Infografía I (Tipo de Hackers)

Anuncios

Links Recomendados de la Semana

Estimados Lectores:

Para finalizar la semana laboral, les dejo con links recomendados de esta semana.

http://blog.segu-info.com.ar/

http://blogs.eset-la.com/laboratorio/

http://www.dragonjar.org

http://www.bsecure.com.mx

http://www.iso27000.es/

Entre Sábado y Domingo si el tiempo lo permite colaboraré con laboratorios técnicos, de lo contrario lo haré los primeros días de la próxima semana.

Participaré de los festejos por el INTI RAYMI (fiesta del sol) en honor al “dios sol”, un ritual ancestral que nuestros pueblos andinos festejan desde hace siglos para celebrar el solsticio de verano; y ojalá pueda alcanzar a publicar en el Blog.

“No todo es trabajo y estudio, el alma también necesita alimento.”

Saludos.

Porqué concientizar además de capacitar.

Imagen tomada de: http://seguridad-informacion.blogspot.com

Conciencia y Capacitación, dos términos que van de la mano, el uno muy pronunciado pero poco practicado y el otro muy practicado pero poco aceptado.

Pienso que no basta solo con tener controles y medidas de seguridad bien implementadas, una de las funciones del Área de Seguridad de la Información es concientizar a quienes conforman la organización, sobre la importancia de manejar adecuadamente la información considerada sensible o confidencial.

Quizás es una de las tareas más complicadas con las que Seguridad de la Información se puede encontrar, llegar al Recurso Humano no solo requiere un “expertise” técnico, requiere un nivel importante de comunicación. Un buen manejo del lenguaje es importante en las campañas de concientización, debemos recordar que comúnmente una organización está conformada por varios perfiles profesionales y la seguridad no solo centra en tecnología; es importante conocer el negocio y poder identificar potenciales riesgos en el manejo de la información que las otras áreas también maneja.

Existen varias técnicas y metodologías para implementar campañas de concientización, lo menos recomendable cuando se inicia estas etapas es mencionar las sanciones que se pueden aplicar si existe un incidente de seguridad de la información. Eso de por sí hace que los colaboradores de la compañía se muestren un poco reacios a este tipo de iniciativas.

Considero que en una primera fase, es bueno es utilizar métodos y herramientas lúdicas que vayan calando en la conciencia de los colaboradores de la empresa.

Una de las principales diferencias que existe con capacitar, es el objetivo; concientizar es explicar el ¿por qué? y el ¿para qué? tener buenas prácticas de seguridad de la información basados en hechos reales. Ya luego la capacitación se encargará del ¿cómo? hacer que nuestra información esté protegida.

Entre el material que se suele emplear para emprender estas campañas dentro de la organización son:

  • Charlas de inducción para personal que recién ingresa.
  • Apoyo con material multimedia.
  • Actividades lúdicas que no afecten el normal desenvolvimiento de los colaboradores, la idea es “aprender jugando”.
  • El empleo de herramientas tecnológicas.
  • Cualquier otra idea innovadora que permita ayudar con la tarea de concienciación.

Un ejemplo de campaña de concientización a implementar podría ser: el buen uso de las contraseñas y el bloqueo de las estaciones de trabajo al ausentarse del puesto de trabajo.

Se debería iniciar con una reunión para indicar la importancia de no facilitar las contraseñas y del porqué deberían dejar bloqueados sus equipos en el caso de ausentarse de sus lugares de trabajo, argumentando problemas de seguridad como accesos no autorizados o acceso a información considerada confidencial.

Luego se pondrían en consideración las reglas del juego, incentivando con algún reconocimiento o mención a quienes menos incumplan dichas políticas, para fases posteriores, a aquellos que más incumplan las políticas definidas se les podría asignar alguna tarea que no necesariamente signifique sancionar, como por ejemplo, que dichos colaboradores dicten alguna charlar sobre el tema en otras áreas.

Estas y otras estrategias dan resultado si tiene un ciclo de vida continua, una revisión constante e indicadores que permitan identificar los resultados de dichas políticas. Todo depende del apoyo que se obtenga de las autoridades y de las herramientas empleadas para cumplir el objetivo, “crear conciencia sobre las amenazas informáticas que vivimos en esta era digital”.

Les comparto un “Paper” de un profesional colombiano que topa el tema de concientización desde varias aristas:

http://www.gigabytesperu.com/trabajos/0204-Concientiza.doc

VI Congreso Iberoamericano de Seguridad Informática

Después de un viaje obligado al Sur del continente, cambié de opinión con respecto a los “viajes de estudio”.

Uno puede elegir entre ir a aprender, pasear o alternar las dos actividades.  Ya sea por placer o por motivos de estudio no está por demás tener presente y considerar asistir al “VI Congreso Iberoamericano de Seguridad Informática” que este 2011, del 2 al 4 de Noviembre, celebra una nueva edición, en el cual se abordarán temas relacionados con la seguridad informática y de la información.

Este año 2011 la sede es Bucaramanga (Colombia) en la Universidad Pontificia y coincide con el “Feriado de Difuntos” que se celebra justamente en esas fechas en Ecuador,  además no está tan lejos. Los motivos para ir pueden ser algunos, aprendizaje, diversión o porque no las dos, en todo caso la invitación está hecha.

En lo personal aún no he decidido si ir o no, después del viaje que me espera en Julio, se me acabaron los permisos en el trabajo y en la casa, con todo sería de evaluar las posibilidades.

Pero dicen que el único riesgo de ir a Colombia es “Que te quieras quedar”. ¿Será verdad?

Más información en: http://www.cibsi.upbbga.edu.co/

Desarrollando las Políticas de Seguridad de la Información

Sin mucho preámbulo y luego de un silencio un tanto obligado les comparto esta experiencia.

Últimamente se me ha encomendado la tarea de desarrollar una Política de Seguridad de Información para la empresa donde trabajo.

La primera disyuntiva con la que me encontré fue definir el nombre que le debía dar al documento, confieso que no fue fácil. Primero pensé en “Políticas de Seguridad Informática” de hecho el primer borrador tuvo ese nombre, pero luego del aporte de varios puntos de vista de diferentes colegas y sobretodo de los intructores, Gabriel Rodríguez (CISSP de ISEC) y de Julio Ardita (CTO de Cybsec) decidí cambiar el título del documento a “Políticas de Seguridad de la Información”

En inicio no entendía muy bien la diferencia, si me preguntaban tiempo atrás, ¿cuál es la diferencia entre “Seguridad Informática” y “Seguridad de la Información”?, de seguro hubiese mencionado que no le encuentro diferencia alguna. Desde el punto de vista personal, por lo investigado y por la experiencia en el desarrollo de esta política podría decir que la principal diferencia entre los dos términos radica en el alcance.

Seguridad Informática, se  desarrolla en torno a la tecnología (hardware, software, etc) y la implementación de controles y contramedidas para proteger estos activos, mientras que; Seguridad de la Información, cubre un espectro más amplio en donde se considera a la información como el activo a proteger, tomando en cuenta toda forma que esta pueda tomar en la organización, lo que puede llegar a implementar medidas de seguridad, tanto al recurso humano para proteger información que posee o conoce y que es considerada de vital importancia para el negocio, como implementar seguridad que contemple la protección de oficinas o áreas consideradas críticas para un buen desenvolvimiento del negocio. Incluso considero que una Política de Seguridad de la Información podría contener elementos de una Política de Seguridad Informática.

Una vez que tuve “más” claros los conceptos, empecé el desarrollo de esta política, alineándola a la realidad empresarial para la cual fue diseñado dicho documento.

Es importante mencionar que hay que enfocar la política de acuerdo al negocio, no es lo mismo desarrollar una política para una empresa que se dedica a comercializar productos farmacéuticos, que desarrollar una política para una entidad pública. También es importante evaluar el nivel de importancia que la Seguridad de la Información tiene en el negocio y sobretodo en la Alta Dirección.

El Ambiente.

El desarrollo de la política fue en base al siguiente escenario (real). La empresa no cuenta con una política de seguridad de la información aprobada y socializada en todos los niveles. Existe un área denominada “Seguridad Informática” que es parte del Departamento de Tecnología la cual ha sido encargada de realizar el documento de Políticas, y el Departamento de Tecnología se encuentra bajo una Subgerencia que reporta a la Alta Dirección.

Existen antecedentes de ocurrencia de incidentes  de la Seguridad de la Información, y todos han sido canalizados al Departamento de Tecnología, los cuales en algunos casos debieron haberse reportado al área de Recursos Humanos.

Con estas premisas procedí a desarrollar la Política de Seguridad para la empresa donde colaboro.

Desarrollando la Política.

La versión preliminar de la Política que fue enviada a la Alta Dirección, considero es una declaración de prohibiciones técnicas y no una Política, lo digo como “mea – culpa” y lo menciono porque fue una lección aprendida. Las Políticas deben ir más allá de declarar prohibiciones, deben dar las directrices y lineamientos a seguir en lo que ha seguridad de la información se refiere.

Considerando que el factor humano es preponderante, crítico y que puede determinar el fracaso o éxito de este tipo de políticas, procedí a tomar como referencia el documento http://www.arcert.gov.ar/politica/PSI_Modelo-v1_200507.pdf, que presenta un modelo de “Política de Seguridad de la Información” para las entidades de gobiernos en Argentina y que puede resultar muy aplicable a nuestra realidad. Dicho documento hace mucho énfasis en las Políticas que se deben aplicar tomando en cuenta el factor humano.

El documento está basado en lo que la ISO 27000 recomienda en cuanto al desarrollo de una Política de Seguridad de la Información, uno de los puntos que pienso falta reforzar en el documento guía, es lo que se refiere a Concientización de Usuarios. Por lo demás considero es un modelo muy completo y que como referencia sirve de mucha ayuda.

Tomando en cuenta lo antes mencionado, enfoqué el documento considerando siguientes aspectos:

  • Organización de la Seguridad

Orientado a administrar la seguridad de la información y establecer un marco gerencial para controlar su implementación. Principalmente se promueve la Creación del Comité de Seguridad de la Información en toda la empresa.

  • Seguridad del Personal

Orientado a reducir los riesgos de error humano, comisión de ilícitos o uso inadecuado de instalaciones.

  • Gestión de las Comunicaciones y las Operaciones

Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.

  • Control de Acceso

Orientado a controlar el acceso lógico a la información.

Es importante recalcar que el documento solo es el punto de partida, y que hay que complementarlo con otros documentos que describan normas y procedimientos que permitan cumplir lo que reza el Documento de Políticas de Seguridad de la Información. En estas normas y procedimientos es donde se puede mencionar de manera adecuada lo que está o no permitido. Tratando en lo posible de aplicarlo con la regla del “menor privilegio”.

Luego viene la parte administrativa y el trabajo para crear conciencia en la Alta Gerencia para que le dé al Documento la importancia debida, lo que permitirá implementar dichos lineamientos y directrices en toda pero absolutamente toda la organización.

“TODOS” pero “TODOS” los colaboradores de la empresa sin excepción alguna deben ajustarse a lo que reza la política, lamentablemente esto no se cumple, el éxito de la implementación de estas políticas se lo puede lograr con campañas de concientización y controles bien definidos.

Quienes tienden a oponerse a cumplir con la Política son Mandos Operativos, Mandos Medios y hasta la misma Alta Gerencia, si esto sucede y  es recurrente pese haber hecho y agotado todas las posibilidades de posicionamiento de las Políticas de Seguridad de la Información, es señal de que este tema no es de importancia para la empresa, en este caso y como un criterio muy personal, lo que Yo haría es, entregar un informe con los riesgos que implica no tener implementado lo que la Política sugiere y dar un paso al costado. La política debe estar orientada y ser aplicable para TODOS y nadie debe por ninguna excepción incumplirla, incluso las excepciones deben estar descritas en dicho documento.

Factores Críticos de éxito.

Para que la Política de Seguridad y la función de Seguridad de Información tengan el éxito debido, considero deben tomarse en cuenta las siguientes consideraciones:

  • Apoyo y auspicio de la Alta Gerencia.
  • Roles y responsabilidades bien definidos.
  • Conformación de Comité de Seguridad de la Información integrado por todas las áreas involucradas de negocio.
  • Comunicación adecuada.
  • Seguridad de la Información debería ser parte de un Departamento influyente en la empresa, puede ser Auditoría Interna o la unidad de Riesgos, es considerado una mala práctica ubicarlo en Tecnología, si bien es lo más común es lo menos recomendable. “No se puede ser Juez y Parte”.
  • Concientización y Capacitación adecuada.
  • Normas y Procedimientos bien definidos y alineadas con la Política.

Suena complicado pero para quienes sentimos pasión por el tema es realizable,  si no se lo puede implementar por alguna razón no hay que desmotivarse, si las políticas son lógicas y coherentes, estás siempre tendrán acogida en uno u otro lugar.

Por último puedo decir que, todo lo mencionado en esta artículo es desde el punto de vista personal y experimental, por ningún motivo quiero dar a entender que así son como se deben hacer las cosas, pueden existir mejores alternativas; la idea es compartir mi punto de vista y experiencia para poder recibir la retroalimentación de quienes leen y siguen este blog. No soy un gurú o experto del tema, soy alguien que le apasiona el tema y que recurre al intercambio de conocimiento para poder aportar.

Sus comentarios, sugerencias, correcciones, quejas, etc, etc, sean siempre bienvenidas.

Nuevas amenzas en la red. ¿Cómo mitigarlas?

Esta ves y para cerrar la semana les dejo con un artículo publicado por “Playmarketing”, una investigación muy interesante de Symantec para tener en cuenta, un buen fin de semana a tod@s.

Symantec anunció los hallazgos de su Reporte sobre Kits de Herramientas de Ataques y Sitios Web Maliciosos. El estudio revela que los kits o conjuntos de herramientas ataques se han vuelto más accesibles y relativamente más fáciles de usar, por lo que éstos se están empleando cada vez con mayor frecuencia. Esta situación también ha generado que criminales tradicionales, quienes de otra forma hubiesen carecido de los conocimientos técnicos, se incorporen al cibercrimen, fortaleciendo así a una economía global cada vez más organizada, rentable y auto-sustentable.

Los kits de herramientas para realizar ataques, mejor conocidos como “toolkits” por su nombre en inglés, son programas de software que pueden usarse tanto por novatos como por expertos para facilitar el lanzamiento y distribución de ataques a computadoras en red. Estos kits permiten que el atacante fácilmente lance numerosas amenazas pre-escritas hacia los sistemas computacionales y también ofrecen la capacidad de personalizar las amenazas para evitar la detección y de automatizar el proceso de ataque.

Antes los hackers tenían que crear sus propias amenazas desde cero. Este complejo proceso limitaba el número de atacantes a un grupo reducido de cibercriminales con grandes habilidades y altamente calificados. Hoy, los kits de ataques han hecho que lanzar un ciberataque sea relativamente fácil incluso para un novato malintencionado. Como resultado, esperamos ver más actividad criminal en esta área y probabilidades más altas de que el usuario promedio se convierta en una de sus víctimas, señaló Stephen Trilling, Vicepresidente Senior, Symantec Security Technology and Response.

Los Kits de Ataques Controlan el Entorno

La relativa facilidad y la efectividad de los kits de ataques ha contribuido a que éstos sean cada vez más utilizados por los ciberdelincuentes y ahora estos kits son usados en la mayoría de los ataques maliciosos en Internet. Por ejemplo, uno de los kits más populares, llamado Zeus, representa una amenaza seria para las pequeñas empresas pues el principal objetivo de Zeus es robar información de cuentas bancarias y, desafortunadamente, las pequeñas empresas suelen tener poca protección en sus transacciones financieras, lo que las vuelve el blanco principal para Zeus.

La rentabilidad de los ataques de código malicioso utilizando Zeus fue evidente en septiembre de 2010, cuando se arrestó un grupo de cibercriminales quienes alegaron usar un botnet Zeus para el robo de más de US$70 millones de dólares en transacciones bancarias en línea y cuentas de compra/venta a lo largo de 18 meses.

A medida que los ciberataques se han vuelto más rentables, los kits de ataques se hicieron cada vez más populares. Esto llevó a la creación de herramientas cada vez más robustas y sofisticadas que ahora se venden en un modelo de venta por suscripción que otorga actualizaciones periódicas, componentes que extienden capacidades y servicios de soporte. Los cibercriminales comúnmente anuncian servicios de instalación, ofrecen alquileres de acceso limitado a las consolas de herramientas y usan herramientas comerciales anti-piratería para prevenir que los atacantes las usen sin pagar.

Proliferación Rápida de Ataques

La velocidad a la cual las nuevas vulnerabilidades y sus exploits se propagan en el mundo ha incrementado debido a las innovaciones que los desarrolladores de kits de ataques han integrado a sus productos. Los kits de ataques son ahora fáciles de actualizar, lo cual permite a los desarrolladores agregar rápidamente códigos para explotar nuevas vulnerabilidades. Como resultado algunos exploits se encuentren disponibles sólo días después de que la vulnerabilidad asociada se hace pública. Los atacantes que pueden fácilmente actualizar sus kits de ataques con exploits recientes pueden dirigirlas hacia víctimas potenciales antes de que apliquen los parches de seguridad necesarios.

Dado que los kits de ataques se están volviendo más fáciles de usar, el cibercrimen ya no está limitado a quienes tienen habilidades avanzadas de programación. Sus participantes ahora se conforman de una variedad de individuos con habilidades informáticas y de otros con conocimiento en actividades criminales tradicionales como el lavado de dinero. Symantec espera que a medida que este último grupo, en creciente desarrollo y de mayor tamaño que el anterior, se incorpore a actividades en el ciberespacio, se observará un aumento en el número de ataques.

Datos Adicionales:

  • La popularidad y la demanda han incrementado el costo de los kits de ataques. En el año 2006, WebAttacker, una renombrada herramienta de ataques, se vendía por US$15 dólares en la economía clandestina. En 2010, Zeus 2.0 se anunciaba hasta por US$8,000 dólares.
  • Han surgido servicios secundarios para direccionar a los usuarios a sitios web maliciosos, donde la seguridad de sus computadoras podría comprometerse. Las tácticas usadas incluyen campañas de spam, optimización de buscadores mediante estrategias no éticas, la inyección de códigos en sitios legítimos, y anuncios publicitarios maliciosos.
  • Symantec observó más de 310,000 dominios únicos que resultaron ser maliciosos. En promedio, esto resultó en la detección de más de 4.4 millones de páginas Web maliciosas por mes.
  • De la actividad de amenazas basada en la Web que Symantec detectó durante el período del informe, el 61 por ciento se atribuyó a kits de ataques.
  • Los kits de ataques más predominantes son MPack, Neosploit, ZeuS, Nukesploit P4ck, y Phoenix.
  • Los términos de búsqueda que con mayor frecuencia dieron como resultado sitios maliciosos fueron sitios de entretenimiento para adultos, representando el 44 por ciento de los términos de búsqueda.

Mejores Prácticas para Mitigar Ataques:

  • Las organizaciones y los usuarios finales deben asegurarse de que todo su software esté actualizado con los parches de los fabricantes. Soluciones de administración de activos y parches pueden contribuir a asegurar que los sistemas cumplan con los requisitos e implementen parches en los sistemas que no estén actualizados.
  • Las organizaciones deben crear políticas para limitar el uso del software de búsqueda y de plug-ins de buscadores que no se requieren en la organización. Esto es más que nada una medida prudente para controladores ActiveX, que pueden instalarse sin que los usuarios se enteren.
  • Las organizaciones también pueden beneficiarse al usar soluciones de reputación de sitios web y listas negras de IPs para bloquear todo acceso saliente hacia sitios que alojan kits de ataques y amenazas asociadas.
  • Pueden implementarse sistemas antivirus y de prevención contra intrusos para detectar y prevenir la explotación e instalación de códigos maliciosos.

Más información sobre el reporte de Symantec y su Red Global de Inteligencia en: http://www.symantec.com/la/gin

A %d blogueros les gusta esto: