Desarrollando las Políticas de Seguridad de la Información

Sin mucho preámbulo y luego de un silencio un tanto obligado les comparto esta experiencia.

Últimamente se me ha encomendado la tarea de desarrollar una Política de Seguridad de Información para la empresa donde trabajo.

La primera disyuntiva con la que me encontré fue definir el nombre que le debía dar al documento, confieso que no fue fácil. Primero pensé en “Políticas de Seguridad Informática” de hecho el primer borrador tuvo ese nombre, pero luego del aporte de varios puntos de vista de diferentes colegas y sobretodo de los intructores, Gabriel Rodríguez (CISSP de ISEC) y de Julio Ardita (CTO de Cybsec) decidí cambiar el título del documento a “Políticas de Seguridad de la Información”

En inicio no entendía muy bien la diferencia, si me preguntaban tiempo atrás, ¿cuál es la diferencia entre “Seguridad Informática” y “Seguridad de la Información”?, de seguro hubiese mencionado que no le encuentro diferencia alguna. Desde el punto de vista personal, por lo investigado y por la experiencia en el desarrollo de esta política podría decir que la principal diferencia entre los dos términos radica en el alcance.

Seguridad Informática, se  desarrolla en torno a la tecnología (hardware, software, etc) y la implementación de controles y contramedidas para proteger estos activos, mientras que; Seguridad de la Información, cubre un espectro más amplio en donde se considera a la información como el activo a proteger, tomando en cuenta toda forma que esta pueda tomar en la organización, lo que puede llegar a implementar medidas de seguridad, tanto al recurso humano para proteger información que posee o conoce y que es considerada de vital importancia para el negocio, como implementar seguridad que contemple la protección de oficinas o áreas consideradas críticas para un buen desenvolvimiento del negocio. Incluso considero que una Política de Seguridad de la Información podría contener elementos de una Política de Seguridad Informática.

Una vez que tuve “más” claros los conceptos, empecé el desarrollo de esta política, alineándola a la realidad empresarial para la cual fue diseñado dicho documento.

Es importante mencionar que hay que enfocar la política de acuerdo al negocio, no es lo mismo desarrollar una política para una empresa que se dedica a comercializar productos farmacéuticos, que desarrollar una política para una entidad pública. También es importante evaluar el nivel de importancia que la Seguridad de la Información tiene en el negocio y sobretodo en la Alta Dirección.

El Ambiente.

El desarrollo de la política fue en base al siguiente escenario (real). La empresa no cuenta con una política de seguridad de la información aprobada y socializada en todos los niveles. Existe un área denominada “Seguridad Informática” que es parte del Departamento de Tecnología la cual ha sido encargada de realizar el documento de Políticas, y el Departamento de Tecnología se encuentra bajo una Subgerencia que reporta a la Alta Dirección.

Existen antecedentes de ocurrencia de incidentes  de la Seguridad de la Información, y todos han sido canalizados al Departamento de Tecnología, los cuales en algunos casos debieron haberse reportado al área de Recursos Humanos.

Con estas premisas procedí a desarrollar la Política de Seguridad para la empresa donde colaboro.

Desarrollando la Política.

La versión preliminar de la Política que fue enviada a la Alta Dirección, considero es una declaración de prohibiciones técnicas y no una Política, lo digo como “mea – culpa” y lo menciono porque fue una lección aprendida. Las Políticas deben ir más allá de declarar prohibiciones, deben dar las directrices y lineamientos a seguir en lo que ha seguridad de la información se refiere.

Considerando que el factor humano es preponderante, crítico y que puede determinar el fracaso o éxito de este tipo de políticas, procedí a tomar como referencia el documento http://www.arcert.gov.ar/politica/PSI_Modelo-v1_200507.pdf, que presenta un modelo de “Política de Seguridad de la Información” para las entidades de gobiernos en Argentina y que puede resultar muy aplicable a nuestra realidad. Dicho documento hace mucho énfasis en las Políticas que se deben aplicar tomando en cuenta el factor humano.

