Ataques desde el interior de la empresa, los más costosos

noviembre 4, 2013 § Deja un comentario

Por Cyntia Martínez

El miedo del CEO por inmiscuirse en cuestiones tecnológicas lo han llevado a darle la llave de todos sus accesos al responsable del área de Sistemas, poniendo en riesgo no solo sus sistemas, sino también la información sensible que posee.

La situación se agrava aún más cuando estos accesos son otorgados por rol, volviéndose compartidos, lo que incrementa la dificultad de control, al tiempo que impide realizar auditorías en el momento en el que se presente algún problema.

El director de Dell Software México, Rafael Sierra, aseguró que los ataques que se realizan desde el interior de la compañía resultan más costosos, además de poseer menor posibilidad de fallar, sobre todo, cuando son ejecutados por personas que conocen a detalle la infraestructura tecnológica que posee la compañía.

Por ello, hoy existen Permisos Privilegiados y Cuentas de acceso privilegiadas,que permiten monitorear, auditar y delegar ciertos permisos para realizar actividades específicas en el manejo de información crítica. Mismas que, hoy son utilizadas, sobre todo, por el sector financiero, pero que requiere toda empresa que posee datos sensibles de terceros e incluso información de propiedad industrial.

Abundó en que este tipo de herramientas deberán ser implementadas por el área de Sistemas o el CIO; sin embargo, la definición de políticas y accesos deberá ser un trabajo que desarrolle el director de Finanzas, en conjunto con el director general. “Se trata de un trabajo en conjunto”.

Aún así, existen algunas recomendaciones que el usuario deberá seguir para para prevenir este tipo de riesgos

Asignación de responsabilidades individuales

El acceso administrativo compartido y sin administrar es uno de los principales errores que las compañías cometen, al exponer a la organización, sobre todo cuando la super cuenta tiene acceso a los sistemas operativos, aplicaciones y bases de datos. Mediante cuentas compartidas, cualquier fallo de seguridad o cumplimiento puede rastrearse solamente hasta la cuenta y no a un administrador en particular.

Razón por la que es necesario limitar el derecho de acceso de los administradores. Las credenciales deben emitirse solamente a medida que sean necesarias, acompañadas por un seguimiento de auditoría que registre quién las usó, quién aprobó el uso y qué hizo con ellas, además de cómo y por qué las reciben.

Posiciones de seguridad de “menor privilegio”

Muchas cuentas administrativas, ya sean de Unix, Windows o un mainframe, brindan permisos ilimitados dentro del límite de control y, cuando se comparten, abren la puerta a actividades malintencionadas.

En este sentido, se requiere un enfoque más prudente para establecer una política que defina claramente lo que cada administrador (o rol) puede hacer con su acceso.

A decir de Sierra, “aún existe poca madurez en el mercado por lo que externó la necesidad de mayor evangelización, sobre en empresas medianas. Las grandes empresas y corporativos ya lo entienden, asignando presupuestos para estos rubros“. Aún así, el directivo dijo ser un mercado con grandes oportunidades, pues tan solo hoy, 15% de las soluciones de software del fabricante están enfocadas a soluciones de acceso privilegiado.

“Es indispensable definir políticas para saber quién accede a qué y los permisos que poseen. Para ello existen  herramientas tecnológicas que definen accesos por determinado tiempo, sesiones por funciones, rastreo de acciones mediante bitácoras y análisis detallados, incluso la sesión puede armarse en video. Nuestra propuesta es el appliance Privileged Access Management el cual es colocado en el interior de la red y se conecta a sistemas críticos minimizando el riesgo de la información de la empresa y de los clientes, al tiempo que controla el acceso a cuentas privilegiadas”, concluyó el especialista.

Fuente: bSecure

Anuncios

Si su red estuviera bajo ataque ¿usted lo sabría?

noviembre 4, 2013 § Deja un comentario

A medida que las amenazas evolucionan y la efectividad de la seguridad web basada en firmas disminuye, es necesarios que los departamentos de TI tengan un rol más importante y activo en la seguridad web. Para luchar contra los delincuentes informáticos actuales, los gerentes de TI necesitan tener información sobre las amenazas avanzadas y mejorar su capacidad de respuesta a las amenazas que las defensas más actuales no detectan.

El Informe de amenazas de 2013 de Websense [PDF] revela una tendencia preocupante: la web se tornó significativamente más maliciosa en 2012, como vector de ataque y también como elemento de apoyo principal de otras trayectorias de ataque (por ej., redes sociales, dispositivos móviles, correo electrónico). Websense registró un aumento de cerca de seis veces más en el total de sitios maliciosos, 85% de los cuales fueron encontraron en hosts web legítimos que habían sido comprometidos. Más alarmante fue la información brindada por los ejecutivos de seguridad que comunicaron que la mayoría de las amenazas eludieron sus controles tradicionales, y expresaron que no se sienten preparados para hacer frente a las amenazas emergentes como el phishing dirigido.

Cristian de la Redacción de Segu-Info

Primer troyano para SAP

noviembre 4, 2013 § 1 comentario

Una nueva variante de un troyano bancario, contiene también código para buscar si el usuario afectado tiene el cliente SAP instalado, sugiriendo que los atacantes podrían atacar sistemas SAP en el futuro.

El malware fue descubierto hace unas semanas por la compañía rusa de antivirus Doctor Web, que compartió con el descubrimiento con investigadores de ERPScan, un desarrollador de productos de seguridad para sistemas SAP.

“Hemos analizado el malware y todo lo que hace hasta ahora es comprobar que el cliente tenga aplicaciones SAP instaladas”, dijo Alexander Polyakov, Chief Technology Officer de ERPScan. “Sin embargo, esto podría ser el comienzo para futuros ataques”.

Este tipo de malware hace un reconocimiento para ver si está instalado un software en particular, pero no se sabe si los atacantes planean vender el acceso a los sistemas infectados o pretenden explotarlos en un futuro cercano.

Esta es la primera pieza de malware dirigido a cliente SAP, que ha sido creado por ciberdelincuentes reales. Los clientes SAP tienen archivos de configuración que se pueden leer fácilmente y ellos contienen las direcciones IP de los servidores SAP a los cuales se conectan. Los atacantes podrían “engancharse” a los procesos de SAP para obtener los usuarios y contraseñas de SAP.

Con acceso al software de SAP, los atacantes podrían robar datos sensibles como información financiera, secretos empresariales, información sobre recursos humanos o lanzar ataques de denegación de servicio contra los servidores SAP de la empresa para desbaratar sus operaciones comerciales y causar daños financiero.

Fuente: Computer World

Cómo apestar en Seguridad de la Información

octubre 30, 2013 § Deja un comentario

Hace muchos años me topé con un texto que ha sido fuente de consulta y que lo he citado muchas veces desde aquel entonces en diversas charlas o capacitaciones en seguridad. Se trata de la guía “Cómo apestar en Seguridad de la Información” (How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y publicada por el SANS ISC. Es un excelente resumen de las principales cosas que no debemos hacer cuando gestionamos la seguridad de la información en la empresa. El listado consta de 52 cosas que no deberíamos realizar como CISO, oficial de seguridad o cualquier otro puesto relacionado. Aunque alguna que otra puede quedar un poquito obsoleta con el paso de los años, mayormente el listado sigue muy vigente. Rememorando dicho contenido (que puede ser consultado en su formato original en el enlace superior), se me ocurrió no solo compartirlo con ustedes sino también intentar identificar de esos controles, cuáles son a mi criterio (y por qué) los diez ejemplos más importantes de que estás apestando en seguridad de la información.
Esta es mi selección de entre todos los controles, que luego podrán ver segmentados en cinco categorías: Politicas de seguridad y compliance, Herramientas de seguridad, Gestión de riesgos, Seguridad operativa y Gestión de contraseñas. Ahora, sí, el TOP 10, cómo apestar en seguridad de la información.

  1. Crear políticas de seguridad que no puedes hacer cumplir: es un error muy frecuente en las organizaciones, pecar de “paranoicos” al momento de redactar las políticas pero después estas son tan poco aplicables y controlables, que pasan a ser un documento más de los que los usuarios ignoran día a día.
  2. Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos: tercerizar servicios en seguridad de la inforamción es una excelente solución para el amplio alcance de la materia hoy en día. Sin embargo, la redacción de las políticas de seguridad debe ser realizada con conocimiento del negocio y sus procesos y no puede ser realizada solo por un consultor externo (al menos que este haya pasado un proceso de mucho tiempo dentro de la organización).
  3. Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas: es muy frecuente  encontrarnos en las empresas situaciones donde los clientes reclaman funcionalidades o configuraciones que nuestro producto ya posee, solo que deben ser administradas por los responsables de su gestión en las empresas. Es una situación cotidiana entre quienes proveemos software de seguridad y es un mal hábito no explorar el alcance de las soluciones y procurar personalizarlas para las necesidades de la empresa evitando la mera instalación por defecto.
  4. Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados: muchas veces organizaciones realizan análisis de vulnerabilidades periódicos y los resultados no varían mucho de un análisis a otro. Invertir en este tipo de consultorías y no dar seguimiento es un claro ejemplo de cómo desperdiciar el dinero de la empresa, ya que siempre estos servicios requieren de trabajo posterior para dar seguimietno y corrección a los hallazgos y resultados de la consultoría.
  5. Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión: otro error muy frecuente, tener gente muy especializada, que sabe hacer su trabajo pero que no tiene autoridad o poder de decisión en la organización. Es imposible un plan exitoso de Seguridad de la Información si no se cuenta con la autoridad suficiente para ejecutar el programa y alinearlo al negocio. Es otra forma de desperdiciar dinero, contar con una persona haciendo una correcta gestión de los riesgos pero una vez que los identifica y clasifica correctamente… no puede hacer nada.
  6. Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”: que tu empresa sea muy pequeña no significa que no poseas información de valor para el negocio, que amenazas masivas no podrían afectar la disponibilidad de los recursos o que empleados no podrían hacer un mal uso de la información que genere inconvenientes de integridad, solo por citar algunos casos. Los riesgos y los costos asumidos por los incidentes obviamente son proporcionales al daño de las empresas, por eso independientemente de lo grande o pequeña que sea tu organización, deberás contar con un programa de seguridad de la información acorde y proporcional a la magnitud del negocio, pero nunca será nulo el riesgo existente.
  7. Asumir que estás seguro porque no has sido “atacado” recientemente: aquí aparecen dos variables muy sencillas, o bien podrías ser atacado en breve y el hecho de no haberlo sido hasta ahora no garantiza que no lo serás (los ataques evolucionan, la suerte también puede influir), sino que además muchas veces uno ya fue atacado o un incidente ya ocurrió y lo desconoce, y esto también suele generar una falsa sensación de seguridad o tranquilidad.
  8. Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil: la seguridad de la información debe dar soporte al negocio, debe siempre ser un apoyo a lo que sea que haga la organización. Los controles de seguridad siempre afectan la usabilidad pero debe hacerlo de forma cuidadosa para no descuidar lo más importante, el negocio. Si los controles de seguridad evitan los ataques pero afectan de forma importante la operatoria de la empresa, el programa de seguridad no será nunca exitoso.
  9. No seguir aprendiendo sobre seguridad y nuevos ataques: los atacantes (y ataques) evolucionan constantemente, no es posible tener un programa de seguridad de la información exitoso si no nos mantenemos en constante aprendizaje para acompañar la evolución de los ataques y las tecnologías para seguir garantizando una correcta gestión de los riesgos. Si tu CISO o equipo de seguridad no se capacitó el último año, probablemente ya haya algún riesgo en alguna de las tecnologías que no se esté considerando. La seguridad es un tema de aprendizaje constante y cotidiano.
  10. Imponer requerimientos demasiado complejos para las contraseñas: este tipo de requerimientos, generalmente, logra que los usuarios terminen adquiriendo malos hábitos en la gestión de las contraseñas (anotarlas, compartirlas, etc.). Es por ello que hay que encontrar el equilibrio en los requerimientos para las contraseñas como así también configurar nuevas tecnologías para la seguridad por contraseñas para optimizar los riesgos en este campo.

Para terminar, a continuación pueden ver los 52 errores más comunes que se cometen en Seguridad de la Información, el listado completo traducido al español.

Fuente: ESET Latinoamérica

Libro: Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio [ISACA]

octubre 23, 2013 § Deja un comentario

Muchas de las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) más destructivas de hoy fueron concebidas hace más de una década. Debido a esto, las empresas que dependen de las estrategias de ciberseguridad más tradicionales tienen pocas probabilidades de tener éxito contra la próxima generación de ataques. Esta es una de las advertencias que hace un nuevo documento publicado por ISACA, la asociación de TI global, en el Mes de la Consciencia sobre la Ciberseguridad.

Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio establece que las defensas tradicionales como los firewalls y el anti-malware no están listas para enfrentar a las APTs de hoy y que las organizaciones necesitan agregar habilidades, procesos y tecnología a su estrategia de ciberseguridad.

“Los motivos detrás de las APTs son tan antiguos como la civilización misma: espionaje, sabotaje, crimen, terrorismo, guerra y protesta. Lo nuevo es el aumento en los ataques y su sofisticación. Las empresas necesitan ver a las APTs más como una variedad distinta en lugar de como una nueva generación”, aseguró el autor David Lacey, CITP. Lacey es un futurista líder y una autoridad en la seguridad de TI cuya experiencia profesional incluye las posturas de riesgo y seguridad del Royal Mail Group y del Royal Dutch/Shell Group.

Una encuesta sobre ciberseguridad de ISACA realizada entre más de 1,500 profesionales de seguridad de todo el mundo descubrió que el 94 por ciento de los entrevistados creen que las APTs representan una amenaza real para la seguridad nacional y la estabilidad económica. Una de cinco empresas ya ha experimentado un ataque por parte de una APT, pero más de la mitad de los participantes de la encuesta no creen que las APTs difieren de las amenazas tradicionales.

El libro transmite dos mensajes importantes: combatir a las ATPs no es lo mismo de siempre, y las APTs deberían ser asunto de todos. Está escrito con un lenguaje claro y no técnico para que lo entiendan los ejecutivos de las empresas y los funcionarios del gobierno responsables de los valiosos activos intelectuales o de los servicios críticos que pudieran estar en la mira del ataque de una APT. Asimismo, explica las diferencias entre los controles necesarios para contrarrestar una amenaza persistente avanzada y aquellos que se utilizan para mitigar el riesgo para la seguridad de la información cotidiano.< El libro de ISACA le da a las empresas información sobre las técnicas efectivas para combatir a las APTs. Fue escrito como un análisis práctico de los temas que muchas organizaciones no entienden completamente, incluyendo:

  • Las deficiencias típicas de los procesos actuales de la ciberseguridad
  • Cómo decir si usted está experimentando el ataque de una APT
  • Qué es un riesgo moral y cómo afecta a las ATPs
  • Cómo interrumpir una ciber “cadena de muerte” (las etapas de un ciberataque)

Mitigar el ataque de una APT se intersecta en parte con la guía y los controles convencionales, como aquellos definidos en el marco de referencia COBIT 5 de ISACA, los controles críticos del SANS Institute y los estándares de seguridad ISO/IEC 27001. Este libro se enfoca en las mejoras necesarias y destaca aquellas áreas en las que los controles necesitan fortalecerse o ampliarse. Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro.

Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro Respondiendo a los Ciberataques Dirigidos; Transformando la Ciberseguridad Usando COBIT 5; un programa de auditoría del cibercrimen, la Encuesta de Amenazas Persistentes Avanzadas; al comunidad de Ciberseguridad del Knowledge Center de ISACA, y la Conferencia sobre Seguriad de la Información y el Manejo de Riesgos, que se realiza del 6 al 8 de noviembre de 2013 en Las Vegas.

Fuente: ISACA

Publicada la nueva norma ISO 27001:2013

octubre 14, 2013 § Deja un comentario

Como adelantamos hace unos días, las nuevas normas ISO 27001:2013 e ISO 27002:2013 han sido publicadas. Las normas que ayudan a las empresas a gestionar la seguridad de la información fueron creadas por primera vez por BSI, la empresa de normas de negocio, con el nombre de BS 7799. Con la revisión de 2013, la norma internacional permitirá a las empresas de todos los tamaños y sectores adaptarse a la rápida evolución y la creciente complejidad de la gestión de la información y el continuo desafío que plantea la seguridad cibernética. La votación final fue lanzada principios de julio. Descargue la guía gratuita de Transición (inglés) y los cambios realizados, aquí, aquí y aquí.

El funcionamiento de los negocios de hoy en día difiere enormemente de la primera utilización de BS 7799 en 1995, los avances tecnológicos significan que las necesidades de seguridad de la información también han cambiado. Las revisiones ayudarán a las empresas a percibir los cambios en seguridad de la información y no solo limitarse a TI, e incluye elementos más amplios, como las personas. También tiene en cuenta las interacciones que pueden ocurrir entre otras normas de Sistemas de Gestión y cuestiones como la Gestión de Riesgos y Gestión de Continuidad del Negocio.

ISO 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de Seguridad de la Información – Requisitos especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.

Cambios clave:

  • Se ha modificado para adaptarse a la nueva estructura de alto nivel utilizado en todas las normas de Sistemas de Gestión, lo que simplifica su integración con otros sistemas de gestión
  • Incorpora los comentarios de los usuarios de la versión 2005 y genéricamente tiene en cuenta la evolución del panorama tecnológico de los últimos 8 años

¿Cómo las empresas pueden beneficiarse de la norma ISO 27001?

  • Aumenta la reputación de los negocios que han implementado la norma
  • Protege a las empresas mediante la identificación de riesgos y estableciendo controles para gestionarlos o reducirlos
  • Ayuda a los grupos de interés y aumenta la confianza del cliente, teniendo sus datos protegidos
  • Aumenta las oportunidades de acceso a licitaciones mediante la demostración de cumplimiento y obteniendo un estatus como proveedor preferido

Fuente: BSI Group

¿Qué se debe tener en cuenta para virtualizar una PyME?

octubre 2, 2013 § 1 comentario

Por Damián Kalnins, Virtualization Presales Specialist de Softline

La virtualización es unde las soluciones a los problemas de continuidad más utilizadas en el mercado en los últimos años. Algunas de las preguntas que puede hacerse una PyME en el momento de migrar la infraestructura física hacia un entorno virtual son: ¿qué virtualizar?, ¿cuáles son los beneficios?, ¿hacia dónde vamos?. Se debe tener en cuenta que virtualizar es sinónimo de inversión, si se analiza como un gasto, estamos distantes de dar ese primer paso.

Cuando las Pymes deciden implementar tecnologías de vanguardia -como la virtualización- amplían su potencial comercial sin necesidad de una gran inversión en recursos. El uso de herramientas avanzadas de gestión permite transformar los procesos de negocio, aumentar la satisfacción del cliente, mitigar los riesgos y proteger la información de la empresa.

Cuando la cultura de la compañía es netamente física existe miedo al cambio. En estos casos, la desinformación es una de las principales barreras a superar. Por eso es clave que quienes estén involucrados en el proceso de migración analicen la situación actual del entorno físico y los beneficios que se lograrán con la virtualización, algunos de los cuales son:

  • Desarrollo de una nueva metodología de trabajo.
  • Mayores oportunidades de crecimiento comercial.
  • Garantía de continuidad del negocio.
  • Aumento de la competitividad de la Pyme, a partir de la optimización de los recursos.
  • Reducción de costos.

Asimismo, se obtendrá una mejor performance de la infraestructura de operaciones, la administración centralizada del centro de datos y la reducción de cantidad de servidores físicos, lo cual implica una disminución del espacio requerido para el datacenter, de los costos internos de administración y de los costos de soporte abonados a los proveedores de dichos equipos.

Si bien los primeros pasos requieren tiempo, compromiso y capacitación, la inversión que implica la virtualización nunca será mayor al beneficio de adoptar esta tecnología. Además, una infraestructura que no garantiza un alto nivel de servicio impacta negativamente en el negocio al generar pérdidas, insatisfacción de los usuarios y al obligar a los profesionales de sistemas a atender problemas en forma reactiva. Este impacto se genera a partir de paradas programadas de mantenimiento o caídas imprevistas, cuyo tiempo de recuperación podría mejorar significativamente mediante cambios de infraestructura.

Existen varios puntos relevantes que se recomiendan tener en cuenta a lo largo de este gran cambio:

1°) Considerar que una infraestructura adecuada debería garantizar: la reducción de cantidad de servidores físicos, la administración centralizada deldatacenter, la disminución de costos en la creación de ambientes de prueba y la provisión del espacio necesario para sumar más máquinas virtuales.
2°) Tener presente que, para virtualizar un ambiente por primera vez, es vital comparar entre servidores (Rackeables o Blades, dos estándares en el mercado) y Storage (iSCSI o SAS).
3°) En relación al licenciamiento, existen diversas opciones en el mercado que se ajustan a las necesidades de cada organización: la solución a elegir debe contrastarse con la criticidad del ambiente a virtualizar. Dependiendo de las aplicaciones, se requerirán capacidades como: movimiento de máquinas virtuales en caliente, alta disponibilidad, backup, entre otras. En este punto, también hay que considerar el precio y el tipo de soporte adecuado para cada plataforma.
4°) Luego de la elección del hardware y del producto a implementar, el siguiente nivel es la contratación de servicios de implementación de la solución. Los proveedores del mismo deben ser analizados con cuidado, ya que, una vez realizada la elección, son ellos quienes acompañarán a la empresa hasta el día en que la nueva plataforma virtual se encuentre operativa. Esta última fase posee diferentes etapas:

  • Planificación: El primer paso es una correcta planificación, lo que permitirá conocer el alcance, la metodología de trabajo y el calendario sobre los que se basará el proyecto.
  • Diseño: Se procede a definir la infraestructura virtual, relevar el equipamiento disponible, el cumplimiento de los requerimientos mínimos y el plan de pruebas que se llevarán a cabo una vez finalizada la implementación. El diseño es la plantilla que respalda los lineamientos del proyecto de virtualización.
  • Implementación: Definir la infraestructura virtual, relevar el equipamiento disponible, el cumplimiento de los requerimientos mínimos y el plan de pruebas que se llevarán a cabo una vez finalizada esta etapa. El diseño es la plantilla que respalda los lineamientos del proyecto de virtualización. La ejecución del proyecto culmina en la puesta en marcha de la plataforma de virtualización adoptada. Es un requerimiento prioritario que el equipo de TI se integre al proceso de implementación ya que es un error común que los técnicos pierdan presencia en las pruebas sobre el entorno virtual y se encuentren con un mundo desconocido cuando comienzan a administrarlo.

Fuente: CIOAL

¿Dónde estoy?

Actualmente estás explorando la categoría empresas en Seguridad Informática.