ISACA ¿Cómo proteger de manera efectiva la información?

noviembre 21, 2013 § 1 comentario

Sólo 4 por ciento de los profesionales de TI han asegurado que sus empresas están preparadas para garantizar asegurar la privacidad y gobierno de Big Data, de acuerdo con una encuesta global realizada por la asociación profesional ISACA. Hoy la información es la divisa y las empresas no sólo deben protegerla y gestionarla, sino también usarla para generar valor para el negocio.

Para ayudar a las empresas a superar este desafío, ISACA dio a conocer una nueva guía basada en el marco de negocio COBIT 5. La guía COBIT 5: Enabling Information  (COBIT 5: Habilitando la Información) ofrece a los lectores tres beneficios principales:

  • Un modelo de información completo que incluye todos los aspectos de la información: usuarios, objetivos y buenas prácticas
  • Una guía sobre cómo usar COBIT 5 para abordar los problemas comunes del gobierno de la información, como Big Data y las preocupaciones de privacidad.
  • Un entendimiento profundo de por qué la información necesita controlarse y administrarse, junto con pasos concretos de cómo lograrlo.

“Las compañías de todas las industrias y todas las geografías están luchando con grandes volúmenes de datos y con requerimientos de cumplimiento cada vez más complejos”, aseguró Steven De Haes, presidente del equipo de desarrollo de la publicación. Cuando las estructuras de gobierno y de procesos están implementadas, las empresas están mucho mejor equipadas para manejar estos desafíos” agregó.

COBIT 5: Enabling Information, también ayuda a las empresas a manejar  tres aspectos clave de Big Data: la detección del fraude, la analítica predictiva de TI y la conciencia situacional de mercadotecnia.

“En muchas empresas, la información está distribuida en diferentes puntos aislados, se repite en copias redundantes dispersas por la compañía, y está subutilizada”, señaló De Haes. “El objetivo de ISACA es ayudar a las compañías a simplificar el gobierno de la información para que no sólo puedan manejar este importante activo que proviene de un vasto número de canales, sino también encontrar valor de ella” finalizó.

COBIT 5: Enabling Information puede adquirirse en la ISACA Bookstore. El marco COBIT 5 puede descargarse sin cargo en www.isaca.org/cobit.



Fuente: ISACA

Anuncios

ISACA Actualiza los Estándares de Auditoria y Aseguramiento de SI

julio 24, 2013 § Deja un comentario

ISACA publicó la versión actualizada de los Estándares de Auditoría y Aseguramiento de Sistemas de Información (SI).

Introducidos en 1988, los Estándares de Auditoria y Aseguramiento de SI definen los requerimientos obligatorios para la auditoría y verificación de sistemas de información. Mantienen informada a la dirección de las expectativas respecto al trabajo de los profesionales, asegurando que entiendan el nivel mínimo de desempeño aceptable que se requiere para satisfacer dichas responsabilidades. Quienes cuentan con la certificación Certified Information Systems Auditor (CISA) deben cumplir con estos estándares.

Esta actualización incluye 17 estándares que se estructuraron para incluir la correcta definición de términos clave, ofrecer mayor claridad y alinearse con otros organismos globales de auditoría. Están divididos en tres categorías:

  • Estándares generales (serie 1000) – Estos estándares se enfocan en los principios rectores bajo los cuales opera la profesión de aseguramiento de SI. Estos principios se aplican al rumbo de todas las designaciones e incluyen temas como ética, independencia, objetividad, diligencia, conocimiento, competencia y habilidades.
  • Estándares de desempeño (serie 1200) — Se ocupan de la dirección del proyecto, etapas como la planeación y supervisión. Aspectos como el riesgo y materialidad, movilización de recursos, supervisión y administración de las asignaciones, evidencia de la auditoría y el aseguramiento así como el ejercicio de una apropiada y efectiva evaluación profesional.
  • Estándares de reporteo (serie 1400) —Estos estándares abordan los tipos de reportes, medios de comunicación y la información difundida.

Los Estándares de Auditoria y Aseguramiento de SI se incluyen en el texto ITAFT: Un Marco de Prácticas Profesionales para la Auditoria/Aseguramiento de SI, 2ª Edición, que ofrece una sola fuente en la cual los profesionales de la auditoria y el aseguramiento de SI pueden encontrar el Código de Ética Profesional de ISACA, estándares y lineamientos, así como referencias a herramientas y técnicas, como los programas de auditoría y aseguramiento, libros y reportes para apoyar su trabajo.

Los Lineamientos de Auditoría y Aseguramiento de SI de ISACA también se actualizaron para alinearse con los estándares y con el marco de referencia COBIT 5. A finales de este año estará disponible un borrador para su discusión.

Fuente: ISACA

Criterios de PCI DSS para la obtención de evidencia en auditorías

junio 14, 2013 § Deja un comentario

Cuando se realiza una auditoría PCI DSS a un Comercio (“Merchant“) o Proveedor de Servicio (“Service Provider“) clasificados como nivel 1 (“Level 1”) por la cantidad de transacciones anuales realizadas y dichos resultados deben ser reportados a Visa, de forma obligatoria el auditor QSA debe rellenar un documento específico con los detalles pormenorizados de los hallazgos de la auditoría y la evidencia asociada. Dicho documento se denomina “Report on Compliance” (RoC) y de forma discrecional otras marcas (como Discover) lo pueden requerir para evaluar el cumplimiento del estándar.  Este RoC suele acompañar el formulario de  Declaración de cumplimiento para evaluaciones in situ (“Attestation of Compliance”) (AoC) y los resultados de los escaneos ASV como requerimientos de validación.

El RoC – a diferencia del SAQ y del AoC – va más allá del SI/NO en la columna “Estado de cumplimiento”, ya que se requiere un detalle granular justificando el porqué de dicho cumplimiento y respaldándolo con diferentes tipos de evidencia, como se describirá en este artículo. Es importante que tanto el auditor QSA como la empresa auditada conozcan el tipo de evidencia que se requerirá en este proceso:

  • El auditor, para preparar su plan de auditoría y coordinar tiempo y esfuerzo en la obtención de evidencia dependiendo de la complejidad del entorno auditado.
  • La empresa auditada, para poder preparar permisos, autorizaciones, personal acompañante, disponibilidad y encargados de proveer dicha evidencia al auditor.

De esta manera, el proceso de auditoría no tendrá contratiempos y la información a ser revisada podrá estar disponible cuando se requiera

Contenido completo en fuente original PCI Hispano

Auditorías de segunda parte: seguridad en las compras y contrataciones

febrero 9, 2013 § Deja un comentario

No es ésta la primera vez que hablamos en este blog sobre auditorías, especialmente en su relación con los procesos y entidades de certificación. En el pasado hemos hablado sin mordernos demasiado la lengua del doble juego de las entidades de certificación, del doble juego de los auditores de las entidades de certificación, así como de algunos aspectos del proceso de certificación de la seguridad (parte I y parte II).

A estas alturas ya todos sabemos bien de qué va el tema y la mayoría seguramente hasta hemos “sufrido” auditorías en primera persona. No obstante vamos meternos en materia ofreciendo en primer lugar una aproximación al concepto de auditoría. Desde el punto de vista formal, la normativa de gestión define la auditoría como un “proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.

Vale. De acuerdo. Pero esta definición, seguramente correcta desde el punto de vista formal, resulta a todas luces insuficiente ya que una vez leída cualquiera puede quedarse igual que al principio. O peor. Además, la misma definición introduce ruido incluyendo dos veces el propio término que intenta definir. Resumiendo: si no sabes qué es y en qué consiste una auditoría con total seguridad seguirás sin saberlo después de leer la definición de la norma.

Por otro lado, el diccionario de la RAE define el término auditoría como “Empleo de auditor” y para el término auditor indica “Que realiza auditorías” por lo que el casi infalible diccionario oficial tampoco nos sirve de gran ayuda en este caso.

Vamos pues a intentar aclarar el concepto ofreciendo una aproximación más práctica.

Una auditoría, con independencia de sus objetivos (los cuáles pueden ser muy diferentes en función del tipo de auditoría, hablaremos de ello) consiste o debería consistir en un examen metódico, concienzudo, riguroso, independiente, completo y repetible el cual es realizado a una organización o a una parte de la misma (un proceso, un departamento, una línea de fabricación, un programa de clientes, un contrato, un proyecto, etc.).

Contenido completo en fuente original Security Art Work I, II y III

En Inglaterra también investigan a la firma que controla la SUBE

junio 22, 2012 § Deja un comentario

Por: Graciela Iglesias 

Las autoridades británicas posaron la lupa sobre Global Infrastructure (GI), la empresa que encabeza el control de la tarjeta SUBE. Como consecuencia de las notas publicadas por LA NACION, desde Companies House , registro oficial de corporaciones de Inglaterra, informaron que la empresa quedó bajo proceso de investigación.

Según pudo saber este medio, la empresa británica omitió informar a las autoridades locales sobre sus contratos por $ 65 millones con la Secretaría de Transporte. Ese motivo, sumado a otras irregularidades administrativas, motivaron la investigación por parte del gobierno británico.
GI no tiene oficinas en Buenos Aires. En su supuesta casa matriz, en un pueblo inglés, funciona una peluquería. Nadie sabe dónde trabajan sus empleados extranjeros ni a qué se dedican, pero cobran en dólares.

La empresa británica encabezó el consorcio integrado por ex asesores de Transporte que ganaron la licitación para controlar la SUBE, pese a que la consultora internacional PWC realizó una oferta $ 10 millones más económica por el trabajo. El concurso público quedó esta semana en la mira de la Justicia en la Argentina, que investiga supuestas irregularidades en la asignación del contrato de $ 65 millones.

El derrotero de GI en Inglaterra despierta misterio. La compañía todavía no existía cuando la licitación para controlar la SUBE ya había comenzado: fue inscripta el 22 de junio de 2009 en Companies House, entidad que reporta a la Secretaria de Estado para el Comercio y la Industria británica. Se registró con el domicilio 78 York Street, de Londres, una dirección alquilada por 60 dólares mensuales que funciona como oficina virtual. Con esos mismos datos, la firma inglesa está registrada ante la Inspección General de Justicia de la Argentina.

Meses después, GI informó su cambio de domicilio a Bicester, una localidad inglesa de 29.000 habitantes. LA NACION reveló que en la fachada principal de Claremont House , su dirección en el pueblo, funciona una peluquería. En el contrafrente opera un estudio de contadores que se encarga de recibir su correspondencia. Ese es el único contacto británico de la empresa que controla el funcionamiento de la SUBE.

Stephen Chandler, dueño de GI, es el máximo responsable de controlar la SUBE. El consultor británico, que pronuncia pocas palabras en español, cobra 40.000 dólares mensuales como “jefe de proyecto”; casi 2 millones de dólares por los cuatro años de contrato.

Algunas omisiones llamaron la atención de las autoridades británicas. Chandler registró a GI con “cuenta durmiente” (dormant account). “Ese status sólo se puede utilizar cuando la compañía está literalmente «durmiente», es decir que no opera para nada o lo hace por montos muy pequeños”, explicó a LA NACION Neil White, vocero de Companies House. Y señaló que, por sus contratos de $ 65 millones con la Secretaría de Transporte de la Argentina, quedó “inmediatamente” bajo investigación. “Ciertamente no entra dentro del criterio de una cuenta durmiente”, agregó.

La rapidez de las autoridades británicas está vinculada a que la firma ya se encuentra en infracción por no haber cumplido con la entrega de sus cuentas anuales que deberían haber sido presentadas el 31 de marzo. Hace dos meses, Companies House envió una carta documento alertándola de los costos y riesgos de la demora. Por el momento pagará multas de 1125 dólares; pero puede aumentar hasta los 2250 dólares si no regulariza su situación en los próximos seis meses. Pasado ese plazo, la compañía será retirada del registro, sus bienes confiscados y sus directivos serán pasibles de sufrir sanciones penales que incluyen la prisión.

La empresa británica, que cuenta con un capital formal de 100 libras esterlinas, tampoco dio cuenta aquí de la apertura de sucursales en el exterior. El 15 de octubre de 2010, Global Infraestructure Group fue inscripta en la Argentina. En ese entonces, la licitación para supervisar la SUBE ya estaba en su última etapa.

Problemas con la OYSTER

La participación de la Chandler en la Oyster card, el boleto electrónico que se utiliza en el transporte de Londres, fue determinante para la Secretaría de Transporte. Los funcionarios tomaron ese antecedente del “jefe de proyecto” para asignarle la máxima responsabilidad en el control de la SUBE.

El consultor inglés de 58 años trabajó como representante en el Reino Unido de la firma norteamericana Electronic Data System (EDS), accionista del consorcio TranSys que operó en la primera fase en la introducción de la Oyster en el Underground.

El contrato de TranSys con la empresa pública a cargo del transporte, Transport for London (TfL) fue cancelado abruptamente en agosto de 2008. La razón oficial de la ruptura del contrato suscripto en 1998 y que debía extenderse hasta 2015 fue que, al costarle al Estado 150 millones de dólares anuales, se había probado no ser un “costo efectivo”.

En los medios ingleses, en cambio, se hizo referencia a múltiples inconvenientes sufridos por los usuarios a raíz de problemas técnicos así como a un escándalo provocado por dos estudiantes universitarios holandeses que lograron hackear el sistema.

Tras las negociaciones, TranSys continuó operando la venta de boletos electrónicos hasta agosto de 2010 cuando la TfL se hizo cargo total del servicio adquiriendo incluso la propiedad intelectual de la marca Oyster que el consorcio todavía detentaba.

Contenido completo en: La Nación

Auditando vulnerabilidades XSS

abril 5, 2012 § Deja un comentario

La siguiente nota, acompañada con un vídeo práctico, tiene por objetivo mostrar el uso de ciertas herramientas gratuitas para auditar entornos web en busca de vulnerabilidades XSS.

Según la OWASP los ataques XSS (Cross-Site Scripting)  siguen siendo los vencedores en cuanto a explotación de vulnerabilidades en entornos web se refiere. Los ataques XSS tratan de aprovecharse de vulnerabilidades generadas por una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata de engañar al usuario para que pulse la URL manipulada de forma precisa para que al abrirse, ejecute código Javascript que será interpretado en el navegador del usuario. Este tipo de ataques pueden ser utilizados para robar cookies de sesión, inyectar código en nuestra página o incluso comprometer nuestras máquinas con ayuda de frameworks como «BeEF» (Browser Exploitation Framework) .

Generalmente estos ataques están catalogados como “no persistentes” al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como “persistentes” son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS  para entender su funcionamiento, tipos  y medidas preventivas  recomendables para evitar este tipo de problemas.

Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. «Shell of the Future»  o «BeFF» son un claro ejemplo de ello.

El siguiente vídeo tiene por objetivo mostrar el uso de algunas herramientas gratuitas para auditar nuestro sitio web en busca de vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix  sobre una página de prueba. Posteriormente se mostrará XSSer , herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.

 

Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques.

INTECO-CERT cuenta con un servicio de suscripción a través del que es posible conocer los últimos fallos que afectan a determinados productos a través de notificaciones en el correo electrónico. Adicionalmente se pueden realizar búsquedas en el repositorio, con más de 50000 registros, que INTECO-CERT mantiene mediante el “Buscador de vulnerabilidades”.

Fuente: INTECO

Requerimientos de seguridad y auditoria en Cloud [Qualys]

marzo 5, 2012 § Deja un comentario

La computación en nube plantea nuevos desafíos para los profesionales de seguridad y de auditoría que deben proteger los datos corporativos y los activos de TI, y verificar el cumplimiento de los controles de seguridad. Las capacidades esenciales que deben ofrecer los proveedores de servicios en la nube son el control de los datos, programas y acciones, y la visibilidad sobre el estado de los datos y el uso de las aplicaciones.

Este artículo publicado por Qualys [PDF] presenta un esquema de cómo debe cambiar el mundo de la seguridad de la información, auditoria y el cumplimiento en los entornos cloud. A partir de la definición de la computación en la nube y sus diversos modelos, en este documento se explica cómo el cloud computing está cambiando las hipótesis acerca de la seguridad, y proporciona directrices para los auditores que deben verificar la eficacia de los controles de seguridad utilizados dentro de un sistema de computación en la nube.

El documento se basa en iniciativas como Cloud Security Alliance (CSA), un grupo de más de un centenar de vendedores y proveedores de soluciones, que trabajan para promover la el uso de mejores prácticas para ofrecer garantías de seguridad en la nube y un subgrupo llamado CloudAudit, que está desarrollando una interfaz de programación de aplicaciones para permitir la automatización de las auditorias y la evaluación y aseguramiento de datos y aplicaciones en y entre múltiples nubes.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría auditoria en Seguridad Informática.