El documento está basado en lo que la ISO 27000 recomienda en cuanto al desarrollo de una Política de Seguridad de la Información, uno de los puntos que pienso falta reforzar en el documento guía, es lo que se refiere a Concientización de Usuarios. Por lo demás considero es un modelo muy completo y que como referencia sirve de mucha ayuda.

Tomando en cuenta lo antes mencionado, enfoqué el documento considerando siguientes aspectos:

  • Organización de la Seguridad

Orientado a administrar la seguridad de la información y establecer un marco gerencial para controlar su implementación. Principalmente se promueve la Creación del Comité de Seguridad de la Información en toda la empresa.

  • Seguridad del Personal

Orientado a reducir los riesgos de error humano, comisión de ilícitos o uso inadecuado de instalaciones.

  • Gestión de las Comunicaciones y las Operaciones

Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.

  • Control de Acceso

Orientado a controlar el acceso lógico a la información.

Es importante recalcar que el documento solo es el punto de partida, y que hay que complementarlo con otros documentos que describan normas y procedimientos que permitan cumplir lo que reza el Documento de Políticas de Seguridad de la Información. En estas normas y procedimientos es donde se puede mencionar de manera adecuada lo que está o no permitido. Tratando en lo posible de aplicarlo con la regla del “menor privilegio”.

Luego viene la parte administrativa y el trabajo para crear conciencia en la Alta Gerencia para que le dé al Documento la importancia debida, lo que permitirá implementar dichos lineamientos y directrices en toda pero absolutamente toda la organización.

“TODOS” pero “TODOS” los colaboradores de la empresa sin excepción alguna deben ajustarse a lo que reza la política, lamentablemente esto no se cumple, el éxito de la implementación de estas políticas se lo puede lograr con campañas de concientización y controles bien definidos.

Quienes tienden a oponerse a cumplir con la Política son Mandos Operativos, Mandos Medios y hasta la misma Alta Gerencia, si esto sucede y  es recurrente pese haber hecho y agotado todas las posibilidades de posicionamiento de las Políticas de Seguridad de la Información, es señal de que este tema no es de importancia para la empresa, en este caso y como un criterio muy personal, lo que Yo haría es, entregar un informe con los riesgos que implica no tener implementado lo que la Política sugiere y dar un paso al costado. La política debe estar orientada y ser aplicable para TODOS y nadie debe por ninguna excepción incumplirla, incluso las excepciones deben estar descritas en dicho documento.

Factores Críticos de éxito.

Para que la Política de Seguridad y la función de Seguridad de Información tengan el éxito debido, considero deben tomarse en cuenta las siguientes consideraciones:

  • Apoyo y auspicio de la Alta Gerencia.
  • Roles y responsabilidades bien definidos.
  • Conformación de Comité de Seguridad de la Información integrado por todas las áreas involucradas de negocio.
  • Comunicación adecuada.
  • Seguridad de la Información debería ser parte de un Departamento influyente en la empresa, puede ser Auditoría Interna o la unidad de Riesgos, es considerado una mala práctica ubicarlo en Tecnología, si bien es lo más común es lo menos recomendable. “No se puede ser Juez y Parte”.
  • Concientización y Capacitación adecuada.
  • Normas y Procedimientos bien definidos y alineadas con la Política.

Suena complicado pero para quienes sentimos pasión por el tema es realizable,  si no se lo puede implementar por alguna razón no hay que desmotivarse, si las políticas son lógicas y coherentes, estás siempre tendrán acogida en uno u otro lugar.

Por último puedo decir que, todo lo mencionado en esta artículo es desde el punto de vista personal y experimental, por ningún motivo quiero dar a entender que así son como se deben hacer las cosas, pueden existir mejores alternativas; la idea es compartir mi punto de vista y experiencia para poder recibir la retroalimentación de quienes leen y siguen este blog. No soy un gurú o experto del tema, soy alguien que le apasiona el tema y que recurre al intercambio de conocimiento para poder aportar.

Sus comentarios, sugerencias, correcciones, quejas, etc, etc, sean siempre bienvenidas.

Recuperando Información y como evitar recuperarla.

Esta ocasión escribo desde una experiencia que tuve en la mañana. El caso de unas fotos tomadas desde una cámara digital. Ayer necesitaba tomar unas fotos y al no disponer de espacio, decidí borrar algunas fotos, pero sin haber tomado el debido cuidado resulta que borre imágenes que no debía borrar, llegué a casa baje las fotos a mi computador y procedí a formatear la tarjeta microSD. Resignado a la pérdida de aquellos recuerdos digitales.
 
Hoy cuando me dirigía al trabajo me sentía apenado por las fotos que había perdido por lo que decidí intentar recuperar los archivos formateados, ya lo había hecho con información de Discos Duros, pero no con medios extraíbles, así que me puse manos a la obra. Descargué el SW Recuva 1.21.373 y procedí con el escaneo de la microSD y que creen, recupere no solo las fotos de ayer sino de hace un par de semanas atrás.
 
La explicación a esto es que en discos duros y en medios extraíbles se guarda un puntero que es el que dice que ahí hay un archivo y que es tal. Cuando uno lo borra, lo único que está haciendo en realidad es desapuntar ese sector, pero el archivo sigue estando ahí. Cuando el disco duro necesite espacio para generar archivos nuevos, usa sectores que no estén apuntados, y es entonces cuando reemplaza físicamente un sector donde antes se almacenaba otro fichero.
 
En seguida lo asocie a tema de seguridad de la información, y que hubiese pasado si no era una cámara de fotos y era un “flash memory” con archivos confidenciales o importantes para una empresa, vemos que no basta con formatear los dispositivos de almacenamiento. Una opción para evitar esto es darle tiempo al tiempo y esperar que esos sectores sean re-escritos por otra información o emplear herramientas o programas que re-escriban y borrar en varias pasadas para dificultar la recuperación de la información. Ejemplo: DataEraser http://www.ontrack.es/dataeraser/
Aun así no se garantiza el 100% de que la información no será recuperable, para que esto suceda la opción sería cambiar de disco o memoria.

SGSI en Ecuador

Implementar un Sistema de Gestión de Seguridad de la Información – SGSI, en instituciones públicas y privadas se ha convertido en un verdadero reto.

En la fase de posicionamiento del proyecto a la Alta Gerencia un sin número de situaciones se presentan, situaciones que parecen detener el proyecto, sobre todo por la falta de interés de la alta gerencia para implementar este proyecto.

Uno de los retos es, diseñar y plantear una estrategia que pueda hacer ver a los directivos de la necesidad y los beneficios de contar con un SGSI institucional.

Lo ideal sería que el negocio como tal presente y proponga este proyecto, pero la realidad es otra, este tipo de proyectos casi siempre están a cargo del área de Tecnología, lo cual considero es un gran error y muy común en nuestro medio. El SGSI casi siempre es propuesto por el Área de Seguridad Informática, la que se encuentra en la Gerencia de Tecnología, entonces antes de llegar al negocio primero se debe convencer al Director de Tecnología que este tipo de proyectos agregan valor al negocio, para luego convencer a la Alta Dirección y proceder con la ejecución del proyecto. Lo que sin duda implica retraso y en ocasiones desgaste de las personas que intentan implementar el SGSI.

Personalmente considero que si al negocio no le interesa este tipo de proyectos no vale la pena invertir en esfuerzos para la ejecución de estos proyectos, desde mi punto de vista los sectores más interesados en tener un SGSI implementado en el Ecuador son:

– Entidades Financieras, y

– Multinacionales

Y a las menos interesadas son:

– Entidades de Gobierno

– ONG’s

El SGSI debería ser importante para toda empresa ya sea pública o privada pero la realidad es otra.

Nuevas amenzas en la red. ¿Cómo mitigarlas?

Esta ves y para cerrar la semana les dejo con un artículo publicado por “Playmarketing”, una investigación muy interesante de Symantec para tener en cuenta, un buen fin de semana a tod@s.

Symantec anunció los hallazgos de su Reporte sobre Kits de Herramientas de Ataques y Sitios Web Maliciosos. El estudio revela que los kits o conjuntos de herramientas ataques se han vuelto más accesibles y relativamente más fáciles de usar, por lo que éstos se están empleando cada vez con mayor frecuencia. Esta situación también ha generado que criminales tradicionales, quienes de otra forma hubiesen carecido de los conocimientos técnicos, se incorporen al cibercrimen, fortaleciendo así a una economía global cada vez más organizada, rentable y auto-sustentable.

