contenido » editorial » opinión » misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) » conexiones Dirección General

Transcripción

1

2

3 contenido 15 AÑO 5, NÚMERO 2, 2014 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Ulises Castillo Hernández Miguel García Menéndez Imelda Flores Monterrosas Marcos Polanco Velasco Esteban San Román Canseco Eduardo P. Sánchez Díaz Carlos Villamizar Rodríguez Marketing y Producción Karla Trejo Cerrillo Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 2, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/ TC/10/ Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx » editorial» opinión 4 Editorial Héctor Acevedo Juárez 6 Consejos prácticos para la implementación de su SGSI Carlos Villamizar Rodríguez 10 Certificaciones en seguridad de la información Por dónde empezar? Esteban San Román Canseco 12 De ransomware y otros males Imelda Flores Monterrosas 28 COBIT 5 y el concepto de alineamiento Miguel García Menéndez» misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) Ulises Castillo Hernández» conexiones 22 Desde la trinchera API: Un viejo concepto, un nuevo frente de batalla Marcos Polanco Velasco 24 En el pensar de... Ciberseguridad, más que un término de moda Eduardo P. Sánchez Díaz Abril - Junio

4 editorial Informe global sobre tecnología de la información Héctor Acevedo CISSP, CISA, CGEIT, ITIL y MCSE hacevedoj@scitum.com.mx El pasado mes de abril el World Economic Forum liberó la edición 2014 de su Informe global sobre tecnología de la información (The Global Information Technology Report ), que por treceavo año presenta su Networked Readiness Index, una evaluación integral de cómo un país está aprovechando las tecnologías de información y comunicaciones (TIC) para mejorar la competitividad y el bienestar, con una calificación o índice que puede ir de 1 a 7. Aunque el reporte bien se presta para un artículo completo, quiero aquí solo resaltar qué países están en los primeros 15 lugares, de 148 evaluados, y qué posiciones ocupan España y las naciones latinoamericanas que entraron en la lista: Lugar País NRI 1 Finlandia Singapur Suecia Países Bajos Noruega Suiza EE.UU Hong Kong Reino Unido Corea Luxemburgo Alemania Dinamarca Taiwán Israel 5.42 Lugar País NRI 34 España Chile Panamá Costa Rica Uruguay Colombia Brasil México Ecuador Perú República Dominicana El Salvador Argentina Guatemala Paraguay Venezuela Honduras Bolivia Nicaragua 3.08 Lo interesante aquí es que ser una potencia económica no asegura estar en un mejor lugar: en la primera tabla EE.UU. está en la séptima posición y el Reino Unido en el noveno; en la segunda tabla Brasil (69) y México (79) tienen arriba seis naciones que van del 34 al 63. Lo que pareciera confirmar una máxima popular: no basta tener dinero, hay que saber cómo y en qué usarlo. Por favor no dejen de visitarnos en nuestro sitio Web ( pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Atentamente Héctor Acevedo Juárez Editor en jefe 4 1 El reporte completo, en inglés, puede bajarse de reports/global-information-technology-report-2014

5

6 opinión Consejos prácticos para la implementación de su SGSI Carlos Villamizar Rodríguez CISA, CISM, CGEIT, CRISC, CobiT Foundation Certificate e ISO27001 LA cvillamizar@globalsuite.es / cvillami@telecom.com.co Según estadísticas de la International Organization for Standardization (ISO), al finalizar el año 2012 en todo el mundo se habían certificado 19,577 empresas en la Norma ISO27001: Sistema de Gestión de Seguridad de la Información (SGSI) 1. Asia oriental y Europa, con 10,373 y 6,384 empresas respectivamente, llevan una delantera significativa sobre otras regiones del mundo. Igualmente, desde 2006 hasta 2012 se observa un creciente incremento en el interés de las organizaciones por obtener su certificación en dicha norma, como se observa en la siguiente figura. 15,000 10,000 Asia oriental y Pacífico América del Norte Oriente Medio Europa Asia central Centro y Suramérica África ,

7 Mientras que la lista de los 10 países con mayor cantidad de empresas certificadas está encabezada por Japón, seguido del Reino Unido e India: Países certificados en ISO (Top 10) 1 Japón 7,199 2 Reino Unido 1,701 3 India 1,600 4 China 1,490 5 Rumania Taipei España Italia Alemania Estados Unidos 415 En América Latina al finalizar 2012 sólo teníamos 278 empresas certificadas en la Norma ISO27001:2005 (1.42% del total). Aunque nos encontramos a años luz de quienes están en el top 10, encontramos un panorama interesante y creciente en países como México, Colombia y Brasil, como se observa en la tabla siguiente: Argentina Barbados 1 1 Bolivia Brasil Chile Colombia Costa Rica Cuba Rep. Dominicana Ecuador El Salvador Guatemala Guyana 1 1 Honduras 1 1 Jamaica 1 1 México Panamá Perú Puerto Rico Trinidad 1 Uruguay Total por año He participado en los últimos cinco años en una veintena de proyectos de definición e implementación de sistemas de gestión de seguridad de la información (SGSI). Particularmente el año anterior tuve el orgullo de llevar a dos empresas en Colombia a la obtención de la certificación ISO27001:2005. Abril - Junio

8 En el devenir de la ejecución de estos proyectos he identificado 10 aspectos básicos para su culminación exitosa, por ello me atrevo a compartir con ustedes estos consejos, esperando que les sean de utilidad como lo han sido para mí después de haber sufrido también alguno que otro sinsabor: 1.Compromiso de la alta dirección. Para que la iniciativa entregue los resultados esperados es un requisito necesario el apoyo e involucramiento de la alta dirección, sin su apoyo formal real es casi imposible desarrollarlo y demostrar el logro de la conformidad en la implementación del SGSI. Aquellos proyectos que provienen de los sectores operativos o tácticos y no cuentan con el respaldo de la alta dirección tienen mayor posibilidad de fracaso. 2.Cada organización es un mundo diferente. Aun perteneciendo al mismo sector económico o a un mismo grupo empresarial, cada empresa tiene su ambiente de control, un apetito de riesgo y riesgos de seguridad de la información particulares. Lo que es bueno para una, puede que no lo sea para otra, por ello copiar tal cual NO es procedente. Se debe considerar un entendimiento de los requerimientos de seguridad y gestión de riesgos sui géneris de cada organización. 3.Definición apropiada del alcance. Es importante definir un alcance del SGSI que sea viable. El esfuerzo para implementar el sistema de gestión no es el mismo cuando el alcance incluye TODOS los procesos de la organización, a uno que incluya sólo uno o dos procesos relevantes. En este sentido es mejor iniciar con pocos procesos y paulatinamente ir creciendo la cobertura del SGSI, a medida que se obtiene mayor madurez en seguridad de la información. 4.Los controles no son todo. Es un error creer que la implementación de los controles de seguridad incluidos en el Anexo A de la norma es el todo. A pesar de ser muy importantes, existen otros que deben considerarse elementos clave de un SGSI, como por ejemplo los objetivos de seguridad de la información, la declaración de aplicabilidad, métricas e indicadores de seguridad, información documentada, procedimientos de auditoría interna, no conformidades, acciones correctivas, etcétera. 5.El SGSI es de la empresa. En ocasiones, las organizaciones contratan el servicio de consultoría para apoyar la definición y puesta en marcha del sistema de gestión, cometiendo el craso error de delegar todo el trabajo al grupo consultor sin involucrarse en el desarrollo del proyecto. Por favor tengan en cuenta que el SGSI no es de la consultora, es de la organización! La consultora algún día se irá, y si la organización no se compromete desde el inicio del proyecto no aprenderá a implementar y mantener adecuadamente su sistema de gestión. He visto algunos casos en los cuales la consultora entregó al cliente manuales, procedimientos, formatos, etcétera Y el cliente no sabe cómo aplicarlos! 6.Evalúe el desempeño. Una forma de saber si el SGSI está operando adecuadamente o no es a través del uso de métricas e indicadores. La vieja máxima que dice que lo que no se puede medir no se puede controlar es aplicable también a un sistema de gestión. Luego entonces, hay que definir métricas e indicadores relevantes. En ISO27004 MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN se puede encontrar una guía de orientación, inclusive con algunos ejemplos. 7.Sensibilice. En la implementación del SGSI no debemos dejar de lado el recurso humano y sus responsabilidades frente a la seguridad de la información. A la gente se puede llegar a través de diversos medios para sensibilizarla: afiches, pendones, protectores de pantalla, videos, trivias, juegos, obras de teatro, etcétera 2. 8.Importante es llegar, pero mantenerse también. La certificación en la Norma ISO no es el fin, es apenas el inicio de un largo y sinuoso camino por la seguridad de la información. Recuerde que un SGSI debe operarse día a día, no una semana antes de la auditoría de certificación o mantenimiento. El sistema debe ser sostenible en el tiempo y eso se logra solamente con el involucramiento del personal y su operación diaria. 9.Mejora continua. Si se hace adecuadamente, realimenta y hace que el SGSI se nutra y enriquezca. Es vital establecer acciones correctivas y preventivas para que el sistema reaccione ante eventos desfavorables y evolucione hacia una mayor eficacia. 10.Automatice su SGSI. Tradicionalmente estas iniciativas se ejecutan con el apoyo de herramientas de ofimática. En mis últimas experiencias de contribución a la obtención de la certificación en ISO27001:2005, el uso de una herramienta automatizada que cubra todo el ciclo de vida del SGSI (planear-hacer-verificar-actuar) sin lugar a dudas ha sido factor crítico de éxito, ya que ha reducido la duración de la consultoría por lo menos 25%, especialmente en las actividades de inventario de activos, gestión de riesgos y establecimiento de métricas e indicadores. Además, ha permitido que el cliente se involucre directamente en el uso de la herramienta conservando todos los registros y documentos del SGSI en un solo repositorio de información y, sobre todo, le ha permitido dar sostenibilidad al SGSI, sin dependencia directa del equipo de consultoría. 1 Fuente: 2 Mayor información se puede encontrar en Jugando a crear cultura de seguridad de la información De la teoría a la práctica publicado en 8

9

10 opinión Certificaciones en seguridad de la información Por dónde empezar? Esteban San Román Canseco CISSP, CISA, CEH, ITIL y CRISC esanroman@scitum.com.mx Desde hace tiempo contar con una certificación ha sido un argumento muy utilizado como herramienta de apoyo en la venta de proyectos. En mi escritorio tengo una imagen que incluye la frase Lo mejor de los estándares es que hay muchos de dónde escoger y esto es muy cierto, puedo apegarme a un estándar de acuerdo a la industria en la que me desenvuelvo, al entorno regulatorio del país, al gremio profesional al que pertenezco e inclusive de acuerdo a cómo me desempeño en mis labores cotidianas. Desde otro punto de vista, una certificación puede entonces asociarse a procesos, tecnología o gente. Procesos ISO-9000 y su enfoque hacia la calidad total detonaron la necesidad de que hubiera una entidad independiente que avalara la capacidad de las organizaciones para desempeñar con eficiencia las diversas tareas que componen los diferentes procesos y que a su vez constituyen el motor de la operación de los negocios. Prácticamente todos los estándares ISO que conocemos, en particular los asociados a TI (ISO-27001, ISO-20000, ISO , etcétera) siguen la estructura del estándar base ISO Es muy importante cuando se trabaja con un estándar tener la seguridad de que es la versión más actualizada del mismo. No es igual homologar los procesos al estándar ISO27001:2005 que hacer referencia al ISO27001:2013, hay modificaciones relevantes de versión a versión. Si usted está apoyado por un buen grupo de consultores es muy probable que ellos estén al tanto de los ajustes que se requieren para dar cumplimiento a las regulaciones que nos exigen nuestros socios de negocio. En Magazcitum podrá encontrar artículos muy recientes de nuestros colaboradores donde se abordan las peculiaridades de estos cambios. La necesidad de certificarse ha tomado diferentes matices y dejó de limitarse a los procesos, comenzando a involucrar a la tecnología que los habilita y a la gente que la opera. Tecnología Para el campo de la tecnología el gobierno de los Estados Unidos y en particular el Departamento de la Defensa crearon hacia finales de la década de los setenta el TCSEC (Trusted Computer System Evaluation Criteria), con enfoque en el atributo de confidencialidad de la información y cuya publicación base es el Libro Naranja. Este libro, conocido también como el estándar DoD , es a su vez parte de una serie de libros de diferentes colores, asociados cada uno de ellos a diferentes temas de TI y que en conjunto reciben el nombre de Serie Arcoiris (Rainbow Series). Hacia 1990, Francia, Holanda, Alemania, el Reino Unido y posteriormente el resto de la Unión Europea redefinieron el nivel de aseguramiento y añadieron el atributo de funcionalidad para crear un estándar alterno llamado ITSEC (Information Technology Security Evaluation Criteria) y a partir de ambas propuestas y el estándar canadiense CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) se desarrolló el Common Criteria (CC), hoy ISO/IEC Este estándar de 7 niveles (EAL1 a EAL7), dictamina el nivel de confiabilidad que se puede tener en una solución tecnológica, sea hardware o software. Si está por adquirir una solución basada en uno o varios productos de seguridad de diferentes fabricantes, este parámetro le puede dar una idea de qué tan reconocida es la mezcla de tecnologías que contempla con el objeto de compararlas con otras alternativas. 10

11 Para obtener mayor información de los criterios de evaluación que mencionamos visite los siguientes enlaces: Con afán de sentar las bases de comparación tecnológica, una mención aparte merece la aparición y desarrollo del segmento de los laboratorios de pruebas comparativas o benchmarking donde encontramos por ejemplo al Tolly Group, Icsalabs o agencias consultoras que hoy son ampliamente reconocidas como Gartner, Forrester Research y el Yankee Group, cuya incursión y bonanza ha sido alimentada por las necesidades de diferenciación de los fabricantes de soluciones en un medio en el que cada vez es más difícil distinguirse de otros. Quiero puntualizar que estas referencias no son de ninguna forma exhaustivas, tan solo representan una pequeña muestra de lo que hay en el mercado. Gente Una certificación en cualquier ámbito se ha vuelto un distintivo inaplazable para la gran mayoría de los profesionales de TI y de alguna forma también para adquirir un nivel de reconocimiento en el gremio. Para conseguir una promoción, obtener un empleo calificado en una corporación o ser simplemente considerado en un proyecto, tener una certificación se ha vuelto un deber del profesional de TI. Existen alrededor de dos mil diferentes certificaciones solamente en TI, muchas de ellas atadas al conocimiento de la tecnología de un fabricante y otras al conocimiento y aplicación de los conceptos de varias disciplinas y con independencia de una solución. Para saber más de las distintas certificaciones que hay en el mercado acceda a: Un apunte final: aunque no hay una garantía per se de la capacidad de aquel que ostenta una certificación, siempre es un indicador de que la persona ya ha demostrado un nivel de conocimientos en una evaluación imparcial y de que cuenta con una preparación que puede ir consolidando con la experiencia de los proyectos que pongan a prueba estas capacidades. A continuación se listan algunas de las certificaciones más reconocidas en seguridad informática, sin seguir necesariamente un orden particular: CEH - Certified Ethical Hacker CHFI - Computer Hacking Forensic Investigator Reconoce a individuos en tópicos específicos de la disciplina desde una perspectiva neutral al fabricante. Un hacker ético certificado es un profesional que entiende y conoce la forma de buscar debilidades y vulnerabilidades en los sistemas objetivo valiéndose del mismo conocimiento y herramientas de las que dispone un hacker malicioso. El análisis forense es un proceso enfocado a detectar los ataques producidos por actividades de hackeo y extraer de manera adecuada la evidencia para reportar un presunto crimen o llevar a cabo auditorías que prevengan ataques en el futuro. Los investigadores que cuentan con esta acreditación manejan un conjunto de técnicas y metodologías para descubrir los datos que residen en un sistema de cómputo, o recuperar información que ha sido borrada, cifrada o dañada. Al entrenarse, los participantes obtienen los elementos necesarios para identificar las huellas del intruso y colectar eficazmente la evidencia para armar un caso que se pueda llevar a los tribunales. CISSP - Certified Information Systems Security Professional La certificación estrella de ISC2 es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial. Su cobertura en disciplinas abarca tanto campos técnicos como la seguridad en redes, desarrollo, criptografía y controles de acceso. El número de profesionales con esta certificación ya se acerca a los 100 mil a nivel mundial. CSSLP - Certified Secure Software Lifecycle Professional Con la cada vez más generalizada proliferación de vulnerabilidades en los aplicativos, que resultan de los procesos tradicionales de desarrollo de software, un profesional con esta certificación de la ISC2 implanta mejores prácticas y valida las medidas de seguridad que se incorporan al ciclo de vida del desarrollo de software (SDLC). Con una visión holística de la seguridad aplicativa, independiente del lenguaje o la técnica empleada para producir código, esta certificación se creó para analistas, desarrolladores, ingenieros de software, arquitectos de aplicación, gerentes y líderes de proyecto y profesionales de aseguramiento de calidad. PMP - Project Management Professional La certificación PMP, otorgada por el Instituto de Administración de Proyectos (PMI), es la acreditación en esta materia con el mayor reconocimiento general. En la actualidad, existen más de 265 mil PMP en más de 180 países. GIAC - Certified Forensic Analyst (GCFA) Es una de las más reconocidas del SANS Institute y su ámbito abarca a los profesionales que trabajan en los campos de cómputo forense y respuesta a incidentes de seguridad de la información. La certificación tiene enfoque en las habilidades fundamentales para recuperar información de sistemas basados en Windows y Linux, de manera que los candidatos demuestren que tienen los conocimientos y habilidades necesarias para conducir investigaciones de incidentes y manejar escenarios avanzados. CISA - Certified Information Systems Auditor Esta certificación es de las más reconocidas y que más tiempo tiene en el medio. Es otorgada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) y se reconoce a nivel mundial cuando se habla de capacidad sobre temas de auditoría y controles de TI. Existen alrededor de 87 mil profesionales en el mundo con esta certificación. Abril - Junio

12 opinión De ransomware y otros males Imelda Flores PMP, CISSP, ITIL, CCNA Security, Cisco IPS y Optenet Certified iflores@scitum.com.mx Todos sabemos que en los últimos años las amenazas provenientes del cibercrimen se han incrementado exponencialmente. En un reporte que RAND realizó en conjunto con Juniper, señaló que el mercado negro de software es incluso mayor que el de drogas como la cocaína y la mariguana. Así las cosas, últimamente ha estado tomando mucha relevancia el ransomware, término que se le da al malware que bloquea el acceso a un equipo o a la información del mismo hasta no pagar cierta cantidad de dinero. Hace varios años empezó en forma de police ransomware este tipo de amenaza, usando el logotipo de la policía local para acusar a la víctima de haber estado viendo pornografía e informarle que debe pagar una multa o de lo contrario le espera la cárcel. Gracias a los esfuerzos de concienciación eso ya pasó de moda, pero ahora el malware lo que hace es cifrar la información y pide entre 300 y 600 dólares, normalmente pagados en forma de bitcoins (dinero electrónico difícil de rastrear) en cierto tiempo, so pena de incrementar la cuota o de borrar definitivamente la información. Lo más grave es que, aunque se pague, no existe garantía de que realmente se proporcione la llave para descifrar la información. Existen distintas variantes, entre ellas está CryptoLocker, Prison Locker, BitCrypt, CryptorBit y Cryptodefense, el más nuevo al momento de redactar esta nota, el cual de acuerdo con el portal de noticias Dark Reading fue desarrollado por una banda que compite con los creadores de CryptoLocker. Para minimizar el riesgo de infección, varios fabricantes de antivirus recomiendan tener un respaldo de los datos, por supuesto en un medio externo y desconectado de la computadora, con la información a proteger, mantener el sistema operativo y el antivirus actualizado, etcétera. Si bien estas medidas pueden ayudar a reducir la pérdida de una parte de la información, no evitarán que un atacante comprometa un equipo con una variante que el antivirus no puede detectar. Después de leer lo anterior, la pregunta que todos se deben estar haciendo en este punto es Cómo nos protegemos de este tipo de amenazas? Definitivamente no es a través de las medidas típicas, ya pasaron los tiempos donde era suficiente con tener antivirus, un firewall y un IPS; estamos en un punto en el que es necesario incorporar inteligencia más allá de herramientas y monitoreo de seguridad tradicional, porque podemos estar seguros de que el ransomware es el menor de nuestros males, ya que con la cantidad de cibercriminales existentes, la exposición es cada vez mayor no solo al cifrado indeseado sino a todo tipo de robo de información. La inteligencia a incorporar debe alimentarse de información de distintos puntos de la red, con expertos que sean capaces de analizarla en tiempo real para tomar decisiones. Se requiere una estrategia integral con procesos y procedimientos que permitan ser proactivos más que actuar cuando ya se presentó un incidente de seguridad, porque cada actividad realizada dentro de la organización sin el adecuado análisis puede abrir un hueco de seguridad. Desde mi punto de vista, creo que un gran número de organizaciones en Latinoamérica no está preparado para los costos de la verdadera seguridad, sin embargo siempre debiera hacerse un análisis básico sobre el costo de estar protegidos y disminuir el riesgo versus afrontar las consecuencias económicas, políticas y de imagen de un incidente de seguridad. Definitivamente es un tema a ser analizado en el contexto de cada organización, sólo cabe destacar que cada minuto que nosotros perdemos es un minuto que cientos de delincuentes están aprovechando para explotar nuestras vulnerabilidades. 12

13

14 isión:crítica Deje de compra (segunda parte) Ulises Castillo Hernández MSIA, CISSP, CISM y CISA ucastillo@scitum.com.mx En la primera parte comenté sobre el sesgo que los responsables de seguridad comúnmente tienen hacia la tecnología y por lo que es frecuente que no exista un balance adecuado entre gente, procesos (incluyendo particularmente la disciplina de operación de la seguridad) y tecnología. Este desbalance es la inspiración para el título de este artículo. También enumeré los principales procesos que deberían tomarse en cuenta y las tareas que cada uno de ellos debe contemplar, para que el lector cuente con herramientas para evaluar el nivel de madurez de su organización a este respecto. En esta ocasión abordaré algunas ideas y sugerencias de cómo implementar esos procesos y mejores prácticas. Para ello utilizaremos el caso hipotético de Gigi. 14 Nuestro caso de estudio Gigi es la responsable de seguridad de la información (o CISO, por las siglas en inglés de Chief Information Security Officer) de una empresa en el ramo de seguros. En los últimos años ha tenido algunos incidentes de seguridad que han hecho que los altos ejecutivos estén más conscientes de la necesidad de protección de su información y le soliciten a Gigi mejores resultados en esa tarea. Lo anterior ha hecho que Gigi se sienta muy presionada, pues no sólo le han exigido mejorar la seguridad sino que le han aprobado, con ciertas limitaciones, las iniciativas de mejora que ha propuesto. El año pasado, por ejemplo, le autorizaron reforzar la seguridad en Internet y en los servidores críticos de bases de datos. Para estos dos proyectos Gigi adquirió varios dispositivos, incluyendo un firewall de bases de datos, y dos personas de su equipo tomaron los cursos de los fabricantes respectivos. No obstante, el mes anterior hubo un incidente de seguridad relacionado con fuga de información y, para colmo, la base de datos usurpada era una de las que supuestamente estaban protegidas. Cuando se le reclamó al proveedor del equipo, este argumentó a su favor que (a) los firewalls de bases de datos habían enviado ciertas alertas a la consola, pero nadie las estaba monitoreando en ese momento, (b) la configuración de los mismos no estaba completa pues faltaba aplicar ciertas reglas para detectar algunos comportamientos anómalos, y (c) los administradores de bases de datos no tenían bien configurados los permisos, lo que aumentaba las vulnerabilidades en el sistema.

15 r tecnología de seguridad En resumen, la tecnología no podía suplir errores y omisiones humanas. Parecía que Gigi y su equipo necesitaban algo más. Leyendo la primera parte de este artículo, Gigi se dio cuenta de lo que había estado haciendo en los últimos meses: había estado tratando de resolver los retos de seguridad poniendo demasiado peso en las herramientas, poco peso en la gente que las opera, y prácticamente ninguno en los procesos para su gestión y monitoreo. Lo que narraré a continuación son las diversas actividades que Gigi y su equipo realizaron para mejorar sus procesos y prácticas de seguridad. El lector se dará cuenta de que las fases en que dividió Gigi el proyecto pueden servir de base para proyectos similares en su organización y conformar un marco metodológico general que pueda ser fácilmente aplicable. Tomando conciencia El lunes siguiente Gigi llegó a su oficina con una tarea en mente: hacer que su gente entendiera la importancia de los procesos y prácticas de seguridad. Afortunadamente todo el equipo había leído y entendido el mensaje: Hay que implementar buenos procesos y prácticas de seguridad. Todos estaban de acuerdo en el qué, pero no sabían cómo atacar el problema. Después de revisar varias alternativas, Gigi propuso establecer algunas preguntas clave: Primera etapa (entendiendo el problema)- Dónde estamos? Qué tenemos? Qué implicaciones hay? Segunda etapa- Qué queremos lograr? Tercera etapa- Qué opciones tenemos? Cuarta etapa- Qué hay que hacer? misión:crítica Todos aceptaron la idea de usar como base estas preguntas y se pusieron a trabajar. Veamos lo que fueron logrando en cada etapa. Primera etapa (entendiendo el problema) Dónde estamos? Qué tenemos? Qué implicaciones hay? Dado que el objetivo de esta etapa es entender mejor el problema, después de una breve discusión todos estuvieron de acuerdo en hacer un análisis de brechas de los procesos. Esto es establecer el estado actual de cada proceso y después definir la brecha (aquello que le falta) para llegar al nivel de madurez deseado. El equipo de trabajo se dio cuenta de que ellos mismos conocían el estado de la mayoría de los procesos por lo que casi no necesitarían consultar fuentes externas y esta labor sería relativamente rápida. Abril - Junio

16 isión:crítica Para hacer un poco más concreto el análisis de brechas, decidieron crear un modelo de madurez de procesos con los niveles siguientes: 0. Inexistente. No hay un proceso implementado ni prácticas equivalentes. 1. Básico. El proceso es muy simple, no está documentado en forma completa y tiene alcances limitados (podrían, incluso, no estar muy claros esos alcances). No está integrado con otros procesos, además de que hay muchas inconsistencias y errores asociados a su ejecución. 2. Intermedio. La documentación y alcances son mejores que los del nivel anterior pero aún es incompleta o todavía hay inconsistencias, ya sea en su ejecución, entre lo documentado y la práctica, etcétera. Los niveles de sistematización y automatización tampoco son los mejores. 3. Avanzado. Los alcances son los que pragmáticamente requiere la organización, aunque no cumplan rigurosamente con los estándares o prácticas internacionales. La documentación es completa y consistente con la ejecución. El nivel de sistematización y automatización puede no ser el mejor pero el proceso es eficiente. 4. Ideal. Cumple con las mejores prácticas a nivel internacional. El proceso está completamente documentado, todos los involucrados lo conocen y lo siguen, por lo que hay total consistencia en su ejecución y se llevan métricas de la misma (a veces llamados KPI: Key Performance Indicators). Hay evidencias claras de su utilización. Está sistematizado y su automatización se ha llevado al máximo nivel. Está integrado con los demás procesos. Al continuar con la preparación decidieron asociar una implicación a la brecha ( Qué nos ha pasado o nos puede pasar por no tener bien implementado ese proceso o práctica de seguridad?) y acotaron el alcance de la tarea: los procesos asociados con administración de identidades, administración de vulnerabilidades y desarrollo de aplicaciones seguras los dejarían para un futuro. Aunque las definiciones de niveles de madurez anteriores no son exactamente iguales a modelos más conocidos, esas fueron las que Gigi y su equipo definieron y con las que estuvieron a gusto. Veamos a continuación sus hallazgos para algunos de los procesos. Proceso de administración de riesgos a) Dónde estamos? Qué tenemos?: se hace un análisis de riesgos anual y se establecen prioridades de atención así como un plan concreto de acción. b) Qué implicaciones hay?: el equipo se dio cuenta de que uno de los elementos que les faltaba era tener una realidad única sobre los riesgos de la información. También se dieron cuenta de que no contaban con métricas claras para establecer el nivel de riesgo de la empresa y determinaron que otra brecha importante era convertir el análisis de riesgos en un proceso continuo de administración de riesgos, que no tenían. Determinar las implicaciones de lo anterior resultó muy sencillo. Se percataron de que su proceso estaba en el nivel básico y que al no tener una cobertura integral y no ser continuo aumentaba su nivel de exposición, pues solo una vez al año están haciendo un análisis razonablemente completo. Adicionalmente, al no contar con métricas de seguridad, cada uno de los involucrados tiene percepciones y opiniones distintas sobre el nivel de riesgos de la información de la empresa, lo que se está haciendo para su manejo y, en general, acerca del estado de seguridad de la organización. Proceso de administración de vulnerabilidades a) Dónde estamos? Qué tenemos?: se dieron cuenta de que el nivel de madurez era muy básico. Hoy contratan a un externo para hacer pruebas de hackeo ético desde Internet y después de cada prueba se establece, con apoyo del tercero, el plan de remediación de las vulnerabilidades encontradas. b) Qué implicaciones hay?: el plan de remediación que establecen después de cada prueba es muy concreto y no es un proceso continuo. Adicionalmente, las remediaciones no se insertan en el proceso de control de configuraciones y no hay nadie revisando continuamente nuevos ataques o amenazas en Internet. 16

17 Al no tener un proceso continuo y con mayor cobertura que incluya un escaneo en toda la infraestructura tecnológica y aplicaciones, así como en los procesos y en el personal, es altamente probable que haya vulnerabilidades de las cuales no están conscientes, lo que aumenta su exposición a distintos riesgos. Procesos de administración de cambios y configuraciones «...al no contar con métricas de seguridad, cada uno de los involucrados tiene percepciones y opiniones distintas sobre el nivel de riesgos de la información de la empresa» 1. Dónde estamos? Qué tenemos?: se dieron cuenta de que en el área de sistemas casi toda la infraestructura posee un buen nivel de madurez en estos procesos; están definidos, son conocidos por los responsables y se siguen rutinariamente. Sin embargo, en la configuración de bases de datos e infraestructura de seguridad estos procesos no son tan maduros pues su definición no está completa, las guías de apoyo están desactualizadas o no existen, no pasan por la planeación de los cambios y nadie garantiza que los elementos involucrados estén con configuraciones autorizadas y actualizadas. 2. Qué implicaciones hay?: la principal implicación es inestabilidad, que tratándose de dispositivos de seguridad se manifiesta como inseguridad. Procesos de monitoreo de la seguridad y manejo de incidentes de seguridad a) Dónde estamos? Qué tenemos?: todo el equipo de Gigi tuvo que reconocer que en estos procesos el nivel de madurez era prácticamente nulo. Aunque se habían implementado las consolas de firewalls, IPS (sistemas de prevención de intrusos), antivirus y filtros de contenido, no había ningún responsable de su monitoreo y, por tanto, nadie lo hacía de manera continua. Por otro lado, se dieron cuenta de que tampoco existían acciones predefinidas para el manejo de actividades sospechosas o incidentes de seguridad. b) Qué implicaciones hay?: no se monitorea el comportamiento de la infraestructura de seguridad y las acciones derivadas de un incidente de seguridad tienen resultados aleatorios, pues cada persona actuará como mejor crea conveniente o conforme le dicte su experiencia. misión:crítica Segunda etapa Qué queremos lograr? En esta etapa al preguntarse Qué queremos lograr?, el equipo definió su VISIÓN: Deseamos implementar una operación de la seguridad más estable, que sea proactiva para detectar y manejar oportunamente los incidentes de seguridad. Abril - Junio

18 isión:crítica Como ya se imaginarán, a continuación precisaron definir varios de los términos de la visión anterior: a) Operación estable. La definieron como una operación en donde: Los procesos de control de cambios y configuraciones son claros, bien establecidos y alineados a ITIL. 99 de cada 100 cambios se ejecuten conforme a lo planeado. Los dispositivos de seguridad involucrados estén actualizados. b) Detección oportuna. Concluyeron que para detectar oportunamente y ser más proactivos debían: Implementar un proceso de monitoreo y detección de incidentes de seguridad apegado a las mejores prácticas. Detectar todos los incidentes de seguridad que la tecnología permita en un lapso menor a 10 minutos y contenerlos en los siguientes 60 minutos. Monitorear diversos sitios de Internet para conocer, el mismo día, nuevas vulnerabilidades y nuevas amenazas (incluyendo, entre otras, ataques de día cero y amenazas persistentes avanzadas) para aplicar las medidas necesarias. Ahora bien, al intentar establecer el marco de mejores prácticas e indicadores más específicos, se dieron cuenta de que el monitoreo y detección de incidentes de seguridad no están bien definidos en ITIL, además de que requerían una mayor experiencia. Por ello, para no abarcar demasiado, decidieron dejar para un futuro el análisis de los procesos de administración de riesgos y vulnerabilidades, no por no ser importantes sino porque todo proyecto debe acotar sus alcances. Tercera etapa Qué opciones tenemos? Como ya se comentó, se decidió trabajar en los procesos de administración de configuraciones, cambios, monitoreo de seguridad y manejo de incidentes de seguridad. Al decidir que se buscaba un nivel de madurez avanzado en menos de un año, el equipo de Gigi estableció las alternativas para desarrollar el proyecto y definió que había tres variables importantes para jugar con las opciones: a) Cobertura: Qué procesos queremos cubrir? b) Madurez: A qué nivel de madurez aspiramos llegar en los procesos elegidos? c) Forma: Quién lo desarrollará? El equipo de Gigi, un externo calificado o una combinación para tener un equipo mixto? C M Y CM MY CY CMY K El resultado del análisis se resume en la siguiente tabla: 18 Cobertura Administración de cambios y configuraciones. Basado en ITIL versión 3. En la primera etapa se cubrirán solamente los firewalls y sistemas de prevención de intrusos (IPS) de la salida a Internet. Posteriormente se cubrirán otros dispositivos. Monitoreo y manejo de incidentes de seguridad. Utilizarán la metodología de un proveedor externo (la cual está basada en el CERT y en SANS). El enfoque será hacia los firewalls (incluyendo los de bases de datos) e IPS. Posteriormente hacia otros dispositivos e integración de herramientas de correlación (SIEM). Nivel de madurez deseado Nivel 3: avanzado Nivel 3: avanzado Resumen de opciones para los procesos a cubrir en la fase 1 del proyecto Quién lo desarrollará? El equipo interno desarrollará e implementará estos procesos debido a que tienen los conocimientos y experiencia suficiente en ITIL. El equipo del proveedor externo realizará las adaptaciones a su metodología

19 Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, la solución líder del mercado:» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial» Cumple totalmente los requisitos 6.6 de PCI DSS SecureSphere Web Application Firewall ThreatRadar Imperva México IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F Informes: cynthia.ortega@imperva.com Tel: Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

20 Cuarta etapa Qué hay que hacer? Se decidió dividir el trabajo en dos grupos: un equipo interno enfocado a los procesos de administración de cambios y configuraciones, y un equipo híbrido dedicado al proceso de monitoreo y administración de incidentes de seguridad. Las principales acciones que se definieron para el equipo interno fueron las siguientes: a) Capacitar a dos personas en el nivel inicial de ITIL. b) Aterrizar los procesos de control de cambios y configuraciones. Esto incluye determinar los flujos específicos con las tareas que le corresponden a los roles involucrados, ajustar los indicadores (KPI), entre otras tareas. c) Hacer guías básicas de configuración de los firewalls y de los IPS, de acuerdo a las marcas y modelos que tiene la empresa instalados hoy en día. d) Realizar revisiones simuladas de los procesos, donde se prueben con algunos cambios controlados y se recorran los procesos respectivos. e) Ajustar los procesos de acuerdo a lo observado en la actividad anterior. f) Implementar los procesos. El cronograma general lograron establecerlo para seis meses como lo muestra la figura siguiente: ACTIVIDAD MES 1 MES 2 MES 3 MES 4 MES 5 MES 6 A. Capacitación ITIL B. Aterrizar procesos C. Hacer guías básicas D. Pruebas E. Ajustes a procesos F. Implementación Cronograma para la implementación de los procesos de control de cambios y configuraciones Para el segundo equipo las actividades principales se estipularon así: a) Levantamiento de información. El objetivo es que el proveedor se familiarice con la forma actual de operar la infraestructura, pero sobre todo- con la visión específica del proyecto y lo que se desea obtener en estos procesos. b) Revisión de alcances. En esta actividad se debe realizar un documento completo sobre los alcances, generalmente llamado SOW, por las siglas del inglés de scope of work. c) Adaptación de los procesos. Esta tarea es realizada fundamentalmente por el externo, y el objetivo es ajustar los procesos de su marco metodológico a las necesidades y particularidades del cliente, incluyendo procedimientos, guías, roles, funciones y demás definiciones y documentos que acompañan a dichos procesos y que son necesarios para la operación completa. d) Transferencia de conocimientos, que abarca: Talleres y cursos para el entendimiento de los procesos y los documentos complementarios. Operación conjunta, que incluye un período de apoyo (coaching) muy personalizado a cada integrante del equipo del cliente, así como un periodo de operación de transición. Liberación, que incluye un periodo de observación y evaluación de la operación autónoma del cliente. 20