Introducción... 3 Axiomas de la seguridad de la información en la actualidad Defensa en profundidad Recomendación...

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Introducción... 3 Axiomas de la seguridad de la información en la actualidad... 3 1 Defensa en profundidad... 3. Recomendación..."

Transcripción

1

2 Índice Introducción... 3 Axiomas de la seguridad de la información en la actualidad Defensa en profundidad... 3 Recomendación Controles por tipo de activo... 5 Recomendación Aceptar la consumerización... 6 Recomendación Correlación de eventos Recomendación Proactividad y capacidad de respuesta 7x Recomendación Procesos y buenas prácticas Recomendación Pedir ayuda! Recomendación Recomendaciones específicas sobre qué no hacer Falsa sensación de seguridad Confianza excesiva en la tecnología Conclusiones Referencias y otras lecturas... 21

3 Introducción Los hackers siempre serán hackers, y la seguridad de la información siempre se definirá por las propiedades de Confidencialidad, Integridad y Disponibilidad bueno, al menos hasta que cambie o se mejore el modelo actual! Sin embargo, más allá de invocar una definición del diccionario, este artículo apunta a responder algo mucho más concreto: para un Director de TI (CIO/CTO) o un Director de Seguridad (CSO/CISO), qué representa gestionar la seguridad de la información? Quisiera proponerle abordar este tema desde la perspectiva de cuáles deberían ser los axiomas de una gestión de la seguridad de la información efectiva en la actualidad, es decir, qué es lo mínimo que debemos considerar y hacer para poder proclamar con orgullo que efectivamente estamos gestionando el riesgo de la información y por lo tanto protegiendo al negocio. Vale aclarar de antemano dos cosas: en primer lugar, la selección de los axiomas es absolutamente caprichosa; solamente con base en la experiencia y el aprendizaje recogido en las visitas que realizo habitualmente a empresas de toda la región, he tratado de agrupar en siete axiomas aquellas iniciativas que, además de considerar fundamentales en torno a la seguridad de la información, he tenido oportunidad de comprobar que dan resultado. Por supuesto, algunos de los axiomas pertenecen a normas internacionales, otros son buenas prácticas establecidas en el mercado, y algunos también son opiniones de mi autoría. Sin embargo, sirva también de aclaración, que más que ser original lo que busco es presentar temas que posean relevancia en la actualidad. En segundo lugar, con el ánimo de agregar valor a los axiomas, me animo a compartir algunas recomendaciones asociadas a cada uno de ellos y contribuir a que este White Paper, lejos de ser un ejercicio netamente teórico, se convierta en una herramienta útil de aplicación práctica. Axiomas de la seguridad de la información en la actualidad 1 Defensa en profundidad Creo que nadie se atrevería a negar que hace 20 años todo era mucho más fácil en relación a la seguridad de la información, verdad? Si bien nos preocupábamos ( y mucho!) de ciertos virus en determinadas fechas, el mayor riesgo que podíamos correr era que se borrara el disco del computador. En esa época las amenazas no se distribuían por la red, y el principal método de contagio era la información trasladada en disquetes. Cuando Internet comenzó a ser realmente masivo, y los riesgos en torno a la seguridad de la información aumentaron considerablemente, el modelo que se impuso fue el de la seguridad perimetral. Ese modelo operaba en base a determinados axiomas, los cuales me gusta resumir en una frase: todo lo malo viene de afuera, es decir, que mientras existiera una separación ( punto de control ) entre la red privada y la red pública (o sea, Internet), las amenazas no tendrían por dónde ingresar; y por otro lado, al existir una zona de confianza (es decir, la red privada), no era necesario adicionar más controles por fuera del perímetro. Sé que ya no es ninguna novedad, pero vale la pena decirlo: el modelo de seguridad perimetral está completamente obsoleto, hace años!