Los kits de herramientas para realizar ataques, mejor conocidos como “toolkits” por su nombre en inglés, son programas de software que pueden usarse tanto por novatos como por expertos para facilitar el lanzamiento y distribución de ataques a computadoras en red. Estos kits permiten que el atacante fácilmente lance numerosas amenazas pre-escritas hacia los sistemas computacionales y también ofrecen la capacidad de personalizar las amenazas para evitar la detección y de automatizar el proceso de ataque.

Antes los hackers tenían que crear sus propias amenazas desde cero. Este complejo proceso limitaba el número de atacantes a un grupo reducido de cibercriminales con grandes habilidades y altamente calificados. Hoy, los kits de ataques han hecho que lanzar un ciberataque sea relativamente fácil incluso para un novato malintencionado. Como resultado, esperamos ver más actividad criminal en esta área y probabilidades más altas de que el usuario promedio se convierta en una de sus víctimas, señaló Stephen Trilling, Vicepresidente Senior, Symantec Security Technology and Response.

Los Kits de Ataques Controlan el Entorno

La relativa facilidad y la efectividad de los kits de ataques ha contribuido a que éstos sean cada vez más utilizados por los ciberdelincuentes y ahora estos kits son usados en la mayoría de los ataques maliciosos en Internet. Por ejemplo, uno de los kits más populares, llamado Zeus, representa una amenaza seria para las pequeñas empresas pues el principal objetivo de Zeus es robar información de cuentas bancarias y, desafortunadamente, las pequeñas empresas suelen tener poca protección en sus transacciones financieras, lo que las vuelve el blanco principal para Zeus.

La rentabilidad de los ataques de código malicioso utilizando Zeus fue evidente en septiembre de 2010, cuando se arrestó un grupo de cibercriminales quienes alegaron usar un botnet Zeus para el robo de más de US$70 millones de dólares en transacciones bancarias en línea y cuentas de compra/venta a lo largo de 18 meses.

A medida que los ciberataques se han vuelto más rentables, los kits de ataques se hicieron cada vez más populares. Esto llevó a la creación de herramientas cada vez más robustas y sofisticadas que ahora se venden en un modelo de venta por suscripción que otorga actualizaciones periódicas, componentes que extienden capacidades y servicios de soporte. Los cibercriminales comúnmente anuncian servicios de instalación, ofrecen alquileres de acceso limitado a las consolas de herramientas y usan herramientas comerciales anti-piratería para prevenir que los atacantes las usen sin pagar.

Proliferación Rápida de Ataques

La velocidad a la cual las nuevas vulnerabilidades y sus exploits se propagan en el mundo ha incrementado debido a las innovaciones que los desarrolladores de kits de ataques han integrado a sus productos. Los kits de ataques son ahora fáciles de actualizar, lo cual permite a los desarrolladores agregar rápidamente códigos para explotar nuevas vulnerabilidades. Como resultado algunos exploits se encuentren disponibles sólo días después de que la vulnerabilidad asociada se hace pública. Los atacantes que pueden fácilmente actualizar sus kits de ataques con exploits recientes pueden dirigirlas hacia víctimas potenciales antes de que apliquen los parches de seguridad necesarios.

Dado que los kits de ataques se están volviendo más fáciles de usar, el cibercrimen ya no está limitado a quienes tienen habilidades avanzadas de programación. Sus participantes ahora se conforman de una variedad de individuos con habilidades informáticas y de otros con conocimiento en actividades criminales tradicionales como el lavado de dinero. Symantec espera que a medida que este último grupo, en creciente desarrollo y de mayor tamaño que el anterior, se incorpore a actividades en el ciberespacio, se observará un aumento en el número de ataques.

Datos Adicionales:

  • La popularidad y la demanda han incrementado el costo de los kits de ataques. En el año 2006, WebAttacker, una renombrada herramienta de ataques, se vendía por US$15 dólares en la economía clandestina. En 2010, Zeus 2.0 se anunciaba hasta por US$8,000 dólares.
  • Han surgido servicios secundarios para direccionar a los usuarios a sitios web maliciosos, donde la seguridad de sus computadoras podría comprometerse. Las tácticas usadas incluyen campañas de spam, optimización de buscadores mediante estrategias no éticas, la inyección de códigos en sitios legítimos, y anuncios publicitarios maliciosos.
  • Symantec observó más de 310,000 dominios únicos que resultaron ser maliciosos. En promedio, esto resultó en la detección de más de 4.4 millones de páginas Web maliciosas por mes.
  • De la actividad de amenazas basada en la Web que Symantec detectó durante el período del informe, el 61 por ciento se atribuyó a kits de ataques.
  • Los kits de ataques más predominantes son MPack, Neosploit, ZeuS, Nukesploit P4ck, y Phoenix.
  • Los términos de búsqueda que con mayor frecuencia dieron como resultado sitios maliciosos fueron sitios de entretenimiento para adultos, representando el 44 por ciento de los términos de búsqueda.

Mejores Prácticas para Mitigar Ataques:

  • Las organizaciones y los usuarios finales deben asegurarse de que todo su software esté actualizado con los parches de los fabricantes. Soluciones de administración de activos y parches pueden contribuir a asegurar que los sistemas cumplan con los requisitos e implementen parches en los sistemas que no estén actualizados.
  • Las organizaciones deben crear políticas para limitar el uso del software de búsqueda y de plug-ins de buscadores que no se requieren en la organización. Esto es más que nada una medida prudente para controladores ActiveX, que pueden instalarse sin que los usuarios se enteren.
  • Las organizaciones también pueden beneficiarse al usar soluciones de reputación de sitios web y listas negras de IPs para bloquear todo acceso saliente hacia sitios que alojan kits de ataques y amenazas asociadas.
  • Pueden implementarse sistemas antivirus y de prevención contra intrusos para detectar y prevenir la explotación e instalación de códigos maliciosos.

Más información sobre el reporte de Symantec y su Red Global de Inteligencia en: http://www.symantec.com/la/gin

Seguridad: ¿educar o restringir?

La idea de este blog es compartir criterios de seguridad de la información, y recibir colaboraciones de personas que deseen aportar con el desarrollo de este tema en Ecuador, en esta ocación les dejo un articulo tomado del “Newsletter de Seguridad de Microsft”.

 Seguridad: ¿educar o restringir?

 Cada organización tiene una cultura diferente y cada responsable de sistemas tiene su visión respecto a cómo incrementar los niveles de seguridad. En algunos casos encontramos políticas muy restrictivas del uso de ciertos servicios “públicos” y en otros, esfuerzos incansables por educar a los usuarios en las buenas prácticas de uso tanto del chat, como del correo electrónico o de la libre navegación por Internet. Claro, no sólo influye en la decisión la necesidad de proteger la información y las comunicaciones, sino que también se consideran criterios de productividad. A medida que avanza la integración de recursos informáticos propios de las empresas (in house o bien “on premise”) con servicios en la nube, ya sea pública o privada, se pone en jaque la disyuntiva que aquí planteamos. La respuesta sigue en manos de cada organización, según cuál sea el orden de prioridad de cada uno de los parámetros a evaluar. Mientras tanto, Microsoft sigue trabajando para hacer más seguros servicios como Hotmail y otros de Windows Live (como Skydrive o la integración de Office online), además de brindar más opciones de seguridad en Internet Explorer. En esta edición, mucha información para evaluar y comenzar el 2011, más conectados y a la vez, más protegidos. ¡Seguimos en contacto!

Eduardo Nuñez Parodi 

Gerente de Iniciativas de Seguridad de Microsoft Latinoamérica

100% Protegidos

Está por demás trillada la frase “En seguridad informática nada es 100% seguro”; entonces que es lo que debemos hacer para disminuir esa brecha e intentar acercarnos a un nivel aceptable de seguridad informática, sin que esto signifique degradar el performance (rendimiento)  de nuestros equipos o disminuir la calidad de un determinado servicio debido a la desmesurada implementación de medidas y contramedidas de seguridad que permitan asegurar nuestros activos de información.

Muchas veces nos centramos en asegurar todos nuestros activos de información y olvidamos asegurar lo más importante, el recurso humano y todo lo que ello involucra, cuantas veces la continuidad de una determinada actividad en una empresa se ha visto afectada porque el empleado X o Y “estrella” de la organización se enfermó y no acudió a su lugar de trabajo, que pasaría si el “empleado estrella”, decide de la noche a la mañana renunciar, ¿hemos evaluado el impacto que esto generaría a nuestros negocios?

La idea es asegurar lo verdadermente importante, pero sin llegar a exageraciones como se lo ilustra en las siguientes imágenes:

Un poco de humor reflexivo para refrescar la tarde 🙂

Una buena tarde y noche a todos.

Ecuador adoptará las normas ISO 27000.

Era jueves de la semana pasada, Quito era una ciudad con un tráfico infernalmente estresante y por si fuera poco una vez más no había calculado bien los tiempos, así que¡¡¡ … y pese al dolor de bolsillo que ese día me aquejaba no tuve otra opción que tomar un amarillo (taxi), para que me dirija directamente a mi lugar de trabajo ubicado en pleno centro de Quito.

Cuando un sonido extraño salió de mi chaqueta, había olvidado que ya tenía nuevamente celular, al contestar una voz femenina preguntaba mi ubicación en ese momento, sonó algo así “Hola Gabo.. ya llegas????” … Era mi Jefecita¡¡¡. “Llego en 5 minutos” exclamé, entonces me sugirió que no me diriga a la oficina sino que vaya directamente a las oficinas del INEN, así que¡¡¡…al nuevo destino se ha dicho¡¡¡. Para eso ya había preguntado de que se trataba la reunión, pensé que era una reunión no tan importante, lo confieso, pero debía asistir como delegado de mi Jefa que por X o Y razón no podía estar presente en aquella reunión.

Al llegar no había más de 5 personas en una reunión en donde se esperaban al menos 20 personas, entonces pensé que quizás se trataba de algo sin mayor trascendencia. La reunión se instauró con una formalidad que pocas veces he visto, parecía que en verdad era algo importante, se trataba nada más y nada menos del “5° Taller del Subcomité de TIC’s” el cual estaba encargado de revisar las normas que el país deberá adoptar en lo que a Tecnologías de Información y Comunicación se refiere. Y que pasó con la demás gente convocada acaso estos temas no son importantes para un desarrollo de las TIC’s en el país o es que sencillamente a los convocados no les interesa que Ecuador se desarrolle en este campo. Por suerte el comité fue instaurado.

El presidente del Subcomité anunciaba el orden del día y fue entonces que me preguntaba ¿Ecuador con normas ISO?…. Al fin¡¡¡ Ya era hora de tener en el país estos instrumentos que permitan emplear la tecnología alineada a normas internacionales y mucho mejor si son adoptadas por el país como una norma.

El tema a tratar era, coincidencialmente, las normas que Ecuador adoptará para el adecuado manejo de la Seguridad de la Información, las ISO 27000, las cual el MINTEL se encargó de traducirlas y fueron puestas a consideración de los miembros del Subcomité para su revisión y posterior aprobación por parte del Comité. De la misma manera se analizaron las normas que regirán la “Interoperabilidad” y lo que a “Formatos de archivos digitales” se refiere.

Que bien¡¡¡ Ecuador está por adoptar una serie de normas importantes que serán las que rigen y regulen el uso de las TIC’s en el Ecuador, una responsabilidad que se encuentra en un equipo de trabajo que tiene la tarea de escoger, revisar, discutir, corregir y aprobar normas y reglamentos acordes a nuestra realidad.

Por lo pronto es una realidad que en lo que se refiere a “Seguridad de la Información” la adopción de las normas ISO 27000, es un hecho, se espera sean aprobadas y publicadas en el registro oficial este año.

Cuál debería ser la hoja de ruta que se debería seguir para que estas normas sean aplicables a las empresas e instituciones, ahora el reto es socializarlas y verificar cuan útiles y aplicables a nuestra realidad pueden ser.

Sería bueno tener sus aportes queridos lectores.

Una buena tarde.

A %d blogueros les gusta esto: