Qué deben tener en cuenta los CISOs en las métricas de seguridad de la información

noviembre 27, 2013 § Deja un comentario

La semana pasada fue publicado por OWASP el documento Application Security, Guide for CISOs [PDF] que contiene una serie de lineamientos para los encargados de la seguridad en las empresas. Uno de los puntos tratados dentro de esta guía para CISOs tiene que ver con algunas recomendaciones sobre que se debe medir dentro de una empresa en materia de seguridad de la información.

Cuando se realizan inversiones en materia de seguridad, puntualmente en seguridad informática, se vuelve complejo justificar este tipo de gastos ante una junta directiva y más si se deben medir los efectos de estos nuevos controles implementados para que no sean vistos como un gasto realizado para el cumplimiento de una normativa.

Además para que los planes de seguridad de la información tengan un nivel alto de aceptación es importante demostrar que son eficaces y que tienen un verdadero impacto en la reducción del riesgo en el negocio.

En resumen, dentro de las métricas el CISO de la empresa debe asegurarse de tener información para gestionar los procesos y las tecnologías que componen el programa de seguridad. Basados en la información de la guía de OWASP se pueden definir al menos tres categorías para cubrir los factores mencionados:

  • Métricas de procesos de seguridad: El objetivo de las métricas de procesos es determinar qué tan bien los procesos de seguridad en la organización cumplen con los requisitos definidos por las políticas de seguridad y las normas técnicas seguidas por la empresa.
  • Métricas de riesgos de seguridad: Como parte de las métricas es muy importante conocer la eficacia de las medidas tanto preventivas como correctivas que se implementan en la empresa como parte de la gestión de la seguridad. Por ejemplo, tener medidos los tiempos de respuesta a incidentes productos las pruebas de los Planes de Continuidad del Negocio. También tener un inventario de los problemas de seguridad que han sido explotados y relacionarlos con los análisis de vulnerabilidad realizados y las acciones correctivas implementadas, de esta forma se puede conocer la eficacia de las medidas de control.
  • Seguridad en el ciclo de vida de desarrollo de las aplicaciones: Un aspecto a menudo descuidado es el gasto en seguridad que se hace sobre las aplicaciones antes de que salgan a producción. En este sentido si se hiciera inversión en pruebas para determinar la seguridad de las aplicaciones, los costos de las correcciones serían menores a hacerlo cuando ya están en producción. Algo que puede sonar tan obvio muchas veces no es aplicado buscando la agilidad en los procesos de desarrollo. En este sentido tener un control sobre el cumplimiento de los tiempos de desarrollo, puede ayudar a que no se limiten los tiempos de prueba con el propósito de cumplir con la implementación.

Es muy importante que las actividades dentro de la gestión de la seguridad sean medidas utilizando parámetros enfocados en la toma de decisiones. De esta forma se pueden tener las señales adecuadas que permitan monitorear la gestión y así asegurar que las actividades se cumplan correctamente, logrando evaluar los resultados de la gestión frente a los objetivos planteados. Es así como las métricas, sean cuantitativas o cualitativas deben ser la herramienta que permita obtener datos sobre procesos a través de los cuales se pueda conocer la evolución de los programas de seguridad para lograr tomar las medidas de mejora a tiempo.

Fuente: Laboratorio de ESET

Anuncios

Ataques desde el interior de la empresa, los más costosos

noviembre 4, 2013 § Deja un comentario

Por Cyntia Martínez

El miedo del CEO por inmiscuirse en cuestiones tecnológicas lo han llevado a darle la llave de todos sus accesos al responsable del área de Sistemas, poniendo en riesgo no solo sus sistemas, sino también la información sensible que posee.

La situación se agrava aún más cuando estos accesos son otorgados por rol, volviéndose compartidos, lo que incrementa la dificultad de control, al tiempo que impide realizar auditorías en el momento en el que se presente algún problema.

El director de Dell Software México, Rafael Sierra, aseguró que los ataques que se realizan desde el interior de la compañía resultan más costosos, además de poseer menor posibilidad de fallar, sobre todo, cuando son ejecutados por personas que conocen a detalle la infraestructura tecnológica que posee la compañía.

Por ello, hoy existen Permisos Privilegiados y Cuentas de acceso privilegiadas,que permiten monitorear, auditar y delegar ciertos permisos para realizar actividades específicas en el manejo de información crítica. Mismas que, hoy son utilizadas, sobre todo, por el sector financiero, pero que requiere toda empresa que posee datos sensibles de terceros e incluso información de propiedad industrial.

Abundó en que este tipo de herramientas deberán ser implementadas por el área de Sistemas o el CIO; sin embargo, la definición de políticas y accesos deberá ser un trabajo que desarrolle el director de Finanzas, en conjunto con el director general. “Se trata de un trabajo en conjunto”.

Aún así, existen algunas recomendaciones que el usuario deberá seguir para para prevenir este tipo de riesgos

Asignación de responsabilidades individuales

El acceso administrativo compartido y sin administrar es uno de los principales errores que las compañías cometen, al exponer a la organización, sobre todo cuando la super cuenta tiene acceso a los sistemas operativos, aplicaciones y bases de datos. Mediante cuentas compartidas, cualquier fallo de seguridad o cumplimiento puede rastrearse solamente hasta la cuenta y no a un administrador en particular.

Razón por la que es necesario limitar el derecho de acceso de los administradores. Las credenciales deben emitirse solamente a medida que sean necesarias, acompañadas por un seguimiento de auditoría que registre quién las usó, quién aprobó el uso y qué hizo con ellas, además de cómo y por qué las reciben.

Posiciones de seguridad de “menor privilegio”

Muchas cuentas administrativas, ya sean de Unix, Windows o un mainframe, brindan permisos ilimitados dentro del límite de control y, cuando se comparten, abren la puerta a actividades malintencionadas.

En este sentido, se requiere un enfoque más prudente para establecer una política que defina claramente lo que cada administrador (o rol) puede hacer con su acceso.

A decir de Sierra, “aún existe poca madurez en el mercado por lo que externó la necesidad de mayor evangelización, sobre en empresas medianas. Las grandes empresas y corporativos ya lo entienden, asignando presupuestos para estos rubros“. Aún así, el directivo dijo ser un mercado con grandes oportunidades, pues tan solo hoy, 15% de las soluciones de software del fabricante están enfocadas a soluciones de acceso privilegiado.

“Es indispensable definir políticas para saber quién accede a qué y los permisos que poseen. Para ello existen  herramientas tecnológicas que definen accesos por determinado tiempo, sesiones por funciones, rastreo de acciones mediante bitácoras y análisis detallados, incluso la sesión puede armarse en video. Nuestra propuesta es el appliance Privileged Access Management el cual es colocado en el interior de la red y se conecta a sistemas críticos minimizando el riesgo de la información de la empresa y de los clientes, al tiempo que controla el acceso a cuentas privilegiadas”, concluyó el especialista.

Fuente: bSecure

Primer troyano para SAP

noviembre 4, 2013 § 1 comentario

Una nueva variante de un troyano bancario, contiene también código para buscar si el usuario afectado tiene el cliente SAP instalado, sugiriendo que los atacantes podrían atacar sistemas SAP en el futuro.

El malware fue descubierto hace unas semanas por la compañía rusa de antivirus Doctor Web, que compartió con el descubrimiento con investigadores de ERPScan, un desarrollador de productos de seguridad para sistemas SAP.

“Hemos analizado el malware y todo lo que hace hasta ahora es comprobar que el cliente tenga aplicaciones SAP instaladas”, dijo Alexander Polyakov, Chief Technology Officer de ERPScan. “Sin embargo, esto podría ser el comienzo para futuros ataques”.

Este tipo de malware hace un reconocimiento para ver si está instalado un software en particular, pero no se sabe si los atacantes planean vender el acceso a los sistemas infectados o pretenden explotarlos en un futuro cercano.

Esta es la primera pieza de malware dirigido a cliente SAP, que ha sido creado por ciberdelincuentes reales. Los clientes SAP tienen archivos de configuración que se pueden leer fácilmente y ellos contienen las direcciones IP de los servidores SAP a los cuales se conectan. Los atacantes podrían “engancharse” a los procesos de SAP para obtener los usuarios y contraseñas de SAP.

Con acceso al software de SAP, los atacantes podrían robar datos sensibles como información financiera, secretos empresariales, información sobre recursos humanos o lanzar ataques de denegación de servicio contra los servidores SAP de la empresa para desbaratar sus operaciones comerciales y causar daños financiero.

Fuente: Computer World

Cómo apestar en Seguridad de la Información

octubre 30, 2013 § Deja un comentario

Hace muchos años me topé con un texto que ha sido fuente de consulta y que lo he citado muchas veces desde aquel entonces en diversas charlas o capacitaciones en seguridad. Se trata de la guía “Cómo apestar en Seguridad de la Información” (How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y publicada por el SANS ISC. Es un excelente resumen de las principales cosas que no debemos hacer cuando gestionamos la seguridad de la información en la empresa. El listado consta de 52 cosas que no deberíamos realizar como CISO, oficial de seguridad o cualquier otro puesto relacionado. Aunque alguna que otra puede quedar un poquito obsoleta con el paso de los años, mayormente el listado sigue muy vigente. Rememorando dicho contenido (que puede ser consultado en su formato original en el enlace superior), se me ocurrió no solo compartirlo con ustedes sino también intentar identificar de esos controles, cuáles son a mi criterio (y por qué) los diez ejemplos más importantes de que estás apestando en seguridad de la información.
Esta es mi selección de entre todos los controles, que luego podrán ver segmentados en cinco categorías: Politicas de seguridad y compliance, Herramientas de seguridad, Gestión de riesgos, Seguridad operativa y Gestión de contraseñas. Ahora, sí, el TOP 10, cómo apestar en seguridad de la información.

  1. Crear políticas de seguridad que no puedes hacer cumplir: es un error muy frecuente en las organizaciones, pecar de “paranoicos” al momento de redactar las políticas pero después estas son tan poco aplicables y controlables, que pasan a ser un documento más de los que los usuarios ignoran día a día.
  2. Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos: tercerizar servicios en seguridad de la inforamción es una excelente solución para el amplio alcance de la materia hoy en día. Sin embargo, la redacción de las políticas de seguridad debe ser realizada con conocimiento del negocio y sus procesos y no puede ser realizada solo por un consultor externo (al menos que este haya pasado un proceso de mucho tiempo dentro de la organización).
  3. Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas: es muy frecuente  encontrarnos en las empresas situaciones donde los clientes reclaman funcionalidades o configuraciones que nuestro producto ya posee, solo que deben ser administradas por los responsables de su gestión en las empresas. Es una situación cotidiana entre quienes proveemos software de seguridad y es un mal hábito no explorar el alcance de las soluciones y procurar personalizarlas para las necesidades de la empresa evitando la mera instalación por defecto.
  4. Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados: muchas veces organizaciones realizan análisis de vulnerabilidades periódicos y los resultados no varían mucho de un análisis a otro. Invertir en este tipo de consultorías y no dar seguimiento es un claro ejemplo de cómo desperdiciar el dinero de la empresa, ya que siempre estos servicios requieren de trabajo posterior para dar seguimietno y corrección a los hallazgos y resultados de la consultoría.
  5. Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión: otro error muy frecuente, tener gente muy especializada, que sabe hacer su trabajo pero que no tiene autoridad o poder de decisión en la organización. Es imposible un plan exitoso de Seguridad de la Información si no se cuenta con la autoridad suficiente para ejecutar el programa y alinearlo al negocio. Es otra forma de desperdiciar dinero, contar con una persona haciendo una correcta gestión de los riesgos pero una vez que los identifica y clasifica correctamente… no puede hacer nada.
  6. Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”: que tu empresa sea muy pequeña no significa que no poseas información de valor para el negocio, que amenazas masivas no podrían afectar la disponibilidad de los recursos o que empleados no podrían hacer un mal uso de la información que genere inconvenientes de integridad, solo por citar algunos casos. Los riesgos y los costos asumidos por los incidentes obviamente son proporcionales al daño de las empresas, por eso independientemente de lo grande o pequeña que sea tu organización, deberás contar con un programa de seguridad de la información acorde y proporcional a la magnitud del negocio, pero nunca será nulo el riesgo existente.
  7. Asumir que estás seguro porque no has sido “atacado” recientemente: aquí aparecen dos variables muy sencillas, o bien podrías ser atacado en breve y el hecho de no haberlo sido hasta ahora no garantiza que no lo serás (los ataques evolucionan, la suerte también puede influir), sino que además muchas veces uno ya fue atacado o un incidente ya ocurrió y lo desconoce, y esto también suele generar una falsa sensación de seguridad o tranquilidad.
  8. Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil: la seguridad de la información debe dar soporte al negocio, debe siempre ser un apoyo a lo que sea que haga la organización. Los controles de seguridad siempre afectan la usabilidad pero debe hacerlo de forma cuidadosa para no descuidar lo más importante, el negocio. Si los controles de seguridad evitan los ataques pero afectan de forma importante la operatoria de la empresa, el programa de seguridad no será nunca exitoso.
  9. No seguir aprendiendo sobre seguridad y nuevos ataques: los atacantes (y ataques) evolucionan constantemente, no es posible tener un programa de seguridad de la información exitoso si no nos mantenemos en constante aprendizaje para acompañar la evolución de los ataques y las tecnologías para seguir garantizando una correcta gestión de los riesgos. Si tu CISO o equipo de seguridad no se capacitó el último año, probablemente ya haya algún riesgo en alguna de las tecnologías que no se esté considerando. La seguridad es un tema de aprendizaje constante y cotidiano.
  10. Imponer requerimientos demasiado complejos para las contraseñas: este tipo de requerimientos, generalmente, logra que los usuarios terminen adquiriendo malos hábitos en la gestión de las contraseñas (anotarlas, compartirlas, etc.). Es por ello que hay que encontrar el equilibrio en los requerimientos para las contraseñas como así también configurar nuevas tecnologías para la seguridad por contraseñas para optimizar los riesgos en este campo.

Para terminar, a continuación pueden ver los 52 errores más comunes que se cometen en Seguridad de la Información, el listado completo traducido al español.

Fuente: ESET Latinoamérica

Publicada la nueva norma ISO 27001:2013

octubre 14, 2013 § Deja un comentario

Como adelantamos hace unos días, las nuevas normas ISO 27001:2013 e ISO 27002:2013 han sido publicadas. Las normas que ayudan a las empresas a gestionar la seguridad de la información fueron creadas por primera vez por BSI, la empresa de normas de negocio, con el nombre de BS 7799. Con la revisión de 2013, la norma internacional permitirá a las empresas de todos los tamaños y sectores adaptarse a la rápida evolución y la creciente complejidad de la gestión de la información y el continuo desafío que plantea la seguridad cibernética. La votación final fue lanzada principios de julio. Descargue la guía gratuita de Transición (inglés) y los cambios realizados, aquí, aquí y aquí.

El funcionamiento de los negocios de hoy en día difiere enormemente de la primera utilización de BS 7799 en 1995, los avances tecnológicos significan que las necesidades de seguridad de la información también han cambiado. Las revisiones ayudarán a las empresas a percibir los cambios en seguridad de la información y no solo limitarse a TI, e incluye elementos más amplios, como las personas. También tiene en cuenta las interacciones que pueden ocurrir entre otras normas de Sistemas de Gestión y cuestiones como la Gestión de Riesgos y Gestión de Continuidad del Negocio.

ISO 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de Seguridad de la Información – Requisitos especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.

Cambios clave:

  • Se ha modificado para adaptarse a la nueva estructura de alto nivel utilizado en todas las normas de Sistemas de Gestión, lo que simplifica su integración con otros sistemas de gestión
  • Incorpora los comentarios de los usuarios de la versión 2005 y genéricamente tiene en cuenta la evolución del panorama tecnológico de los últimos 8 años

¿Cómo las empresas pueden beneficiarse de la norma ISO 27001?

  • Aumenta la reputación de los negocios que han implementado la norma
  • Protege a las empresas mediante la identificación de riesgos y estableciendo controles para gestionarlos o reducirlos
  • Ayuda a los grupos de interés y aumenta la confianza del cliente, teniendo sus datos protegidos
  • Aumenta las oportunidades de acceso a licitaciones mediante la demostración de cumplimiento y obteniendo un estatus como proveedor preferido

Fuente: BSI Group

Nuevas versiones de guías de la Cloud Security Alliance, centradas en la movilidad y la gestión de datos

octubre 3, 2013 § Deja un comentario

La CSA ha actualizado su Cloud Control Matrix (CCM), diseñada para ayudar a las organizaciones a revisar las credenciales de seguridad de los proveedores de servicios cloud.

CCM proporciona recomendaciones de mejores prácticas para la seguridad de la cloud. Cubre una amplia variedad de áreas, desde el centro de datos, el hardware y la seguridad de aplicaciones, hasta la continuidad de negocio y la evaluación de vulnerabilidades. La tercera versión de CCM incluye guías para cinco nuevas categorías: seguridad móvil; gestión de la cadena de suministro; transparencia y responsabilidad; interoperabilidad y portabilidad; y encriptación y gestión de claves.

La movilidad era un área natural en la cual centrar las nuevas prácticas de seguridad, dado que se está convirtiendo en un caso de uso muy común para la cloud, según Sean Cordero, co-presidente del CCM Working Group que ha ayudado a crear estas nuevas guías. Las mejores prácticas de movilidad cubren no solo cómo se accede a los servicios basados en cloud desde dispositivos móviles, sino también cómo el software como las herramientas de gestión de dispositivos móviles se ofrecen en un modelo SaaS.

Una recomendación, por ejemplo, es tener una política de uso móvil bien definida y garantizar que todo el mundo dentro de la organización está familiarizada con ella. Si bien puede parecer bastante obvio, muchos clientes carecen de políticas básicas para controlar a qué servicios pueden acceder sus usuarios desde sus dispositivos móviles, según Cordero. “Esto se ha extendido debido al crecimiento orgánico de BYOD (bring your own device)”, explica este ejecutivo, también presidente de la consultora en seguridad cloud Cloud Watchmen, añadiendo que cuando “un directivo quiere usar un iPad, de repente surgen múltiples cuestiones”. Una política puede dictaminar cómo se protegen los dispositivos, qué información almacena y a qué datos del dispositivo tiene acceso la empresa. “Ser claro en las normas del juego”, puntualiza Cordero.

Otra nueva categoría es la gestión de la cadena de suministro, la transparencia y la responsabilidad. La CSA recomienda que los clientes tengan una visión clara de cómo el proveedor maneja exactamente los datos. En algunos casos, el suministrador puede estar trabajando con terceros, lo que puede representar un riesgo de seguridad, de acuerdo con el portavoz de la alianza cloud. Por ejemplo, en los despliegues de escritorios virtuales, los clientes pueden contratar a un suministrador y éste, para el back-end, puede estar utilizando la plataforma de almacenamiento de una tercera empresa. Los clientes deberían saber en qué consiste toda la cadena de suministro de sus datos para asegurarse de que está convenientemente protegida en todo el proceso.

Otro escenario cada vez más común es el del mercado de plataformas como servicio (PaaS), añade Cordero. Con frecuencia, PaaS, que es una plataforma de desarrollo de aplicaciones, se ejecuta en una infraestructura subyacente como un servicio (IaaS). Los clientes deberían ser conscientes de los acuerdos de nivel de servicio o SLA y los controles de seguridad no solo de su proveedor PaaS, sino también del proveedor de IaaS.

Seguir las mejores prácticas en seguridad definidas en el CCM es una forma de que los clientes se protejan a sí mismos. El reciente caso con el proveedor de almacenamiento Cloud Nirvanix, que apenas informó a sus clientes de que movía los datos de su cloud porque cerraba, ha reforzado la importancia de tener una plan de emergencia de datos y continuidad de negocio.

La CSA – que es una organización sin ánimo de lucro centrada en el la seguridad de la cloud – actualiza regularmente el CCM para garantizar que incorpora los últimos estándares de seguridad aceptados por la industria, como ISO 27001/2. Miembros como Cordero trabajan con los usuarios, asesores y proveedores de servicios cloud para identificar las últimas tendencias en la industria y garantizar que quedan reflejadas en el CCM. Los clientes pueden comprobar la lista completa de especificaciones del CCM descargando aquí una versión PDF.

Fuente: CSO España

Recomendaciones para crear un equipo profesional de seguridad

septiembre 25, 2013 § Deja un comentario

RSA, la División de Seguridad de EMC, ha publicado un nuevo informe [PDF] del Consejo de Seguridad para la Innovación Empresarial (SBIC), que aboga por un nuevo enfoque a la vanguardia de la seguridad, comenzando con la formación de un equipo profesional de seguridad de nueva generación en seguridad de la información, capaz de gestionar el ciclo de vida de los riesgos informáticos de hoy en día en las empresas globales.

En los últimos 18 meses se han visto grandes cambios en los requisitos generales para el éxito de los equipos de seguridad de la información en un contexto de un entorno empresarial hiper-conectado, evolucionando el panorama de las amenazas, la adopción de nuevas tecnologías, y el escrutinio normativo. En respuesta a este entorno cambiante, las actividades y las responsabilidades esenciales de los equipos de seguridad de la información empresarial están experimentando una gran transición.

El último informe, titulado “Transforming information security: Designing a State-of-the-Art Extended Team” [PDF] argumenta que los equipos de seguridad de la información deben evolucionar para incluir conjuntos de habilidades que no se ven normalmente en seguridad, tales como la gestión de riesgo empresarial, legislación, marketing, matemáticas, y compras.

Para ayudar a las organizaciones a construir un equipo profesional de seguridad  en el panorama actual, el SBIC, con responsables de seguridad de empresas de todo el mundo, han elaborado ​​un conjunto de siete recomendaciones que se detallan en su nuevo informe:

  1. Redefinir y fortalecer las competencias básicas – Enfocar el equipo principal en el aumento de competencias en cuatro áreas clave: la inteligencia de riesgo cibernético y análisis en datos de seguridad, gestión de datos de seguridad, consultoría de riesgos, y controles de diseño y seguridad.
  2. Delegar operaciones de rutina – Asignar, de forma repetitiva, procesos de seguridad bien definidos a TI, unidades de negocio y/o proveedores de servicios externos.
  3. Pedir prestado o alquilar expertos – Para temas muy específicos, ampliar el equipo central de expertos con especialistas de dentro y fuera de la organización.
  4. Guiar a los propietarios de los riesgos en la gestión de los mismos – gestionar de forma conjunta con la empresa los riesgos en ciberseguridad y coordinar un enfoque consistente. Facilitar el trabajo a la empresa e implicarla.
  5. Contratar especialistas en optimización de procesos – Tener en el equipo profesionales con experiencia y certificaciones en gestión de calidad,  proyectos o programas, optimización de procesos y prestación de servicios.
  6. Construir relaciones claves – Desarrollar confianza e influencia con los participantes clave, como los gestores de áreas clave, mandos intermedios y proveedores de servicios externalizados.
  7. Piense de forma diferente para el futuro talento – Ante la falta de expertos disponibles en el mercado, el desarrollo del talento es la única verdadera solución a largo plazo para la mayoría de las organizaciones. Perfiles que incluyan desarrollo de software, análisis de negocios, gestión financiera, inteligencia militar, legislación, privacidad de datos, ciencia de datos y análisis estadísticos complejos son muy valiosos.

Fuente: Muy Seguridad

¿Dónde estoy?

Actualmente estás explorando la categoría gestión en Seguridad Informática.