miércoles, julio 28, 2010

Qué es COBIT?

Un par de temas que se asocian frecuentemente con los Sistemas de Gestión de Seguridad de la Información son Cobit e ITIL. Por esta razón, voy a realizar una entrada independiente para cada uno de ellos, iniciando con Cobit.

Que es Cobit? Su sigla en ingles se refiere a Control Objectives for Information and Related Technology y es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992.

Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan. Cobit permite entender como dirigir y gestionar el uso de tales sistemas así como establecer un codigo de buenas practicas a ser utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT.

Veamos que ventajas ofrece Cobit:
  • Cobit es un marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria. Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas.
  • Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales.
  • Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversión que necesita ser adecuadamente gestionada.
  • Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida, así como también proporcionándoles métodos para asegurarse que IT entregara los beneficios esperados.
La diferencia entre compañías que gestionan adecuadamente sus recursos IT y las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas prácticas para la gestión de IT. Su marco de referencia permite gestionar los riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.

Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de gestión, su implementación es un indicativo de la seriedad de una organización. Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las demás compañías. Así como existen procesos genéricos de muchos tipos de negocios, existen estándares y buenas practicas específicos para IT que deben seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa tales estándares y entrega un marco de referencia para su implementación y gestión.

Una vez se identifican e implementan los principios relevantes de Cobit para una compañía, se obtiene plena confianza en que todos los recursos de sistemas estan siendo gestionados efectivamente.

Que resultados se obtienen al implementar Cobit? Veamos:
  • El ciclo de vida de costos de IT será mas transparente y predecible.
  • IT entregara información de mayor calidad y en menor tiempo.
  • IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán mas exitosos.
  • Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser mas fácilmente monitoreada.
  • Todos los riesgos asociados a IT serán gestionados con mayor efectividad.
  • El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión.
El marco de referencia Cobit en su versión 4 (a Julio de 2010), incluye lo siguiente:
  • Marco de referencia: explica como Cobit organiza la Gestión de IT, los objetivos de control y buenas practicas del negocio por dominios y procesos de IT, relacionándolos directamente con los requerimientos del negocio. Este marco de referencia contiene un total de 34 niveles de objetivos de control, uno por cada proceso de IT, agrupados en cuatro dominios: Planeamiento y Organización, Adquisición e Implementación, Desarrollo y Soporte y Monitoreo y Evaluación (Que tal la coincidencia con el ciclo PHVA de las Normas ISO?)
  • Descripción de procesos: Incluida para cada uno de los 34 procesos de IT, cubriendo todas las áreas y responsabilidades de IT de principio a fin.
  • Objetivos de Control: Suministra objetivos de gestión basados en las mejores prácticas para los procesos de IT.
  • Directrices de Gestión: Incluye herramientas para ayudar a asignar responsabilidades y medir desempeños.
  • Modelos de madurez: proporciona perfiles de los procesos de IT describiendo para cada uno de ellos un estados actual y uno futuro.
Cobit 5:
Programado para salir en el 2011, Cobit 5 consolidara los marcos de referencia de Cobit 4.1, Val IT 2.0 (inversiones en TI) y riesgos en IT, aprovechando también el modelo de negocio de Seguridad de la Información (IMC) y ITAF.


Fuente: COBIT - IT Governance Framework

miércoles, julio 21, 2010

Gestión de Riesgos: ISO 31000


En esta entrada voy a hablarles sobre la Norma de gestión del riesgos ISO 31000:2009 que reemplaza a la norma australiana de riesgo AS/NZS 4360:2004.

La norma internacional ISO 31000:2009, de gestión de riesgos - Principios y directrices, ayudará a las organizaciones de todos los tipos y tamaños de gestión de riesgos efectiva. Establece los principios, el marco y un proceso para la gestión de cualquier tipo de riesgo en una forma transparente, sistemática y fiable en cualquier ámbito o contexto. Al mismo tiempo, la ISO publica la Guía ISO 73:2009, el vocabulario de gestión de riesgos, que complementa la norma ISO 31000, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo. Kevin W. Knight AM, Presidente del grupo de trabajo ISO que ha desarrollado el estándar explica: "
Todas las organizaciones, no importa cuán grande o pequeño, frente a factores internos y externos que generan incertidumbre sobre si serán capaces de alcanzar sus objetivos. El efecto de esta incertidumbre es el «riesgo» y es inherente a todas las actividades. "

"De hecho-continuó-" se puede argumentar que la crisis financiera mundial como resultado del fracaso de las juntas y de gestión ejecutiva para gestionar eficazmente los riesgos. La ISO 31000 se espera que ayude a la industria y el comercio, públicos y privados, con confianza salir de la crisis ". La norma recomienda que las organizaciones desarrollar, aplicar y mejorar continuamente un marco de gestión del riesgo como un componente integral de su sistema de gestión.

"ISO 31000 es un documento práctico que pretende ayudar a las organizaciones en el desarrollo de su propio enfoque de la gestión del riesgo. Pero esto no es un estándar que las organizaciones pueden solicitar la certificación al. Mediante la aplicación de la norma ISO 31000, las organizaciones pueden comparar sus prácticas de gestión de riesgo con un punto de referencia reconocido internacionalmente, establecen los principios racionales para la ordenación eficaz. La Guía ISO 73 más se asegurará de que todas las organizaciones están en la misma página cuando se habla de riesgo ", dijo Knight.


ISO 31000 está diseñado para ayudar a las organizaciones a:
  • Incrementar la posibilidad de alcanzar los objetivos trazados.
  • Fomentar una gestión proactiva
  • Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización
  • Mejorar la identificación de las oportunidades y amenazas
  • Cumplir con las exigencias legales y reglamentarias y las normas internacionales
  • Mejorar los informes financieros
  • Mejorar la gobernabilidad
  • Mejorar la confianza de los inversionistas
  • Establecer una base confiable para la toma de decisiones y la planificación de resultados
  • Mejorar los controles
  • Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
  • Mejorar la eficacia y eficiencia operativa
  • Mejorar la salud y de seguridad, así como la protección del medio ambiente
  • Mejorar la prevención de pérdidas y de manejo de incidentes
  • Reducir al mínimo las pérdidas
  • Mejorar el aprendizaje organizacional
  • Mejorar la capacidad de resistencia de la organización.
ISO 31000 y la Guía ISO 73 puede aplicarse a cualquier entidad pública, privada o empresa de la comunidad, asociación, grupo o individuo. Los documentos serán de utilidad para:
  • Los responsables de la aplicación de la gestión del riesgo dentro de sus organizaciones
  • Aquellas personas que necesitan para garantizar que una organización gestiona el riesgo
  • Aquellos que necesitan para evaluar una organización de las prácticas en la gestión de riesgo
  • Los desarrolladores de los estándares, guías de procedimientos y códigos de prácticas relativos a la gestión del riesgo.

miércoles, julio 14, 2010

Como defenderse de la Ingeniería Social?


Esta es la segunda entrega sobre la Ingeniería Social, y en la primera se le definió como la manipulación de la tendencia humana a confiar en los demás con el propósito de obtener información que otorgue el acceso a información valiosa.

Por donde empezar? Definición de Políticas de Seguridad

Los ataques de ingeniería social pueden tener dos aspectos diferentes: el físico o el sitio donde se realiza el ataque, como los puestos de trabajo, en línea, al atender el teléfono, el Dumpster diving o búsqueda en la basura, la suplantación, y la amistad; así que para combatir la ingeniería social hay que fortalecer ambas debilidades, teniendo como uno de sus mayores componentes el entrenamiento a los empleados. La base de una buena defensa esta cimentada en la correcta definición de unas políticas y procedimientos de seguridad El error mas común de las organizaciones es planear únicamente como defenderse en el sitio de trabajo, lo cual deja abierta una brecha enorme que aprovechan los atacantes con la ingeniería social. Así las cosas, para empezar hay que entender desde la Gerencia o Dirección de la Organización que todo el dinero que se invierta en parches de seguridad, hardware de seguridad, auditorias, etc, serán una pérdida de dinero sino se acompaña de las mencionadas políticas y procedimientos de seguridad para proteger a la Organización. Una de las ventajas de establecer políticas de seguridad es eliminar responsabilidades de los usuarios para eventualmente atender una solicitud de un atacante. Si la acción solicitada por el atacante esta prohibida dentro de una política, el empleado no tiene alternativa diferente a ignorar tal solicitud.

Políticas adecuadas pueden ser generales o especificas, pero es ideal manejar un término medio, dando una flexibilidad para un adecuado desempeño de las actividades pero aun asi, buscando evitar que los empleados se relajen con las prácticas de seguridad que deben ejecutar diariamente. Las políticas de seguridad deben involucrar controles de acceso a la información, creación de cuentas de usuario, permisos de acceso, y cambios de contraseñas entre otras. Puertas aseguradas, utilización de carnets de la empresa y un destructor de papeles (inclusive de CDs y DVDs) tienen que ser implementados y utilizados. Cualquier violación que se presente de las políticas debe ser estudiada, publicada y eliminada.

Previniendo vulnerabilidades de Seguridad Física

En teoría la seguridad física debería impedir cualquier fuga de información, pero tratando de cumplir con dicho cometido, hay que tomar precauciones adicionales. Toda persona que ingrese a las instalaciones debe portar en un lugar visible su carnet de funcionario o de visitante SIN EXCEPCIONES. Todos los documentos que contengan información sensible deben ser almacenados bajo llave, y sus llaves deben ser también almacenadas en lugares seguros. Los documentos que contengan información sensible y que deban ser desechados deben ser procesados en una trituradora de papel. Todos los medios de almacenamiento digital que se vayan a desechar deben ser desechados quizás contratando una empresa que los destruya (claro esta, suscribiendo un acuerdo de confidencialidad). Las canecas de basura deben mantenerse bajo llave en aéreas que estén monitoreadas por los servicios de seguridad con que cuente la Organización.

Hablando sobre los equipos dentro de la Organización (incluyendo equipos remotos) necesitan estar protegidos con salvapantallas protegidos con contraseñas (Futura entrada del blog), y no esta de mas contar con programas de encriptación de datos para una teórica máxima protección.

Teléfonos y Conmutadores

Una estafa común es hacer llamadas a través de los teléfonos o conmutadores (PBX) de una organización. Los atacantes pueden realizar una llamada haciéndose pasar por un funcionario, pedir que sea transferido a una línea externa y desde esta hacer llamadas a todo el mundo las cuales tendrá que pagar la Organización que fue víctima del engaño. Esto puede ser prevenido con la implementación de políticas que prohíban la transferencia de llamadas, restringiendo las llamadas de larga distancia y rastreando llamadas sospechosas. Si se llega a recibir una llamada de una persona argumentando ser empleado de la empresa de teléfonos y que además solicita algún password para obtener acceso a la red de la Organización, CUIDADO, está mintiendo!!! Todos los empleados deben ser informados de esta modalidad de estafa para evitar ser víctimas de esta táctica.

Como se menciono en la entrada previa de Ingeniería Social, los Help Desk son las presas favoritas de los atacantes principalmente por que su trabajo es divulgar información de utilidad para los usuarios. La mejor manera de proteger un Help Desk es el entrenamiento. Los empleados de un Help Desk siempre deben rechazar cualquier solicitud de entregar un password por teléfono o email, únicamente en persona a las personas autorizadas. La devolución de llamadas, el uso de tokens de seguridad y el uso de passwords son recomendaciones que incrementaran los niveles de seguridad. Cuando se presenten dudas, a los empleados de los Help desk se les alienta a pedir apoyo, o también a decir simplemente "no".


Entrenar, Entrenar y Re-entrenar

La importancia de entrenar a los empleados no solo recae en el Help Desk sino en toda la organización. Los empleados tienen que ser entrenados en como identificar información que se deba considerar como confidencial, y entender por completo sus responsabilidades para protegerla. Una organización para ser exitosa debe involucrar la seguridad en todos los puestos de trabajo que genere. Todos los empleados de la Organización deben entender por que es crucial clasificar la información como confidencial, como esto beneficia a la Organización, y les da sentido de responsabilidad en la seguridad de la organización.

Todos los empleados deben ser entrenados en cómo mantener la información segura. Hay que involucrarlos en el alcance de la política de seguridad. Se debe exigir que todos los empleados nuevos asistan a una capacitación en seguridad. Actualizaciones anuales refrescan conocimientos y suministran actualizaciones en temas de seguridad. Otra manera de involucrar a los empleados es mediante la realización de boletines mensuales con reportes de los incidentes de seguridad que se puedan presentar, que hayan ocurrido o que se hayan evitado. Esto mantiene a los empleados informados sobre los peligros que representa bajar la guardia en la gestión de la seguridad. Una mezcla ideal de entrenamiento combina la realización de videos, boletines, afiches, señales, fondos de pantalla, pad mouse, emails, calcomanias e inclusive camisetas; pero hay algo importante al respecto: todo esto debe ser cambiado con cierta regularidad o de lo contrario dejara de tener valor para los empleados.

Detectar ataques de Ingeniería Social

Para frustrar un ataque de Ingeniería Social, es muy útil poder reconocer uno de ellos. Síntomas de que se está potencialmente siendo víctima de uno de estos ataques es rehusarse a dar información de contacto, pedir ser atendidos con la mayor rapidez posible, mencionar el nombre de algún funcionario de alto rango dentro de la organización, intimidación, pequeños errores de ortografía, preguntas inapropiadas, y claro está, pedir información confidencial. Hay que estar atento a situaciones que estén fuera de lugar, hay que intentar pensar como el atacante: para entender al enemigo, hay que pensar como el.

Las organizaciones pueden ayudar a incrementar la seguridad realizando programas de prevención, utilizando medios como la intranet para enviar emails informativos, juegos de entrenamiento en seguridad (sopa de letras, crucigramas, etc) y requerimientos obligatorios de cambios de contraseñas cada cierto periodo de tiempo. El mayor riesgo en seguridad es que los empleados se vuelvan complacientes en el tema y dejen de lado las prácticas de seguridad.

Defenderse de ataques de Ingeniería Social

En el evento de que un empleado detecte algo extraño, el o ella necesitara conocer los procedimientos para reportar el incidente. Es necesario que exista una persona que se responsabilice por la gestión de tales incidentes, por ejemplo un Oficial de Seguridad de la Información si la Organización cuenta con uno de ellos. También es importante que el empleado que detecte la situación la comunique a todos los demás empleados que tengan sus mismas funciones pues también podrían ser víctimas de ese ataque. De alli en adelante, el encargado de la seguridad de la información coordinara la respuesta adecuada al incidente detectado.

A continuación, un listado de los ataques más comunes y algunas estrategias para prevenirlos:
  • Al teléfono: Suplantación de Identidad, para impedirla hay que entrenar a los empleados para que nunca entreguen información confidencial por teléfono.
  • Acceso a las instalaciones: Acceso no autorizado, para prevenirlo hay que disponer de un equipo de vigilantes mezclado con entrenamiento en seguridad para todos los empleados
  • En la oficina: Shoulder surfing, Se evita teniendo precaución al escribir usuarios y/o contraseñas cuando alguien este observando, o si hay que hacerlo, que sea muy rápido!!!
  • En los Help Desk: Suplantación de identidad, para minimizar este riesgo hay que asignarle a cada empleado un PIN o token de seguridad que pueda utilizarse para comprobar la identidad de la persona que llama.
  • En las instalaciones de la oficina: Visitantes sin acompañamiento de ningún funcionario, para evitar problemas se debe exigir acompañamiento en todo momento a los visitantes cuando estén en las instalaciones de la Organización.
  • Centros de Cómputo: Intentos de acceso, de extraer equipos o de ingresar elementos que puedan capturar información confidencial. Se recomienda contar con un centro de cómputo bajo llave permanentemente, de preferencia con controles de acceso biométricos, y tener un inventario actualizado de todos los equipos que se encuentren allí almacenados.
  • Canecas de basura: Se debe tener la basura en cuartos con llave, monitoreadas por las fuerzas de seguridad de la organización, se debe contar con trituradoras de papel, y de procedimientos de borrado de información adecuados.
  • Intranet/Internet: Inserción de keyloggers para obtener nombres de usuario y contraseñas, para evitarlo hay que hacer rutinas de mantenimiento de las redes, así como dar entrenamientos a los empleados en la creación de contraseñas.
Prevención Realista

Como es de suponer, la prevención real es una tarea de enormes proporciones, y una gran cantidad de organizaciones no disponen de los recursos humanos o financieros para poseer todas las medidas de control mencionadas previamente. La amenaza es real, así que lo más recomendable es aprovechar los recursos con los que se cuente, manteniendo la moral alta y un buen ambiente de trabajo sin sacrificar la seguridad. Cambiando levemente las reglas del juego, los intrusos no podrán cumplir con su cometido.

viernes, julio 09, 2010

Google fue hallado culpable de violar datos privados con aplicación de mapas en Australia


El gigante de internet Google ha sido encontrado culpable de violar las leyes de privacidad en Australia.

El Comisionado de privacidad investigo a Google por utilizar vehículos para mejorar su Google maps para recolectar información privada de las redes inalámbricas que iban detectando durante su recorrido. Lo increíble del asunto es que esta practica ya ha sido detectada en mas de 30 paises (ver LINK), por lo cual el Ministro de Comunicaciones de Australia no dudo en llamarle la violación de seguridad mas grande de la historia.

Afortunadamente para Google (y tristemente para todas las víctimas), la empresa puede escapar sin castigo alguno, pues no hay estipulada sanción alguna por romper las leyes de privacidad Australianas (las habran redactado con ayuda del Congreso de Colombia?). Sin embargo, existe una investigación federal paralela que de prosperar podria generarle a los empleados de Google multas o inclusive el encarcelamiento.


Vehículos utilizados por Google, los cuales después de todos estos antecedentes espero nunca ver en Colombia!!!

jueves, julio 01, 2010

Control de Acceso: Una mujer estuvo tres meses haciéndose pasar por Cabo del Ejército


La idea de este blog es hablar de seguridad de información en Colombia, y en este caso vamos a hablar de una situación que a todas luces es un riesgo de seguridad enorme presentado en las Fuerzas Armadas de Colombia.

El día de hoy fui sorprendido en las noticias por TV al ver la noticia de una mujer que infiltro y vivio en un batallón del Ejercito por 3 meses, lo cual se encuentra tangencialmente relacionado con la entrada de Familiarizándonos con la Ingeniería Social pero nunca imagine que el Ejercito Colombiano pudiera ser víctima de una situación tan bochornosa como esta. Como ya mencione, la noticia fue difundida en TV, radio y medios impresos, y aquí comparto con Ustedes algunos de ellos.

Semana: Una mujer estuvo tres meses haciéndose pasar por Cabo del Ejército
Una joven bogotana de 19 años estuvo durante tres meses haciéndose pasar por Cabo del Ejército en el Batallón de Artillería General Fernando Landazabal Reyes. La mujer, de nombre Adriana Cantor Ávila, aseguró que simplemente quería cumplir su sueño, el de pertenecer a las Fuerzas Militares.

Ella, ahora podría pagar hasta cuatro años de cárcel por los delitos de simulación de investidura y uso indebido de uniforme e insignias de las fuerzas militares. El abogado de la joven, Girdardo Acosta afirmó que el caso se generó por falta de control del Ejército y que si estuvo infiltrada en el Ejército, no fue con fines terroristas.
Radio Santafe: Aseguran a falsa uniformada que vivió tres meses en guarnición militar
Hasta cuatro años de cárcel podría enfrentar una mujer que haciendose pasar por cabo del Ejército vivió tres meses en una guarnición militar al occidente de Bogotá.

La mujer de 19 años de edad, identificada como Adriana Marcela Cantor Ávila, al parecer no tuvo ningún motivo de indole terrorista, según el abogado defensor de la jóven, cometió el ilícito por su aspiración de pertenecer a las Fuerzas Militares.

Por el hecho, la Fiscalía le imputó a Cantor Tovar los delitos de uso indebido de uniforme e insignias de las Fuerzas Militares y simulación de investidura.

El defensor alegó que este caso se genera a raíz de la falta de control por parte del Ejército.
Caracol: Una mujer se infiltró tres meses en el Ejército colombiano
Adriana Marcela Cantor Ávila, una joven de 19 años de edad, estudiante de criminalística, estuvo 3 meses infiltrada en el Ejército, no con fines terroristas sino para hacer realidad su sueño de pertenecer a las Fuerzas Militares.

Por este hecho, Cantor Ávila podría pagar 4 años de cárcel por los delitos de uso indebido de uniforme e insignias de las Fuerzas Militares y simulación de investidura. El abogado Gildardo Acosta dijo que la joven, que se hacía pasar por cabo del Ejército en el Batallón de Artillería General Fernando Landazabal Reyes, fue descubierta en mayo del año pasado.

El defensor dijo que este caso se genera a raíz de la falta de control por parte del Ejército.La audiencia de lectura de fallo fue aplazada hasta tanto el Ejército presente el incidente de reparación.
EL TIEMPO: Una estudiante de criminalística en Bogotá estuvo 90 días disfrazada de militar en un batallón
La joven logró infiltrarse después de que le fuera negada su entrada a la Fuerza Pública. Durante 90 días, Catalina Marcela Cantor Ávila logró permanecer, disfrazada de militar, en el Batallón de Artillería Fernando Landazábal Reyes.

Luego de negársele la entrada a la Fuerza Pública, la estudiante -según ella- compró un uniforme de uso privativo, le inscribió su apellido y sin tener la menor instrucción militar, se presentó como cabo.

El relato de la joven, a la que le aplazaron la condena este jueves en los juzgados de Paloquemao, también señala que ingresó a la unidad militar sin problemas y sin necesidad de presentar documentos de identidad. Al entrar, le fueron asignadas labores de oficina.

El día iniciaba con ejercicios físicos, propios de un suboficial legítimo; tenía cuenta de crédito en el casino para comer y pasaba las noches al lado de sus compañeros de habitación, sin generar sospechas.

Según Cantor, en su casa suponían que la habían aceptado en el curso de suboficial, y en el Batallón, creían que ella era una militar activa. Sin embargo, en mayo de ese año las directivas del Ejército decidieron iniciar unas pesquisas y se sorprendieron al enterarse que la cabo Cantor, que nunca cobró un salario, no era más que una estudiante que los había engañado durante meses.

Según su abogado defensor, Gildardo Acosta, el interés de ella nunca fue infiltrarse a nombre de algún grupo ilegal. "Lo que ella estaba haciendo era satisfaciendo un anhelo de su corazón de tener un uniforme puesto", expresó. Y agregó que "hubo falta de control en el Ejército, ya que ella ingresó y no le hicieron ninguna prueba".

La joven fue afectada con medida de aseguramiento por el uso indebido de uniforme e insignias y simulación de investidura. Cantor Ávila, desde que fue descubierta el año pasado, aceptó los cargos. A través de su abogado, aseguró que "no estaba consciente de que con sus acciones hubiera burlado la autoridad militar".
Como pueden ver, en todos los medios la noticia es prácticamente igual, y adolecen exactamente de lo mismo: no incluyen como descubrieron a esta mujer, a excepción de la nota de EL TIEMPO (publicada un día después), en donde dice que fue descubierta el año pasado, y hasta Julio es publica la noticia? Sea como sea, dicha situación abre las puertas a muchas dudas sobre si realmente no era una infiltrada de un grupo armado, que información pudo sustraer, con quien la compartió, etc, etc. y esta anécdota se convierte quizas en el ridículo mas grande de la historia para las fuerzas armadas de nuestro País ver que el batallón mas importante de inteligencia haya sido vulnerado de forma tan efectiva y por tres meses!!



Las contraseñas (Passwords) no deben ser una debilidad en la Seguridad de la Información


El crecimiento de la red mundial de internet (World Wide Web) han abierto una multitud de oportunidades de negocio nunca antes vista. Los computadores y las redes de comunicación globales han traído nuevos vendedores, nuevos clientes y nuevos mercados en nuevas y beneficiosas formas. Pero así como han llegado muchos beneficios, también han llegado nuevos problemas. Las nuevas estafas y crímenes no han sido creadas por los avances tecnológicos que estamos presenciando pero si han dado nuevas herramientas a los criminales para cometer sus fechorías. La diferencia radica en que ahora estos criminales tienen alcance mundial, estando ahora la responsabilidad de las Organizaciones de proteger la información de sus clientes por encima de cualquier otro objetivo.

Es recurrente encontrar personas culpando a los computadores por los robos de información, usualmente no es culpa del PC pero si de la forma en que sus usuarios lo utilizan. Su falta de preocupación sobre la seguridad de la información que manejan le abre la puerta de sus casas y/o empresas a los criminales. Después de todo, si no aseguramos las puertas de nuestra casa y la roban, vamos a culpar al arquitecto que la diseño por haberle colocado una puerta? En un ambiente corporativo, la culpa de estos hechos casi siempre es de los empleados o de los administradores de redes y/o sistemas quienes no hacen bien su trabajo.


Cerca del 70% de las pérdidas de datos de las Organizaciones puede ser atribuido a gente dentro de la compañía. Empleados que utilizan contraseñas débiles o que cometen el absurdo error de dejarlo escrito a la vista de los demás o debajo del teclado abren las puertas de la información de la compañía a cualquier extraño. Ya es una costumbre generalizada encontrar nombres de usuario y contraseñas pegados a los monitores, CPUs, tableros, etc o dentro del mismo PC en un archivo de word sin encriptar o proteger llamado "contraseñas". Hay que tener presente que si se llegara a ser victima de una intrusión con un usuario y password legitimo, será prácticamente imposible para IT atrapar al verdadero responsable.

Una pobre gestion de contraseñas en una Organización de parte de sus empleados puede darle completo acceso a los criminales a toda la información sensible que se posea.
El Grupo de Sistemas o IT tiene como función reducir el riesgo de accesos no autorizados a sus bases de datos implementando políticas de seguridad. Además de estas políticas, se puede contar con estas seis reglas básicas de manejo de contraseñas:
  • Longitud: Las contraseñas deben tener como mínimo 8 caracteres de extensión, siendo entre mas largo mejor.
  • Aleatoriedad: Una contraseña debe ser difícil de adivinar. Utilicen combinaciones de números y letras, palabras, fechas, etc.
  • Complejidad: Utilicen una mezcla de números y letras, signos de puntuación, y mayúsculas y minúsculas en sus contraseñas.
  • Exclusividad: Utilice una contraseña por cada uno de las cuentas que utilice.
  • Actualización: Las contraseñas deben ser cambiadas cada 2 o 3 meses
  • Gestión: Nunca deje que alguien conozca sus contraseñas, y NUNCA la escriba en ningún sitio.
Precisamente por la aplicación o no de estas recomendaciones es que se dan los conflictos entre El Grupo de Sistemas o IT y los demas empleados de la Organización. Mientras en sistemas se esfuerzan en establecer medidas de control mas complejas, los empleados desarrollan hábitos cuestionables de seguridad para facilitar su acceso a la información que manejan.

Hay alguna forma de evitar este conflicto y sus posibles consecuencias? Una forma de evitar tal conflicto es adoptar la gestión de contraseñas con un "token" de seguridad, sistema que incluye los siguientes beneficios:

Seguridad:

Tarjetas inteligentes de seguridad que se bloquean después de un numero predeterminado de accesos fallidos.
Las contraseñas nunca serán almacenadas en los computadores, por lo que los hackers no pueden obtenerlas.
Las contraseñas pueden tener hasta 20 caracteres de longitud, pudiendo utilizarse todas las teclas y combinaciones posibles del teclado.
Cada página web, aplicación y/o archivo puede (y debe) tener una contraseña única de acceso.
Como las contraseñas nunca son digitadas, un keylogger no puede grabarla.
La tarjeta puede ser encriptado, pudiéndose acceder a ella solo con el mismo software que la encripto.

Ventajas:
El manejo de estas tarjetas puede aceptar accesos a diferentes cuentas, archivos aplicaciones y redes.
Las tarjetas pueden iniciar un navegador web, llevar a la pagina de acceso y hacer la autenticación con un simple doble click.

Los usuarios no tienen que recordar o escribir sus contraseñas.
Los usuarios siempre tendrán consigo sus contraseñas.
Estas tarjetas pueden llevarse en la billetera o inclusive utilizarse como medio de identificación para los empleados.

Las contraseñas nunca serán escritas o almacenadas donde puedan ser encontradas por un atacante.
Estas tarjetas pueden almacenar información de más de 100 cuentas diferentes.

Portabilidad:
Las contraseñas podrán utilizarse por los usuarios en cualquier estación de trabajo donde sea utilizada.
La tarjeta puede ser utilizada en la oficina o en casa o cualquier otra ubicación remota.
Son ideales para empleados que trabajan remotamente pero que necesitan un acceso seguro a la red de la compañía.

Es claro que se necesita mas de una contraseña para hacer una red segura, pero con el uso de tokens de seguridad las contraseñas dejaran de ser el eslabón mas débil en el esquema de seguridad de la Organización.
Los tokens de seguridad han sido desarrollados por compañías de seguridad con un amplio abanico de servicios.
Las compañías pueden evaluar su uso desde el punto de vista de conveniencia, utilización, la cantidad de cambios a ser implementados en su infraestructura, facilidad de instalación, y claro, su costo.


Aquí concluyo haciendo la claridad de que ninguna medida que se tome brindara seguridad total, pero un adecuado manejo de las contraseñas debe ser mandatorio en todo plan de seguridad que se implemente en una Organización.