Recientemente PCI DSS (Del inglés, Payment Card Industry Data Security Standard), la organización dedicada a certificar la seguridad de la información en empresas que comercializan y realizan transacciones con tarjetas de crédito, ha liberado su informe “2011 PCI Compliance Report”, que incluye información estadística y analítica sobre las empresas que han intentado (y eventualmente logrado) certificar en la norma PCI. Tal como reporta Anton Chuvakin en el blog oficial, 8 de cada 10 empresas que certificaron el último año, no han logrado certificar en el 2011. Este dato, además de alarmante, refleja algo que siempre menciono en contextos de concientización en empresas: la seguridad es un proceso.

Cuando escribí los 10 mandamientos de la seguridad corporativa, ponía en el número nueve:

No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.

Las estadísticas recientemente publicada por PCI DSS hablan justamente de ello: muchas empresas consideraron que sus buenos resultados el último año eran un sinónimo de “seguridad”, y es por ello que evidentemente han descuidado la protección de su información en los últimos 12 meses. Sólo un 21% de las empresas han logrado superar en dos años consecutivos los requerimientos impuestos por la organización.

La seguridad no es un proyecto, es un proceso; y las certificaciones no pueden distraernos en el camino hacia trabajar por una protección continua de la información corporativa. Cualquier prueba o evaluación realizada, no solo hace un año, sino hace unos meses; puede hoy ser insuficiente si no se acompañó el proceso posterior a la evaluación con más medidas de seguridad, y la actualización necesaria según los cambios de la empresa y del propio entorno (y por ende las amenazas).

Para ser más claros: las medidas de seguridad que hoy están implementando en su empresa, pueden dejar de ser eficientes en un año, en diez años, o mañana; pero sin lugar a dudas en algún momento dejarán de serlo, o necesitarán una revisión u otra capa de seguridad. No podemos pensar la seguridad como un cúmulo de tecnologías o medidas aplicadas en un tiempo determinado, sino que es necesaria la revisión y toma de decisiones constante en esta materia.

Esto, por supuesto, hace el trabajo del Oficial de Seguridad de la Información y todas las personas involucradas más complejo, y lamento informarles que así es, y justamente por ello es recomendable someter a la empresa periódicamente al análisis del estado de la seguridad, ya sea desde el punto de vista tecnológico como así también de otros aspectos de gestión de la seguridad y procesos.

Para más información les recomiendo leer el informe completo. Para más protección, ¡manos a la obra!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Estadísticas, Gestión
No Comments »

En muchos de los hogares de Latinoamérica es común que encontrarse con una computadora familiar, en ella, todos los integrantes comparten su información, fotografías, el acceso a Internet o la impresora. Sin embargo, en reiteradas ocasiones, estos equipos no cuentan con medidas de seguridad que permitan, entre otras cosas, proteger la información de cada uno de sus usuarios, incluso también proteger a los menores que utilizan el sistema.

¿Qué se puede hacer cuando se comparte un dispositivo informático?

En primer lugar se recomienda contar con usuarios distintos para cada persona que utilice el equipo. De esta manera no solo se aumenta la seguridad del sistema, sino que también las personalizaciones que cada familiar quiera realizar sobre el escritorio, el fondo de pantalla y sus archivos no afectan a las configuraciones del resto. Además, cada uno cuenta con su propia contraseña para iniciar sesión, protegiendo su información.

Dependiendo del sistema operativo, se pueden crear distintos tipos de cuentas, con permisos para cada uno de los usuarios. Esta opción, permite de una manera sencilla, aumentar la seguridad de su información de manera inmediata. En los sistemas Microsoft, como por ejemplo Windows 7, existen por defecto tres tipos de cuentas de usuario: administrador, estándar e invitado.

Al utilizar el sistema por primera vez, siempre se accede a al mismo con el usuario administrador. Sin embargo, una vez que finaliza la instalación de sistema operativo, muchos usuarios continúan utilizando una cuenta con privilegios administrativos cuando en realidad es recomendable utilizar un usuario estándar.

Las ventajas de utilizar una cuenta estándar en lugar de un usuario administrador, evitan la modificación del sistema, no solo para la cuenta usuario, sino también para todos el resto de las cuentas creadas en él. De esta manera se puede proteger el sistema evitando cambios generales para toda las cuentas de usuario.

Para crear una nueva cuenta de usuario, el proceso es bastante sencillo. En primer lugar, hay que dirigirse a Inicio -> Panel de Control. En el listado de opciones seleccionar Cuentas de usuario y protección infantil y desde allí hacer clic en Cuentas de Usuario para iniciar luego con la Administración de cuentas. Microsoft ha puesto ha disposición de los usuarios un video en donde muestra cómo crear una cuenta con permisos estándar en Windows 7.

Al contar con distintas cuentas para cada uno de los integrantes de la familia, le permite a los padres obtener una mayor protección para con sus hijos. Esto se debe principalmente que si se utilizan herramientas de control parental se pueden configurar las cuentas de sus hijos para restringir el acceso a ciertas páginas web y en filtrar el contenido web de otros sitios.

El principal objetivo de utilizar distintas cuentas de usuario en un mismo equipo, permite no solo aumentar el control de la seguridad ante una posible infección de un código malicioso, sino que también les garantiza a los padres una mayor protección para con sus hijos al momento de utilizar los equipos. Para bloquear los cambios realizados sobre el software de control parental el mismo puede ser protegido mediante una contraseña.

Al compartir un equipo entre distintos usuarios es necesario minimizar los riegos de exposición ante las amenazas, y el robo de información contenida en ella, ya que el uso que un adulto le puede dar a un equipo difieren del uso que le dan los menores en lo que respecta a navegación y costumbres en Internet. Minimizando cualquier vector de ataque a través de la implementación de controles se aumenta la protección.

Pablo Ramos
Especialista en Awareness & Research

Categories: Educación, Gestión
1 Comment »

El día de ayer, Perú ha dado un importante paso en lo que a la seguridad de la información se refiere en el ámbito público, al establecer que 50 organismos e instituciones públicas deban implementar el plan de seguridad de la información indicado en la norma ISO 27002, Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, perteneciente a la serie ISO 27000, antes de finalizado el año 2012. Es decir, los organismos disponen de prácticamente un año y medio para planificar, proyectar, e implementar este alineamiento, muy común en el sector privado de países de todo el mundo.

Esto se dio en el contexto de la modernización de la gestión del estado, en concordancia con la tendencia internacional, que ya había creado mediante resolución ministerial el grupo de trabajo permanente denominado “Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú, Pe-CERT” en el ámbito de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros. Esto permite al gobierno de Perú, según sus propias palabras, establecer un marco de coordinación para afrontar los riesgos y amenazas a los que está expuesta la información que producen los diferentes organismos públicos utilizando tecnologías de la información, evitando la duplicidad de esfuerzos en el establecimiento de acciones.

Entre los organismos que se encuentran en la nómina de los 50 seleccionados, aparecen por ejemplo el congreso de la república, el poder judicial, el banco central, el consejo nacional de la magistratura, varios ministerios como el de trabajo, vivienda, energía, relaciones exteriores y justicia, y varios organismos de servicios públicos como el de agua potable y servicios postales. Cabe destacar que Perú tiene como política de estado el hecho de promover, facilitar e incorporar el uso de las nuevas tecnologías de la información y la comunicación con el fin de facilitar el acceso para su población independientemente de su ubicación geográfica.

Se conoce que en el año 2004 se impuso un período de 18 meses para implementar esto mismo en todas las entidades estatales, lo cual no ha podido ser cumplido en su momento, por lo que el plazo fue extendido en aquel entonces hasta mediados de 2006.

En esta ocasión, un plan mas realista propone como fecha límite el 31 de diciembre del año próximo, y motiva claramente a enfocar los esfuerzos en la mejora de los planes de seguridad en pos de la implementación de un SGSI, que podría llevar a Perú a estar emparejado con los más altos estándares internacionales, y elevar el nivel general de Latinoamérica en cuanto a aplicación de políticas de estado que promuevan mejoras en el campo de la seguridad.

Federico Pacheco
Education & Research Manager

Categories: Gestión
1 Comment »

Los ataques de denegación de servicio (DoS) son uno de los ataques informáticos que hemos observado hace ya muchos años, y que aún siguen vigentes. En forma sencilla, consisten en un ataque hacia algún servicio informático (generalmente alojado en uno o varios servidores), con el ánimo de que este deje de funcionar. El ataque consiste en enviar determinados paquetes al objetivo, de forma tal de saturar los recursos que este puede procesar, y que así el servidor se vea en la necesidad de suspender la provisión del servicio. Como ataque derivado, aparecen los ataques de denegación de servicio distribuido (DDoS), donde el mismo es lanzado, no desde un sistema informático, sino desde múltiples nodos que realizan el ataque de forma simultánea.

Las redes botnets suelen ser utilizadas con estos fines, pudiendo lograr que todos los equipos zombis realicen el ataque contra el objetivo de forma simultánea, logrando mayor efectividad en el ataque. Asimismo, estos ataques están cada vez más asociados al hacktivismo, del cual ya hablamos en este mismo espacio. Un ejemplo de esto son los ataques contra la SGAE, o aquellos derivados contra PayPal, Visa y Mastercad a raíz del incidente de Wikileaks.

Es decir que, a pesar de su antigüedad, los ataques de denegación de servicio siguen vigentes, y es uno de los riesgos que las organizaciones deben considerar al momento de diseñar una estrategia de seguridad de la información. ¿Cómo controlar un ataque de denegación de servicio? Sobre este tema, hace unos días me encontré con esta interesante guía desarrollada por el CERT, titulada DDoS incident response (respuesta ante un incidente de DDoS), el cual recomiendo leer y tomar en cuenta para que la red de su empresa u organización esté preparada para enfrentar, si ocurriera, este tipo de ataque.

La guía considera seis pasos en el proceso de responder a un ataque de denegación de servicio. El primero de ellos, es la preparación. Aunque muchos habrán imaginado que la guía comenzaría cuando se detecta el incidente (segundo paso), la realidad es que para una correcta gestión de la seguridad, es necesario estar preparados, y es en esta etapa donde se recomienda, entre otras cosas, contar con un adecuado mapa de la red y conocimiento de la infraestructura, definir las personas a contactar ante la identificación del ataque y crear los procedimientos adecuados. Aunque sea redundante, estar preparados; y me animo a decir que este es el paso más importante.

Ver m�s… »

Categories: Gestión
2 Comments »

Pensar la seguridad en la empresa no es tarea sencilla: es un proceso complejo y continuo, que involucra diversos controles tanto tecnológicos, como de gestión como educativos. No obstante, desde ESET creemos firmemente que todas las empresas están preparadas para afrontar este desafío, y para ello, qué mejor que conocer los principios que deben regir la protección de la información. Para ello, hemos desarrollado este material, que compartimos hace unas pocas semanas con ejecutivos de empresas colombianas, y que ahora ponemos a disposición del público: los 10 mandamientos de la seguridad corporativa:

1. Definirás una política de seguridad: es el documento que rige toda la seguridad de la información en la compañía. ¿Algunos consejos? Que no sea muy extensa (ningún empleado podrá comprometerse con un documento de cincuenta páginas), que sea realista (pedirle a los empleados cosas posibles, ya que sino perderán credibilidad) y que se les de valor (otra recomendación: que las mismas sean entregadas a los empleados por los altos cargos o el departamento de Recursos Humanos, en lugar del soporte técnico de IT).
2. Utilizarás tecnologías de seguridad: son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam; estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.
3. Educarás a tus usuarios: …y comenzando por la aclaración: educarás a todos tus usuarios. Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ThreatSense.Net,
   el 45% de las amenazas detectadas en la región utilizan Ingeniería Social, por lo que atentan contra el desconocimiento del usuario para infectarlo.
4. Controlarás el acceso físico a la información: la seguridad de la información no es un problema que deba abarcar sólo la información “virtual”, sino también los soportes físicos donde esta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a estos? Sin lugar a dudas, el acceso físico es fundamental. También deben se considerados en este aspecto los datos impresos, como por ejemplo el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.); o el acceso a las impresoras (¿alguien podría tomar “accidentalmente” información confidencial?).
5. Actualizarás tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6. No utilizarás a IT como tu equipo de Seguridad Informática: es uno de los errores más frecuentes, y omiten la importancia de entender que la seguridad, no es un problema meramente tecnológico. Además, es importante que exista un área cuyo único objetivo sea la seguridad de la información, y esta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7. No usarás usuarios administrativos: de esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo. Una vez más, vale destacar la importancia de aplicar este control para toda la empresa: los integrantes del departamento de IT o la alta gerencia, también deben utilizar permisos limitados en el uso diario de la computadora.
8. No invertirás dinero en seguridad, ¡sin pensar!: la seguridad deben ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad, sin medir el valor de la información que se está protegiendo, y la probabilidad de pérdidas por incidentes; puede derivar en dinero mal invertido, o básicamente en dinero perdido. La seguridad debe proteger la información, el valor de esta y, como se dijo, el negocio. Para ello, es importante calcular… ¡y pensar!
9. No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.
10. No subestimarás a la seguridad de la información: finalmente, entender el valor que asigna al negocio tener la información protegida, es nuestro último y quizás más importante mandamiento. Pensar que un control no debe implementarse, porque “no creo que esto me ocurra”, es uno de los peores errores que un ejecutivo puede cometer y, en caso de que ocurra, serán muchos los que deban arrepentirse: muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Estos son, a nuestro criterio, los diez mandamientos de la seguridad en la empresa. Y tú, ¿qué opinás? Si agregarías o sacarías alguno, este es el lugar para dejar tu opinión. Si no, es momento de ponerse a trabajar: a cuidar la empresa.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Gestión
8 Comments »