Porque son necesarias las políticas de seguridad?

La planeación y administración de sistemas de seguridad son el lado humano de la seguridad electrónica. Inclusive en el más confiable sistema, la seguridad no es automática. Los administradores necesitan una guía escrita que especifique que pasos seguir y que procedimientos ejecutar para cumplir con los requerimientos planeados de seguridad. Los ataques con éxito a sistemas confiables son recurrentes, vulnerabilidades son descubiertas en todos los sistemas operativos, y los atacantes se encuentran dentro o fuera de las organizaciones. Si existe algo seguro en el cambiante mundo de la seguridad, no lo encontraremos en lo que el software o hardware puedan hacer por nosotros, sino en lo que hacemos por nosotros mismos. El primer paso en mantener los niveles de seguridad es desarrollar políticas de seguridad para nuestras organizaciones, y después promulgarlas y velar por su cumplimiento, lo cual tiene que realizarse de manera transversal a toda la Organización.

Asumiendo que estamos en una Organización que tiene una estructura de seguridad en la que se cuenta jerárquicamente con un Gerente y un Administrador de Seguridad (Donde no haya estos cargos se deben aclarar roles y responsabilidades entre las opciones disponibles), los administradores de seguridad cumplen con las políticas en términos de detección y protección, la Gerencia debe suscribir la política, y los usuarios cumplirla, siendo supervisados por el Líder de Seguridad quien detectara y sancionara a los infractores por su incumplimiento.

Por ejemplo, la política de seguridad de una Organización estipula que se requiere la realización periódica de backups, pero finalmente es el Administrador quien ejecuta esos backups. Una vez que los Administradores entrenan a los usuarios para copiar sus archivos a servidores o discos duros protegidos, el Gerente de Seguridad lidiara con los incumplimientos. De manera similar, los Administradores deben entrenar a los usuarios para que eviten escribir sus contraseñas y pegadas quizás debajo de su teclado, pero el Gerente de Seguridad tiene que sancionar a los infractores de dicha política.

El área mas critica de todas las capas de seguridad es unificar la respuesta a incidentes una vez que ocurre una violación de seguridad. Decisiones sobre la conservación de evidencias, notificación a las autoridades (cuales de ellas?), y que acción tomar tuvieron que ser analizadas antes de que se presentara cualquier falla. Todas estas acciones tuvieron que ser escritas y distribuidas a todo el personal que pueda afectar la ocurrencia de ese incidente.

La política de seguridad es un documento viviente que debe ser revisado y actualizado periódicamente. El entrenamiento de usuarios, contraseñas de administrador, sistema de backups para información crítica, programación de firewalls y sistemas de detección de intrusos, evaluación de logs, etc se encuentran dentro de las múltiples formas de traducir el contenido de una política en hechos reales y palpables por el Administrador de Seguridad.

La seguridad en una organización disminuye cuando se incumplen las políticas de seguridad. Administrativamente esto significa que la Gerencia debe crear y mantener la demanda de acciones que deben ser realizadas de acuerdo a ciertas normas y niveles. Esto requiere de la categorización y priorización de riesgos, así como una evaluación del costo de la infraestructura a proteger con respecto al costo de su protección.

Las políticas de seguridad requieren de procedimientos. Estos procedimientos deben incluir la realización de auditorias periódicas, así como la implementación de reglas de separación de funciones. Para asegurarse de que las personas conozcan claramente como ejecutar procedimientos de seguridad, debe realizarse un muy buen entrenamiento. Para asegurarse de que los empleados realmente cumplen con las políticas, se requiere de supervisión y llamados de atención por parte del Gerente de Seguridad, quien es el que inicialmente estableció las políticas de seguridad.

Top 10 de Sugerencias para seguridad al usar un Computador

Siendo tan frecuentes las noticias del incremento de fraudes online, saben Uds la principal razón de ese crecimiento? Aunque parezca mentira, es por que la gran mayoría de usuarios de PC no se protege adecuadamente.

1. Es un hecho que el 75% de los usuarios no tienen su antivirus actualizado a la fecha, software que revisa el PC buscando software malicioso, y cuando encuentra alguno, decide si tenerlo en cuarentena o eliminarlo. Hay inclusive antivirus que escanean las páginas que Uds visitan y detectan ataques de phishing. La oferta en el mercado de antivirus es tan amplia, que inclusive existe un gran catalogo de aplicaciones gratuitas.
2. Todos los usuarios de Internet necesitan un firewall para protegerse. Este es un software que previene ataques externos a su computador, ya sea en casa o en su puesto de trabajo, y que funciona en su PC en segundo plano. Básicamente su función es bloquear los puertos de nuestros computadores que son las puertas que usan los hackers para acceder a los computadores de sus victimas. Al igual que con los antivirus, existen muchos firewalls disponibles en el mercado.
3. Tiene el Sistema Operativo de su PC (Ej: Windows, Linux, Leopard) todas las actualizaciones disponibles hasta la fecha? Cuando realizo la ultima actualización? la respuesta de la gran mayoría de personas es “Nunca”. La principal razón por la que las empresas desarrolladoras de software como Microsoft o Mac realizan estas actualizaciones es para mejorar la seguridad de sus Sistemas Operativos, por este motivo es necesario aplicar las actualizaciones cuando estén disponibles. La mejor recomendación en este caso es activar la actualización automática de actualizaciones, así el PC descargara e instalara por si solo todas las actualizaciones que se vayan liberando para su Sistema Operativo. Aquí es importantísimo aclarar que estas actualizaciones están solamente disponibles para equipos cuyo software haya sido adquirido legalmente.
4. Las páginas de ataques de Phishing son páginas creadas para verse idénticas a las de un banco, o sitios de transacciones en línea como por ejemplo, PAYPAL. Lo mas probable es que todos nosotros alguna vez hayamos recibido un email de nuestro banco informándonos que hubo un riesgo de seguridad y que es necesario loguearnos para cambiar la clave o cualquier otra situación similar. El email viene de una vez con un link supuestamente al banco, pero conduce a una página falsa en la que ingenuamente podremos dar nuestro usuario y contraseña, completándose así el ataque por parte de estos delincuentes quienes harán uso de estos datos en la pagina real del banco y desocuparan la cuenta bancaria de la victima de turno. Como verificar la autenticidad de una pagina de un banco? Todas las paginas legales tienen un logo en forma de candado que se puede ver en la barra de navegación de cualquier navegador (Internet Explorer, Firefox, Safari, etc), el cual indica que la pagina es una pagina autentica y que no representa ningún riesgo para las personas que la utilicen. En cualquier caso de duda, contactar con el banco es quizás la solución mas acertada.
5. Si se ve en la obligación de utilizar un PC de un sitio publico, revíselo detalladamente con el fin de detectar posibles keyloggers que estén instalados en dicho aparato. Un Keylogger puede ser un software o un aparato diminuto que graba todas y cada una de las teclas que Ud utilice cuando usa ese computador, por lo que si ud accede a su banco, este Keylogger grabara su usuario y contraseña para la persona que lo haya instalado, quien solo tendrá que descargar la información grabada y podrá desocupar su cuenta bancaria con un par de clicks. Como ya mencione, pueden existir keyloggers en forma de aparatos diminutos, por lo que si el teclado del PC antes de estar conectado al PC como tal esta conectado a un aparato extraño, puede ser uno de estos indeseables aparatos. Adicionalmente, cuando utilice un equipo publico, siempre salga de las paginas con los links que allí se encuentren pues cerrar la ventana en algunos casos es insuficiente, y nunca guarde passwords en un equipo publico, Nunca!!!
6. Asegúrese de que las conexiones WiFi publicas son en verdad publicas!!! Verifique siempre que no es otro PC actuando como puerta de acceso a la red, pues de ser asi U destara entregando toda la información que utilice a ese PC, por lo que mientras Ud puede estar enviando emails, la persona dueña de ese PC puede estar haciendo compras online o transferencias desde su cuenta.
7. Evite compartir juegos, pues este es el medio favorito de transmisión de muchísimos virus de computador a computador. Siempre revise con un antivirus todos los CDs y Vds. Que introduzca en su PC.
8. No deje que cualquier desconocido introduzca una USB en su PC, pues tan pronto lo haga un virus puede contagiar su PC (aun sin la intención de infectarlo), pudiendo extraer información de su PC, o inclusive enviarla por email posteriormente.
9. La seguridad física en casa y en el trabajo es esencial para prevenir que su PC y la información allí almacenada caiga en manos equivocadas. Los PCs de escritorio tienen una estructura metálica cuyo diseño evita el recalentamiento, y además contribuye a su seguridad permitiendo que sean atornillados a los puestos de trabajo o paredes para evitar que sean extraídos de las instalaciones.
10. Para los equipos portátiles, siempre procure utilizar una guaya de seguridad asegurando el equipo a un mueble más grande con lo cual evitara también que su equipo e información caigan en manos equivocadas.

Siguiendo una a una estas recomendaciones, lo más probable es que Ud descubra cuales son sus riesgos y pueda minimizar el riesgo de que estos se materialicen.

Aumentan en 36% los reportes de incidentes de seguridad (IBM)

Acaba de ser publicado el informe 2010 X-Force Mid-Year Trend and Risk Report realizado por IBM, el cual revela como cifra mas relevante el incremento del 36% en incidentes de seguridad reportados. Veamos brevemente que mas incluye dicho informe:

Informe del Primer Semestre del 2010

El Grupo X-Force analizo 4.396 vulnerabilidades nuevas durante este semestre, un incremento del 36% comparado con el año anterior, siendo también la cifra mas alta desde el año 2000, año en el que se empezaron a guardar estos registros.

En el 2007, el conteo evidencio su primer descenso, pero en 2008 nuevamente las cifras se elevaron alcanzando un nuevo record. Las cifras del 2009 hacían pensar que se había alcanzado cierta estabilidad, el incremento dramático del primer semestre de este año demuestra que no fue así. Ahora parece que el 2009 fue una pausa en la serie de incrementos anuales de eventos de seguridad. De continuar la tendencia de este primer semestre, el 2010 traerá un nuevo record de incidentes de seguridad. 

 El equipo de investigación y desarrollo IBM X-Force® descubre, analiza, monitorea y registra un amplio rango de riesgos y vulnerabilidades en seguridad. De acuerdo al Grupo IBM X-Force, han surgido nuevas amenazas en este 2010, y el propósito de este informe es que las mismas sean tenidas en cuenta al momento de realizar nuevos esfuerzos en seguridad para el resto del año.

Aprovechamiento de vulnerabilidades

• Amenazas con mayor grado de sofisticación: Una de las mayores preocupaciones del Grupo X-Force es su habilidad para penetrar redes muy bien defendidas sin importar que tantos avances se sigan desarrollando en seguridad. Las mayores preocupaciones están con los ataques por ofuscación o los malwares encubiertos que no son detectados por los sistemas de seguridad actuales.
• Ofuscación, Ofuscación, y Ofuscación — Los atacantes continúan encontrando nuevas formas de camuflarse vía JavaScript y ofuscación de PDFs. La Ofuscación es una técnica utilizada tanto por desarrolladores de software como por atacantes para ocultar o enmascarar el código que utilizan para desarrollar sus aplicaciones. Seria muy fácil que los protocolos de seguridad de redes bloquearan cualquier Script de java que este ofuscado, pero desafortunadamente la ofuscación es utilizada por algunos sitios de manera legitima como un intento para prevenir que sus códigos sean robados. Precisamente estos sitios son los que aprovechan los atacantes como cubierta para realizar sus ataques.
• Ataques por PDF Estos ataques continúan incrementándose pues se siguen desarrollando maneras alternativas de realizarlos. Los archivos de extensión PDF son victima de ataques debido a que pueden ser utilizados como puntos de acceso a las redes de una Compañía.
• Las vulnerabilidades reportadas están en su punto mas alto: el año 2010 ha visto como se ha incrementado el volumen de reportes de incidentes de seguridad, debido a que ya se hacen públicos mas casos, y también a los esfuerzos realizados por industrias de seguridad para identificar y mitigar vulnerabilidades de seguridad.
• Las vulnerabilidades de aplicaciones web alcanzaron un 55%, mas de la mitad de todos los reportes de seguridad en el primer semestre del 2010.

El informe lo pueden descargar gratuitamente de ESTE LINK

Recomendaciones contra los riesgos del uso de Memorias USB

Las memorias USB, dispositivos de alta capacidad de almacenamiento que han sido como una bendición para todos los usuarios de un PC,  son también el elemento mas peligroso jamás creado para perjudicar cualquier organización. Actualmente, la seguridad de la información y la confidencialidad es de gran interés a nivel gubernamental y privado, sectores en los que una memoria USB se convierte en la herramienta preferida para el espionaje corporativo para extraer con facilidad información confidencial de una Organización.

Dentro de las amenazas que se ven con mayor frecuencia por el uso de estos dispositivos esta la transmisión de virus, principalmente por que la gran mayoría de antivirus falla al detectar virus en estas memorias, o en defender apropiadamente el PC al cual se conectan permitiendo así que los virus se propaguen rápidamente por ejemplo en una pequeña red domestica o inclusive, en una corporativa. Precisamente a nivel empresarial, las memorias USB de los empleados contienen virus, vídeos, juegos de PC, MP3 e inclusive pornografía que han descargado en sus estaciones de trabajo, lo cual viola en muchísimos casos los reglamentos de trabajo.

Aun con esta cruda realidad, restringir el uso de estos dispositivos resulta prácticamente imposible: son cada vez mas pequeñas lo que permite llevarlas consigo sin ser detectados, y su precio esta bajando día tras día, pero aun así es posible tomar algunas medidas para tratar con este serio inconveniente. Veamos algunas de ellas:

Educar los usuarios:
Ya que resulta imposible evitar que los empleados adquieran estos dispositivos, los cuales indudablemente resultan imprescindibles para muchísimos trabajadores, es necesario entonces que la Gerencia establezca reglas claras sobre la información que puede ser sacada de la Organización. Aquí la situación varia con el tipo de Organización, pues habrá algunas en las que por motivos de la información que manejen sea imposible extraer tal información, mientras que otras Organizaciones pueden permitir a sus empleados manipular tal información sin mayores problemas. Este tema se puede manejar desde el momento de firmar un contrato laboral entre la Organización y el empleado, en donde se expliquen las políticas de seguridad existente, y si esta acompañado de un acuerdo o cláusula de confidencialidad, mucho mejor.

Restricción de puertos USB
En algunos ambientes corporativos, los puertos USB de todas las estaciones de trabajo se encuentran deshabilitados para prevenir el uso de dispositivos de almacenamiento por personas ajenas a la Compañía. Este bloqueo se puede hacer mediante software, permitiendo inclusive restringir el acceso a otros dispositivos plug & play o un DVD-Burner.

Políticas rigurosas de antivirus
Los encargados de sistemas deben configurar los antivirus para que SIEMPRE que se detecte la conexión de un dispositivo de almacenamiento, se escanee de manera automática. Todos los usuarios deben entrenarse en escanear cada archivo antes de utilizarlo.

Bloqueo de las estaciones de trabajo
En muchas Compañías se convirtió en una obligación configurar los equipos para que sus pantallas se bloqueen automáticamente si no están en uso al cabo de unos pocos minutos., sin embargo el uso indebido de un dispositivo externo sigue siendo una posibilidad aun cuando el equipo se encuentre bloqueado. El intervalo de tiempo puede ser ajustado en ambientes con mayores riesgos involucrados. En estaciones de trabajo con acceso a información confidencial, este bloqueo del monitor puede reducir muchísimo el riesgo de descargas de información a dispositivos de información no autorizados.

Por difícil que pueda parecer, es posible trabajar en una Compañía sin el uso de una memoria USB pero seamos realistas, quien quiere hacerlo? Bajo este escenario, la adopción de algunas de las recomendaciones previas puede reducir el riesgo del mal uso de estos dispositivos.

Encuesta Anual de Seguridad Deloitte 2010

Acaba de ser publicada la Encuesta Anual de Seguridad de la Información de Deloitte 2010 Global Financial Services Security Survey de la cual extraigo el Prefacio:

La nueva década marca un punto de inflexión en la industria de seguridad de la información. Vivimos en una época de guerra cibernética y el entorno es peligroso y siniestro. Los niños que hacían "travesuras" en sus sótanos fueron reemplazadas por la delincuencia organizada, los gobiernos y los individuos cometen fraudes informáticos a tiempo completo, ya sea para obtener beneficios económicos o para lograr ventajas competitivas y tecnológicas. Los países se acusan mutuamente de guerra cibernética. Cualquier red de tamaño considerable se ha visto comprometida de alguna manera y los gobiernos ya se centran en la guerra cibernética. Las apuestas nunca han sido mayores y la batalla se está librando en todos los rincones del mundo. Está todo allí: botnets, redes zombie, troyanos, malware, spam, phishing; muchos de ella tan sofisticados, que la mayoría de nosotros podría ser engañado.

Hablamos mucho acerca de la creciente sofisticación de las amenazas. Ahora tenemos algo más a lo cual hacerle frente: la disminución del nivel de conocimientos que supone una amenaza. Considere la posibilidad de Mariposa, el botnet que se originó en España e infectó millones de computadoras. Los autores tenían "conocimientos limitados de informática" y no necesitaron escribir su propio malware sino que simplemente lo descargaron de Internet. La nueva realidad es una creciente disponibilidad de herramientas en Internet, que permite a aquellos con menos conocimientos técnicos convertirse, en ciberdelincuentes.

Las respuestas obtenidas para el estudio realizado para este año demuestran que hemos llegado a un punto de inflexión en la seguridad de la información:

Por primera vez, las organizaciones son proactivas, adoptando nuevas tecnologías de manera temprana y no tardía como antes, dejando de lado su rol simplemente reactivo.

• Por primera vez, el porcentaje más bajo de los encuestados (36%) afirmó que "la falta de suficiente presupuesto", es el principal obstáculo para garantizar la seguridad de la información, comparado con el 56% el año pasado. Durante la peor crisis económica en la historia reciente cuando muchos presupuestos se están recortando, los presupuestos asignados a la seguridad de información están asegurados y muchos han aumentado.
• Por primera vez, el cumplimiento de seguridad de la información, y la mejora de resultados obtenidos en auditorias de seguridad es una iniciativa de las mas altas dentro de la seguridad, lo que permite a las organizaciones prepararse nuevas y mayores exigencias reglamentarias o legales.
• Por primera vez, más de la mitad de las organizaciones afirman que la información física, como el papel, está dentro del alcance del ejecutivo responsable de seguridad de la información. Esta respuesta (59%) sigue siendo demasiado baja - e indica un riesgo de seguridad - pero, en nuestra opinión, se está moviendo en la dirección correcta.

Esta es la séptima versión de la encuesta: resolver las preguntas de esta encuesta implican tiempo y esfuerzo por ocupados profesionales quienes dedicaron parte de su valioso tiempo para responderla (Yo entre ellos).

Ahora, que dice esta Encuesta sobre Latinoamérica? Veamos:

Latinoamérica & El Caribe (En ingles bajo el acrónimo LACRO)
Latinoamérica ha tenido un impresionante avance duramente el anterior año, colocándose a la delantera en muchas áreas. Sin embargo, han caído en áreas que lideraban el año previo. En esta región como en el resto del mundo, la mayoría de respuestas mostraron que el encargado de seguridad de la información reporta directamente el Gerente de la Compañía. Latinoamérica se encuentra cerca (54%) del promedio mundial (60%) en tener documentada y aprobada la estrategia de seguridad, lo cual es una sorpresa por que la región lideraba este campo el año pasado. Adicionalmente, la calificación obtenida del 48% por falta de compromiso y presupuesto, es segunda después de Japón y mucho mas baja que el promedio global del 62%. Latinoamérica se ubica entre los menores puntajes de alineación entre objetivos de negocio y seguridad de la información, lo cual es consistente con la falta de compromiso y presupuesto asignado.

Al igual que en Asia, la privacidad no es una prioridad en Latinoamérica, lo cual no es una sorpresa, debido casi a la inexistencia de Leyes de privacidad en la región, sumado a la cultura de "brazos abiertos" (recuerdan la ingeniería social?); de hecho la región tiene el peor índice de responsables de seguridad de la información (30% versos el 53% de promedio mundial), así como el de contar con una adecuada gestión de la privacidad de su información (24% versus el 50% de promedio mundial).

Latinoamérica también se encuentra entre los puntajes mas bajos de encriptación de información de equipos móviles (12% versus el 44% de promedio mundial), así como en mantener una base de datos de incidentes de seguridad de la información (43% versus el 54% de promedio mundial). Claramente, sin contar con una base de datos de incidentes de seguridad, resulta imposible contar con información útil desde el punto de vista de seguridad de la información.

Un punto brillante es que los encuestados de Latinoamérica (64%) indican que sus presupuestos seguridad de la información han aumentado. Esto es más alto que el promedio mundial de 56% y más alto que al menos otras tres regiones. Así, mientras que los encuestados en Latinoamérica superan solo a el Japón en la sensación de que no tienen compromiso y financiación, parece que hay un esfuerzo para corregir este problema a través de mayores presupuestos.

Que podemos interpretar de estos resultados? Veamos:

• Muy preocupante la falta de leyes especificas de seguridad de la información en toda la región.
• Falta de compromiso: la seguridad sigue siendo catalogada por prácticamente todos los empleados de cualquier empresa como responsabilidad de los vigilantes, del Circuito cerrado, de la tarjeta de acceso; se necesita un fuerte cambio cultural que anticipo no será visto en nuestro País por lo menos en una década, cuando el tema de privacidad, de seguridad de la información, de fortalecimiento de leyes, etc sea de amplio conocimiento publico.
• La cultura de "brazos abiertos" facilita muchísimo la acción de los delincuentes, hecho que se confirma por ejemplo con las múltiples noticias de tarjetas de crédito clonadas de prácticamente todas las entidades bancarias del País, esta región de momento es el paraíso para los "Ingenieros Sociales"
• Encriptación en dispositivos móviles: Cuantos de Uds. encriptan apropiadamente la información que tienen en los portátiles que les asignan en sus empleos? Cuantos de Uds. que cuentan con "teléfonos inteligentes" usan las herramientas de encriptación de datos con las que cuentan dichos aparatos?
• Interesante el crecimiento reportado en asignación de presupuestos, lo cual se traduce a largo plazo en el cambio cultural que mencione previamente, y claro esta en una mejora  en las calificaciones para las próximas encuestas de seguridad que se desarrollen en la región.

Para finalizar la entrada, los dejo con el link para descargar este informe: (Material disponible solamente en idioma ingles)

Amenazas por redes sociales

Colombia ha visto como las redes sociales han crecido de manera explosiva, convirtiéndose en un País clave en el avance de las redes sociales en América Latina siendo estas utilizadas mayoritariamente de forma positiva, como el caso del robo frustrado en Bogotá al usar Twitter pero Desafortunadamente este crecimiento ha tenido sus lunares con eventos tan lamentables como un asesinato que tuvo como origen facebook, o la amenaza a los hijos del ex-presidente Uribe (burla seria un calificativo mas preciso para este caso.)

La noticia del día  en diferentes medios como RCN, EL ESPECTADOR o a nivel internacional con la Agencia EFE es que las amenazas por redes sociales son muchísimo mas habituales de lo que nosotros escuchamos o se publica en las noticias.

Como eventualmente los links pueden perderse, transcribo aquí la noticia:

  

EL ESPECTADOR:

Amenazas por redes sociales afectan al menos a 70 personas

El director de la Policía, general Oscar Naranjo señaló que un grupo especial de la unidad de Delitos Informáticos de la Dijin está dirigiendo una investigación en los departamentos de Cundinamarca, Antioquia, Nariño y Putumayo, donde se registran las principales denuncias.

"Hemos detectado que en la última cerca de 60 a 70 personas que con nombre propio han sido amenazadas a través de este sistema", puntualizó el alto oficial al precisar que las autoridades no descartan que las Banda Emergentes estén detrás de esta nueva modalidad de intimidación.

El comandante de la Policía señaló que se espera en los próximos días determinar los responsables de estas conductas "que muchas veces comienza como una broma macabra y culminan con resultados lamentables como la muerte de civiles".

Así mismo, hizo un llamado a los colombianos que hacen parte de las redes sociales para que esta movilización no derive en conductas que vulneren los derechos de otros ciudadanos.

"La ofensiva contra bandas emergentes avanza de manera diaria y permanente, el número estimado de capturas semanales varía entre 70 y 100 copias, la verdad es que todos los miembros de la fuerza pública desde marzo de 2006 que terminó el proceso de desmovilización hasta la fecha las autoridades hemos capturado 9400 integrantes de estas organizaciones criminales"., dijo Naranjo.

El pronunciamiento de la Policía se produce luego de que en Puerto Asis, (Putumayo) fueran asesinadas tres personas que días antes habían recibido amenazas por Facebook.

Vanguardia Liberal

Crean grupo para investigar amenazas por redes sociales

Un grupo especial de la Unidad de Delitos Informáticos de la Dijin está investigando las denuncias de amenazas realizadas a cerca de 70 personas en los departamentos de Cundinamarca, Antioquia, Nariño y Putumayo, así lo informó el director de la Policía Nacional, general Óscar Naranjo.

El comandante de la Policía señaló que "han detectado amenazas con nombre propio a cerca de 60 a 70 personas", en las que podrían estar involucrados miembros de las denominadas bandas emergentes.

La Policía espera en los próximos días dar con el paradero de los responsables de los hostigamientos que si bien a veces empiezan como crueles bromas pueden terminar en muerte.

Naranjo informó que en Arbeláez, Cundinamarca, y Puerto Asis, Putumayo, donde fueron asesinados tres personas que habían sido amenazadas por Facebook, se desarrollaron consejos de seguridad para tomar medidas especiales.

Idealmente ninguno de nosotros debería recibir ningún tipo de amenaza, pero  tal y como estan las cosas actualmente, lo mínimo que puedo hacer es ofrecerles  recomendaciones básicas para tratar de proteger su información personal al utilizar las redes sociales:

• Antes de incluir su información en un sitio de redes sociales, piense y evalue las diferentes opciones de seguridad que estas ofrecen.
• Es necesario controlar la información que se coloque en una red social restringiendo el acceso a dicha página.
• No revelar nombre completo, número de Seguro Social, domicilio, número de teléfono ni información sobre los números de las cuentas bancarias o de tarjeta de crédito.
• Colocar en línea solamente la información que se desee que sea vista y conocida por otros.
• Control sobre la lista de contactos: hay que configurar la privacidad de la red social de acuerdo a la información que compartes en ella. Al agregar un nuevo usuario a tu red usuario, configura la privacidad de acuerdo a lo que quieres compartir con dicha persona.

Siendo en este momento facebook la red social mas ampliamente difundida y utilizada por todo tipo de personas, les recomiendo tomarse su tiempo ajustando las configuraciones de seguridad que salieron publicadas en EL TIEMPO en este link.

Para finalizar, no esta demas recomendarles las entradas previas sobre Ingeniería Social que ya existen en este blog para tratar de prevenir ser víctima de una amenaza por información que se haya podido filtrar por culpa nuestra en las redes sociales que utilizamos.

Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio

Como pudieron darse cuenta, las dos últimas entradas fueron sobre ITIL y CobiT respectivamente. Que relación tienen CobiT, ITIL e ISO 27000? La experiencia demuestra que resulta algo complicado implementar un SGSI sin tocar aunque sea tangencialmente a Cobit o ITIL por la gestión de la información que exista en una Organización. Así las cosas, Ud. puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusión de indicadores de ITIL, o midiendo el estado de maduración de su SGSI a través de CobiT. Para cerrar este ciclo de CobiT, ITIL e ISO 27000, observemos brevemente que nos ofrece cada una de ellas:

CobiT
Marco de referencia para objetivos de control sobre la información y recursos tecnológicos asociados. Cobit fue creado por ISACA  (Information System Control Standard) la cual es una organización sin ánimo de lucro enfocada en el Gobierno y control de IT. La función principal de CobiT es ayudar a las Organizaciones a mapear sus procesos de acuerdo a las mejores prácticas recopiladas por ISACA. Cobit usualmente es implementado por compañías que realizan auditorías de sistemas de información, ya sea relacionadas con la auditoría financiera o auditoría de TI en general.

ITIL
Marco de referencia para Infraestructura de Tecnologías de Información. ITIL fue creado por la OGC (Office of Government Commerce), y es un marco de referencia para gestionar los diferentes niveles de servicios IT. Aunque ITIL es similar a CobiT en muchos aspectos, CobiT se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT.

ISO 27000
Estándar enfocado exclusivamente en la seguridad, lo cual le hace muy diferente a los estándares manejados por CobiT o ITIL. Esta diferencia hace que la ISO 27000 tenga un alcance menor pero más profundo en el tema obviamente de seguridad comparándole con ITIL o CobiT

A continuación, una tabla de comparación de estos tres modelos:

Bien, por que entonces el titulo de esta entrada es Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio? Existe un excelente texto desarrollado por ITGI y OGC titulado Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio del negocio (ó de la empresa, dependiendo si miran la portada o el encabezado de todas las paginas del libro), que mediante un mapeo realizado a traves de tablas nos permite ver al implementar un control de ISO 27002, que estamos cumpliendo en ITIL y CobiT o en cualquier sentido: desde CobiT ,  ITIL ó ISO 27002 podemos verificar que cumplimos en cualquiera de los otros dos modelos.

Veamos el prefacio de este titulo:

Cada empresa necesita ajustar la utilización de estándares y prácticas a sus requerimientos individuales. En este sentido, los tres estándares/prácticas cubiertos en esta guía pueden desempeñar un papel muy útil, COBIT® e ISO/IEC 27002 para ayudar a definir lo que debería hacerse, e ITIL proporciona el cómo para los aspectos de la gestión de servicios.

La creciente adopción de mejores prácticas de TI se explica porque la industria de TI requiere mejorar la administración de la calidad y la confiabilidad de TI en los negocios y para responder a un creciente número de requerimientos regulatorios y contractuales. Sin embargo, existe el peligro de que las implementaciones de estas mejores prácticas, potencialmente útiles, puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas. 

Para ser más efectivos, las mejores prácticas deberían ser aplicadas en el contexto del negocio, enfocándose donde su utilización proporcione el mayor beneficio a la organización. La alta dirección, los gerentes, auditores, oficiales de cumplimiento y directores de TI, deberían trabajar en armonía para estar seguros que las mejores prácticas conduzcan a servicios de TI económicos y bien controlados.

Este libro que inicialmente fue lanzado en idioma ingles, ahora ya se encuentra disponible en español en este link: Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit  Espero que aprovechen este texto, ya que para mi fue una herramienta muy valiosa al momento de afrontar mi primera auditoría externa del SGSI. 

Que es ITIL?

Como ya mencione en la entrada anterior, un par de temas que se asocian frecuentemente con los Sistemas de Gestión de Seguridad de la Información son Cobit e ITIL. Por tal razón, hoy hablare de ITIL.

Que es ITIL? Su nombre viene de Information Technology Infrastructure Library (‘Biblioteca de Infraestructura de Tecnologías de Información’), frecuentemente abreviado como ITIL, el cual es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI. Aquí ya se ve entonces la relación inicial entre CobiT, ITIL y el Sistema de Gestión de Seguridad de la Información: cada uno de ellos es un marco de referencia que esta relacionado con IT.

Las Organizaciones actualmente dependen de IT para alcanzar sus objetivos, y cumplir con su promesa de valor a sus clientes. Para que esto ocurra de manera organizada, responsable y repetitiva, la Organización debe asegurarse de contar con servicios IT de alta calidad que le brinde:

• Alineación con las necesidades de la Organización y requerimientos de los usuarios.
• Cumplimiento de requisitos legales y reglamentarios
• Monitoreo y mejora continua de la Gestión de Servicios IT, la cual debe incluir planeación, suministros, diseño, implementación, operación, soporte y mejoramiento de los servicios IT que sean apropiados para las necesidades del negocio.

ITIL proporciona un marco de referencia consistente y coherente de mejores prácticas para la Gestión de Servicios IT y procesos conexos, promoviendo un enfoque de alta calidad para lograr altos estándares de efectividad en la Gestión IT. El rol de este marco de referencia es describir aproximaciones, funciones, roles y procesos sobre los cuales las organizaciones pueden basarse para establecer sus propias practicas.

El papel de ITIL es proporcionar una orientación en el nivel más bajo que seria de aplicación general. Por debajo de ese nivel, y para implementar ITIL en una organización, se requieren conocimientos específicos de los procesos de negocio tal organización para alinearse con ITIL y así obtener una efectividad optima.

Actualmente dentro del universo ISO, encontramos que existe una norma que rige el tema ITIL, que es la ISO 20000:2005, la cual es una especificación formal, con la cual las organizaciones pueden demostrar cumplimiento certificándose en dicha Norma.

ITIL soporta el cumplimiento del la ISO 20000 con su guia de buenas practicas, con lo cual se asegura y demuestra que los requisitos de la norma estan siendo cumplidos. De manera similar, los procesos de ITIL pueden ser utilizados igualmente para demostrar cumplimiento con los requisitos de control de CobiT

El marco de referencia de ITIL tiene como núcleos centrales cinco volúmenes, siendo estos:

1. Estrategia del Servicio
2. Diseño del Servicio
3. Transición del Servicio
4. Operación del Servicio
5. Mejora Continua del Servicio.

Para ITIL existe un esquema de certificación que ofrece un amplio rango de certificaciones para personas, desde aquellas que quieren familiarizarse con el tema hasta aquellas que quieren manejarlo profesionalmente. En Colombia existen ya numerosas instituciones que brindan esta certificación, y ya es frecuente encontrar convocatorias de empleo de personas que posean tal certificación, así que la recomendación obvia para todos Ustedes es obtener dicha certificación.

Qué es COBIT?

Un par de temas que se asocian frecuentemente con los Sistemas de Gestión de Seguridad de la Información son Cobit e ITIL. Por esta razón, voy a realizar una entrada independiente para cada uno de ellos, iniciando con Cobit.

Que es Cobit? Su sigla en ingles se refiere a Control Objectives for Information and Related Technology y es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992.

Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan. Cobit permite entender como dirigir y gestionar el uso de tales sistemas así como establecer un codigo de buenas practicas a ser utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT.

Veamos que ventajas ofrece Cobit:

• Cobit es un marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria. Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas.
• Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales.
• Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversión que necesita ser adecuadamente gestionada.
• Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida, así como también proporcionándoles métodos para asegurarse que IT entregara los beneficios esperados.

La diferencia entre compañías que gestionan adecuadamente sus recursos IT y las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas prácticas para la gestión de IT. Su marco de referencia permite gestionar los riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.

Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de gestión, su implementación es un indicativo de la seriedad de una organización. Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las demás compañías. Así como existen procesos genéricos de muchos tipos de negocios, existen estándares y buenas practicas específicos para IT que deben seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa tales estándares y entrega un marco de referencia para su implementación y gestión.

Una vez se identifican e implementan los principios relevantes de Cobit para una compañía, se obtiene plena confianza en que todos los recursos de sistemas estan siendo gestionados efectivamente.

Que resultados se obtienen al implementar Cobit? Veamos:

• El ciclo de vida de costos de IT será mas transparente y predecible.
• IT entregara información de mayor calidad y en menor tiempo.
• IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán mas exitosos.
• Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser mas fácilmente monitoreada.
• Todos los riesgos asociados a IT serán gestionados con mayor efectividad.
• El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión.

El marco de referencia Cobit en su versión 4 (a Julio de 2010), incluye lo siguiente:

• Marco de referencia: explica como Cobit organiza la Gestión de IT, los objetivos de control y buenas practicas del negocio por dominios y procesos de IT, relacionándolos directamente con los requerimientos del negocio. Este marco de referencia contiene un total de 34 niveles de objetivos de control, uno por cada proceso de IT, agrupados en cuatro dominios: Planeamiento y Organización, Adquisición e Implementación, Desarrollo y Soporte y Monitoreo y Evaluación (Que tal la coincidencia con el ciclo PHVA de las Normas ISO?)
• Descripción de procesos: Incluida para cada uno de los 34 procesos de IT, cubriendo todas las áreas y responsabilidades de IT de principio a fin.
• Objetivos de Control: Suministra objetivos de gestión basados en las mejores prácticas para los procesos de IT.
• Directrices de Gestión: Incluye herramientas para ayudar a asignar responsabilidades y medir desempeños.
• Modelos de madurez: proporciona perfiles de los procesos de IT describiendo para cada uno de ellos un estados actual y uno futuro.

Cobit 5:
Programado para salir en el 2011, Cobit 5 consolidara los marcos de referencia de Cobit 4.1, Val IT 2.0 (inversiones en TI) y riesgos en IT, aprovechando también el modelo de negocio de Seguridad de la Información (IMC) y ITAF.

Fuente: COBIT - IT Governance Framework

Gestión de Riesgos: ISO 31000

En esta entrada voy a hablarles sobre la Norma de gestión del riesgos ISO 31000:2009 que reemplaza a la norma australiana de riesgo AS/NZS 4360:2004.

La norma internacional ISO 31000:2009, de gestión de riesgos - Principios y directrices, ayudará a las organizaciones de todos los tipos y tamaños de gestión de riesgos efectiva. Establece los principios, el marco y un proceso para la gestión de cualquier tipo de riesgo en una forma transparente, sistemática y fiable en cualquier ámbito o contexto. Al mismo tiempo, la ISO publica la Guía ISO 73:2009, el vocabulario de gestión de riesgos, que complementa la norma ISO 31000, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo. Kevin W. Knight AM, Presidente del grupo de trabajo ISO que ha desarrollado el estándar explica: "Todas las organizaciones, no importa cuán grande o pequeño, frente a factores internos y externos que generan incertidumbre sobre si serán capaces de alcanzar sus objetivos. El efecto de esta incertidumbre es el «riesgo» y es inherente a todas las actividades. "

"De hecho-continuó-" se puede argumentar que la crisis financiera mundial como resultado del fracaso de las juntas y de gestión ejecutiva para gestionar eficazmente los riesgos. La ISO 31000 se espera que ayude a la industria y el comercio, públicos y privados, con confianza salir de la crisis ". La norma recomienda que las organizaciones desarrollar, aplicar y mejorar continuamente un marco de gestión del riesgo como un componente integral de su sistema de gestión.

"ISO 31000 es un documento práctico que pretende ayudar a las organizaciones en el desarrollo de su propio enfoque de la gestión del riesgo. Pero esto no es un estándar que las organizaciones pueden solicitar la certificación al. Mediante la aplicación de la norma ISO 31000, las organizaciones pueden comparar sus prácticas de gestión de riesgo con un punto de referencia reconocido internacionalmente, establecen los principios racionales para la ordenación eficaz. La Guía ISO 73 más se asegurará de que todas las organizaciones están en la misma página cuando se habla de riesgo ", dijo Knight.

ISO 31000 está diseñado para ayudar a las organizaciones a:

• Incrementar la posibilidad de alcanzar los objetivos trazados.
• Fomentar una gestión proactiva
• Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización
• Mejorar la identificación de las oportunidades y amenazas
• Cumplir con las exigencias legales y reglamentarias y las normas internacionales
• Mejorar los informes financieros
• Mejorar la gobernabilidad
• Mejorar la confianza de los inversionistas
• Establecer una base confiable para la toma de decisiones y la planificación de resultados
• Mejorar los controles
• Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
• Mejorar la eficacia y eficiencia operativa
• Mejorar la salud y de seguridad, así como la protección del medio ambiente
• Mejorar la prevención de pérdidas y de manejo de incidentes
• Reducir al mínimo las pérdidas
• Mejorar el aprendizaje organizacional
• Mejorar la capacidad de resistencia de la organización.

ISO 31000 y la Guía ISO 73 puede aplicarse a cualquier entidad pública, privada o empresa de la comunidad, asociación, grupo o individuo. Los documentos serán de utilidad para:

• Los responsables de la aplicación de la gestión del riesgo dentro de sus organizaciones
• Aquellas personas que necesitan para garantizar que una organización gestiona el riesgo
• Aquellos que necesitan para evaluar una organización de las prácticas en la gestión de riesgo
• Los desarrolladores de los estándares, guías de procedimientos y códigos de prácticas relativos a la gestión del riesgo.

Tomado de ISO - News - New ISO standard for effective management of risk

Como defenderse de la Ingeniería Social?

Esta es la segunda entrega sobre la Ingeniería Social, y en la primera se le definió como la manipulación de la tendencia humana a confiar en los demás con el propósito de obtener información que otorgue el acceso a información valiosa.

Por donde empezar? Definición de Políticas de Seguridad

Los ataques de ingeniería social pueden tener dos aspectos diferentes: el físico o el sitio donde se realiza el ataque, como los puestos de trabajo, en línea, al atender el teléfono, el Dumpster diving o búsqueda en la basura, la suplantación, y la amistad; así que para combatir la ingeniería social hay que fortalecer ambas debilidades, teniendo como uno de sus mayores componentes el entrenamiento a los empleados. La base de una buena defensa esta cimentada en la correcta definición de unas políticas y procedimientos de seguridad El error mas común de las organizaciones es planear únicamente como defenderse en el sitio de trabajo, lo cual deja abierta una brecha enorme que aprovechan los atacantes con la ingeniería social. Así las cosas, para empezar hay que entender desde la Gerencia o Dirección de la Organización que todo el dinero que se invierta en parches de seguridad, hardware de seguridad, auditorias, etc, serán una pérdida de dinero sino se acompaña de las mencionadas políticas y procedimientos de seguridad para proteger a la Organización. Una de las ventajas de establecer políticas de seguridad es eliminar responsabilidades de los usuarios para eventualmente atender una solicitud de un atacante. Si la acción solicitada por el atacante esta prohibida dentro de una política, el empleado no tiene alternativa diferente a ignorar tal solicitud.

Políticas adecuadas pueden ser generales o especificas, pero es ideal manejar un término medio, dando una flexibilidad para un adecuado desempeño de las actividades pero aun asi, buscando evitar que los empleados se relajen con las prácticas de seguridad que deben ejecutar diariamente. Las políticas de seguridad deben involucrar controles de acceso a la información, creación de cuentas de usuario, permisos de acceso, y cambios de contraseñas entre otras. Puertas aseguradas, utilización de carnets de la empresa y un destructor de papeles (inclusive de CDs y DVDs) tienen que ser implementados y utilizados. Cualquier violación que se presente de las políticas debe ser estudiada, publicada y eliminada.

Previniendo vulnerabilidades de Seguridad Física

En teoría la seguridad física debería impedir cualquier fuga de información, pero tratando de cumplir con dicho cometido, hay que tomar precauciones adicionales. Toda persona que ingrese a las instalaciones debe portar en un lugar visible su carnet de funcionario o de visitante SIN EXCEPCIONES. Todos los documentos que contengan información sensible deben ser almacenados bajo llave, y sus llaves deben ser también almacenadas en lugares seguros. Los documentos que contengan información sensible y que deban ser desechados deben ser procesados en una trituradora de papel. Todos los medios de almacenamiento digital que se vayan a desechar deben ser desechados quizás contratando una empresa que los destruya (claro esta, suscribiendo un acuerdo de confidencialidad). Las canecas de basura deben mantenerse bajo llave en aéreas que estén monitoreadas por los servicios de seguridad con que cuente la Organización.

Hablando sobre los equipos dentro de la Organización (incluyendo equipos remotos) necesitan estar protegidos con salvapantallas protegidos con contraseñas (Futura entrada del blog), y no esta de mas contar con programas de encriptación de datos para una teórica máxima protección.

Teléfonos y Conmutadores

Una estafa común es hacer llamadas a través de los teléfonos o conmutadores (PBX) de una organización. Los atacantes pueden realizar una llamada haciéndose pasar por un funcionario, pedir que sea transferido a una línea externa y desde esta hacer llamadas a todo el mundo las cuales tendrá que pagar la Organización que fue víctima del engaño. Esto puede ser prevenido con la implementación de políticas que prohíban la transferencia de llamadas, restringiendo las llamadas de larga distancia y rastreando llamadas sospechosas. Si se llega a recibir una llamada de una persona argumentando ser empleado de la empresa de teléfonos y que además solicita algún password para obtener acceso a la red de la Organización, CUIDADO, está mintiendo!!! Todos los empleados deben ser informados de esta modalidad de estafa para evitar ser víctimas de esta táctica.

Como se menciono en la entrada previa de Ingeniería Social, los Help Desk son las presas favoritas de los atacantes principalmente por que su trabajo es divulgar información de utilidad para los usuarios. La mejor manera de proteger un Help Desk es el entrenamiento. Los empleados de un Help Desk siempre deben rechazar cualquier solicitud de entregar un password por teléfono o email, únicamente en persona a las personas autorizadas. La devolución de llamadas, el uso de tokens de seguridad y el uso de passwords son recomendaciones que incrementaran los niveles de seguridad. Cuando se presenten dudas, a los empleados de los Help desk se les alienta a pedir apoyo, o también a decir simplemente "no".


Entrenar, Entrenar y Re-entrenar

La importancia de entrenar a los empleados no solo recae en el Help Desk sino en toda la organización. Los empleados tienen que ser entrenados en como identificar información que se deba considerar como confidencial, y entender por completo sus responsabilidades para protegerla. Una organización para ser exitosa debe involucrar la seguridad en todos los puestos de trabajo que genere. Todos los empleados de la Organización deben entender por que es crucial clasificar la información como confidencial, como esto beneficia a la Organización, y les da sentido de responsabilidad en la seguridad de la organización.

Todos los empleados deben ser entrenados en cómo mantener la información segura. Hay que involucrarlos en el alcance de la política de seguridad. Se debe exigir que todos los empleados nuevos asistan a una capacitación en seguridad. Actualizaciones anuales refrescan conocimientos y suministran actualizaciones en temas de seguridad. Otra manera de involucrar a los empleados es mediante la realización de boletines mensuales con reportes de los incidentes de seguridad que se puedan presentar, que hayan ocurrido o que se hayan evitado. Esto mantiene a los empleados informados sobre los peligros que representa bajar la guardia en la gestión de la seguridad. Una mezcla ideal de entrenamiento combina la realización de videos, boletines, afiches, señales, fondos de pantalla, pad mouse, emails, calcomanias e inclusive camisetas; pero hay algo importante al respecto: todo esto debe ser cambiado con cierta regularidad o de lo contrario dejara de tener valor para los empleados.

Detectar ataques de Ingeniería Social

Para frustrar un ataque de Ingeniería Social, es muy útil poder reconocer uno de ellos. Síntomas de que se está potencialmente siendo víctima de uno de estos ataques es rehusarse a dar información de contacto, pedir ser atendidos con la mayor rapidez posible, mencionar el nombre de algún funcionario de alto rango dentro de la organización, intimidación, pequeños errores de ortografía, preguntas inapropiadas, y claro está, pedir información confidencial. Hay que estar atento a situaciones que estén fuera de lugar, hay que intentar pensar como el atacante: para entender al enemigo, hay que pensar como el.

Las organizaciones pueden ayudar a incrementar la seguridad realizando programas de prevención, utilizando medios como la intranet para enviar emails informativos, juegos de entrenamiento en seguridad (sopa de letras, crucigramas, etc) y requerimientos obligatorios de cambios de contraseñas cada cierto periodo de tiempo. El mayor riesgo en seguridad es que los empleados se vuelvan complacientes en el tema y dejen de lado las prácticas de seguridad.

Defenderse de ataques de Ingeniería Social

En el evento de que un empleado detecte algo extraño, el o ella necesitara conocer los procedimientos para reportar el incidente. Es necesario que exista una persona que se responsabilice por la gestión de tales incidentes, por ejemplo un Oficial de Seguridad de la Información si la Organización cuenta con uno de ellos. También es importante que el empleado que detecte la situación la comunique a todos los demás empleados que tengan sus mismas funciones pues también podrían ser víctimas de ese ataque. De alli en adelante, el encargado de la seguridad de la información coordinara la respuesta adecuada al incidente detectado.

A continuación, un listado de los ataques más comunes y algunas estrategias para prevenirlos:

• Al teléfono: Suplantación de Identidad, para impedirla hay que entrenar a los empleados para que nunca entreguen información confidencial por teléfono.
• Acceso a las instalaciones: Acceso no autorizado, para prevenirlo hay que disponer de un equipo de vigilantes mezclado con entrenamiento en seguridad para todos los empleados
• En la oficina: Shoulder surfing, Se evita teniendo precaución al escribir usuarios y/o contraseñas cuando alguien este observando, o si hay que hacerlo, que sea muy rápido!!!
• En los Help Desk: Suplantación de identidad, para minimizar este riesgo hay que asignarle a cada empleado un PIN o token de seguridad que pueda utilizarse para comprobar la identidad de la persona que llama.
• En las instalaciones de la oficina: Visitantes sin acompañamiento de ningún funcionario, para evitar problemas se debe exigir acompañamiento en todo momento a los visitantes cuando estén en las instalaciones de la Organización.
• Centros de Cómputo: Intentos de acceso, de extraer equipos o de ingresar elementos que puedan capturar información confidencial. Se recomienda contar con un centro de cómputo bajo llave permanentemente, de preferencia con controles de acceso biométricos, y tener un inventario actualizado de todos los equipos que se encuentren allí almacenados.
• Canecas de basura: Se debe tener la basura en cuartos con llave, monitoreadas por las fuerzas de seguridad de la organización, se debe contar con trituradoras de papel, y de procedimientos de borrado de información adecuados.
• Intranet/Internet: Inserción de keyloggers para obtener nombres de usuario y contraseñas, para evitarlo hay que hacer rutinas de mantenimiento de las redes, así como dar entrenamientos a los empleados en la creación de contraseñas.

Prevención Realista

Como es de suponer, la prevención real es una tarea de enormes proporciones, y una gran cantidad de organizaciones no disponen de los recursos humanos o financieros para poseer todas las medidas de control mencionadas previamente. La amenaza es real, así que lo más recomendable es aprovechar los recursos con los que se cuente, manteniendo la moral alta y un buen ambiente de trabajo sin sacrificar la seguridad. Cambiando levemente las reglas del juego, los intrusos no podrán cumplir con su cometido.

Google fue hallado culpable de violar datos privados con aplicación de mapas en Australia

El gigante de internet Google ha sido encontrado culpable de violar las leyes de privacidad en Australia.

El Comisionado de privacidad investigo a Google por utilizar vehículos para mejorar su Google maps para recolectar información privada de las redes inalámbricas que iban detectando durante su recorrido. Lo increíble del asunto es que esta practica ya ha sido detectada en mas de 30 paises (ver LINK), por lo cual el Ministro de Comunicaciones de Australia no dudo en llamarle la violación de seguridad mas grande de la historia.

Afortunadamente para Google (y tristemente para todas las víctimas), la empresa puede escapar sin castigo alguno, pues no hay estipulada sanción alguna por romper las leyes de privacidad Australianas (las habran redactado con ayuda del Congreso de Colombia?). Sin embargo, existe una investigación federal paralela que de prosperar podria generarle a los empleados de Google multas o inclusive el encarcelamiento.

Vehículos utilizados por Google, los cuales después de todos estos antecedentes espero nunca ver en Colombia!!!

Control de Acceso: Una mujer estuvo tres meses haciéndose pasar por Cabo del Ejército

La idea de este blog es hablar de seguridad de información en Colombia, y en este caso vamos a hablar de una situación que a todas luces es un riesgo de seguridad enorme presentado en las Fuerzas Armadas de Colombia.

El día de hoy fui sorprendido en las noticias por TV al ver la noticia de una mujer que infiltro y vivio en un batallón del Ejercito por 3 meses, lo cual se encuentra tangencialmente relacionado con la entrada de Familiarizándonos con la Ingeniería Social pero nunca imagine que el Ejercito Colombiano pudiera ser víctima de una situación tan bochornosa como esta. Como ya mencione, la noticia fue difundida en TV, radio y medios impresos, y aquí comparto con Ustedes algunos de ellos.

Semana: Una mujer estuvo tres meses haciéndose pasar por Cabo del Ejército

Una joven bogotana de 19 años estuvo durante tres meses haciéndose pasar por Cabo del Ejército en el Batallón de Artillería General Fernando Landazabal Reyes. La mujer, de nombre Adriana Cantor Ávila, aseguró que simplemente quería cumplir su sueño, el de pertenecer a las Fuerzas Militares.

Ella, ahora podría pagar hasta cuatro años de cárcel por los delitos de simulación de investidura y uso indebido de uniforme e insignias de las fuerzas militares. El abogado de la joven, Girdardo Acosta afirmó que el caso se generó por falta de control del Ejército y que si estuvo infiltrada en el Ejército, no fue con fines terroristas.

Radio Santafe: Aseguran a falsa uniformada que vivió tres meses en guarnición militar

Hasta cuatro años de cárcel podría enfrentar una mujer que haciendose pasar por cabo del Ejército vivió tres meses en una guarnición militar al occidente de Bogotá.

La mujer de 19 años de edad, identificada como Adriana Marcela Cantor Ávila, al parecer no tuvo ningún motivo de indole terrorista, según el abogado defensor de la jóven, cometió el ilícito por su aspiración de pertenecer a las Fuerzas Militares.

Por el hecho, la Fiscalía le imputó a Cantor Tovar los delitos de uso indebido de uniforme e insignias de las Fuerzas Militares y simulación de investidura.

El defensor alegó que este caso se genera a raíz de la falta de control por parte del Ejército.

Caracol: Una mujer se infiltró tres meses en el Ejército colombiano

Adriana Marcela Cantor Ávila, una joven de 19 años de edad, estudiante de criminalística, estuvo 3 meses infiltrada en el Ejército, no con fines terroristas sino para hacer realidad su sueño de pertenecer a las Fuerzas Militares.

Por este hecho, Cantor Ávila podría pagar 4 años de cárcel por los delitos de uso indebido de uniforme e insignias de las Fuerzas Militares y simulación de investidura. El abogado Gildardo Acosta dijo que la joven, que se hacía pasar por cabo del Ejército en el Batallón de Artillería General Fernando Landazabal Reyes, fue descubierta en mayo del año pasado.

El defensor dijo que este caso se genera a raíz de la falta de control por parte del Ejército.La audiencia de lectura de fallo fue aplazada hasta tanto el Ejército presente el incidente de reparación.

EL TIEMPO: Una estudiante de criminalística en Bogotá estuvo 90 días disfrazada de militar en un batallón

La joven logró infiltrarse después de que le fuera negada su entrada a la Fuerza Pública. Durante 90 días, Catalina Marcela Cantor Ávila logró permanecer, disfrazada de militar, en el Batallón de Artillería Fernando Landazábal Reyes.

Luego de negársele la entrada a la Fuerza Pública, la estudiante -según ella- compró un uniforme de uso privativo, le inscribió su apellido y sin tener la menor instrucción militar, se presentó como cabo.

El relato de la joven, a la que le aplazaron la condena este jueves en los juzgados de Paloquemao, también señala que ingresó a la unidad militar sin problemas y sin necesidad de presentar documentos de identidad. Al entrar, le fueron asignadas labores de oficina.

El día iniciaba con ejercicios físicos, propios de un suboficial legítimo; tenía cuenta de crédito en el casino para comer y pasaba las noches al lado de sus compañeros de habitación, sin generar sospechas.

Según Cantor, en su casa suponían que la habían aceptado en el curso de suboficial, y en el Batallón, creían que ella era una militar activa. Sin embargo, en mayo de ese año las directivas del Ejército decidieron iniciar unas pesquisas y se sorprendieron al enterarse que la cabo Cantor, que nunca cobró un salario, no era más que una estudiante que los había engañado durante meses.

Según su abogado defensor, Gildardo Acosta, el interés de ella nunca fue infiltrarse a nombre de algún grupo ilegal. "Lo que ella estaba haciendo era satisfaciendo un anhelo de su corazón de tener un uniforme puesto", expresó. Y agregó que "hubo falta de control en el Ejército, ya que ella ingresó y no le hicieron ninguna prueba".

La joven fue afectada con medida de aseguramiento por el uso indebido de uniforme e insignias y simulación de investidura. Cantor Ávila, desde que fue descubierta el año pasado, aceptó los cargos. A través de su abogado, aseguró que "no estaba consciente de que con sus acciones hubiera burlado la autoridad militar".

Como pueden ver, en todos los medios la noticia es prácticamente igual, y adolecen exactamente de lo mismo: no incluyen como descubrieron a esta mujer, a excepción de la nota de EL TIEMPO (publicada un día después), en donde dice que fue descubierta el año pasado, y hasta Julio es publica la noticia? Sea como sea, dicha situación abre las puertas a muchas dudas sobre si realmente no era una infiltrada de un grupo armado, que información pudo sustraer, con quien la compartió, etc, etc. y esta anécdota se convierte quizas en el ridículo mas grande de la historia para las fuerzas armadas de nuestro País ver que el batallón mas importante de inteligencia haya sido vulnerado de forma tan efectiva y por tres meses!!

Las contraseñas (Passwords) no deben ser una debilidad en la Seguridad de la Información

El crecimiento de la red mundial de internet (World Wide Web) han abierto una multitud de oportunidades de negocio nunca antes vista. Los computadores y las redes de comunicación globales han traído nuevos vendedores, nuevos clientes y nuevos mercados en nuevas y beneficiosas formas. Pero así como han llegado muchos beneficios, también han llegado nuevos problemas. Las nuevas estafas y crímenes no han sido creadas por los avances tecnológicos que estamos presenciando pero si han dado nuevas herramientas a los criminales para cometer sus fechorías. La diferencia radica en que ahora estos criminales tienen alcance mundial, estando ahora la responsabilidad de las Organizaciones de proteger la información de sus clientes por encima de cualquier otro objetivo.

Es recurrente encontrar personas culpando a los computadores por los robos de información, usualmente no es culpa del PC pero si de la forma en que sus usuarios lo utilizan. Su falta de preocupación sobre la seguridad de la información que manejan le abre la puerta de sus casas y/o empresas a los criminales. Después de todo, si no aseguramos las puertas de nuestra casa y la roban, vamos a culpar al arquitecto que la diseño por haberle colocado una puerta? En un ambiente corporativo, la culpa de estos hechos casi siempre es de los empleados o de los administradores de redes y/o sistemas quienes no hacen bien su trabajo.

Cerca del 70% de las pérdidas de datos de las Organizaciones puede ser atribuido a gente dentro de la compañía. Empleados que utilizan contraseñas débiles o que cometen el absurdo error de dejarlo escrito a la vista de los demás o debajo del teclado abren las puertas de la información de la compañía a cualquier extraño. Ya es una costumbre generalizada encontrar nombres de usuario y contraseñas pegados a los monitores, CPUs, tableros, etc o dentro del mismo PC en un archivo de word sin encriptar o proteger llamado "contraseñas". Hay que tener presente que si se llegara a ser victima de una intrusión con un usuario y password legitimo, será prácticamente imposible para IT atrapar al verdadero responsable.

Una pobre gestion de contraseñas en una Organización de parte de sus empleados puede darle completo acceso a los criminales a toda la información sensible que se posea. El Grupo de Sistemas o IT tiene como función reducir el riesgo de accesos no autorizados a sus bases de datos implementando políticas de seguridad. Además de estas políticas, se puede contar con estas seis reglas básicas de manejo de contraseñas:

• Longitud: Las contraseñas deben tener como mínimo 8 caracteres de extensión, siendo entre mas largo mejor.
• Aleatoriedad: Una contraseña debe ser difícil de adivinar. Utilicen combinaciones de números y letras, palabras, fechas, etc.
• Complejidad: Utilicen una mezcla de números y letras, signos de puntuación, y mayúsculas y minúsculas en sus contraseñas.
• Exclusividad: Utilice una contraseña por cada uno de las cuentas que utilice.
• Actualización: Las contraseñas deben ser cambiadas cada 2 o 3 meses
• Gestión: Nunca deje que alguien conozca sus contraseñas, y NUNCA la escriba en ningún sitio.

Precisamente por la aplicación o no de estas recomendaciones es que se dan los conflictos entre El Grupo de Sistemas o IT y los demas empleados de la Organización. Mientras en sistemas se esfuerzan en establecer medidas de control mas complejas, los empleados desarrollan hábitos cuestionables de seguridad para facilitar su acceso a la información que manejan.

Hay alguna forma de evitar este conflicto y sus posibles consecuencias? Una forma de evitar tal conflicto es adoptar la gestión de contraseñas con un "token" de seguridad, sistema que incluye los siguientes beneficios:

Seguridad:
Tarjetas inteligentes de seguridad que se bloquean después de un numero predeterminado de accesos fallidos.
Las contraseñas nunca serán almacenadas en los computadores, por lo que los hackers no pueden obtenerlas.
Las contraseñas pueden tener hasta 20 caracteres de longitud, pudiendo utilizarse todas las teclas y combinaciones posibles del teclado.
Cada página web, aplicación y/o archivo puede (y debe) tener una contraseña única de acceso.
Como las contraseñas nunca son digitadas, un keylogger no puede grabarla.
La tarjeta puede ser encriptado, pudiéndose acceder a ella solo con el mismo software que la encripto.

Ventajas:
El manejo de estas tarjetas puede aceptar accesos a diferentes cuentas, archivos aplicaciones y redes.
Las tarjetas pueden iniciar un navegador web, llevar a la pagina de acceso y hacer la autenticación con un simple doble click.
Los usuarios no tienen que recordar o escribir sus contraseñas.
Los usuarios siempre tendrán consigo sus contraseñas.
Estas tarjetas pueden llevarse en la billetera o inclusive utilizarse como medio de identificación para los empleados.
Las contraseñas nunca serán escritas o almacenadas donde puedan ser encontradas por un atacante.
Estas tarjetas pueden almacenar información de más de 100 cuentas diferentes.

Portabilidad:
Las contraseñas podrán utilizarse por los usuarios en cualquier estación de trabajo donde sea utilizada.
La tarjeta puede ser utilizada en la oficina o en casa o cualquier otra ubicación remota.
Son ideales para empleados que trabajan remotamente pero que necesitan un acceso seguro a la red de la compañía.
Es claro que se necesita mas de una contraseña para hacer una red segura, pero con el uso de tokens de seguridad las contraseñas dejaran de ser el eslabón mas débil en el esquema de seguridad de la Organización.
Los tokens de seguridad han sido desarrollados por compañías de seguridad con un amplio abanico de servicios.
Las compañías pueden evaluar su uso desde el punto de vista de conveniencia, utilización, la cantidad de cambios a ser implementados en su infraestructura, facilidad de instalación, y claro, su costo.

Aquí concluyo haciendo la claridad de que ninguna medida que se tome brindara seguridad total, pero un adecuado manejo de las contraseñas debe ser mandatorio en todo plan de seguridad que se implemente en una Organización.