Informe: ¿Podemos aprender de incidentes de seguridad en sistemas SCADA?

noviembre 6, 2013 § 1 comentario

El Programa de Seguridad Cibernética de la OEA/CICTE se complace en compartir con Ustedes la traducción al español del documento “¿Podemos aprender de incidentes de seguridad en sistemas SCADA?” preparado por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA). Versión en Español, traducción no oficial del documento original (ENISA/UE).
 
Versión en español ; (traducción no oficial de ENISA/UE).
Documento original (en inglés).

Fuente: OAS

Diez pasos para planear una respuesta eficaz frente a un incidente cibernético

agosto 15, 2013 § Deja un comentario

Los ciberdelincuentes exitosos, tienen como objetivo atacar las organizaciones de todos tamaños en todos los sectores de la industria. Las organizaciones tienen que estar preparadas para responder a un ataque inevitable de sus datos.

La respuesta debe estar guiada por un plan de acciones que tienen como objetivo gestionar un incidente de seguridad cibernético con el fin de limitar el daño, aumentar la confianza de las partes externas interesadas y reducir los costos y el tiempo de recuperación.

Lo que encontramos en nuestro trabajo con las grandes organizaciones globales es que muchas empresas tienen planes de respuesta, pero no están realmente operativos. A menudo, la documentación de cómo actuar en tal caso de ataque, no está actualizada, inaccesible a los encargados de decisiones, o alguna combinación de estos.

En muchos casos, especialmente en las organizaciones globales, planes de respuesta no están integrados en los departamentos susceptibles a un ataque. Los planes de desarrollo en grupos individuales inhiben el intercambio de información crítica y las mejores prácticas. Esto conduce a una falta de coordinación en los esfuerzos que necesitan más atención.

Hay organizaciones que son muy conscientes y siguen practicando simulacros de incendio, pero no practican los pasos que conducirían a un caso de un ataque de datos.

Aquí están los 10 pasos principales para orientar a las empresas en la creación – y la aplicación – de los planes de respuesta a incidentes:

  1. Asignar un ejecutivo para asumir la responsabilidad por el plan y para integrar los esfuerzos de respuesta de incidentes a las regiones geográficas y unidades de negocio.
  2. Desarrollar una auditoria de los fallos potenciales, amenazas y riesgos. Actualizarlos continuamente basado en los cambios en el entorno de las amenazas.
  3. Desarrollar guías de respuesta rápida de fácil acceso para los escenarios más probables.
  4. Establecer procesos para tomar decisiones importantes, como cuando aislar las zonas comprometidas de la red.
  5. Mantener las relaciones con los grupos clave de interés externos como los en forzadores de la ley.
  6. Mantener los acuerdos de nivel de servicio y relaciones con proveedores externos y especialistas para la remediación.
  7. Asegúrese de que la documentación de los planes de respuesta están disponibles para toda la organización y se actualizan de forma rutinaria.
  8. Asegúrese de que todos los miembros del equipo entiendan sus funciones y responsabilidades en el caso de un incidente cibernético.
  9. Identificar las personas que son críticas para la respuesta a incidentes y asegurarse de que haya redundancia de las personas.
  10. 10. Formar un grupo responsable para realizar simulaciones de práctica para una respuesta rápida. Algunas organizaciones realizan rutinariamente juegos de guerra para sus planes para aumentar de la concientización de los gestores y para perfeccionar sus capacidades de respuesta en caso de un ataque.

Todo eso no sería posible sin el patrocinio eficaz de los ejecutivos. Viendo el impacto de los ataques recientes, la respuesta a incidentes debe tener una prioridad mayor en la agenda de los ejecutivos.

Poner en desarrollo un plan sólido es imperativo para las empresas. Cuando un ataque cibernético es exitoso y la escala y el impacto del ataque es notable a los clients, estos se preguntarán “que es hecho esta institución para prepararse?”.

Fuente: Technet (Inglés)

Bloomberg se disculpa por acceder a datos delicados de clientes

mayo 14, 2013 § Deja un comentario

Matthew Winkler, redactor jefe de Bloomberg News, pidió disculpas en lunes por permitir a sus periodistas acceso “limitado” a datos delicados sobre la forma en que los clientes usan los terminales de Bloomberg, calificándolo de “inexcusable”, pero aseguró que siempre se protegieron los datos importantes de los clientes.

Su comunicado llega después de que varios bancos centrales estudiaran posibles violaciones de la confidencialidad en el uso de los datos.

En Asia, el Banco de Japón dijo haber contactado con Bloomberg mientras que la Autoridad Monetaria de Hong Kong, el banco central de facto del territorio, dijo que estaba estudiando el asunto.

“Estamos hablando con Bloomberg y estamos en proceso de confirmar los hechos de la situación”, dijo a Reuters un portavoz del Banco de Japón.

El Banco Central Europeo, el brasileño y la Reserva Federal de Estados Unidos también han dicho que están estudiando el asunto, al igual que el Departamento del Tesoro de EEUU, según una fuente informada sobre la situación.

La práctica de dar a los periodistas acceso a algunos datos considerados exclusivos, como cuándo un cliente entra en ciertas categorías como valores y bonos, salió a la prensa la semana pasada. Como respuesta, la sociedad matriz, Bloomberg, dijo haber restringido ese tipo de acceso el mes pasado tras una queja de Goldman Sachs Group.

En un editorial colgado en Bloomberg.com, Winkler dijo: “Nuestros periodistas no deberían tener acceso a ningún dato considerado exclusivo. Siento que lo hiciera. El error es inexcusable”.

Goldman planteó el asunto ante Bloomberg después de averiguar que los periodistas tuvieron acceso a más información de lo que sabía y argumentó que la información era delicada y no debería haber sido vista por los reporteros.

La noticia desató el temor entre las empresas de Wall Street por la privacidad de los datos más delicados, así como en la Fed y en otros departamentos del Gobierno de EEUU que utilizan los terminales de Bloomberg.

En el editorial, Winkler trató de aclarar que información podían ver exactamente sus periodistas. Dijo que tenían acceso al historial de ‘login’ del usuario, así como a “tipos de funciones de usuario de alto nivel sobre una base agregada, sin capacidad de ver información especifica de seguridad”.

Dijo que esta costumbre se remontaba a los primeros días de Bloomberg News en los años 90, cuando los reporteros usaban el terminal para ver qué tipo de cobertura de noticias querían los clientes.

“Puesto que la privacidad de los datos se ha convertido en una preocupación central para nuestros clientes, deberíamos ir mucho más allá en la protección de los datos, especialmente cuando tenemos la apariencia de incorrección”, escribió Winkler. “Y por eso hemos hecho estos cambios recientes a lo que pueden acceder los periodistas.”

Este intento de controlar los daños sufrió un potencial revés el mismo lunes, cuando The Financial Times publicó que miles de mensajes privados enviados por los terminales de Bloomberg en 2009 y 2010 fueron subidos a una web que no era segura, al parecer por accidente.

Los mensajes, enviados entre operadores de algunos de los mayores bancos del mundo y sus clientes, contenían información confidencial sobre precios y actividad financiera, dijo el diario. Posteriormente fueron eliminados de la página.

The Financial Times citó a un portavoz de Bloomberg: “Este trabajo se hizo con el consentimiento de los clientes, en el que los correos electrónicos fueron reenviados explícitamente a nosotros a una cuenta de correo dedicada y publicados por la persona responsable del correo para que pudiéramos llevar a cabo pruebas internas para mejorar nuestra tecnología para el cliente”.

Un portavoz de la empresa no quiso hacer más comentarios al ser contactado por Reuters.

Fuente: Reuters

La ciberseguridad en los sectores estratégicos nacionales españoles

marzo 16, 2013 § Deja un comentario

El CCN-CERT se ha perfilado en los últimos años como una pieza clave para la estabilidad y prosperidad de España, gracias a su apuesta decidida por la ciberseguridad y la confiabilidad del ciberespacio.

El uso de Internet y de las nuevas tecnologías está implantado completamente en la vida cotidiana de nuestro país. Los ciudadanos españoles, sus administraciones públicas y sus empresas utilizan este entorno global denominado ‘ciberespacio’ de forma habitual, lo que plantea numerosas posibilidades, pero también un gran número de riesgos y amenazas. Esta dependencia de las tecnologías de la información y la comunicación (TIC) en todos los ámbitos, incluidos los sectores estratégicos esenciales para la seguridad nacional y para el conjunto de la economía del país, hace imprescindible una apuesta decidida por la ciberseguridad, como la mantenida por el Centro Criptológico Nacional, y su Capacidad de Respuesta a Incidentes, CCN-CERT. La estabilidad y prosperidad de España dependerá en buena medida de la seguridad y confiabilidad del ciberespacio.

Durante el pasado año 2012, el CCN-CERT gestionó más de 4.000 incidentes de ciberseguridad (casi el doble que en 2011), registrados por los distintos sistemas de detección de los que dispone. De ellos, 230 fueron catalogados con una criticidad de ‘muy alto’ o ‘críticos’ y no solo en los sistemas de las administraciones públicas (algunas empresas estratégicas también fueron blanco de estos ciberataques). La introducción de código dañino en los sistemas (con niveles muy bajos de detección por parte de las compañías antivirus), las intrusiones mediante ataques a páginas web con el fin de robar información, así como el contacto con IP maliciosas, fueron algunos de los incidentes más recurrentes sufridos por nuestras administraciones. Unas administraciones que, no lo olvidemos, dependen del uso de Internet y de las nuevas tecnologías tanto para su funcionamiento interno como para los servicios que prestan a la población (el 95 por ciento de los servicios públicos ya están operativos a través de Internet). Así, la información que almacenan en sus sistemas y estos mismos servicios constituyen un activo básico para el correcto funcionamiento de nuestra sociedad.

Estas amenazas, extensibles al ámbito empresarial y a los sectores estratégicos del país (entendiendo como tal aquellos que son esenciales para la seguridad nacional o para el conjunto de la economía), se incrementan día a día y las perspectivas de su disminución son muy escasas. Antes al contrario, la rentabilidad que se obtiene (económica, política o de otro tipo), la relativa facilidad y bajo coste de las herramientas utilizadas, así como la dificultad de saber quién está detrás de un ataque y desde dónde se está efectuando son factores que en nada ayudan a la hora de contener las ciberamenazas.

Contenido completo en Red Seguridad

Hotmail y Outlook registraron problemas para el acceso

marzo 14, 2013 § Deja un comentario

Los usuarios con correo electrónico de Hotmail o de Outlook sufrieron ayer problemas de acceso a sus cuentas, según informó la empresa Microsoft.

La tecnológica estadounidense indicó que los usuarios de estos correos experimentaron algunas incidencias a la hora de leer sus “e-mails”.

Promediando la jornada aseguraron que se está trabajando para arreglar los problemas y restaurar el acceso a las cuentas de Hotmail y Outlook, un trabajo que “está llevando más tiempo del previsto”.
Microsoft pidió perdón a sus clientes por “la larga interrupción registrada en el servicio”

traspaso

Según indicaron ayer algunos sitios especializados en tecnología, los problemas registrados ayer estarían relacionados con la migración de usuarios del servicio de correo Hotmail al nuevo Outlook, que Microsoft anunció el mes pasado.

Esa migración comenzó a concretarse progresivamente en los últimos días.

Fuente: El Día

Ejercicios para los CERT/CSIRT

febrero 22, 2013 § Deja un comentario

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ha actualizado recientemente los materiales formativos desarrollados para la realización de ejercicios y capacitación en el ámbito de los centros de de respuesta a incidentes de seguridad (CERT/CSIRT).

La ENISA comenzó a desarrollar y difundir estos materiales en 2008 (primeros doce ejercicios) hasta completarlos en 2012 con un total de veintitrés ejercicios para que los CERT/CSIRT puedan realizar prácticas de preparación y/o entrenamiento de sus capacidades de respuesta ante incidentes de seguridad.

Entre los materiales publicados se encuentran el manual para el instructor, los ejercicios a realizar con su enunciado y tiempo estimado, y el conjunto de materiales que pueden utilizar los estudiantes. Este conjunto de instrumentos incluyen todo el material necesario para llevar a cabo los ejercicios y prácticas incluyendo tanto maquinas virtuales para la realización de las prácticas como trazas de red para ejercicios concretos, etc.

En los ejercicios planteados se encuentran algunos de carácter básico, relacionados con gestión de incidentes , como puede ser el tratamiento de una vulnerabilidad por parte de un CERT/CSIRT, el establecimiento de los contactos necesarios para la resolución de incidentes, o cómo escribir un aviso de seguridad. También existen otro tipo de pruebas que se centran más en los aspectos técnicos como pueden ser el análisis forense de redes, las amenazas e incidentes en dispositivos móviles, los incidentes generados por APT’s o la gestión de incidentes en la nube.

Los primeros doce ejercicios disponen también del manual y de la información complementaria sobre el conjunto de herramientas en español traducidas por INTECO-CERT y publicadas en 2010, así como de una versión online para consultar la información de cada ejercicio.

La ENISA ha publicado junto con todo el material un video donde se explica el objetivo y contenido de estas guías, así como su utilidad para los CERT/CSIRT. En él también se analizan los pilotos sobre los que se utilizaron estos materiales para la formación de los equipos de respuesta a incidentes congregados en Moldavia y en Japón.

Fuente: INTECO-CERT

Alemania: escándalo por manipular lista de espera de trasplantes

enero 3, 2013 § Deja un comentario

Tres médicos fueron despedidos de una clínica alemana tras conocerse que habían manipulado datos relativos a trasplantes de órganos para adelantar el proceso en determinados pacientes. Así lo informó el diario germano The Local.

Según las informaciones del periódico reproducidas por la agencia Europa Press, el director de la Clínica Universitaria de Leipzig y dos jefes de sección del mismo establecimiento fueron inmediatamente suspendidos de su ejercicio profesional tras conocerse el hecho.

Esta circunstancia se produjo después de destaparse más de 30 casos de manipulación de datos relativos a trasplantes de órganos en la Clínica Universitaria de Gotinga, situada también en Alemania, según han informado fuentes oficiales, recogidas por el periódico.

En general, se estima que, al menos se les dio preferencia a 25 pacientes en la lista de espera para un trasplante, lo que supuso que otros tuviesen que esperar más tiempo.

La Clínica Universitaria de Leipzig, en el este de Alemania, se ha sumado a las de Gotinga, Ratisbona y Múnich en el escándalo de manipulación de datos de pacientes para recibir un trato preferente en el trasplante de órganos.

En 37 de 182 pacientes a los que en los años 2010 y 2011 se realizó un trasplante de hígado se manipularon los datos, con diagnósticos mas negativos que la realidad, para ser considerados casos urgentes y escalar puestos en las listas de espera.

El escándalo en torno a la manipulación de datos de pacientes para darles prioridad en la recepción de órganos para trasplantes condujo a un apreciable retroceso de los donantes en Alemania ante esas prácticas de dudosa ética.

Fuente: DocSalud

¿Dónde estoy?

Actualmente estás explorando la categoría incidentes en Seguridad Informática.