4 Qué cosas han cambiado desde aquella época hasta hoy? Repasemos algunas por favor: 1) No existen más zonas de confianza: los ataques pueden venir, literalmente, desde cualquier punto de la infraestructura; de hecho es una verdad establecida en la industria que la mayor cantidad de ataques se originan en la red privada. 2) Los ataques de ingeniería social crecen sostenidamente: este tipo de ataques, que explotan vulnerabilidades en la tecnología y también condicionamientos innatos en los seres humanos, hacen más complicada aún la implementación de controles! 3) Movilidad, teletrabajo y la distribución de la información: en cualquier compañía, la información está hoy en día cada vez más distribuida. Celulares, laptops, servicios de nube pública, sucursales, exempleados, datacenters Y la lista sigue creciendo a medida que los modelos de nube híbrida y las tendencias como consumerización y BYOD (Bring Your Own Device) van en aumento. 4) Crecimiento en complejidad y cantidad de ataques: malware, vulnerabilidades en el código de las aplicaciones, ataques de día cero, amenazas avanzadas (APT), ataques de denegación de servicio (DDoS) e ingeniería social son solamente algunos de los ataques y técnicas más utilizados en la actualidad, con impacto en toda la infraestructura de la empresa. Quizás una de las conclusiones más importantes que podemos obtener aquí es que no existe una solución mágica a todos los posibles riesgos a la seguridad. La única estrategia viable es un modelo que integre diferentes controles, como lo es la defensa en profundidad (defense in depth). Recomendación Es necesario implementar múltiples controles y distribuirlos en la infraestructura de forma tal que los activos más críticos se encuentren protegidos por más controles que los menos críticos. Esta estrategia, que se conoce como defensa en profundidad, debe incluir no solamente el datacenter o los dispositivos en el sitio central, sino también todas las sucursales y usuarios remotos ( teleworkers ). Una de las claves para que una estrategia de defensa en profundidad sea exitosa, es la clasificación de activos de información: si no sabemos qué debemos proteger y por qué, es muy difícil garantizar algún nivel de efectividad. La organización debe conocer los activos de información que posee y cuál es su criticidad para el negocio. Solamente un ejemplo: una empresa del sector retail coloca controles de seguridad en el datacenter y en los accesos externos a la red para evitar la fuga de información confidencial. Sin embargo, en las cajas ubicadas en las sucursales, se utilizan computadores a los que se conectan lectores de códigos de barra, lectores de tarjetas de crédito e impresoras para procesar las transacciones de los clientes. La empresa no sabe que el software utilizado en el computador guarda un log que contiene la información de todas las transacciones. Ese log, que queda almacenado en cada uno de los computadores de las sucursales, sirve a los desarrolladores de la aplicación para verificar el funcionamiento de los cambios y actualizaciones en el software. A pesar de todas las medidas de seguridad implementadas en la red, cualquier atacante con acceso a un computador de una sucursal, puede obtener información confidencial con un mínimo esfuerzo. Claro que conocer dónde se encuentran los activos críticos de información por sí solo no garantiza un mayor de nivel de profundidad, pero cuesta pensar cómo podemos diseñar e implementar una estrategia de seguridad exitosa si éste no fuera el primer paso.

5 2 Controles por tipo de activo Recuerdo la primera vez que leí una versión de la norma BS 7799 (predecesora de la ISO 27001), hace más de 10 años. Si bien toda mi vida me ha encantado leer, confieso que no nací con el talento de recordar frases para citar de forma exacta; en general, siempre recuerdo la esencia de lo que leo (es decir, aquello que me parece subjetivamente más relevante) en vez de las palabras en sí. Al igual que en la ISO del año 2005, una de las primeras cosas que me llamó la atención, fue la referencia a proteger la información en todas sus formas, incluyendo los diferentes medios en los que la información se utiliza en las compañías: no solamente se trata de los datos en formato digital, sino también aquellos que se encuentran en papeles e incluso en las mentes de los empleados. Si bien puede sonar obvio, la realidad es que muy pocas empresas hoy en día tienen en cuenta los diversos procesos por los que atraviesa la información y la forma particular en la que cada uno de esos procesos debe ser controlado y protegido ante amenazas. Sin embargo, hay quienes sí constantemente se esfuerzan por descubrir nuevas formas de explotar vulnerabilidades en la cadena de procesamiento de la información: se conocen habitualmente con el nombre de ciber delincuentes. Hoy en día, la creación de amenazas lleva a los atacantes a operar en un nivel de detalle cada vez mayor, tratando de aprovechar cualquier mínima vulnerabilidad que garantice acceso a los activos de información buscados. Uno de los tantos ejemplos de esto son las amenazas con Stuxnet, diseñadas para atacar una plataforma específica. Seguramente, muchos recuerdan la época en que se podía decir que determinadas plataformas o sistemas operativos eran más seguras porque no eran susceptibles a virus. Luego, eso cambió a que no eran invulnerables, sino que había menos ciber delincuentes detrás de explotar amenazas que en otras plataformas. Ahora, todas las tecnologías son vistas con el mismo potencial de ser vulneradas. Lo cierto es que en seguridad de la información no existe una vara mágica que proteja de todas las amenazas: incluso los mejores equipos de seguridad multi-propósito que, al mejor estilo navaja suiza, incorporan múltiples funciones para la protección de amenazas en una sola caja, en general no poseen el nivel de detalle suficiente para ser igualmente efectivo y eficaz en todas sus funciones. De hecho, muchos administradores experimentan día a día que el crecimiento exponencial de las amenazas y del volumen de negocios realizado en plataformas digitales hace que para no degradar el rendimiento de algunas plataformas de seguridad, es necesario apagar temporalmente algunas funciones, dejando a la empresa efectivamente sin protección ante determinados tipos de ataques. Recomendación Por supuesto que esto no es problema de la tecnología, sino de cómo se utiliza. De hecho, yo mismo recomiendo a diario utilizar equipos multi-propósito para determinadas funciones, sin embargo la clave está en cómo y dónde se utilizan, y fundamentalmente qué otras medidas de seguridad, más específicas, se colocan en los puntos críticos de la infraestructura. Ejemplos de funciones de seguridad específica son: Aplicaciones web: dispositivos como los WAF (Web Application Firewall) están diseñados para proteger ante amenazas específicamente dirigidas contra vulnerabilidades en el código de

6 aplicaciones web. No solamente se trata de aplicaciones hacia Internet, sino también de aquellas que funcionan en la red interna: recordemos que algunas técnicas de ataque se basan en conseguir pequeños trozos de información que, en conjunto, pueden permitir realizar un ataque de mayor envergadura. Dispositivos móviles: es claro que la información en los dispositivos móviles también debe ser controlada, la gran pregunta es cómo? Quizás una de las técnicas más efectivas es la de compartimentalizar el dispositivo: crear un ambiente dedicado para las aplicaciones laborales y de esta manera proteger la información a través de funcionalidades como la autenticación centralizada, encripción o el borrado remoto de datos. Bases de datos: además de proteger los ataques realizados al sistema operativo y el software de base de datos, es necesario también controlar qué tipo de transacciones se ejecutan. Algunos ataques se basan en ganar acceso a servidores que poseen permisos de acceso a las bases de datos y desde ahí ejecutar consultas para obtener información privilegiada. Control de aplicaciones: este punto es particularmente sensible porque es donde la mayoría de las empresas logran poner a los usuarios en contra de las medidas de seguridad. En general, la gran mayoría de los usuarios están de acuerdo en seguir las políticas de seguridad, siempre y cuando éstas no les impidan hacer su trabajo. Si puedo arriesgar una cifra, diría que este número excede el 80% de los usuarios, es decir que el departamento de TI tiene a la mayoría de la empresa de su lado en la aplicación de políticas! La clave es entender qué aplicaciones filtrar y cuáles son las alternativas que los usuarios poseen para acceder a la misma funcionalidad pero a través de herramientas provistas por el departamento de TI. 3 Aceptar la consumerización La buena noticia es que hay veces en las que nadar contra la corriente es no solamente beneficioso sino necesario. La sociedad y su evolución histórica nos ofrecen incontables ejemplos de pioneros que, desafiando las reglas establecidas, alcanzaron cambios que resultaron fundamentales para el avance de la humanidad en su conjunto y el triunfo de valores universales como la libertad, por citar solamente un ejemplo. La mala noticia es que la consumerización, hace diez años una tendencia y hoy una realidad consolidada, no representa para TI una oportunidad de luchar contra la corriente, sino más bien una batalla perdida. Para ser claro: las áreas de TI tienen más para perder que para ganar luchando contra los usuarios. De hecho, se podría argumentar que la consumerización se puede interpretar como el triunfo de los usuarios, aunque yo diría más bien que es el triunfo de los departamentos de marketing de ciertas empresas de consumo versus el de las compañías tradicionalmente orientadas al sector empresarial. Si tomamos como ejemplo dos dispositivos que nacieron completamente fuera del ámbito empresarial pero que hoy están omnipresentes en las empresas como los celulares inteligentes y las tablets de última generación, la realidad es que las empresas de consumo lograron interpretar de una manera más eficiente las funcionalidades más atractivas para los usuarios y de esta forma ganar su aceptación. En este punto, quizás pienso que debería haber comentado antes qué es la consumerización, además claro de una traducción por lo menos dudosa del Inglés consumerization. La definición más académica que conozco es que la define consumerización como la introducción en el sector empresarial de tecnologías originalmente diseñadas para usuarios finales.

