Encuesta Anual de Seguridad Deloitte 2010

Acaba de ser publicada la Encuesta Anual de Seguridad de la Información de Deloitte 2010 Global Financial Services Security Survey de la cual extraigo el Prefacio:

La nueva década marca un punto de inflexión en la industria de seguridad de la información. Vivimos en una época de guerra cibernética y el entorno es peligroso y siniestro. Los niños que hacían "travesuras" en sus sótanos fueron reemplazadas por la delincuencia organizada, los gobiernos y los individuos cometen fraudes informáticos a tiempo completo, ya sea para obtener beneficios económicos o para lograr ventajas competitivas y tecnológicas. Los países se acusan mutuamente de guerra cibernética. Cualquier red de tamaño considerable se ha visto comprometida de alguna manera y los gobiernos ya se centran en la guerra cibernética. Las apuestas nunca han sido mayores y la batalla se está librando en todos los rincones del mundo. Está todo allí: botnets, redes zombie, troyanos, malware, spam, phishing; muchos de ella tan sofisticados, que la mayoría de nosotros podría ser engañado.

Hablamos mucho acerca de la creciente sofisticación de las amenazas. Ahora tenemos algo más a lo cual hacerle frente: la disminución del nivel de conocimientos que supone una amenaza. Considere la posibilidad de Mariposa, el botnet que se originó en España e infectó millones de computadoras. Los autores tenían "conocimientos limitados de informática" y no necesitaron escribir su propio malware sino que simplemente lo descargaron de Internet. La nueva realidad es una creciente disponibilidad de herramientas en Internet, que permite a aquellos con menos conocimientos técnicos convertirse, en ciberdelincuentes.

Las respuestas obtenidas para el estudio realizado para este año demuestran que hemos llegado a un punto de inflexión en la seguridad de la información:

Por primera vez, las organizaciones son proactivas, adoptando nuevas tecnologías de manera temprana y no tardía como antes, dejando de lado su rol simplemente reactivo.

• Por primera vez, el porcentaje más bajo de los encuestados (36%) afirmó que "la falta de suficiente presupuesto", es el principal obstáculo para garantizar la seguridad de la información, comparado con el 56% el año pasado. Durante la peor crisis económica en la historia reciente cuando muchos presupuestos se están recortando, los presupuestos asignados a la seguridad de información están asegurados y muchos han aumentado.
• Por primera vez, el cumplimiento de seguridad de la información, y la mejora de resultados obtenidos en auditorias de seguridad es una iniciativa de las mas altas dentro de la seguridad, lo que permite a las organizaciones prepararse nuevas y mayores exigencias reglamentarias o legales.
• Por primera vez, más de la mitad de las organizaciones afirman que la información física, como el papel, está dentro del alcance del ejecutivo responsable de seguridad de la información. Esta respuesta (59%) sigue siendo demasiado baja - e indica un riesgo de seguridad - pero, en nuestra opinión, se está moviendo en la dirección correcta.

Esta es la séptima versión de la encuesta: resolver las preguntas de esta encuesta implican tiempo y esfuerzo por ocupados profesionales quienes dedicaron parte de su valioso tiempo para responderla (Yo entre ellos).

Ahora, que dice esta Encuesta sobre Latinoamérica? Veamos:

Latinoamérica & El Caribe (En ingles bajo el acrónimo LACRO)
Latinoamérica ha tenido un impresionante avance duramente el anterior año, colocándose a la delantera en muchas áreas. Sin embargo, han caído en áreas que lideraban el año previo. En esta región como en el resto del mundo, la mayoría de respuestas mostraron que el encargado de seguridad de la información reporta directamente el Gerente de la Compañía. Latinoamérica se encuentra cerca (54%) del promedio mundial (60%) en tener documentada y aprobada la estrategia de seguridad, lo cual es una sorpresa por que la región lideraba este campo el año pasado. Adicionalmente, la calificación obtenida del 48% por falta de compromiso y presupuesto, es segunda después de Japón y mucho mas baja que el promedio global del 62%. Latinoamérica se ubica entre los menores puntajes de alineación entre objetivos de negocio y seguridad de la información, lo cual es consistente con la falta de compromiso y presupuesto asignado.

Al igual que en Asia, la privacidad no es una prioridad en Latinoamérica, lo cual no es una sorpresa, debido casi a la inexistencia de Leyes de privacidad en la región, sumado a la cultura de "brazos abiertos" (recuerdan la ingeniería social?); de hecho la región tiene el peor índice de responsables de seguridad de la información (30% versos el 53% de promedio mundial), así como el de contar con una adecuada gestión de la privacidad de su información (24% versus el 50% de promedio mundial).

Latinoamérica también se encuentra entre los puntajes mas bajos de encriptación de información de equipos móviles (12% versus el 44% de promedio mundial), así como en mantener una base de datos de incidentes de seguridad de la información (43% versus el 54% de promedio mundial). Claramente, sin contar con una base de datos de incidentes de seguridad, resulta imposible contar con información útil desde el punto de vista de seguridad de la información.

Un punto brillante es que los encuestados de Latinoamérica (64%) indican que sus presupuestos seguridad de la información han aumentado. Esto es más alto que el promedio mundial de 56% y más alto que al menos otras tres regiones. Así, mientras que los encuestados en Latinoamérica superan solo a el Japón en la sensación de que no tienen compromiso y financiación, parece que hay un esfuerzo para corregir este problema a través de mayores presupuestos.

Que podemos interpretar de estos resultados? Veamos:

• Muy preocupante la falta de leyes especificas de seguridad de la información en toda la región.
• Falta de compromiso: la seguridad sigue siendo catalogada por prácticamente todos los empleados de cualquier empresa como responsabilidad de los vigilantes, del Circuito cerrado, de la tarjeta de acceso; se necesita un fuerte cambio cultural que anticipo no será visto en nuestro País por lo menos en una década, cuando el tema de privacidad, de seguridad de la información, de fortalecimiento de leyes, etc sea de amplio conocimiento publico.
• La cultura de "brazos abiertos" facilita muchísimo la acción de los delincuentes, hecho que se confirma por ejemplo con las múltiples noticias de tarjetas de crédito clonadas de prácticamente todas las entidades bancarias del País, esta región de momento es el paraíso para los "Ingenieros Sociales"
• Encriptación en dispositivos móviles: Cuantos de Uds. encriptan apropiadamente la información que tienen en los portátiles que les asignan en sus empleos? Cuantos de Uds. que cuentan con "teléfonos inteligentes" usan las herramientas de encriptación de datos con las que cuentan dichos aparatos?
• Interesante el crecimiento reportado en asignación de presupuestos, lo cual se traduce a largo plazo en el cambio cultural que mencione previamente, y claro esta en una mejora  en las calificaciones para las próximas encuestas de seguridad que se desarrollen en la región.

Para finalizar la entrada, los dejo con el link para descargar este informe: (Material disponible solamente en idioma ingles)

Amenazas por redes sociales

Colombia ha visto como las redes sociales han crecido de manera explosiva, convirtiéndose en un País clave en el avance de las redes sociales en América Latina siendo estas utilizadas mayoritariamente de forma positiva, como el caso del robo frustrado en Bogotá al usar Twitter pero Desafortunadamente este crecimiento ha tenido sus lunares con eventos tan lamentables como un asesinato que tuvo como origen facebook, o la amenaza a los hijos del ex-presidente Uribe (burla seria un calificativo mas preciso para este caso.)

La noticia del día  en diferentes medios como RCN, EL ESPECTADOR o a nivel internacional con la Agencia EFE es que las amenazas por redes sociales son muchísimo mas habituales de lo que nosotros escuchamos o se publica en las noticias.

Como eventualmente los links pueden perderse, transcribo aquí la noticia:

  

EL ESPECTADOR:

Amenazas por redes sociales afectan al menos a 70 personas

El director de la Policía, general Oscar Naranjo señaló que un grupo especial de la unidad de Delitos Informáticos de la Dijin está dirigiendo una investigación en los departamentos de Cundinamarca, Antioquia, Nariño y Putumayo, donde se registran las principales denuncias.

"Hemos detectado que en la última cerca de 60 a 70 personas que con nombre propio han sido amenazadas a través de este sistema", puntualizó el alto oficial al precisar que las autoridades no descartan que las Banda Emergentes estén detrás de esta nueva modalidad de intimidación.

El comandante de la Policía señaló que se espera en los próximos días determinar los responsables de estas conductas "que muchas veces comienza como una broma macabra y culminan con resultados lamentables como la muerte de civiles".

Así mismo, hizo un llamado a los colombianos que hacen parte de las redes sociales para que esta movilización no derive en conductas que vulneren los derechos de otros ciudadanos.

"La ofensiva contra bandas emergentes avanza de manera diaria y permanente, el número estimado de capturas semanales varía entre 70 y 100 copias, la verdad es que todos los miembros de la fuerza pública desde marzo de 2006 que terminó el proceso de desmovilización hasta la fecha las autoridades hemos capturado 9400 integrantes de estas organizaciones criminales"., dijo Naranjo.

El pronunciamiento de la Policía se produce luego de que en Puerto Asis, (Putumayo) fueran asesinadas tres personas que días antes habían recibido amenazas por Facebook.

Vanguardia Liberal

Crean grupo para investigar amenazas por redes sociales

Un grupo especial de la Unidad de Delitos Informáticos de la Dijin está investigando las denuncias de amenazas realizadas a cerca de 70 personas en los departamentos de Cundinamarca, Antioquia, Nariño y Putumayo, así lo informó el director de la Policía Nacional, general Óscar Naranjo.

El comandante de la Policía señaló que "han detectado amenazas con nombre propio a cerca de 60 a 70 personas", en las que podrían estar involucrados miembros de las denominadas bandas emergentes.

La Policía espera en los próximos días dar con el paradero de los responsables de los hostigamientos que si bien a veces empiezan como crueles bromas pueden terminar en muerte.

Naranjo informó que en Arbeláez, Cundinamarca, y Puerto Asis, Putumayo, donde fueron asesinados tres personas que habían sido amenazadas por Facebook, se desarrollaron consejos de seguridad para tomar medidas especiales.

Idealmente ninguno de nosotros debería recibir ningún tipo de amenaza, pero  tal y como estan las cosas actualmente, lo mínimo que puedo hacer es ofrecerles  recomendaciones básicas para tratar de proteger su información personal al utilizar las redes sociales:

• Antes de incluir su información en un sitio de redes sociales, piense y evalue las diferentes opciones de seguridad que estas ofrecen.
• Es necesario controlar la información que se coloque en una red social restringiendo el acceso a dicha página.
• No revelar nombre completo, número de Seguro Social, domicilio, número de teléfono ni información sobre los números de las cuentas bancarias o de tarjeta de crédito.
• Colocar en línea solamente la información que se desee que sea vista y conocida por otros.
• Control sobre la lista de contactos: hay que configurar la privacidad de la red social de acuerdo a la información que compartes en ella. Al agregar un nuevo usuario a tu red usuario, configura la privacidad de acuerdo a lo que quieres compartir con dicha persona.

Siendo en este momento facebook la red social mas ampliamente difundida y utilizada por todo tipo de personas, les recomiendo tomarse su tiempo ajustando las configuraciones de seguridad que salieron publicadas en EL TIEMPO en este link.

Para finalizar, no esta demas recomendarles las entradas previas sobre Ingeniería Social que ya existen en este blog para tratar de prevenir ser víctima de una amenaza por información que se haya podido filtrar por culpa nuestra en las redes sociales que utilizamos.

Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio

Como pudieron darse cuenta, las dos últimas entradas fueron sobre ITIL y CobiT respectivamente. Que relación tienen CobiT, ITIL e ISO 27000? La experiencia demuestra que resulta algo complicado implementar un SGSI sin tocar aunque sea tangencialmente a Cobit o ITIL por la gestión de la información que exista en una Organización. Así las cosas, Ud. puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusión de indicadores de ITIL, o midiendo el estado de maduración de su SGSI a través de CobiT. Para cerrar este ciclo de CobiT, ITIL e ISO 27000, observemos brevemente que nos ofrece cada una de ellas:

CobiT
Marco de referencia para objetivos de control sobre la información y recursos tecnológicos asociados. Cobit fue creado por ISACA  (Information System Control Standard) la cual es una organización sin ánimo de lucro enfocada en el Gobierno y control de IT. La función principal de CobiT es ayudar a las Organizaciones a mapear sus procesos de acuerdo a las mejores prácticas recopiladas por ISACA. Cobit usualmente es implementado por compañías que realizan auditorías de sistemas de información, ya sea relacionadas con la auditoría financiera o auditoría de TI en general.

ITIL
Marco de referencia para Infraestructura de Tecnologías de Información. ITIL fue creado por la OGC (Office of Government Commerce), y es un marco de referencia para gestionar los diferentes niveles de servicios IT. Aunque ITIL es similar a CobiT en muchos aspectos, CobiT se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT.

ISO 27000
Estándar enfocado exclusivamente en la seguridad, lo cual le hace muy diferente a los estándares manejados por CobiT o ITIL. Esta diferencia hace que la ISO 27000 tenga un alcance menor pero más profundo en el tema obviamente de seguridad comparándole con ITIL o CobiT

A continuación, una tabla de comparación de estos tres modelos:

Bien, por que entonces el titulo de esta entrada es Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio? Existe un excelente texto desarrollado por ITGI y OGC titulado Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio del negocio (ó de la empresa, dependiendo si miran la portada o el encabezado de todas las paginas del libro), que mediante un mapeo realizado a traves de tablas nos permite ver al implementar un control de ISO 27002, que estamos cumpliendo en ITIL y CobiT o en cualquier sentido: desde CobiT ,  ITIL ó ISO 27002 podemos verificar que cumplimos en cualquiera de los otros dos modelos.

Veamos el prefacio de este titulo:

Cada empresa necesita ajustar la utilización de estándares y prácticas a sus requerimientos individuales. En este sentido, los tres estándares/prácticas cubiertos en esta guía pueden desempeñar un papel muy útil, COBIT® e ISO/IEC 27002 para ayudar a definir lo que debería hacerse, e ITIL proporciona el cómo para los aspectos de la gestión de servicios.

La creciente adopción de mejores prácticas de TI se explica porque la industria de TI requiere mejorar la administración de la calidad y la confiabilidad de TI en los negocios y para responder a un creciente número de requerimientos regulatorios y contractuales. Sin embargo, existe el peligro de que las implementaciones de estas mejores prácticas, potencialmente útiles, puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas. 

Para ser más efectivos, las mejores prácticas deberían ser aplicadas en el contexto del negocio, enfocándose donde su utilización proporcione el mayor beneficio a la organización. La alta dirección, los gerentes, auditores, oficiales de cumplimiento y directores de TI, deberían trabajar en armonía para estar seguros que las mejores prácticas conduzcan a servicios de TI económicos y bien controlados.

Este libro que inicialmente fue lanzado en idioma ingles, ahora ya se encuentra disponible en español en este link: Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit  Espero que aprovechen este texto, ya que para mi fue una herramienta muy valiosa al momento de afrontar mi primera auditoría externa del SGSI. 

Que es ITIL?

Como ya mencione en la entrada anterior, un par de temas que se asocian frecuentemente con los Sistemas de Gestión de Seguridad de la Información son Cobit e ITIL. Por tal razón, hoy hablare de ITIL.

Que es ITIL? Su nombre viene de Information Technology Infrastructure Library (‘Biblioteca de Infraestructura de Tecnologías de Información’), frecuentemente abreviado como ITIL, el cual es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI. Aquí ya se ve entonces la relación inicial entre CobiT, ITIL y el Sistema de Gestión de Seguridad de la Información: cada uno de ellos es un marco de referencia que esta relacionado con IT.

Las Organizaciones actualmente dependen de IT para alcanzar sus objetivos, y cumplir con su promesa de valor a sus clientes. Para que esto ocurra de manera organizada, responsable y repetitiva, la Organización debe asegurarse de contar con servicios IT de alta calidad que le brinde:

• Alineación con las necesidades de la Organización y requerimientos de los usuarios.
• Cumplimiento de requisitos legales y reglamentarios
• Monitoreo y mejora continua de la Gestión de Servicios IT, la cual debe incluir planeación, suministros, diseño, implementación, operación, soporte y mejoramiento de los servicios IT que sean apropiados para las necesidades del negocio.

ITIL proporciona un marco de referencia consistente y coherente de mejores prácticas para la Gestión de Servicios IT y procesos conexos, promoviendo un enfoque de alta calidad para lograr altos estándares de efectividad en la Gestión IT. El rol de este marco de referencia es describir aproximaciones, funciones, roles y procesos sobre los cuales las organizaciones pueden basarse para establecer sus propias practicas.

El papel de ITIL es proporcionar una orientación en el nivel más bajo que seria de aplicación general. Por debajo de ese nivel, y para implementar ITIL en una organización, se requieren conocimientos específicos de los procesos de negocio tal organización para alinearse con ITIL y así obtener una efectividad optima.

Actualmente dentro del universo ISO, encontramos que existe una norma que rige el tema ITIL, que es la ISO 20000:2005, la cual es una especificación formal, con la cual las organizaciones pueden demostrar cumplimiento certificándose en dicha Norma.

ITIL soporta el cumplimiento del la ISO 20000 con su guia de buenas practicas, con lo cual se asegura y demuestra que los requisitos de la norma estan siendo cumplidos. De manera similar, los procesos de ITIL pueden ser utilizados igualmente para demostrar cumplimiento con los requisitos de control de CobiT

El marco de referencia de ITIL tiene como núcleos centrales cinco volúmenes, siendo estos:

1. Estrategia del Servicio
2. Diseño del Servicio
3. Transición del Servicio
4. Operación del Servicio
5. Mejora Continua del Servicio.

Para ITIL existe un esquema de certificación que ofrece un amplio rango de certificaciones para personas, desde aquellas que quieren familiarizarse con el tema hasta aquellas que quieren manejarlo profesionalmente. En Colombia existen ya numerosas instituciones que brindan esta certificación, y ya es frecuente encontrar convocatorias de empleo de personas que posean tal certificación, así que la recomendación obvia para todos Ustedes es obtener dicha certificación.