guía tiene como fin fundamental introducir los procedimientos y herramientas esenciales para mejorar la seguridad de los sistemas informáticos que componen las infraestructuras críticas.

En la guía se indican normas de buenas prácticas para proteger equipos individuales y el acceso a servicios, como la limitación de los privilegios y servicios a los mínimos necesarios, implantación de políticas de actualización o creación de snapshots con las configuraciones de seguridad. Incluyendo, por supuesto, la necesidad de incorporar medidas antimalware y procedimientos de backup robustos. Además, se hace énfasis en la especial atención requerida en los entornos legacy y en los equipos móviles.

También introduce la conveniencia de desplegar medidas avanzadas. Concretamente, se tratan: los sistemas de detección de intrusiones, como la plataforma open source OSSEC, que integra todos los aspectos de un HIDS (Host-based Intrusion Detection System) y de un SIM/SEM (Security Incident Management/Security Events Management); los conocidos como HoneyTokens, que funcionan como “cepo” para atraer a posibles atacantes y hacer más rápida su detección; la implantación de indicadores de compromiso, o IOC, por ejemplo por medio del framework OpenIOC de Mandiant, que sirven para identificar amenazas, de forma automática, a partir de sus características técnicas; las potentes herramientas EMET y CrystalAEP, muy útiles para la detección de exploits.

La guía “El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas” se encuentra disponible para su descarga INTECO.

Fuente: INTECO

ISACA ¿Cómo proteger de manera efectiva la información?

noviembre 21, 2013 § Deja un comentario

Sólo 4 por ciento de los profesionales de TI han asegurado que sus empresas están preparadas para garantizar asegurar la privacidad y gobierno de Big Data, de acuerdo con una encuesta global realizada por la asociación profesional ISACA. Hoy la información es la divisa y las empresas no sólo deben protegerla y gestionarla, sino también usarla para generar valor para el negocio.

Para ayudar a las empresas a superar este desafío, ISACA dio a conocer una nueva guía basada en el marco de negocio COBIT 5. La guía COBIT 5: Enabling Information  (COBIT 5: Habilitando la Información) ofrece a los lectores tres beneficios principales:

  • Un modelo de información completo que incluye todos los aspectos de la información: usuarios, objetivos y buenas prácticas
  • Una guía sobre cómo usar COBIT 5 para abordar los problemas comunes del gobierno de la información, como Big Data y las preocupaciones de privacidad.
  • Un entendimiento profundo de por qué la información necesita controlarse y administrarse, junto con pasos concretos de cómo lograrlo.

“Las compañías de todas las industrias y todas las geografías están luchando con grandes volúmenes de datos y con requerimientos de cumplimiento cada vez más complejos”, aseguró Steven De Haes, presidente del equipo de desarrollo de la publicación. Cuando las estructuras de gobierno y de procesos están implementadas, las empresas están mucho mejor equipadas para manejar estos desafíos” agregó.

COBIT 5: Enabling Information, también ayuda a las empresas a manejar  tres aspectos clave de Big Data: la detección del fraude, la analítica predictiva de TI y la conciencia situacional de mercadotecnia.

“En muchas empresas, la información está distribuida en diferentes puntos aislados, se repite en copias redundantes dispersas por la compañía, y está subutilizada”, señaló De Haes. “El objetivo de ISACA es ayudar a las compañías a simplificar el gobierno de la información para que no sólo puedan manejar este importante activo que proviene de un vasto número de canales, sino también encontrar valor de ella” finalizó.

COBIT 5: Enabling Information puede adquirirse en la ISACA Bookstore. El marco COBIT 5 puede descargarse sin cargo en www.isaca.org/cobit.



Fuente: ISACA

Guía de Doble Autenticación

noviembre 7, 2013 § Deja un comentario

En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identificarse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros.

Sin embargo, el aumento de ataques informáticos sumado a las conductas inseguras de las personas, como el uso de contraseñas débiles e iguales en varios servicios, hacen necesario utilizar métodos de autenticación complementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación.

Esta guía de doble autenticación publicada por ESET tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Facebook, Twitter y otros.

Fuente: ESET Latinoamérica

BackTrack Academy

octubre 22, 2013 § Deja un comentario

BackTrackAcademy o BTA es una comunidad sin fines de lucro en donde podrás crear, aportar y compartir todos los conocimientos relacionados con la seguridad informática disfrutando y realizando pruebas de penetración mediante la distribución de Linux Backtrack/Kali.

Actualmente dispone de miembros y colaboradores de varios países de LATAM que participan activamente publicando noticias y fantásticos manuales y tutoriales (no os perdáis por ejemplo el curso de Python). Además están organizando hangout y retos de hacking gratuitos que os ofrecerán la posibilidad de aprender jugando.

Fuente: Hack Players

Guía de fortificación y seguridad de servidores web Apache

octubre 21, 2013 § 2 comentarios

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de Internet.

Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador.

Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.

Es una guía muy concisa y resumida que nos lleva al grano. El índice de la misma es el siguiente:

Fuente: CyberHades

Nuevas versiones de guías de la Cloud Security Alliance, centradas en la movilidad y la gestión de datos

octubre 3, 2013 § Deja un comentario

La CSA ha actualizado su Cloud Control Matrix (CCM), diseñada para ayudar a las organizaciones a revisar las credenciales de seguridad de los proveedores de servicios cloud.

CCM proporciona recomendaciones de mejores prácticas para la seguridad de la cloud. Cubre una amplia variedad de áreas, desde el centro de datos, el hardware y la seguridad de aplicaciones, hasta la continuidad de negocio y la evaluación de vulnerabilidades. La tercera versión de CCM incluye guías para cinco nuevas categorías: seguridad móvil; gestión de la cadena de suministro; transparencia y responsabilidad; interoperabilidad y portabilidad; y encriptación y gestión de claves.

La movilidad era un área natural en la cual centrar las nuevas prácticas de seguridad, dado que se está convirtiendo en un caso de uso muy común para la cloud, según Sean Cordero, co-presidente del CCM Working Group que ha ayudado a crear estas nuevas guías. Las mejores prácticas de movilidad cubren no solo cómo se accede a los servicios basados en cloud desde dispositivos móviles, sino también cómo el software como las herramientas de gestión de dispositivos móviles se ofrecen en un modelo SaaS.

Una recomendación, por ejemplo, es tener una política de uso móvil bien definida y garantizar que todo el mundo dentro de la organización está familiarizada con ella. Si bien puede parecer bastante obvio, muchos clientes carecen de políticas básicas para controlar a qué servicios pueden acceder sus usuarios desde sus dispositivos móviles, según Cordero. “Esto se ha extendido debido al crecimiento orgánico de BYOD (bring your own device)”, explica este ejecutivo, también presidente de la consultora en seguridad cloud Cloud Watchmen, añadiendo que cuando “un directivo quiere usar un iPad, de repente surgen múltiples cuestiones”. Una política puede dictaminar cómo se protegen los dispositivos, qué información almacena y a qué datos del dispositivo tiene acceso la empresa. “Ser claro en las normas del juego”, puntualiza Cordero.

Otra nueva categoría es la gestión de la cadena de suministro, la transparencia y la responsabilidad. La CSA recomienda que los clientes tengan una visión clara de cómo el proveedor maneja exactamente los datos. En algunos casos, el suministrador puede estar trabajando con terceros, lo que puede representar un riesgo de seguridad, de acuerdo con el portavoz de la alianza cloud. Por ejemplo, en los despliegues de escritorios virtuales, los clientes pueden contratar a un suministrador y éste, para el back-end, puede estar utilizando la plataforma de almacenamiento de una tercera empresa. Los clientes deberían saber en qué consiste toda la cadena de suministro de sus datos para asegurarse de que está convenientemente protegida en todo el proceso.

Otro escenario cada vez más común es el del mercado de plataformas como servicio (PaaS), añade Cordero. Con frecuencia, PaaS, que es una plataforma de desarrollo de aplicaciones, se ejecuta en una infraestructura subyacente como un servicio (IaaS). Los clientes deberían ser conscientes de los acuerdos de nivel de servicio o SLA y los controles de seguridad no solo de su proveedor PaaS, sino también del proveedor de IaaS.

Seguir las mejores prácticas en seguridad definidas en el CCM es una forma de que los clientes se protejan a sí mismos. El reciente caso con el proveedor de almacenamiento Cloud Nirvanix, que apenas informó a sus clientes de que movía los datos de su cloud porque cerraba, ha reforzado la importancia de tener una plan de emergencia de datos y continuidad de negocio.

La CSA – que es una organización sin ánimo de lucro centrada en el la seguridad de la cloud – actualiza regularmente el CCM para garantizar que incorpora los últimos estándares de seguridad aceptados por la industria, como ISO 27001/2. Miembros como Cordero trabajan con los usuarios, asesores y proveedores de servicios cloud para identificar las últimas tendencias en la industria y garantizar que quedan reflejadas en el CCM. Los clientes pueden comprobar la lista completa de especificaciones del CCM descargando aquí una versión PDF.

Fuente: CSO España

Publicado el Boletin 193 de Segu-Info – 25/08/2013

agosto 25, 2013 § Deja un comentario

En este Boletín, continuando con lo iniciado en el Boletín 184, analizamos la seguridad en entornos virtualizados con VMware, describiendo cada una de las capas que deben asegurarse.

Además, nos introducimos en un tema de máxima repercusión corporativa: la administración y seguridad de los dispositivos móviles y smartphones dentro de las organizaciones, a través de políticas de MDM (Mobile Device Management).

  1. Seguridad en ambientes VMware
  2. BYOD – Desmitificando MDM (Mobile Device Management)

A continuación se puede Leer el Boletín 193 o registrarse para recibirlo en su correo electrónico.

Curso de desarrollo de aplicaciones en Windows Phone 8

agosto 16, 2013 § Deja un comentario

Si quieres aprender a desarrollar aplicaciones con Windows Phone 8, este curso en línea es perfecto. A lo largo de 20 módulos aprenderás los conceptos claves para desarrollar aplicaciones con esta tecnología.

La lista de módulos es la siguiente:

Fuente: Daniel Yesuron

Cheat Sheet de PowerShell

agosto 11, 2013 § Deja un comentario

Hay muchas “cheat sheet” por Internet sobre PowerShell, pero estas en concreto son directamente ofrecidas por Microsoft.

La primera nos muestra un listado de los comandos más utilizados (en formato .doc). El otro enlace permite la descarga de seis ficheros en formato PDF con trucos, atajos y operaciones comunes en PowerShell 3.0, PowerShell WorkFlow, PowerShell ISE, Windows PowerShell Web Access, Server Manager for Windows Server 2012, WinRM, WMI, y WS-Man.

Windows PowerShell Quick Reference [Microsoft]
Windows PowerShell 3.0 and Server Manager Quick Reference Guides [Microsoft]

Fuente: CyberHades

¿Dónde estoy?

Actualmente estás explorando la categoría guias en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores