viernes, junio 25, 2010

Plan de Continuidad de Negocios o Business Continuity Plan (BCP)


En esta entrada voy a darles una guía sobre como realizar un Plan de Continuidad de Negocios, aunque les recomiendo tener a mano la Norma BS 25999-2 para que este trabajo sea aun mas fructífero.

Mientras que las organizaciones gubernamentales, sin ánimo de lucro o las ONG cumplen con funciones criticas, las organizaciones privadas deben entregar de manera continua productos y servicios para cumplir con sus inversores y claro esta, sobrevivir. Siendo Organizaciones cuyo propósito es tan disímil, ambas tienen una necesidad en común: implementar un Plan de Continuidad de Negocios o BCP.

Planeación de la Continuidad del Negocio vs. Plan de Reanudación del Negocio y Plan de Recuperación de Desastres.

Un plan de reanudación de negocios describe como reiniciar la operación después de una interrupción. Un Plan de recuperación de desastres se enfoca en recuperar los sistemas después de una interrupción estrepitosa. Ambos implican detener las operaciones criticas y su reanudación.

Ahora, aceptar que algunos productos o servicios deben ser permanentemente entregados sin interrupciones es la clave para entender los diferentes alcances del Plan de Reanudación de Negocios y el Plan de Continuidad de Negocios.

La ejecución de un Plan de Continuidad de Negocios permite que los productos o servicios críticos sigan siendo entregados a los clientes. En vez de enfocarse en restablecer las operaciones después de que estas se interrumpan por un desastre, un plan de continuidad se enfoca en que los procesos críticos continúen estando disponibles.

Que es un Plan de Continuidad de Negocios?

Los productos o servicios críticos de una Organización son aquellos que deben ser entregados para asegurar la supervivencia de la Organización, evitar los problemas de no entregarlo y cumplir con obligaciones legales o contractuales existentes. El Plan de Continuidad de Negocio es un plan proactivo que busca asegurar que los productos o servicios continúen siendo entregados durante una interrupción no planeada.

Un Plan de Continuidad Incluye:
  • Planes, medidas y disposiciones para asegurar la entrega continua de los servicios y/o productos que le permitan a la Organización recuperar sus instalaciones, información y activos.
  • La identificación de los recursos necesarios para respaldar la continuidad del negocio, incluyendo personal, información, equipos, recursos financieros, apoyo legal, seguridad y alojamientos en caso de ser necesarios.
Implementar un BCP mejora la imagen de la Organización con sus empleados, accionistas y clientes al demostrar una actitud proactiva. Dentro de los beneficios adicionales podemos incluir una mejora en la eficiencia organizacional, así como también permite identificar la relación entre los activos, recursos humanos, los recursos financieros y los productos y servicios críticos de la organización.

Por que es valioso un Plan de Continuidad del Negocio?

Toda organización está en riesgo de ser víctima de un desastre:
  • Un desastre natural como una inundación, un incendio, un terremoto, etc.
  • Sabotaje
  • Cortes de energía
  • Fallas en comunicaciones, transporte o de seguridad.
  • Ciber ataques por parte de un hacker

Creación de un Plan de Continuidad de Negocios BCP
Crear y mantener un BCP le sirve a una Organización para conseguir los recursos necesarios para enfrentar cualquiera de estas situaciones, vamos ahora a ver que secciones incluye por lo general un BCP:


Establecer el Control

Un BCP contiene una estructura de gobierno, a menudo en la forma de un comité que asegura un compromiso de alta dirección y define las funciones de alta dirección y sus responsabilidades. Este comité es el responsable de la supervisión, inicio, planeación, aprobación, ensayos y auditorias al BCP. Asimismo implementa el BCP, coordina actividades, aprueba los resultados que arroje el BIA, supervisa la creación de planes de continuidad y revisa los resultados de actividades de aseguramiento de calidad.

Los directivos de un Comité BCP normalmente:
  • Aprueban la estructura de gobierno
  • Aclaran cuáles son sus funciones y las de todos los que participan en el programa
  • Revisan la creación de comités, grupos de trabajo y equipos que van a desarrollar y ejecutar el plan
  • Suministran orientación estratégica
  • Aprueban los resultados del BIA
  • Revisan los productos y servicios críticos que se han identificado
  • Aprueban los Planes de Continuidad
  • Monitorean las actividades de aseguramiento de calidad,
  • Resuelven conflictos de interés
El comité del BCP normalmente esta compuesto por los siguientes miembros:
  • Líder Ejecutivo, quien tiene la responsabilidad general del comité del BCP; solicita el apoyo de la alta dirección y dirección, y asegura la financiación adecuada para el BCP.
  • Coordinador del BCP asegura el apoyo de la alta dirección, estima requisitos de financiación, desarrolla la política del BCP, coordina y supervisa el proceso de BIA, asegura participaciones eficaces de los lideres de procesos, coordina y supervisa el desarrollo de los planes y disposiciones para la continuidad del negocio; establece grupos de trabajo y equipos y define sus responsabilidades; coordina jornadas de capacitación, y establece la revisión periódica, pruebas y de auditorías del BCP.
  • Oficial de Seguridad, quien trabaja para garantizar que todos los aspectos del BCP cumplen con los requisitos de seguridad de la organización.
  • Jefe de Información el cual coopera estrechamente con el coordinador del BCP y especialistas IT en planes de continuidad.
  • Lideres de proceso, quienes suministran información valiosa sobre las actividades de la organización, y revisan los resultados del BIA.
El comité BCP es comúnmente co-presidido por el coordinador ejecutivo y el coordinador.


Análisis de Impacto de Negocio o BIA

En este blog ya existe una entrada sobre este tema, la cual esta en este link: Análisis de Impacto de Negocios / Business Impact Analysis (BIA)


Planes para continuidad del negocio

Esta etapa consiste en la preparación detallada de planes de respuesta o recuperación y todos los acuerdos necesarios para asegurar la continuidad. Estos planes y acuerdos detallan las vías y medios necesarios para garantizar que los productos y servicios de la Organización continúan siendo entregados dentro de tiempos de inactividad tolerables, teniéndose que hacer un plan de continuidad para cada uno de los productos y/o servicios que se hayan categorizado como críticos.

Mitigando riesgos y amenazas

Las amenazas y riesgos son identificadas en el BIA. La mitigación de riesgos en un proceso siempre en ejecución, y tiene que ser ejecutado de manera permanente incluso sin que se haya activado el BCP. Por ejemplo, si una Organización requiere del suministro de energía eléctrica para producir, el riesgo de un corte del servicio puede ser mitigado por la instalación de una planta o estación eléctrica.

Otro ejemplo puede ser una Organización que depende de las comunicaciones internas y externas para funcionar adecuadamente. Una falla en sus sistemas de comunicaciones puede ser minimizada utilizando redes alternas de comunicaciones o instalando sistemas redundantes.

Análisis de la capacidad actual de recuperación

Hay que tener en cuenta las facilidades con las que cuenta actualmente la Organización para garantizar la continuidad del negocio, sin olvidar incluirlas en el BCP.

Crear Planes de Continuidad
Los planes de continuidad de negocio para los servicios y productos están basados en los resultados del BIA. Hay que asegurarse que los planes estén hechos con niveles incrementales de severidad del impacto causado por una interrupción. Por ejemplo, si ocurriera una inundación podrían utilizarse sacos de arena como respuesta a esta dificultad. Ahora, si el nivel del agua cubre el primer piso, se puede pensar en trabajar en un segundo o tercer piso de la edificación. Pensemos ahora que el nivel del agua se mantiene por demasiado tiempo, entonces tendríamos que reubicar la operación en un sitio alterno mientras baja el nivel del agua.

Los riesgos y beneficios de cada posible opción que se va a incluir en el BCP deben ser considerados, manteniendo presente los costos, flexibilidad y escenarios probables de interrupción. Para cada producto o servicio critico, debe escogerse la opción mas realista y efectiva para crear el Plan.

Preparación de respuesta

Una apropiada respuesta a una crisis que se presente requiere de equipos que lideren y respalden las operaciones de respuesta. Los miembros del equipo deben seleccionarse teniendo en cuenta capacitación y experiencia para asignarles tal responsabilidad.

El numero y alcance de los equipos puede variar dependiendo en el tamaño de la organización, funciones y estructura, y pueden existir los siguientes:
  • Equipo de Comand, que incluye al equipo de Respuesta a Crisis, y un equipo de Respuesta, Continuidad o Recuperación según se haya determinado.
  • Equipos de trabajo como el equipo de Coordinación de trabajo en un sitio alterno, Equipo de Compras y Contrataciones, Equipo de Inventario de daños, Equipo financiero y contable, equipo de residuos peligrosos, equipo de aseguramiento, equipo de asuntos legales, equipo de telecomunicaciones, Equipo Mecánico, Equipo de Notificaciones, Equipo de Noticias, o Equipo de Transporte.
Las actividades y responsabilidades de cada equipo deben ser definidas y documentadas, identificando quiénes son sus miembros, niveles de autoridad, tareas a realizar, roles y responsabilidades de los miembros, asi como resulta de utilidad identificar posibles miembros alternos de tales equipos.

Ahora, pensando en la tolerancia de los equipos que se creen en caso de ausencias o perdidas de personal, puede ser necesario suministrar entrenamiento a los miembros de los diferentes equipos en actividades que se desarrollan en equipos afines al que se está inicialmente asignado.

Ubicaciones alternas.

Si las instalaciones principales de una organización, o en su defecto activos o información se pierden en un evento, una instalación alterna debe estar disponible. Hay tres tipos de ubicaciones alternas (nombres en ingles):
  1. Cold site: es una ubicación que no esta adecuada para operar. Esto significa que deben conseguirse desde muebles hasta computadores para que la operación pueda iniciar de nuevo. Para este tipo de instalación, debe realizarse un gran esfuerzo para que sea operable, lo cual se traduce también en una cantidad bastante considerable de tiempo. Los Cold sites son la opción mas económica de todas.
  2. Warm site: Es una ubicación que esta tecnológicamente lista y casi completamente equipada para iniciar operaciones, pudiendo estar completamente operacional en cuestión de horas. Como es de esperarse, esta opción es mas costosa que un Cold Site.
  3. Hot site: Ubicación que está completamente lista, pudiendo incluir si se desea hasta personal alterno para que realice las actividades que se suspendieron en el sitio original. Estas instalaciones pueden estar completamente operables en cuestión de segundos o minutos, siendo la opción mas costosa de todas las disponibles.
Cuando se tenga planeado contar con una ubicación alterna, debe considerarse para esa nueva ubicación todos los riesgos y amenazas, tiempo máximo de inoperatividad y claro, costos.

Por razones de seguridad, hay organizaciones que emplean sitios alternos super seguros, que como su nombre lo indica incluyen opciones que dan una mayor tranquilidad a sus clientes, encontrando entre ellas plantas eléctricas, altos niveles de seguridad física y protección contra vigilancia electrónica o intrusiones.

Procedimientos de Preparación

Entrenamiento
Los planes de continuidad pueden ser implementados fácilmente si:
Se informa a los empleados del contenido del BCP y de sus responsabilidades individuales cuando este se llegue a activar.
Se entrena a los empleados en el cumplimiento de sus responsabilidades con el BCP, y se les informa sobre las funciones de los equipos que se hayan creado.

Simulacros
Después de la capacitación, viene el entrenamiento con simulacros programados periódicamente con el propósito de mantener altos estándares de preparación y de respuesta. Estos entrenamientos aunque consumen recursos (personas, tiempo, etc) son el mejor método para validar la efectividad de un plan.

Aseguramiento de la calidad:
Las revisiones del BCP tienen como objetivo validar la precisión, relevancia y efectividad del plan, asi como también descubrir que aspectos del BCP necesitan ser mejorados. Revisiones permanentes del BCP son esenciales para mantener su efectividad.


Que hacer cuando se presenta una interrupción?
Las interrupciones son manejadas en tres etapas:
  • Respuesta
  • Continuar entregando servicios o productos críticos
  • Recuperación y Restauración

Respuesta:
La respuesta a incidentes involucra el despliegue de todos los equipos, planes, medidas y acuerdos. Las siguientes tareas se ejecutan durante la fase de respuesta:
Gestión del Incidente
La gestión del incidente incluye las siguientes actividades:
  • Notificar a la Dirección, empleados y accionistas
  • Asumir el control de la situación
  • Identificar el rango y el alcance del daño
  • Implementar planes de acción
  • Identificación de daños a la infraestructura.
  • Coordinar el apoyo de fuentes externas e internas.
Gestión de Comunicaciones

La Gestión de Comunicaciones es fundamental para evitar la creación de rumores, mantener contacto con la prensa, servicios de emergencia y proveedores, empleados, accionistas y terceros interesados. Los requerimientos de comunicaciones pueden requerir sistemas redundantes, así como la creación de un plan para establecer todos los requerimientos de comunicaciones bajo una situación no deseada.

Gestión de Operaciones

Cuando se presente una interrupción, la Organización puede manejarse desde un Centro de Operaciones de Emergencia, lo cual garantiza que se centraliza la información, se coordinan los recursos y se asegura una respuesta efectiva a la situación.
Continuidad
La continuidad tiene como propósito asegurarse de que los servicios o productos críticos continúan siendo entregados a los clientes, o en caso contrario, que el tiempo de espera no sea mayor a los limites establecidos al hacer el BIA.
Recuperación y Restauración:
La meta de la recuperación y restauración es recobrar la operatividad de la organización manteniendo la entrega de productos y servicios críticos. En esta etapa se incluyen las siguientes actividades:
  • Decidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupciónDecidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
  • Regreso del personal a las instalaciones
  • Adquirir los recursos adicionales para restaurar por completo la operación.
  • Restablecer las operaciones normales de la organización.
  • Reanudación de las operaciones en los niveles anteriores a la interrupción
Conclusión

Cuando una Organización no puede entregar a sus clientes los productos o servicios críticos que produce, las consecuencias pueden ser extremas. Todas las organizaciones están en riesgo, y pueden inclusive desaparecer si no están debidamente preparadas. El BCP es la herramienta que le permite a las organizaciones no solo a gestionar sus riesgos sino también a continuar entregando productos y/o servicios sin importar que se presente un desastre.

domingo, junio 20, 2010

ISO 27001 e ISO 27002: Manual del Sistema de Gestión de Seguridad de la Información


Otra duda frecuente al enfrentarse a la documentación de un SGSI, es que incluir en el Manual de Seguridad de Información. Aquí hay varios puntos a tener en cuenta:

Si ya existe un Sistema de Gestión previo, lo ideal es manejar un Sistema de Gestión Integrado que consolide los sistemas existentes quedando bajo un solo modelo por ejemplo calidad y seguridad de la información, o ambiental y seguridad de la información, etc.

Si no existe un manual previo, pues habrá que definir una Norma Cero o Guía de documentación que establezca como documentar todo lo perteneciente al SGSI, y una vez se inicie la documentación, poder entonces desarrollar el Manual de Seguridad de la Información.

En cualquiera de los dos casos, les sugiero manejar la siguiente tabla de contenido para su Manual de Seguridad de la Información:

1. Organización
2. Introducción
3. Manual de Seguridad de la información
3.1 Objetivo
3.2 Alcance del SGSI
3.3 Control de Cambios y Aprobación
4. Marco legal
5. Glosario
6. Política de Seguridad
6.1 Compromiso De La Dirección
6.2 Política de seguridad de la Organización
6.3 Revisión de la Política
6.4 Conformidad Con la Política de Seguridad y los estándares de Control
6.5 Objetivos De La Gestión De Seguridad De Información
7. Normas y políticas del Sistema de Gestión de Seguridad de la Información
7.1 Organización del SGSI
7.2 Gestión de Activos
7.3 Recursos Humanos
7.4 Seguridad Física y Ambiental
7.5 Comunicaciones y Operaciones
7.6 Control de Acceso
7.7 Desarrollo de Software
7.8 Gestión Incidentes
7.9 Continuidad del Negocio
7.10 Cumplimiento
8. Determinación de requerimientos de seguridad de la información
8.1 Identificación de Activos de seguridad de la Información
8.2 Descripción de la metodología de evaluación del riesgo
8.3 Reporte de evaluación del riesgo y Plan de tratamiento del riesgo
8.4 Declaración de Aplicabilidad
9. Roles y Responsabilidades
9.1 Grupo de Sistemas/IT
9.2 Usuario
9.3 Propietario de Información
9.4 Auditoría Interna
10. Autoridades Y Entidades Externas Relevantes Al Negocio
11. Compañías consultoras en SGSI
12. Bibliografía

Espero que esta guía les sirva de utilidad, pues cuando yo inicie mi implementación esta información no estaba pude encontrarla en ningún sitio, y haciendo hincapie en que esta tabla de contenido es las que yo implemente, pudiendo Uds modificarla de acuerdo a las necesidades del SGSI en el que esten trabajando.

miércoles, junio 16, 2010

Familiarizándonos con la Ingeniería Social



Una Historia Verdadera...

Hace unos años, un grupo de extraños ingreso en las instalaciones de una Compañía y consiguieron acceso a toda la red interna de dicha Empresa. Como lo consiguieron? Obteniendo pequeñas cantidades de información, bit a bit de múltiples empleados de la compañía. Lo primero que hicieron fue conseguir información de la compañía por dos días seguidos antes de intentar ingresar a la Compañía. Consiguieron los nombres de los empleados relevantes de la Compañía por medio de Recursos Humanos, luego fingieron perder su llave de ingreso a la compañía, y otro empleado los dejo ingresar. Luego "perdieron" sus carnets de empleados cuando entraron al área segura del tercer piso, sonrieron y de nuevo otro empleado los dejo ingresar.

Los extraños sabían que el Gerente Financiero estaría fuera de la ciudad, así que pudieron ingresar a su oficina para obtener toda la información financiera sin encriptar o proteger de su computador. Revisaron toda la basura que salió de la compañía encontrando toda clase de información valiosa. Le pidieron a uno de los empleados de mantenimiento una de sus canecas y así pudieron salir del edificio con toda la información y documentos que encontraron. Estos extraños también pudieron imitar la voz del Gerente Financiero, hicieron una llamada simulando una emergencia y argumentando haber olvidado su clave de acceso. Ya con esta clave, utilizaron herramientas de hackeo y obtuvieron un acceso de súper usuario en el sistema.

Lo único positivo de esta historia, es que los extraños eran en realidad consultores realizando una auditoria para el Gerente Financiero sin que nadie más en la compañía lo supiera. Este equipo nunca recibió información privilegiada por parte de este Gerente pero obtuvieron todo el acceso que deseaban por medio de la Ingeniería Social.

Definiciones:

Definiciones de Ingeniería Social se pueden encontrar muchas: El arte y ciencia de hacer que la gente haga lo que se desea", o "Ataque realizado por un hacker con trucos psicológicos en usuarios de una red para que entreguen información de acceso al sistema" y para terminar "Conseguir información importante (un password por ejemplo) de una persona en lugar de intentar acceder a su PC". En realidad la Ingeniería social puede ser todo esto, dependiendo la óptica con que se mire. En lo único en que todas las personas coinciden es en que la Ingeniería Social es la manipulación de la tendencia humana de la confianza, y el objetivo de la persona que ejerce esta acción es obtener la información necesaria para acceder a la información sensible de una compañía.

La seguridad se fundamenta en la confianza: confianza en la protección y en la autenticación. Generalmente aceptado como el eslabón mas débil en la cadena de la seguridad, las personas y su tendencia a confiar en las demás personas abren las puertas a muchísimas vulnerabilidades. No importa cuantos artículos se publiquen sobre vulnerabilidades en redes, parches de actualización y firewalls, siempre podremos reducir las amenazas hasta Luisa en Ingeniería mantener la seguridad de las red en la Compañía.

Objetivos y ataques
El propósito básico de la Ingeniería Social es el mismo que el de un hacker: obtener acceso no autorizado a un sistema o a información con el propósito de cometer un fraude, una intrusión, espionaje industrial, robo de identidad, o simplemente inhabilitar los sistemas. Los blancos usuales de estos ataques incluyen proveedores de internet, grandes multinacionales, bancos, agencias militares y gubernamentales, y hospitales.

Encontrar buenos ejemplos de la vida real de ingeniería social es complicado. Las empresas que han sido víctimas de estos ataques pueden no querer admitirlo (una falla en seguridad no solo es vergonzoso, también afectaría el buen nombre de la compañía), y también es muy probable que el ataque no esté bien documentado por lo cual no hay forma de estar seguros de que haya sido un ataque de ingeniería social o no.

Los ataques de ingeniería social se ejecutan en dos niveles; físico y sicológico. Enfoquémonos inicialmente en la parte física de estos ataques: el sitio de trabajo, el teléfono, su cesta de basura, o inclusive ataques en línea. En el sitio de trabajo el hacker puede simplemente entrar por la puerta y simular ser un empleado de mantenimiento quien puede entrar a la Compañía. Una vez el intruso lograr acceder a la Compañía, simplemente con desplazarse por los corredores podrá encontrar escritos usuarios y contraseñas los cuales aprovechara desde la seguridad de su casa.

Ingeniería Social Telefónica
Este es el tipo de ingeniería social que más se realiza. Un atacante puede llamar e imitar la voz de un funcionario con cierto nivel de autoridad y obtener información de un supuesto subalterno. Los Helpdesk son particularmente vulnerables a este tipo de ataques. Los atacantes simulan llamar desde el interior de la compañía atacando el PBX o la compañía de teléfonos, con lo cual un identificador de llamadas queda burlado por completo.

Los Helpdesk son particularmente vulnerables por que su principal función es ayudar, un hecho que puede ser fácilmente explotado por un individuo buscando obtener acceso no autorizado. Los empleados de los Helpdesk están entrenados para ser amigables y entregar información, así que esta es una mina de oro para la Ingeniería Social. Muchos empleados de los Helpdesk son mínimamente entrenados en seguridad y mal pagos, así que tienden a responder preguntas listos para responder la siguiente y la siguiente llamada, convirtiéndose así en una enorme vulnerabilidad de seguridad.

Ingeniería Social en la red
Internet es el sitio predilecto por los atacantes que buscan obtener nombres de usuario y passwords. La debilidad principal de los usuarios es repetir el mismo password en todas las aplicaciones, páginas, etc que utilizan. Una vez que el atacante obtiene un password probablemente podrá acceder a múltiples sitios bajo la identidad de su víctima. Una forma que utilizan los atacantes para obtener passwords es a través de un formulario en línea en el cual le piden a la victima que digite sus datos como email y un password, y asi obtienen acceso a todos los sistemas, redes sociales, email corporativo, etc de dicha persona.

Persuasión
Los atacantes siempre realizan sus ataques enfatizando en crear el ambiente psicológicamente perfecto para el ataque. Métodos básicos de persuasión incluyen la suplantación, simular ser una persona muy agradable o la falsa amistad. Sin importar el método que se utilice, el objetivo principal es convencer a la victima de que el atacante es en realidad una persona a quien confiarle información sensible. Otro punto importante en estos ataques es que no buscan obtener toda la información en un solo ataque, pero si conseguirla toda en varios ataques en diferentes ocasiones.

La suplantación generalmente significa crear uno o varios personajes e interpretar sus roles. Entre mas sencillo el personaje, mejor. Usualmente los atacantes estudian a sus víctimas, esperando por ejemplo que se ausenten de la ciudad para suplantarlos al teléfono.

Algunos de los papeles mas comúnmente interpretados por los atacantes es el de un reparador, soporte en Sistemas, un Gerente, un tercero de toda confianza (por ejemplo, el presidente de una compañía) o un compañero de trabajo. En una compañía grande, esto no resulta tan difícil de realizar, pues no hay forma de conocer a todos los empleados, los carnets pueden ser falsificados, etc. Un factor común que se puede obtener de estas suplantaciones es el de personas con algún rango o posición jerárquica en la compañía, lo cual nos lleva a la complacencia. Todo empleado desea impresionar a su jefe, asi que suministrara sin problema cualquier información que le sea solicitada por un superior.

Espionaje Basura (Dumpster Diving)
El Espionaje Basura es otro popular método de ingeniería social. Una gran cantidad de información puede ser encontrada entre la basura de una compañía. Que información puede llegar allí? Agendas telefónicas, organigramas, manuales de las políticas de la compañía, agendas de trabajo, eventos o vacaciones, manuales de sistemas, planos de las instalaciones, impresiones de códigos fuente, CDs, DVDs, y hardware desactualizado.



Toda esta "basura" se puede constituir en una enorme fuente de información para el atacante. Las agendas telefónicas pueden dar información de posibles blancos o personas a suplantar. Los organigramas revelan quienes están en cargos con autoridad en la organización. Manuales de políticas pueden darle idea de que tan segura o insegura es una compañía. Los calendarios pueden indicar que empleado va a estar fuera de la oficina. Los manuales de sistemas pueden brindar información exacta de como desbloquear una red. El hardware desactualizado, por ejemplo discos duros pueden ser restaurados para obtener toda clase de información.

Ingeniería Social Inversa
Para terminar, el método mas avanzado de obtener acceso no autorizado a un sistema o información es conocido como "Ingeniería Social Inversa". Esta se realiza cuando el atacante suplanta a una persona que se encuentra en una posición con autoridad suficiente para que los empleados le pidan a el información en vez de el pedir información. Si se investiga, planea y ejecuta adecuadamente, este ataque puede brindarle al atacante mayores oportunidades de obtener información valiosa de los propios empleados; sin embargo este ataque requiere de un alto grado de preparación e investigación para culminarlo con éxito.

Este ataque frecuentemente se compone de 3 etapas: sabotaje, intromisión, y el ataque en si. Veamos como es el asunto: Un atacante sabotea una compañía de la cual quiere obtener información, ocasionando que se presente un problema. Al materializarse el problema, el mismo atacante se presenta en la Organización argumentando que es el candidato ideal para solucionar ese problema (Intromisión), y una vez que se le da acceso a la Organización realiza su ataque obteniendo la información, acceso a la red o lo que esté buscando. Lo más asombroso del ataque es que en la Organización víctima del ataque son incapaces de identificar al atacante como tal por que el problema del que fueron víctimas fue solucionado y se recupero la normalidad; o peor aún, no saben que fueron víctima de un ataque por que todo está operando normalmente.

Epilogo
Un artículo de Ingeniería Social no seria lo mismo sin mencionar a Kevin Mitchnick, así que finalizamos con una de sus frases: "Ud puede gastar una fortuna en tecnología y servicios mas actualizados de seguridad... pero su Organización aun puede ser vulnerable a ser manipulada a la antigua". Pendientes de una próxima entrada que será de Estrategias para intentar combatir la Ingeniería Social.

miércoles, junio 09, 2010

Recomendaciones No Convencionales de Seguridad


La entrada de hoy dista mucho de las demás entradas que existen en el blog, pues esta enfocada a ser de utilidad a todas las personas que lleguen a este blog, estén o no relacionadas con el negocio de la seguridad. Vamos a ver como nos va con esta para en el futuro hacer mas entradas de este mismo corte. Vamos con las recomendaciones:

Hablar con la boca cerrada

Todos los expertos en seguridad coinciden en algo: la gente habla demasiado. Las personas comentan y entregan demasiada información confidencial sin ni siquiera notarlo. Esto se deriva del hecho de que el 99.99% de la población mundial viven en un estado conocido como "Condición Blanca", lo que en otras palabras significa que van por la vida con la ignorancia de saber en que riesgos incurren o provocan con su comportamiento. Esto lo pueden verificar Uds fácilmente: la próxima vez que vayan a un restaurante, o que utilicen un elevador en el cual puedan escuchar las conversaciones de otras personas se sorprenderán de la cantidad de información valiosa que las personas comparten sin medir las consecuencias de ello. Ahora imaginen que Uds hacen parte de una organización criminal y podrán entender aun mas las consecuencias de una conversación casual que sostengan sus potenciales víctimas.

Hablar con la boca cerrada significa ser muy cuidadoso sobre lo que se hable, con quien se hable y quien puede escuchar su conversación. Esta recomendación tiene que ser tenida en cuenta también al conversar por teléfono, al utilizar el correo electrónico, redes sociales y blogs.

Control de Acceso

Implementar un buen control de acceso contribuye significativamente a reducir los riesgos de seguridad. En otras palabras, si se le dificulta a cualquier persona acercarse lo suficiente a una compañía, los atacantes buscaran víctimas potenciales en otras compañías con menos seguridad y mayores facilidades de acceso. El control de acceso no se reduce solamente a seguridad física como barreras, rejas o muros, también tiene que ver con las comunicaciones personales. Millones de personas han caído victimas de una falsa sensación de seguridad con la explosión de redes sociales como facebook, twitter y youtube. Por alguna extraña razón, las personas ahora acostumbran publicar información valiosa sobre ellos en la red donde cualquier persona puede fácilmente acceder a tal información.


Imaginen una Paola Rodríguez, en cualquier ciudad, cualquier país colocando un mensaje en Twitter "Oh no, estamos atascados con toda mi familia en el aeropuerto de Rio de Janeiro y solo podremos viajar hasta mañana". Mensaje bastante inocente, cierto? De hecho, es el sueño de una banda de criminales. Ahora haciendo una búsqueda en Google, un delincuente podría encontrar datos personales Paola, como por ejemplo su dirección, imprimir un mapa de Google maps (para no perderse en su camino allí), y tener un día entero de gracia para hacer de las suyas en la casa de Paola. Control de Acceso igual a control de riesgos de seguridad.

Fotocopiar o Escanear todos los documentos que cargue en su bolso o billetera.

Una de las primeras recomendaciones en entrenamientos de seguridad es fotocopiar o escanear todos los documentos que Ud habitualmente lleve en su billetera. Cumplir con esta recomendación puede traer enormes recompensas de seguridad si algún día pierde o le roban su billetera. Comprenda que toda tarjeta de crédito, tarjeta debito, licencia de conducción, pasaporte, contiene valiosa información para un criminal. Si Ud es victima de un ladrón, va a necesitar toda la información relevante para bloquear todos los accesos que brindan tales documentos tan pronto como le sea posible.


Obviamente habrá que mantener estas fotocopias o archivos escaneados en un lugar seguro, así como también es valioso que haya otra persona que sepa donde encontrar tal información. Hay un dicho que dice "Si mas de dos personas saben un secreto, ya no es un secreto" el cual tiene completa validez en esta recomendación.

Nunca acepte ayudar a una persona que no conozca por completo.

Muchas personas son frecuentemente utilizadas por criminales pertenecientes a redes de contrabando u organizaciones terroristas. La aproximación que se hace, es la misma que se hace cuando se quieren aprovechar de un turista en ciudades o continentes lejanos. Se acercan ofreciendo su amabilidad o incluso amistad, logrando así romper toda prevención que se tenga en contra de un extraño. Inclusive pueden ofrecer una noche de bebidas gratis, una excursión, etc, siempre con la idea de establecer una amistad en los primeros días de su viaje de negocios.


Ya hacia el final del viaje, pueden emplear una de las siguientes tácticas:
  • Solicitar que se entregue un paquete a uno de sus familiares que viven en el País del que Ud llego, argumentando cualquier cosa con tal de convencer a su víctima de llevar el paquete, claro está diciendo que no contiene nada ilegal.
  • Mientras la victima esta distraída, uno de los cómplices introducirá un paquete en su equipaje. La víctima no estará al tanto de esa situación hasta que es arrestado o detenido en la aduana, con lo cual los criminales lo podrán identificar fácilmente y después extorsionarlo por “perder” el paquete. Si Ud piensa que estos dos escenarios no le van a ocurrir a Ud, piénselo de nuevo. Estos casos se repiten por cientos en los aeropuertos de todo el mundo.
La solución mas simple a este tipo de engaño es no hacer nuevas amistades de lugareños a los sitios que visite, y siempre revise detalladamente su equipaje antes de entregarlo en el punto de chequeo de su vuelo. Si detecta algo sospechoso, infórmelo de inmediato a la policía o cuerpos de seguridad del aeropuerto.

Confié en sus instintos

Vamos a finalizar estos tips de seguridad con la confianza en nuestros instintos. Quizás pueda parecerle una recomendación inusual, pero no por ello puede ser desestimada. Los expertos de seguridad hablan del "Instinto de Conservación" el cual es una reacción inconsciente que tenemos todas las personas ante una situación de riesgo o inusual. Nosotros no controlamos esta reacción, la cual ocurre en un milisegundo. Por ejemplo, cuando se es confrontado por una persona agresiva uno puede reaccionar o huir, su respiración se altera, sus latidos se aceleran, la sangre fluye a las extremidades y se eriza la piel. Todos los sentidos están enfocados en la amenaza antes de que Ud. conscientemente lo esté. Desafortunadamente muchísimas personas desconocen esta reacción que es nuestro propio sistema de defensa, y la confunden con miedo.

Quizás el mejor secreto de los expertos en seguridad para reducir los riesgos sea precisamente, el Instinto de Conservación.

domingo, junio 06, 2010

Hablemos de Apache


Que es Apache?
Es un servidor web desarrollado y mantenido por una comunidad de usuarios agrupados en la Fundación "Apache Software Foundation.". El Proyecto Apache es un esfuerzo para desarrollar y mantener un servidor HTTP de código abierto para sistemas operativos como UNIX y Windows NT. Su propósito es suministrar un servidor seguro y eficiente que suministre servicios HTTP en sintonía con los estándares HTTP actuales.

Apache es conocido por haber tenido un papel integral en el crecimiento inicial y el desarrollo de la World Wide Web y fue la primera alternativa práctica de webserver para la Corporación Netscape Communications. Hoy en día, Apache rivaliza con los servidores UNIX en funcionalidad y rendimiento.

Usos de Apache

Apache es utilizado para trabajar con contenido estático o dinámico. La función de un servidor es la de enviar las paginas web a los navegadores de los usuarios. El beneficio de Apache es que se utiliza para muchas actividades en donde el contenido necesita estar disponible en forma segura y confiable. Un ejemplo de esto es la posibilidad de compartir archivos desde un computador personal en Internet. Un usuario que tenga Apache instalado en su PC puede colocar cualquier archivo en la raíz de documentos de Apache y compartirlos desde allí.

Adicionalmente, algunos programadores prueban sus aplicaciones web en servidores locales que tengan Apache instalado para ver como se van a desempeñar.

Que significa esto para los usuarios?

Si Ud tiene una pagina de Internet o planea hacerlo, Necesita tener un servidor. Apache tiene muchos beneficios, siendo quizás el mas atractivo el hecho de que es gratuito, sumamente estable y ampliamente aceptado. Pero que pasa si Ud no tiene una pagina? Por que debe importarle Apache? Probablemente nunca tenga que hacerlo, sin embargo si Ud hace algún tipo de programación, por ejemplo adicionar algún script a una pagina web, este tendrá que ser obligatoriamente compatible con Apache.

Beneficios
  • El mejor de todos: es gratis.
  • Esta disponible para una amplia variedad de sistemas operativos, incluyendo Microsoft Windows, Novell NetWare, Linux y Mac OS X.Apache es compatible con múltiples interfaces incluyendo mod_perl, mod_python, Tcl, y PHP.
  • El alojamiento virtual permite que una sola instalación de Apache trabaje con varios sitios web diferentes.
  • En Apache se pueden configurar los mensajes de error, lo cual puede ayudar a los visitantes de las paginas web a que encuentren las secciones que necesitan en vez de confundirlos y hacer que visiten otras paginas.
  • Apache puede ejecutarse virtualmente en cualquier plataforma de hardware, por lo cual no es necesario adquirir nuevos equipos.
  • Apache es sumamente seguro, debido a que ya lleva bastante tiempo en el mercado y es ampliamente utilizado. El código abierto de Apache significa que siempre habrán personas dispuestas a mejorar aun mas la aplicación.
  • Apache puede interactuar con prácticamente cualquier base de datos, incluyendo software licenciado como Oracle, Sybase, DB2 e Informix; así como también con bases de datos de código abierto como MySQL. Esta habilidad es muy importante si se desean obtener estadísticas de trafico y uso de una pagina de internet, si se desea rastrear información de los usuarios, ordenes de compra, números de cuenta y reportes, crear formularios, foros y otros usos adicionales.
  • Apache es generalmente inmune a la mayoría de los virus que atacan a los servidores web de Microsoft.
  • Debido al éxito que ha tenido, Apache atrae numerosos desarrolladores de todo el mundo, siendo ellos los creadores de módulos o bloques de código diseñados para permitir por ejemplo la ejecución de scripts CGI cuando sean solicitados archivos específicos; y muchos de estos modulo pueden ser encontrados en http://modules.apache.org/. Apache es lo suficientemente intuitivo para que los usuarios puedan con facilidad crear un modulo si no encuentran uno que se ajuste a sus necesidades, existiendo para ello infinidad de libros dedicados a Apache.
  • Al adquirir un software comercial no siempre se obtiene soporte técnico, pero Apache a pesar de ser gratuito ofrece servicios de reporte de bugs, foros de discusión para resolver problemas o encontrar soluciones a bugs o problemas de seguridad. Adicionalmente, cualquier problema de seguridad o bug reportado se publica de inmediato en la web de Apache así como las actualizaciones para solucionarlos, existiendo también la posibilidad de que los usuarios se suscriban para recibir emails con reportes de bugs o actualizaciones.

Inconvenientes
  • Apache desde el 2006 ha perdido parte de su cuota de mercado ante los servicios de Microsoft y la plataforma .NET
  • No ofrece soporte técnico real. Este texto se encuentra en la pagina de Apache "Con millones de usuarios y cerca de 60 desarrolladores voluntarios, no podemos proporcionar personal de soporte para Apache. Para soporte gratuito, le sugerimos participar en el foro de usuarios", y mencionan que soporte profesional y de pago es ofrecido por compañías ajenas a la fundación Apache.

Conclusiones

Así Ud no tenga pensado alojar su pagina web, instalar un servidor web o probar una línea de código, resulta al menos benéfico para Ud aprender acerca de los usos y beneficios de Apache por que esta involucrado en prácticamente cualquier línea de negocio en la que una persona decida involucrarse. Apache es patrocinado por Google, Yahoo y HP solo por mencionar algunos, lo cual es un claro indicador de que Apache esta aquí para quedarse.

viernes, junio 04, 2010

Declaración de aplicabilidad / Statement of Applicability (SOA)


La Declaración de Aplicabilidad o Statement of Applicability (SOA) referenciado en la cláusula 4.2.1j del estándar ISO 27001 es un documento que lista los objetivos y controles que se van a implementar en una Organización, asi como las justificaciones de aquellos controles que no van a ser implementados. Para conseguir este listado único, se requiere de una identificación de riesgos, definición de controles, identificación de requisitos legales, regulatorios, contractuales, etc, y claro esta, de revisar las necesidades de la Organización.

Esta identificación se conoce como un ANALISIS DE BRECHA o GAP ANALYSIS, el cual identifica la diferencia entre lo que debería tenerse implementado en la organización y lo que se tiene realmente disponible. Para nuestro caso especifico, este tipo de análisis se hace evaluando el cumplimiento de la norma ISO 27002:2005, para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestión de la seguridad de la información que este estándar especifica; y una vez se completa este análisis ya se puede realizar la Declaración de aplicabilidad ó Statement of Applicability (SOA).

Normalmente los controles incluidos se basan en la Norma ISO 27002, pero es normal encontrar controles adicionales a los incluidos en dicha Norma informando la inclusión de tales controles en una sección propia del documento para los mismos. Ahora, para los controles que no se vayan a implementar debe incluirse una justificación individual para cada uno de ellos explicando el por que no se implementaron (Ej: Comercio electrónico).

Es muy importante recalcar en que el SOA es parte esencial de un SGSI, y que como todos los documentos que hacen parte de este sistema requiere ser actualizado periódicamente para que no se desactualice debido a por ejemplo, la adición de nuevos servicios en la Organización.

Uds pueden encontrar un modelo de la Declaración de Aplicabilidad en este link:
Statement of Applicability - ISO27k infosec management standards