Libro: Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio [ISACA]

octubre 23, 2013 § Deja un comentario

Muchas de las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) más destructivas de hoy fueron concebidas hace más de una década. Debido a esto, las empresas que dependen de las estrategias de ciberseguridad más tradicionales tienen pocas probabilidades de tener éxito contra la próxima generación de ataques. Esta es una de las advertencias que hace un nuevo documento publicado por ISACA, la asociación de TI global, en el Mes de la Consciencia sobre la Ciberseguridad.

Amenazas Persistentes Avanzadas: Cómo Manejar el Riesgo para su Negocio establece que las defensas tradicionales como los firewalls y el anti-malware no están listas para enfrentar a las APTs de hoy y que las organizaciones necesitan agregar habilidades, procesos y tecnología a su estrategia de ciberseguridad.

“Los motivos detrás de las APTs son tan antiguos como la civilización misma: espionaje, sabotaje, crimen, terrorismo, guerra y protesta. Lo nuevo es el aumento en los ataques y su sofisticación. Las empresas necesitan ver a las APTs más como una variedad distinta en lugar de como una nueva generación”, aseguró el autor David Lacey, CITP. Lacey es un futurista líder y una autoridad en la seguridad de TI cuya experiencia profesional incluye las posturas de riesgo y seguridad del Royal Mail Group y del Royal Dutch/Shell Group.

Una encuesta sobre ciberseguridad de ISACA realizada entre más de 1,500 profesionales de seguridad de todo el mundo descubrió que el 94 por ciento de los entrevistados creen que las APTs representan una amenaza real para la seguridad nacional y la estabilidad económica. Una de cinco empresas ya ha experimentado un ataque por parte de una APT, pero más de la mitad de los participantes de la encuesta no creen que las APTs difieren de las amenazas tradicionales.

El libro transmite dos mensajes importantes: combatir a las ATPs no es lo mismo de siempre, y las APTs deberían ser asunto de todos. Está escrito con un lenguaje claro y no técnico para que lo entiendan los ejecutivos de las empresas y los funcionarios del gobierno responsables de los valiosos activos intelectuales o de los servicios críticos que pudieran estar en la mira del ataque de una APT. Asimismo, explica las diferencias entre los controles necesarios para contrarrestar una amenaza persistente avanzada y aquellos que se utilizan para mitigar el riesgo para la seguridad de la información cotidiano.< El libro de ISACA le da a las empresas información sobre las técnicas efectivas para combatir a las APTs. Fue escrito como un análisis práctico de los temas que muchas organizaciones no entienden completamente, incluyendo:

  • Las deficiencias típicas de los procesos actuales de la ciberseguridad
  • Cómo decir si usted está experimentando el ataque de una APT
  • Qué es un riesgo moral y cómo afecta a las ATPs
  • Cómo interrumpir una ciber “cadena de muerte” (las etapas de un ciberataque)

Mitigar el ataque de una APT se intersecta en parte con la guía y los controles convencionales, como aquellos definidos en el marco de referencia COBIT 5 de ISACA, los controles críticos del SANS Institute y los estándares de seguridad ISO/IEC 27001. Este libro se enfoca en las mejoras necesarias y destaca aquellas áreas en las que los controles necesitan fortalecerse o ampliarse. Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro.

Esta es la edición más reciente de los recursos de ciberseguridad de ISACA, que incluyen el libro Respondiendo a los Ciberataques Dirigidos; Transformando la Ciberseguridad Usando COBIT 5; un programa de auditoría del cibercrimen, la Encuesta de Amenazas Persistentes Avanzadas; al comunidad de Ciberseguridad del Knowledge Center de ISACA, y la Conferencia sobre Seguriad de la Información y el Manejo de Riesgos, que se realiza del 6 al 8 de noviembre de 2013 en Las Vegas.

Fuente: ISACA

Anuncios

Modelos de Gestión de Riesgos Corporativos

septiembre 25, 2013 § Deja un comentario

Implementar un modelo de gestión de riesgos en las organizaciones, dejo de ser una tarea exclusiva de las entidades del sector financiero con carácter de exigencia regulatoria y pasó a ser parte integral dentro la estructura de todas las organizaciones, pues se considera que la misma permite la creación y protección de valor, en el camino hacia el cumplimiento de los objetivos.

Es así como la implantación de un modelo de gestión de riesgos, parte de un análisis integral de los procesos que conforman a las organizaciones, contribuyendo a la toma de decisiones y por tanto permitiendo el cumplimiento de los objetivos, a la luz de la evaluación y supervisión de los riesgos de cada área.

La gestión de riesgos parte del proceso que enmarca la ruta de navegación de una organización, la planeación estratégica, pues la misma permite a la gerencia proyectarse considerando el comportamiento de diferentes variables externas o internas que pueden afectar los resultados de la organización desde la perspectiva de las operaciones, los clientes, el presupuesto y el ingreso a nuevos mercados, entre otras tantas variables a ser consideradas.

Partiendo de lo anterior, se considera que la ausencia de un modelo de gestión de riesgos, puede llevar a una organización a pérdidas considerables que inclusive terminan en su desaparición, dada la probable falta de respuestas efectivas y acertadas, ante los eventos de riesgo que afectan sus resultados, así como la pérdida de confianza de las partes interesadas en la organización.

Dada la importancia de dicho modelo, ¿cuáles son los aspectos que debe considerar una organización, para su implantación?

A continuación enumeramos algunas prácticas que contribuyen a la implantación del modelo de gestión de riesgos, de tal forma que cada organización las evalué, según la naturaleza de su negocio:

  • Se tiene un compromiso de la Alta Gerencia en la implantación.
  • Se ha establecido el marco para su implementación (COSO ERM, ISO 3100, AS/NZS 4360)
  • Se tiene un área especializada en Riesgos, liderada por el Director de Riesgos,
  • Se tiene establecida una metodología de riesgos.
  • Se tiene una política de gestión de riesgos.
  • Se tiene un plan de comunicaciones.
  • Se ha trabajado en fomentar la conciencia y el concepto de riesgos en todos los niveles de la organización.
  • Los objetivos de la organización son clasificados en estratégicos, operativos, de cumplimiento y de información.
  • Las fuentes de información para la gestión de riesgos son confiables, así como consideran los conceptos de expertos, la observación de los procesos desde una visión crítica de eficiencia y eficacia, así como considera el comportamiento del mercado y los datos históricos.
  • Los proyectos desarrollados en la organización son estructurados dentro del modelo de gestión de riesgos.
  • La organización tiene y actualiza el mapa de riesgos.
  • Se tiene un plan de monitoreo para los riesgos identificados.
  • Se realiza un análisis DOFA.
  • Se han establecido controles gerenciales, de proceso y de aseguramiento (Auditoría Interna).
  • Es política de la organización implementar acciones correctivas ante los incumplimientos de los colaboradores.

Fuente: Auditool

Riesgos del Big Data: grandes errores en análisis de datos

septiembre 11, 2013 § 1 comentario

Nadie discute el valor que tiene el Big Data para optimizar los procesos y oportunidades de negocio de las compañías. Sin embargo, Big Data no es sinónimo de información de calidad, por lo que es clave saber analizar los grandes volúmenes de datos que se generan.

Una de las consecuencias principales de no tener la capacidad de análisis necesaria es que se pueden tomar decisiones erróneas que pueden afectar al desempeño de las organizaciones. Esto puede ser debido a información incompleta, fuera de contexto o datos alterados.

Gary King, director del Intitute for Quantitative Social Science de la Universidad de Harvard contó que con un grupo de investigación quisieron implementar un proyecto de Big Data para descubrir las tendencias del desempleo en los Estados Unidos. Para esto, fijaron como keywords para monitorear “Jobs”, “Desempleo” y “Clasificados”.

A partir de esto comenzaron a analizar la red por medio de una técnica llamada Sentiment Analysis en donde el grupo recolectó los tweets y otros post en diferentes portales que incluyera alguna de las 3 palabras. Observaron que una comenzó a tener una gran presencia en la red. Sin embargo, King luego descubrió que esta conducta no estaba relacionada con el desempleo, “lo que el grupo no se había dado cuenta es que Steve Jobs había fallecido”.

Más allá del hecho trágico, de esta experiencia quedó una enseñanza: la importancia que tiene comprender el contexto de cada dato que se analiza para poder actuar en consecuencia.

“Esta anécdota es una de muchas. Quien trabaje en esta área seguramente ha tenido experiencias similares”, agregó. Por esto es importante la visión crítica de los datos que se recopilan teniendo presente siempre el escenario donde se producen.
El Big Data debe ser considerado como una herramienta para potenciar y optimizar los negocios, pero se debe tener presente el valor agregado que tiene la interpretación humana con conocimiento de la coyuntura.

Fuente: CIOAL

Definición y aplicación de "Apetito de Riesgo"

agosto 9, 2013 § Deja un comentario

Trabajo detallado de la “Fábrica del pensamiento” de la Comisión Técnica del Instituto de Auditores Internos de España sobre la definición e implantación del apetito de riesgo [PDF] por parte de la alta Dirección, recogiendo cuestiones clave que hacen que pasemos de métricas y métodos de evaluación a decisiones de negocio y reporte.

Toda empresa lleva a cabo sus operaciones con un fin último, la creación de valor. Pero es te fin no puede alcanzarse sin asumir ciertos riesgos. Por ello, para obtener los resultados deseados, gestionar una empresa implica gestionar riesgos, y para poder hacerlo con garantías, las empresas deben definir su sistema de gestión de riesgos.

Una pieza relevante de ese sistema es la fijación del apetito de riesgo: cantidad de riesgo que la empresa desea asumir en la consecución de sus objetivos. La fijación de este umbral permite optimizar el binomio riesgo-rentabilidad y controlar y mantener los riesgos en los niveles deseados. Por tanto, para posibilitar la generación de valor, las organizaciones deben hacer un balance entre los riesgos y las oportunidades y el apetito de riesgo debe servir de guía para la toma de decisiones, la asignación de los recursos y, en definitiva, para alinear a toda la empresa en la consecución de los objetivos fijados, permitiendo hacer un seguimiento y monitorización de los resultados obtenidos y sus riesgos asociados.

Un sistema de gestión de riesgos adecuado debe alinearse con la estrategia de la compañía y con su cultura corporativa, y como punto clave debe tener en cuenta la naturaleza de sus operaciones. Los principales órganos de gestión y control de las empresas, ya sean Consejos de Administración o Alta Dirección, deben apoyar e impulsar la gestión de riesgos, con el objetivo de que se transmita a toda la organización y se integre en la operativa diaria de todas las áreas. La definición clara de los roles y responsabilidades en materia de gestión de riesgos dentro de la organización será, por tanto, un factor clave para el éxito del sistema que se implante.

Para diseñar el sistema de gestión de riesgos y definir de forma adecuada los niveles de apetito de riesgo, la empresa deberá focalizar sus esfuerzos en el desarrollo y uso de metodologías y técnicas que le ayuden a medirlos, y que le permitan compararlos con los niveles de apetito establecidos. El proceso de la fijación del apetito de riesgo debe ser específico para cada empresa puesto que no existe un valor de apetito de riesgo estándar aplicable a todas las compañías, y será responsabilidad de su máximo órgano de gestión determinarlo. Además, debe tener en cuenta la naturaleza de los riesgos que se desean medir y entenderse como algo vivo, que se revisa y cambia con la evolución de la propia empresa, sus objetivos y estrategia, así como el entorno en el que opera.

Fuente: Auditores Internos España

ISO 31000:2009 – Gestión de Riesgos

julio 1, 2013 § Deja un comentario

Todas las actividades de una organización están sometidas de forma permanente a una serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su negocio.

Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales. No obstante, la experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización.

La gestión integral de riesgos ha ganado impulso en los últimos años, especialmente a partir de la década de los noventa, lo que ha conllevado la aparición de “Modelos de Gestión de Riesgos”, algunos de ellos de carácter más específico, como por ejemplo: COSO, ISO 14000, ISO 22000, OHSAS, etc. y otros de carácter más global como la norma AS/NZS 4630 o la norma ISO 31000 [PPT].

Principios básicos para la Gestión del Riesgo

Para una mayor eficacia, la gestión del riesgo en una organización debe tener en cuenta los siguientes principios:

  1. Crea valor. Contribuye a la consecución de objetivos así como la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc.
  2. Está integrada en los procesos de una organización. No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización.
  3. Forma parte de la toma de decisiones. La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas.
  4. Trata explícitamente la incertidumbre. La gestión del riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
  5. Es sistemática, estructurada y adecuada. Contribuye a la eficiencia y, consecuentemente, a la obtención de resultados fiables.
  6. Está basada en la mejor información disponible. Los inputs del proceso de gestión del riesgo están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos.
  7. Está hecha a medida. La gestión del riesgo está alineada con el contexto externo e interno de la organización y con su perfil de riesgo.
  8. Tiene en cuenta factores humanos y culturales. Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como interna, que puede facilitar o dificultar la consecución de los objetivos de la organización.
  9. Es transparente e inclusiva. La apropiada y oportuna participación de los grupos de interés (stakeholders) y, en particular, de los responsables a todos los niveles, asegura que la gestión del riesgo permanece relevante y actualizada.
  10. Es dinámica, iterativa y sensible al cambio. La organización debe velar para que la gestión del riesgo detecte y responda a los cambios de la empresa.
  11. Facilita la mejora continua de la organización. Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización.

ISO 31000. Estructura de la norma

La variedad, complejidad y naturaleza de los riesgos puede ser de muy diversa índole por lo que éste nuevo Estándar Internacional desarrollado por la IOS (nternational Organization for Standardization) propone unas pautas genéricas sobre cómo gestionar los riesgos de forma sistemática y transparente.

El diseño y la implantación de la gestión de riesgos dependerá de las diversas necesidades de cada organización, de sus objetivos concretos, contexto, estructura, operaciones, procesos operativos, proyectos, servicios, etc. avantium>>business consulting aportará su experiencia y metodología para el diseño e implantación de una gestión de riesgos acorde al planteamiento de esta norma internacional.

El enfoque está estructurado en tres elementos claves para una efectiva gestión de riesgos:

  • Los principios para la gestión de riesgos.
  • La estructura de soporte.
  • El proceso de gestión de riesgos.

La relación entre los principios de gestión, la estructura de soporte, así como el proceso de gestión del riesgo desarrollado en la norma se resume en la figura:

El diseño e implantación de un modelo de gestión del riesgo, permitirá a la organización:

  • Fomentar la gestión proactiva en lugar de la reactiva.
  • Ser consciente de la necesidad de identificar y tratar el riesgo en todos los niveles de la organización.
  • Mejorar la identificación de oportunidades y amenazas.
  • Cumplir con los requisitos legales i normativos aplicables así como las normas internacionales.
  • Mejorar la información financiera.
  • Mejorar la gestión empresarial.
  • Mejorar la confianza de los grupos de interés (stakeholders).
  • Establecer una base fiable para la toma de decisiones y planificación.
  • Mejorar los controles.
  • Repartir y utilizar de forma efectiva los recursos para la gestión de riesgos.
  • Mejorar la eficacia y la eficiencia operacional.
  • Aumentar la seguridad y salud.
  • Mejorar la prevención así como la gestión de incidentes.
  • Minimizar las pérdidas.
  • Mejorar el aprendizaje organizativo.
  • Mejorar la resistencia organizativa.

Fuente: Avantium

10 simplificaciones sobre seguridad defensiva o ofensiva (y II)

junio 19, 2013 § Deja un comentario

Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. En la primera parte se analizaron los supuestos defensivos y ahora se continúa con los supuestos ofensivos.

Simplificaciones ofensivas

6. Seguridad por oscuridad no tienen ningún valor
Este es uno de los más perniciosos supuestos en el lado ofensivo, defendidos por aquellos especializados en encontrar defectos explotables y realizar penetration test. Utilizando un argumento ad absurdum, si la seguridad por oscuridad no tiene valor, no tendría sentido actualizar el software vulnerable. Cuesta tiempo y presupuesto encontrar defectos en el software y evidencia de esto es el hecho de que veamos mucho más explotación de vulnerabilidades conocidas que desconocidas. Si pudieramos eliminar todas las vulnerabilidades conocidas de un solo golpe, de manera que la única oportunidad de explotar un fallo sea a través de los 0-day, los ataques exitosos caerían inmediatamente.

7. Una vulnerabilidad simple = Toda su base nos pertenece

Un portavoz de la industria defendió esta posición recientemente en una lista de correo electrónico, diciendo que cuando un atacante accede a la seguridad de un software toma control de todo el sistema. Si la seguridad de sus activos críticos depende de la inexistencia de defectos en los extremos de la red, esta suposición podría ser verdad. Pero los ataques del mundo real tienen que funcionar en diversas fases de la cadena y el objetivo de la seguridad actual debería ser prevenir o detectar ataques en varios puntos de la cadena. Algunas organizaciones incluso pueden permitir estos ataques y aprovecharlos como trampas (honeypots) par observarlos y registrarlos.

8. La universalidad de las técnicas de ataque
Cuando se presenta una nueva técnica de ataque, el defecto se discute como si siempre tuviera una amplia aplicabilidad a pesar de que sólo se ha demostrado en un contexto particular. La posibilidad de que la técnica funcione sólo en algunas circunstancias muy limitadas, contra un software o sistemas en particular, es a menudo pasado por alto. El peligro surge cuando los defensores gastan recursos innecesarios en las defensas (innecesarias) contra este tipo de ataques.

9. Los seres humanos hacen imposible la seguridad
Es un lugar común decir que “los seres humanos son el eslabón más débil de la seguridad”. Si bien ciertamente parece que los errores cometidos por los seres humanos son la causa principal de la mayoría de las brechas de seguridad de una organización, en la mayoría de los casos, estos errores son posibles gracias a procesos violados, falta de supervisión y de auditoría suficiente, o por no poner los controles adecuados que permitan mitigar las vulnerabilidades a aquellos usuarios finales ignorantes de la seguridad.

10. La educación del usuario es un fracaso
Muchas organizaciones tratan de frustrar los ataques, tales como correos electrónicos de phishing, educando a los usuarios para reconocer y evitar este tipo de mensajes falsos. La evidencia hasta ahora sugiere que este enfoque en la práctica casi no tiene valor. Sin embargo, si en lugar de tratar de evitar los ataques de esta manera, se les pide a los usuarios que reporten los mensajes sospechosos a un admnistrador, la práctica puede ser muy valiosa.
En el primer caso, si uno de cada 10 empleados cae en el engaño, la seguridad de la organización será comprometida. En el segundo caso, si uno de cada 10 empleados informa del phishing, el ataque puede ser detectado y frustrado, convirtiendo al usuario final en un sensor efectivo.

Cristian de la Redacción de Segu-Info

10 simplificaciones sobre seguridad defensiva o ofensiva (I)

junio 18, 2013 § Deja un comentario

Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. Antes de comenzar cualquier análisis, vale la pena pensar si los siguientes supuestos defensivos y ofensivos son válidos, según ha publicado Bit9 recientemente.

Simplificaciones defensivas

1. Los atacantes tienen recursos infinitos
Este es un mantra tantas veces escuchado y que “conducen a la locura.” Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.

2. El control de seguridad “X” hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.

3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.

4. La seguridad puede ser “agregada”

La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.

5. Mi organización no está en riesgo

Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.

Continua en la segunda parte

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría riesgos en Seguridad Informática.