Porque son necesarias las políticas de seguridad?

La planeación y administración de sistemas de seguridad son el lado humano de la seguridad electrónica. Inclusive en el más confiable sistema, la seguridad no es automática. Los administradores necesitan una guía escrita que especifique que pasos seguir y que procedimientos ejecutar para cumplir con los requerimientos planeados de seguridad. Los ataques con éxito a sistemas confiables son recurrentes, vulnerabilidades son descubiertas en todos los sistemas operativos, y los atacantes se encuentran dentro o fuera de las organizaciones. Si existe algo seguro en el cambiante mundo de la seguridad, no lo encontraremos en lo que el software o hardware puedan hacer por nosotros, sino en lo que hacemos por nosotros mismos. El primer paso en mantener los niveles de seguridad es desarrollar políticas de seguridad para nuestras organizaciones, y después promulgarlas y velar por su cumplimiento, lo cual tiene que realizarse de manera transversal a toda la Organización.

Asumiendo que estamos en una Organización que tiene una estructura de seguridad en la que se cuenta jerárquicamente con un Gerente y un Administrador de Seguridad (Donde no haya estos cargos se deben aclarar roles y responsabilidades entre las opciones disponibles), los administradores de seguridad cumplen con las políticas en términos de detección y protección, la Gerencia debe suscribir la política, y los usuarios cumplirla, siendo supervisados por el Líder de Seguridad quien detectara y sancionara a los infractores por su incumplimiento.

Por ejemplo, la política de seguridad de una Organización estipula que se requiere la realización periódica de backups, pero finalmente es el Administrador quien ejecuta esos backups. Una vez que los Administradores entrenan a los usuarios para copiar sus archivos a servidores o discos duros protegidos, el Gerente de Seguridad lidiara con los incumplimientos. De manera similar, los Administradores deben entrenar a los usuarios para que eviten escribir sus contraseñas y pegadas quizás debajo de su teclado, pero el Gerente de Seguridad tiene que sancionar a los infractores de dicha política.

El área mas critica de todas las capas de seguridad es unificar la respuesta a incidentes una vez que ocurre una violación de seguridad. Decisiones sobre la conservación de evidencias, notificación a las autoridades (cuales de ellas?), y que acción tomar tuvieron que ser analizadas antes de que se presentara cualquier falla. Todas estas acciones tuvieron que ser escritas y distribuidas a todo el personal que pueda afectar la ocurrencia de ese incidente.

La política de seguridad es un documento viviente que debe ser revisado y actualizado periódicamente. El entrenamiento de usuarios, contraseñas de administrador, sistema de backups para información crítica, programación de firewalls y sistemas de detección de intrusos, evaluación de logs, etc se encuentran dentro de las múltiples formas de traducir el contenido de una política en hechos reales y palpables por el Administrador de Seguridad.

La seguridad en una organización disminuye cuando se incumplen las políticas de seguridad. Administrativamente esto significa que la Gerencia debe crear y mantener la demanda de acciones que deben ser realizadas de acuerdo a ciertas normas y niveles. Esto requiere de la categorización y priorización de riesgos, así como una evaluación del costo de la infraestructura a proteger con respecto al costo de su protección.

Las políticas de seguridad requieren de procedimientos. Estos procedimientos deben incluir la realización de auditorias periódicas, así como la implementación de reglas de separación de funciones. Para asegurarse de que las personas conozcan claramente como ejecutar procedimientos de seguridad, debe realizarse un muy buen entrenamiento. Para asegurarse de que los empleados realmente cumplen con las políticas, se requiere de supervisión y llamados de atención por parte del Gerente de Seguridad, quien es el que inicialmente estableció las políticas de seguridad.

Top 10 de Sugerencias para seguridad al usar un Computador

Siendo tan frecuentes las noticias del incremento de fraudes online, saben Uds la principal razón de ese crecimiento? Aunque parezca mentira, es por que la gran mayoría de usuarios de PC no se protege adecuadamente.

1. Es un hecho que el 75% de los usuarios no tienen su antivirus actualizado a la fecha, software que revisa el PC buscando software malicioso, y cuando encuentra alguno, decide si tenerlo en cuarentena o eliminarlo. Hay inclusive antivirus que escanean las páginas que Uds visitan y detectan ataques de phishing. La oferta en el mercado de antivirus es tan amplia, que inclusive existe un gran catalogo de aplicaciones gratuitas.
2. Todos los usuarios de Internet necesitan un firewall para protegerse. Este es un software que previene ataques externos a su computador, ya sea en casa o en su puesto de trabajo, y que funciona en su PC en segundo plano. Básicamente su función es bloquear los puertos de nuestros computadores que son las puertas que usan los hackers para acceder a los computadores de sus victimas. Al igual que con los antivirus, existen muchos firewalls disponibles en el mercado.
3. Tiene el Sistema Operativo de su PC (Ej: Windows, Linux, Leopard) todas las actualizaciones disponibles hasta la fecha? Cuando realizo la ultima actualización? la respuesta de la gran mayoría de personas es “Nunca”. La principal razón por la que las empresas desarrolladoras de software como Microsoft o Mac realizan estas actualizaciones es para mejorar la seguridad de sus Sistemas Operativos, por este motivo es necesario aplicar las actualizaciones cuando estén disponibles. La mejor recomendación en este caso es activar la actualización automática de actualizaciones, así el PC descargara e instalara por si solo todas las actualizaciones que se vayan liberando para su Sistema Operativo. Aquí es importantísimo aclarar que estas actualizaciones están solamente disponibles para equipos cuyo software haya sido adquirido legalmente.
4. Las páginas de ataques de Phishing son páginas creadas para verse idénticas a las de un banco, o sitios de transacciones en línea como por ejemplo, PAYPAL. Lo mas probable es que todos nosotros alguna vez hayamos recibido un email de nuestro banco informándonos que hubo un riesgo de seguridad y que es necesario loguearnos para cambiar la clave o cualquier otra situación similar. El email viene de una vez con un link supuestamente al banco, pero conduce a una página falsa en la que ingenuamente podremos dar nuestro usuario y contraseña, completándose así el ataque por parte de estos delincuentes quienes harán uso de estos datos en la pagina real del banco y desocuparan la cuenta bancaria de la victima de turno. Como verificar la autenticidad de una pagina de un banco? Todas las paginas legales tienen un logo en forma de candado que se puede ver en la barra de navegación de cualquier navegador (Internet Explorer, Firefox, Safari, etc), el cual indica que la pagina es una pagina autentica y que no representa ningún riesgo para las personas que la utilicen. En cualquier caso de duda, contactar con el banco es quizás la solución mas acertada.
5. Si se ve en la obligación de utilizar un PC de un sitio publico, revíselo detalladamente con el fin de detectar posibles keyloggers que estén instalados en dicho aparato. Un Keylogger puede ser un software o un aparato diminuto que graba todas y cada una de las teclas que Ud utilice cuando usa ese computador, por lo que si ud accede a su banco, este Keylogger grabara su usuario y contraseña para la persona que lo haya instalado, quien solo tendrá que descargar la información grabada y podrá desocupar su cuenta bancaria con un par de clicks. Como ya mencione, pueden existir keyloggers en forma de aparatos diminutos, por lo que si el teclado del PC antes de estar conectado al PC como tal esta conectado a un aparato extraño, puede ser uno de estos indeseables aparatos. Adicionalmente, cuando utilice un equipo publico, siempre salga de las paginas con los links que allí se encuentren pues cerrar la ventana en algunos casos es insuficiente, y nunca guarde passwords en un equipo publico, Nunca!!!
6. Asegúrese de que las conexiones WiFi publicas son en verdad publicas!!! Verifique siempre que no es otro PC actuando como puerta de acceso a la red, pues de ser asi U destara entregando toda la información que utilice a ese PC, por lo que mientras Ud puede estar enviando emails, la persona dueña de ese PC puede estar haciendo compras online o transferencias desde su cuenta.
7. Evite compartir juegos, pues este es el medio favorito de transmisión de muchísimos virus de computador a computador. Siempre revise con un antivirus todos los CDs y Vds. Que introduzca en su PC.
8. No deje que cualquier desconocido introduzca una USB en su PC, pues tan pronto lo haga un virus puede contagiar su PC (aun sin la intención de infectarlo), pudiendo extraer información de su PC, o inclusive enviarla por email posteriormente.
9. La seguridad física en casa y en el trabajo es esencial para prevenir que su PC y la información allí almacenada caiga en manos equivocadas. Los PCs de escritorio tienen una estructura metálica cuyo diseño evita el recalentamiento, y además contribuye a su seguridad permitiendo que sean atornillados a los puestos de trabajo o paredes para evitar que sean extraídos de las instalaciones.
10. Para los equipos portátiles, siempre procure utilizar una guaya de seguridad asegurando el equipo a un mueble más grande con lo cual evitara también que su equipo e información caigan en manos equivocadas.

Siguiendo una a una estas recomendaciones, lo más probable es que Ud descubra cuales son sus riesgos y pueda minimizar el riesgo de que estos se materialicen.

Aumentan en 36% los reportes de incidentes de seguridad (IBM)

Acaba de ser publicado el informe 2010 X-Force Mid-Year Trend and Risk Report realizado por IBM, el cual revela como cifra mas relevante el incremento del 36% en incidentes de seguridad reportados. Veamos brevemente que mas incluye dicho informe:

Informe del Primer Semestre del 2010

El Grupo X-Force analizo 4.396 vulnerabilidades nuevas durante este semestre, un incremento del 36% comparado con el año anterior, siendo también la cifra mas alta desde el año 2000, año en el que se empezaron a guardar estos registros.

En el 2007, el conteo evidencio su primer descenso, pero en 2008 nuevamente las cifras se elevaron alcanzando un nuevo record. Las cifras del 2009 hacían pensar que se había alcanzado cierta estabilidad, el incremento dramático del primer semestre de este año demuestra que no fue así. Ahora parece que el 2009 fue una pausa en la serie de incrementos anuales de eventos de seguridad. De continuar la tendencia de este primer semestre, el 2010 traerá un nuevo record de incidentes de seguridad. 

 El equipo de investigación y desarrollo IBM X-Force® descubre, analiza, monitorea y registra un amplio rango de riesgos y vulnerabilidades en seguridad. De acuerdo al Grupo IBM X-Force, han surgido nuevas amenazas en este 2010, y el propósito de este informe es que las mismas sean tenidas en cuenta al momento de realizar nuevos esfuerzos en seguridad para el resto del año.

Aprovechamiento de vulnerabilidades

• Amenazas con mayor grado de sofisticación: Una de las mayores preocupaciones del Grupo X-Force es su habilidad para penetrar redes muy bien defendidas sin importar que tantos avances se sigan desarrollando en seguridad. Las mayores preocupaciones están con los ataques por ofuscación o los malwares encubiertos que no son detectados por los sistemas de seguridad actuales.
• Ofuscación, Ofuscación, y Ofuscación — Los atacantes continúan encontrando nuevas formas de camuflarse vía JavaScript y ofuscación de PDFs. La Ofuscación es una técnica utilizada tanto por desarrolladores de software como por atacantes para ocultar o enmascarar el código que utilizan para desarrollar sus aplicaciones. Seria muy fácil que los protocolos de seguridad de redes bloquearan cualquier Script de java que este ofuscado, pero desafortunadamente la ofuscación es utilizada por algunos sitios de manera legitima como un intento para prevenir que sus códigos sean robados. Precisamente estos sitios son los que aprovechan los atacantes como cubierta para realizar sus ataques.
• Ataques por PDF Estos ataques continúan incrementándose pues se siguen desarrollando maneras alternativas de realizarlos. Los archivos de extensión PDF son victima de ataques debido a que pueden ser utilizados como puntos de acceso a las redes de una Compañía.
• Las vulnerabilidades reportadas están en su punto mas alto: el año 2010 ha visto como se ha incrementado el volumen de reportes de incidentes de seguridad, debido a que ya se hacen públicos mas casos, y también a los esfuerzos realizados por industrias de seguridad para identificar y mitigar vulnerabilidades de seguridad.
• Las vulnerabilidades de aplicaciones web alcanzaron un 55%, mas de la mitad de todos los reportes de seguridad en el primer semestre del 2010.

El informe lo pueden descargar gratuitamente de ESTE LINK

Recomendaciones contra los riesgos del uso de Memorias USB

Las memorias USB, dispositivos de alta capacidad de almacenamiento que han sido como una bendición para todos los usuarios de un PC,  son también el elemento mas peligroso jamás creado para perjudicar cualquier organización. Actualmente, la seguridad de la información y la confidencialidad es de gran interés a nivel gubernamental y privado, sectores en los que una memoria USB se convierte en la herramienta preferida para el espionaje corporativo para extraer con facilidad información confidencial de una Organización.

Dentro de las amenazas que se ven con mayor frecuencia por el uso de estos dispositivos esta la transmisión de virus, principalmente por que la gran mayoría de antivirus falla al detectar virus en estas memorias, o en defender apropiadamente el PC al cual se conectan permitiendo así que los virus se propaguen rápidamente por ejemplo en una pequeña red domestica o inclusive, en una corporativa. Precisamente a nivel empresarial, las memorias USB de los empleados contienen virus, vídeos, juegos de PC, MP3 e inclusive pornografía que han descargado en sus estaciones de trabajo, lo cual viola en muchísimos casos los reglamentos de trabajo.

Aun con esta cruda realidad, restringir el uso de estos dispositivos resulta prácticamente imposible: son cada vez mas pequeñas lo que permite llevarlas consigo sin ser detectados, y su precio esta bajando día tras día, pero aun así es posible tomar algunas medidas para tratar con este serio inconveniente. Veamos algunas de ellas:

Educar los usuarios:
Ya que resulta imposible evitar que los empleados adquieran estos dispositivos, los cuales indudablemente resultan imprescindibles para muchísimos trabajadores, es necesario entonces que la Gerencia establezca reglas claras sobre la información que puede ser sacada de la Organización. Aquí la situación varia con el tipo de Organización, pues habrá algunas en las que por motivos de la información que manejen sea imposible extraer tal información, mientras que otras Organizaciones pueden permitir a sus empleados manipular tal información sin mayores problemas. Este tema se puede manejar desde el momento de firmar un contrato laboral entre la Organización y el empleado, en donde se expliquen las políticas de seguridad existente, y si esta acompañado de un acuerdo o cláusula de confidencialidad, mucho mejor.

Restricción de puertos USB
En algunos ambientes corporativos, los puertos USB de todas las estaciones de trabajo se encuentran deshabilitados para prevenir el uso de dispositivos de almacenamiento por personas ajenas a la Compañía. Este bloqueo se puede hacer mediante software, permitiendo inclusive restringir el acceso a otros dispositivos plug & play o un DVD-Burner.

Políticas rigurosas de antivirus
Los encargados de sistemas deben configurar los antivirus para que SIEMPRE que se detecte la conexión de un dispositivo de almacenamiento, se escanee de manera automática. Todos los usuarios deben entrenarse en escanear cada archivo antes de utilizarlo.

Bloqueo de las estaciones de trabajo
En muchas Compañías se convirtió en una obligación configurar los equipos para que sus pantallas se bloqueen automáticamente si no están en uso al cabo de unos pocos minutos., sin embargo el uso indebido de un dispositivo externo sigue siendo una posibilidad aun cuando el equipo se encuentre bloqueado. El intervalo de tiempo puede ser ajustado en ambientes con mayores riesgos involucrados. En estaciones de trabajo con acceso a información confidencial, este bloqueo del monitor puede reducir muchísimo el riesgo de descargas de información a dispositivos de información no autorizados.

Por difícil que pueda parecer, es posible trabajar en una Compañía sin el uso de una memoria USB pero seamos realistas, quien quiere hacerlo? Bajo este escenario, la adopción de algunas de las recomendaciones previas puede reducir el riesgo del mal uso de estos dispositivos.

Encuesta Anual de Seguridad Deloitte 2010

Acaba de ser publicada la Encuesta Anual de Seguridad de la Información de Deloitte 2010 Global Financial Services Security Survey de la cual extraigo el Prefacio:

La nueva década marca un punto de inflexión en la industria de seguridad de la información. Vivimos en una época de guerra cibernética y el entorno es peligroso y siniestro. Los niños que hacían "travesuras" en sus sótanos fueron reemplazadas por la delincuencia organizada, los gobiernos y los individuos cometen fraudes informáticos a tiempo completo, ya sea para obtener beneficios económicos o para lograr ventajas competitivas y tecnológicas. Los países se acusan mutuamente de guerra cibernética. Cualquier red de tamaño considerable se ha visto comprometida de alguna manera y los gobiernos ya se centran en la guerra cibernética. Las apuestas nunca han sido mayores y la batalla se está librando en todos los rincones del mundo. Está todo allí: botnets, redes zombie, troyanos, malware, spam, phishing; muchos de ella tan sofisticados, que la mayoría de nosotros podría ser engañado.

Hablamos mucho acerca de la creciente sofisticación de las amenazas. Ahora tenemos algo más a lo cual hacerle frente: la disminución del nivel de conocimientos que supone una amenaza. Considere la posibilidad de Mariposa, el botnet que se originó en España e infectó millones de computadoras. Los autores tenían "conocimientos limitados de informática" y no necesitaron escribir su propio malware sino que simplemente lo descargaron de Internet. La nueva realidad es una creciente disponibilidad de herramientas en Internet, que permite a aquellos con menos conocimientos técnicos convertirse, en ciberdelincuentes.

Las respuestas obtenidas para el estudio realizado para este año demuestran que hemos llegado a un punto de inflexión en la seguridad de la información:

Por primera vez, las organizaciones son proactivas, adoptando nuevas tecnologías de manera temprana y no tardía como antes, dejando de lado su rol simplemente reactivo.

• Por primera vez, el porcentaje más bajo de los encuestados (36%) afirmó que "la falta de suficiente presupuesto", es el principal obstáculo para garantizar la seguridad de la información, comparado con el 56% el año pasado. Durante la peor crisis económica en la historia reciente cuando muchos presupuestos se están recortando, los presupuestos asignados a la seguridad de información están asegurados y muchos han aumentado.
• Por primera vez, el cumplimiento de seguridad de la información, y la mejora de resultados obtenidos en auditorias de seguridad es una iniciativa de las mas altas dentro de la seguridad, lo que permite a las organizaciones prepararse nuevas y mayores exigencias reglamentarias o legales.
• Por primera vez, más de la mitad de las organizaciones afirman que la información física, como el papel, está dentro del alcance del ejecutivo responsable de seguridad de la información. Esta respuesta (59%) sigue siendo demasiado baja - e indica un riesgo de seguridad - pero, en nuestra opinión, se está moviendo en la dirección correcta.

Esta es la séptima versión de la encuesta: resolver las preguntas de esta encuesta implican tiempo y esfuerzo por ocupados profesionales quienes dedicaron parte de su valioso tiempo para responderla (Yo entre ellos).

Ahora, que dice esta Encuesta sobre Latinoamérica? Veamos:

Latinoamérica & El Caribe (En ingles bajo el acrónimo LACRO)
Latinoamérica ha tenido un impresionante avance duramente el anterior año, colocándose a la delantera en muchas áreas. Sin embargo, han caído en áreas que lideraban el año previo. En esta región como en el resto del mundo, la mayoría de respuestas mostraron que el encargado de seguridad de la información reporta directamente el Gerente de la Compañía. Latinoamérica se encuentra cerca (54%) del promedio mundial (60%) en tener documentada y aprobada la estrategia de seguridad, lo cual es una sorpresa por que la región lideraba este campo el año pasado. Adicionalmente, la calificación obtenida del 48% por falta de compromiso y presupuesto, es segunda después de Japón y mucho mas baja que el promedio global del 62%. Latinoamérica se ubica entre los menores puntajes de alineación entre objetivos de negocio y seguridad de la información, lo cual es consistente con la falta de compromiso y presupuesto asignado.

Al igual que en Asia, la privacidad no es una prioridad en Latinoamérica, lo cual no es una sorpresa, debido casi a la inexistencia de Leyes de privacidad en la región, sumado a la cultura de "brazos abiertos" (recuerdan la ingeniería social?); de hecho la región tiene el peor índice de responsables de seguridad de la información (30% versos el 53% de promedio mundial), así como el de contar con una adecuada gestión de la privacidad de su información (24% versus el 50% de promedio mundial).

Latinoamérica también se encuentra entre los puntajes mas bajos de encriptación de información de equipos móviles (12% versus el 44% de promedio mundial), así como en mantener una base de datos de incidentes de seguridad de la información (43% versus el 54% de promedio mundial). Claramente, sin contar con una base de datos de incidentes de seguridad, resulta imposible contar con información útil desde el punto de vista de seguridad de la información.

Un punto brillante es que los encuestados de Latinoamérica (64%) indican que sus presupuestos seguridad de la información han aumentado. Esto es más alto que el promedio mundial de 56% y más alto que al menos otras tres regiones. Así, mientras que los encuestados en Latinoamérica superan solo a el Japón en la sensación de que no tienen compromiso y financiación, parece que hay un esfuerzo para corregir este problema a través de mayores presupuestos.

Que podemos interpretar de estos resultados? Veamos:

• Muy preocupante la falta de leyes especificas de seguridad de la información en toda la región.
• Falta de compromiso: la seguridad sigue siendo catalogada por prácticamente todos los empleados de cualquier empresa como responsabilidad de los vigilantes, del Circuito cerrado, de la tarjeta de acceso; se necesita un fuerte cambio cultural que anticipo no será visto en nuestro País por lo menos en una década, cuando el tema de privacidad, de seguridad de la información, de fortalecimiento de leyes, etc sea de amplio conocimiento publico.
• La cultura de "brazos abiertos" facilita muchísimo la acción de los delincuentes, hecho que se confirma por ejemplo con las múltiples noticias de tarjetas de crédito clonadas de prácticamente todas las entidades bancarias del País, esta región de momento es el paraíso para los "Ingenieros Sociales"
• Encriptación en dispositivos móviles: Cuantos de Uds. encriptan apropiadamente la información que tienen en los portátiles que les asignan en sus empleos? Cuantos de Uds. que cuentan con "teléfonos inteligentes" usan las herramientas de encriptación de datos con las que cuentan dichos aparatos?
• Interesante el crecimiento reportado en asignación de presupuestos, lo cual se traduce a largo plazo en el cambio cultural que mencione previamente, y claro esta en una mejora  en las calificaciones para las próximas encuestas de seguridad que se desarrollen en la región.

Para finalizar la entrada, los dejo con el link para descargar este informe: (Material disponible solamente en idioma ingles)

Amenazas por redes sociales

Colombia ha visto como las redes sociales han crecido de manera explosiva, convirtiéndose en un País clave en el avance de las redes sociales en América Latina siendo estas utilizadas mayoritariamente de forma positiva, como el caso del robo frustrado en Bogotá al usar Twitter pero Desafortunadamente este crecimiento ha tenido sus lunares con eventos tan lamentables como un asesinato que tuvo como origen facebook, o la amenaza a los hijos del ex-presidente Uribe (burla seria un calificativo mas preciso para este caso.)

La noticia del día  en diferentes medios como RCN, EL ESPECTADOR o a nivel internacional con la Agencia EFE es que las amenazas por redes sociales son muchísimo mas habituales de lo que nosotros escuchamos o se publica en las noticias.

Como eventualmente los links pueden perderse, transcribo aquí la noticia:

  

EL ESPECTADOR:

Amenazas por redes sociales afectan al menos a 70 personas

El director de la Policía, general Oscar Naranjo señaló que un grupo especial de la unidad de Delitos Informáticos de la Dijin está dirigiendo una investigación en los departamentos de Cundinamarca, Antioquia, Nariño y Putumayo, donde se registran las principales denuncias.

"Hemos detectado que en la última cerca de 60 a 70 personas que con nombre propio han sido amenazadas a través de este sistema", puntualizó el alto oficial al precisar que las autoridades no descartan que las Banda Emergentes estén detrás de esta nueva modalidad de intimidación.

El comandante de la Policía señaló que se espera en los próximos días determinar los responsables de estas conductas "que muchas veces comienza como una broma macabra y culminan con resultados lamentables como la muerte de civiles".

Así mismo, hizo un llamado a los colombianos que hacen parte de las redes sociales para que esta movilización no derive en conductas que vulneren los derechos de otros ciudadanos.

"La ofensiva contra bandas emergentes avanza de manera diaria y permanente, el número estimado de capturas semanales varía entre 70 y 100 copias, la verdad es que todos los miembros de la fuerza pública desde marzo de 2006 que terminó el proceso de desmovilización hasta la fecha las autoridades hemos capturado 9400 integrantes de estas organizaciones criminales"., dijo Naranjo.

El pronunciamiento de la Policía se produce luego de que en Puerto Asis, (Putumayo) fueran asesinadas tres personas que días antes habían recibido amenazas por Facebook.

Vanguardia Liberal

Crean grupo para investigar amenazas por redes sociales

Un grupo especial de la Unidad de Delitos Informáticos de la Dijin está investigando las denuncias de amenazas realizadas a cerca de 70 personas en los departamentos de Cundinamarca, Antioquia, Nariño y Putumayo, así lo informó el director de la Policía Nacional, general Óscar Naranjo.

El comandante de la Policía señaló que "han detectado amenazas con nombre propio a cerca de 60 a 70 personas", en las que podrían estar involucrados miembros de las denominadas bandas emergentes.

La Policía espera en los próximos días dar con el paradero de los responsables de los hostigamientos que si bien a veces empiezan como crueles bromas pueden terminar en muerte.

Naranjo informó que en Arbeláez, Cundinamarca, y Puerto Asis, Putumayo, donde fueron asesinados tres personas que habían sido amenazadas por Facebook, se desarrollaron consejos de seguridad para tomar medidas especiales.

Idealmente ninguno de nosotros debería recibir ningún tipo de amenaza, pero  tal y como estan las cosas actualmente, lo mínimo que puedo hacer es ofrecerles  recomendaciones básicas para tratar de proteger su información personal al utilizar las redes sociales:

• Antes de incluir su información en un sitio de redes sociales, piense y evalue las diferentes opciones de seguridad que estas ofrecen.
• Es necesario controlar la información que se coloque en una red social restringiendo el acceso a dicha página.
• No revelar nombre completo, número de Seguro Social, domicilio, número de teléfono ni información sobre los números de las cuentas bancarias o de tarjeta de crédito.
• Colocar en línea solamente la información que se desee que sea vista y conocida por otros.
• Control sobre la lista de contactos: hay que configurar la privacidad de la red social de acuerdo a la información que compartes en ella. Al agregar un nuevo usuario a tu red usuario, configura la privacidad de acuerdo a lo que quieres compartir con dicha persona.

Siendo en este momento facebook la red social mas ampliamente difundida y utilizada por todo tipo de personas, les recomiendo tomarse su tiempo ajustando las configuraciones de seguridad que salieron publicadas en EL TIEMPO en este link.

Para finalizar, no esta demas recomendarles las entradas previas sobre Ingeniería Social que ya existen en este blog para tratar de prevenir ser víctima de una amenaza por información que se haya podido filtrar por culpa nuestra en las redes sociales que utilizamos.

Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio

Como pudieron darse cuenta, las dos últimas entradas fueron sobre ITIL y CobiT respectivamente. Que relación tienen CobiT, ITIL e ISO 27000? La experiencia demuestra que resulta algo complicado implementar un SGSI sin tocar aunque sea tangencialmente a Cobit o ITIL por la gestión de la información que exista en una Organización. Así las cosas, Ud. puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusión de indicadores de ITIL, o midiendo el estado de maduración de su SGSI a través de CobiT. Para cerrar este ciclo de CobiT, ITIL e ISO 27000, observemos brevemente que nos ofrece cada una de ellas:

CobiT
Marco de referencia para objetivos de control sobre la información y recursos tecnológicos asociados. Cobit fue creado por ISACA  (Information System Control Standard) la cual es una organización sin ánimo de lucro enfocada en el Gobierno y control de IT. La función principal de CobiT es ayudar a las Organizaciones a mapear sus procesos de acuerdo a las mejores prácticas recopiladas por ISACA. Cobit usualmente es implementado por compañías que realizan auditorías de sistemas de información, ya sea relacionadas con la auditoría financiera o auditoría de TI en general.

ITIL
Marco de referencia para Infraestructura de Tecnologías de Información. ITIL fue creado por la OGC (Office of Government Commerce), y es un marco de referencia para gestionar los diferentes niveles de servicios IT. Aunque ITIL es similar a CobiT en muchos aspectos, CobiT se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT.

ISO 27000
Estándar enfocado exclusivamente en la seguridad, lo cual le hace muy diferente a los estándares manejados por CobiT o ITIL. Esta diferencia hace que la ISO 27000 tenga un alcance menor pero más profundo en el tema obviamente de seguridad comparándole con ITIL o CobiT

A continuación, una tabla de comparación de estos tres modelos:

Bien, por que entonces el titulo de esta entrada es Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio? Existe un excelente texto desarrollado por ITGI y OGC titulado Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio del negocio (ó de la empresa, dependiendo si miran la portada o el encabezado de todas las paginas del libro), que mediante un mapeo realizado a traves de tablas nos permite ver al implementar un control de ISO 27002, que estamos cumpliendo en ITIL y CobiT o en cualquier sentido: desde CobiT ,  ITIL ó ISO 27002 podemos verificar que cumplimos en cualquiera de los otros dos modelos.

Veamos el prefacio de este titulo:

Cada empresa necesita ajustar la utilización de estándares y prácticas a sus requerimientos individuales. En este sentido, los tres estándares/prácticas cubiertos en esta guía pueden desempeñar un papel muy útil, COBIT® e ISO/IEC 27002 para ayudar a definir lo que debería hacerse, e ITIL proporciona el cómo para los aspectos de la gestión de servicios.

La creciente adopción de mejores prácticas de TI se explica porque la industria de TI requiere mejorar la administración de la calidad y la confiabilidad de TI en los negocios y para responder a un creciente número de requerimientos regulatorios y contractuales. Sin embargo, existe el peligro de que las implementaciones de estas mejores prácticas, potencialmente útiles, puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas. 

Para ser más efectivos, las mejores prácticas deberían ser aplicadas en el contexto del negocio, enfocándose donde su utilización proporcione el mayor beneficio a la organización. La alta dirección, los gerentes, auditores, oficiales de cumplimiento y directores de TI, deberían trabajar en armonía para estar seguros que las mejores prácticas conduzcan a servicios de TI económicos y bien controlados.

Este libro que inicialmente fue lanzado en idioma ingles, ahora ya se encuentra disponible en español en este link: Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit  Espero que aprovechen este texto, ya que para mi fue una herramienta muy valiosa al momento de afrontar mi primera auditoría externa del SGSI. 

Que es ITIL?

Como ya mencione en la entrada anterior, un par de temas que se asocian frecuentemente con los Sistemas de Gestión de Seguridad de la Información son Cobit e ITIL. Por tal razón, hoy hablare de ITIL.

Que es ITIL? Su nombre viene de Information Technology Infrastructure Library (‘Biblioteca de Infraestructura de Tecnologías de Información’), frecuentemente abreviado como ITIL, el cual es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI. Aquí ya se ve entonces la relación inicial entre CobiT, ITIL y el Sistema de Gestión de Seguridad de la Información: cada uno de ellos es un marco de referencia que esta relacionado con IT.

Las Organizaciones actualmente dependen de IT para alcanzar sus objetivos, y cumplir con su promesa de valor a sus clientes. Para que esto ocurra de manera organizada, responsable y repetitiva, la Organización debe asegurarse de contar con servicios IT de alta calidad que le brinde:

• Alineación con las necesidades de la Organización y requerimientos de los usuarios.
• Cumplimiento de requisitos legales y reglamentarios
• Monitoreo y mejora continua de la Gestión de Servicios IT, la cual debe incluir planeación, suministros, diseño, implementación, operación, soporte y mejoramiento de los servicios IT que sean apropiados para las necesidades del negocio.

ITIL proporciona un marco de referencia consistente y coherente de mejores prácticas para la Gestión de Servicios IT y procesos conexos, promoviendo un enfoque de alta calidad para lograr altos estándares de efectividad en la Gestión IT. El rol de este marco de referencia es describir aproximaciones, funciones, roles y procesos sobre los cuales las organizaciones pueden basarse para establecer sus propias practicas.

El papel de ITIL es proporcionar una orientación en el nivel más bajo que seria de aplicación general. Por debajo de ese nivel, y para implementar ITIL en una organización, se requieren conocimientos específicos de los procesos de negocio tal organización para alinearse con ITIL y así obtener una efectividad optima.

Actualmente dentro del universo ISO, encontramos que existe una norma que rige el tema ITIL, que es la ISO 20000:2005, la cual es una especificación formal, con la cual las organizaciones pueden demostrar cumplimiento certificándose en dicha Norma.

ITIL soporta el cumplimiento del la ISO 20000 con su guia de buenas practicas, con lo cual se asegura y demuestra que los requisitos de la norma estan siendo cumplidos. De manera similar, los procesos de ITIL pueden ser utilizados igualmente para demostrar cumplimiento con los requisitos de control de CobiT

El marco de referencia de ITIL tiene como núcleos centrales cinco volúmenes, siendo estos:

1. Estrategia del Servicio
2. Diseño del Servicio
3. Transición del Servicio
4. Operación del Servicio
5. Mejora Continua del Servicio.

Para ITIL existe un esquema de certificación que ofrece un amplio rango de certificaciones para personas, desde aquellas que quieren familiarizarse con el tema hasta aquellas que quieren manejarlo profesionalmente. En Colombia existen ya numerosas instituciones que brindan esta certificación, y ya es frecuente encontrar convocatorias de empleo de personas que posean tal certificación, así que la recomendación obvia para todos Ustedes es obtener dicha certificación.