7 Mi propia definición, desde el punto de vista de las áreas de TI, es que la consumerización significa que cada vez es más difícil decirle no a los usuarios. Hace 10 años, era típico escuchar a los departamentos de TI decir con orgullo que las políticas de seguridad eran estrictas y que estaban implementadas en toda la organización, con la salvedad de algunas pocas y controladas excepciones (típicamente, los niveles directivos más altos, por ejemplo, no debían pasar por el control del filtro de contenido o no poseían limitaciones para conectar dispositivos a sus computadores). Hoy en día, lo que era una excepción, se ha vuelto la regla: los usuarios deciden con qué dispositivo quieren trabajar, utilizan software no autorizado por TI diariamente para trabajar (como por ejemplo las aplicaciones gratis en la nube para compartir archivos) y crean sus propias soluciones de teletrabajo, entre otras. Es interesante notar que este mismo fenómeno se desarrolla a la par de dos movimientos: La conversión, a nivel mundial, de cómo se entiende y se posiciona el área de TI en las organizaciones: cada vez más, TI debe funcionar como un área estratégica que presta servicios a la organización para aumentar la productividad de los principales procesos de negocios. Hace algunos años, la discusión era si TI debía ser vista como un área de gasto o como un área de inversión. Pues bien, la conclusión es que debe ser un área de servicios. La convergencia, en toda la industria, de las tecnologías de uso empresarial con las de uso personal. Es decir, el departamento de TI ya no cuenta ni siquiera con la ayuda de los proveedores, quienes lejos de fomentar el desarrollo de tecnologías para usuarios y para empresas, están enfocados en integrar ambas necesidades en servicios únicos. Solamente un ejemplo con dos aplicaciones de Microsoft: cuántos de nosotros utilizamos Lync para trabajar y Skype para comunicarnos con amigos y familiares? Pues bien, ahora ambos se integran y las funcionalidades de uso personal y de negocios pueden convivir en una sola plataforma. Cuál de las dos? Acertó: Skype, la que originalmente era sólo de uso personal. Ahora bien, cómo podría TI convertirse efectivamente en un área de servicios si no puede tener a sus clientes (usuarios finales) satisfechos? Sin más, luchar contra la consumerización es luchar contra los usuarios, lo cual definitivamente no es recomendable. Recomendación Ineludiblemente, el primer paso es aceptar la consumerización como una realidad. Lejos de ser una derrota para el departamento de TI, hay que mirarlo como una oportunidad. Seamos sinceros: a pesar de todas las medidas de seguridad implementadas, como proxies, filtros de contenido, incluso sistemas de detección de intrusos implementados como filtros de navegación avanzados (!), los usuarios siempre encuentran la forma de vulnerar las políticas. Recuerdo una de tantas veces en las que, visitando una empresa con múltiples controles de seguridad (que en general buscan como principal medida aumentar la productividad de los usuarios ), podía ver usuarios con sus teléfonos móviles y tablets, navegando por cualquier página o utilizando programas de chat, sin ninguna posibilidad para TI de poder controlarlos.

8 Por supuesto que los controles deben existir! De hecho, son absolutamente necesarios. La gran pregunta es cómo deben ser implementados para ser efectivos. Para esto, me gustaría ofrecer algunas recomendaciones: Pensar en servicios en lugar de controles Hablar de controles es hablar en terminología técnica. Entre expertos en seguridad, es un término adecuado y útil. Pero para referirnos a la experiencia de los usuarios en la organización, no lo es tanto. El área de TI debe pensar en función de servicios, es decir, que cualquier funcionalidad o dispositivo que se agregue en la infraestructura debe proveer un servicio al negocio, y por ende a los usuarios. Si el objetivo del control no le ofrece ninguna ventaja a los usuarios, entonces probablemente no sirva demasiado al negocio tampoco. Puede sonar drástico y hasta a veces riesgoso, pero si logramos pensar en función de servicios, vamos a asegurar que el área de TI sea vista como un contribuidor al negocio por toda la organización. Ud. puede hacer su propia investigación o encuesta: le garantizo que la abrumadora mayoría de los usuarios en la organización, solamente quieren trabajar de la forma más productiva. Cuidar la implementación En general, el problema de muchas recomendaciones, es que son tomadas en forma aislada cuando en realidad están diseñadas para formar un sistema. Este es el caso cuando hablamos de consumerización. Pensar en servicios no se trata de otorgar un si automático a cada dispositivo o software nuevo que aparece. Se trata de implementar controles de forma integral, considerando que la funcionalidad que el usuario necesita, siempre se mantenga. Algunos ejemplos: Redes de Wi-Fi para navegación, separadas de la red corporativa: por supuesto que no se trata de ofrecer un canal de Internet de 1 Mbps para usuarios y desincentivar su uso, sino que se trata de ofrecer un servicio bueno para incentivar que los usuarios lo utilicen pero a través del cual se puedan implementar controles no intrusivos y desde el cual exista una separación física entre la red privada y la red pública. De esta manera, los usuarios son invitados a utilizar sus dispositivos personales a través de esta red. De esta manera, no sería descabellado para TI implementar un proceso de registro de dispositivos, y obtener de los usuarios una firma para una política de uso aceptable de la red. Imagino que los usuarios aceptarían gustosos de obtener un mejor servicio, aprobado oficialmente por la compañía. Políticas de BYOD (Bring Your Own Device): parte de aceptar la consumerización es entender (y reconocer) que los usuarios se identifican cada vez más con sus dispositivos. Así como en una época ocurría, por ejemplo, con las marcas de ropa, hoy ocurre con las marcas de dispositivos. Incluso, a pesar de que la evidencia técnica indique lo contrario! (en este momento, por ejemplo, pienso en los auriculares: algunas de las marcas más populares, utilizadas incluso por estrellas del mundo deportivo y del espectáculo de forma casi uniforme, son las que peores calificaciones en términos de calidad de sonido reciben por los audiófilos). No es exagerado decir que, por ejemplo, para el usuario que invierte una suma considerable de dinero en comprar un computador bastante más caro que el promedio con el afán de disfrutar de una tecnología y pertenecer a un grupo selecto de personas que se identifican con los valores de esa marca, puede resultar hasta traumático tener que utilizar otra marca de equipo en el trabajo que no le representa lo mismo. El mismo ejemplo aplica para el teléfono celular corporativo, y en general cualquier dispositivo que puede ser utilizado tanto para trabajar como para el uso personal. En estos casos, permitirle al usuario utilizar sus propios dispositivos es una muy buena alternativa. Es verdad que BYOD (traducción: traiga su propio dispositivo ) exige más al

9 departamento de TI, pero ahí donde hay un servicio prestado hay una oportunidad de agregar más valor al negocio! Controles de contenido: una buena forma de entregar seguridad sin implementar controles intrusivos son los filtros de contenido, en un sentido amplio. Por ejemplo, en lugar de prohibir el acceso a sitios de correo electrónico personal, es más efectivo verificar que no se esté divulgando información confidencial a través del análisis de mensajes y archivos adjuntos. De esta manera, los usuarios que hacen un uso adecuado de los servicios pueden utilizarlos, y la empresa siempre tiene la oportunidad de filtrar las actividades maliciosas o que no se alinean con las políticas de seguridad. Conocer y entender al usuario Debe existir, por parte de TI, un esfuerzo sincero por conocer a los usuarios y adaptar, en la medida de lo posible, las políticas sobre tecnología, seguridad y dispositivos, para encontrar áreas de coincidencia entre las necesidades del negocio y las del personal. Si aceptamos que TI debe ser un área de servicios, conocer al cliente debería ser una prioridad. Solamente dos ejemplos: Muchas áreas de TI ven a los servicios de compartición de archivos en nubes públicas como un enemigo. Si bien tiendo a coincidir en esa apreciación cuando se trata de servicios no controlados por la empresa, la pregunta que queda por hacer es qué alternativa ofrece la organización? De nuevo, la mayoría de los usuarios va a preferir utilizar un servicio corporativo para compartir archivos. A su vez, tener ese servicio corporativo disponible, otorga el derecho de filtrar los servicios no autorizados. Cuántos usuarios trabajan hoy en día desde su casa? Me refiero a quienes lo hacen uno o dos días por semana. Cuántos lo hacen de forma oficial, es decir, con el reconocimiento y apoyo de TI? La época en la que todos trabajábamos desde la oficina, al mismo tiempo, siguiendo las mismas rutinas horarias, está tendiendo a desaparecer. Es responsabilidad de TI otorgar las herramientas para que los teletrabajadores puedan desarrollar sus funciones con normalidad sin necesidad de utilizar aplicaciones y servicios no autorizados. Qué tan satisfechos están los usuarios con el servicio que brinda TI? Sé que normalmente suena peligroso preguntar esto, pero créanme que en todo el mundo está comprobado que los beneficios de largo y mediano plazo son mucho más valiosos que las posibles decepciones de las primeras encuestas. Hay muchas formas de medir la satisfacción de los usuarios para obtener realimentación sobre oportunidades de mejora. Me gustan los sistemas basados en Net Promoter Score (NPS) porque son relativamente fáciles de implementar y ofrecen información muy valiosa. Sin embargo, más allá del sistema, es importante también el claro mensaje que se transmite a la organización cuando el área de TI se convierte en un área de servicios que se preocupa (y ocupa) de la satisfacción de sus clientes internos. Educación y comunicación Existe una falsa percepción de la educación en general como la transmisión de conocimientos en un sentido (por ejemplo, desde el maestro hacia el alumno). En cambio, todos aceptamos que la comunicación debe ocurrir en dos direcciones. Es por eso que cuando hablamos de concientizar al usuario para contarlo como aliado en la implementación y el respeto de las políticas de seguridad de la organización, nos referimos sin duda a una transmisión de conocimientos pero considerando la opinión y la visión también del usuario final. Particularmente en los primeros años desde el 2000, el auge de los programas de concientización de usuarios ( security awareness como se lo conoce en Ingles) ofreció a las empresas cursos (presenciales y

10 on-line) impartidos en un solo sentido que los usuarios debían tomar por obligación. Bueno, quizás no debería usar tanto el tiempo pasado aquí ya que todavía seguimos viendo este tipo de entrenamientos en muchas compañías. Algunas organizaciones comenzaron a reconocer la importancia de considerar los intereses de los usuarios en los entrenamientos como una forma de aumentar su efectividad, e incluso reconocen que la consumerización les ofrece una ventaja única: la convergencia entre las medidas de seguridad necesarias en la organización y en la vida personal. Las recomendaciones de seguridad son, en su mayoría, las mismas, pero sin duda son mucho más interesantes y relevantes para los usuarios cuando son presentadas, por ejemplo, como recomendaciones para mejorar la seguridad en sus transacciones online personales y para protegerse del robo de identidad. De la misma manera, para que los entrenamientos de concientización sean más efectivos, deben necesariamente actualizar su contenido año a año ( cuántos hemos visto los mismos slides por, digamos, tres años seguido?) y también funcionar en dos vías: como verdaderos talleres donde se abran espacios de discusión y oportunidades de compartir experiencias de la vida real. Adicionalmente, el entrenamiento formal debe ser segmentado (orientado solamente hacia quienes deben recibirlo) y premiado adecuadamente: es de fundamental importancia incentivar a los usuarios a estar siempre actualizados en sus competencias laborales, incluyendo la seguridad de la información. La justificación desde el punto de vista del negocio es muy sencilla: tiene mucho más poder lo que uno sabe y acepta como correcto, que lo que se impone como una regla a cumplir sin saber por qué. 4 Correlación de eventos Cada vez que me toca hablar de este punto me gusta usar una analogía. Muchos de nosotros hemos visto y recordamos la película Matrix, verdad? Quienes todavía sean demasiado jóvenes y no la hayan visto, muy probablemente la vayan a disfrutar, en particular la primera de la saga. Sin embargo esto no se trata de recomendaciones cinematográficas, para lo cual claramente no estoy adecuadamente calificado. La cuestión es que uno de los principales logros del bando de los buenos en Matrix, ocurre a partir de que son capaces de descifrar el lenguaje a través del cual los malos se comunicaban y organizaban todas las actividades que ocurrían en la matriz. La forma en la que esa decodificación tomaba lugar, era a través de unas pantallas de computador en la que jeroglíficos de color verde circulaban de arriba hacia abajo, superponiéndose en algunos casos unos a otros. Algunas pocas personas con un entrenamiento especial eran capaces de interpretar, en tiempo real, el significado de los jeroglíficos y de esa forma sabían exactamente qué era lo que estaba ocurriendo y podían advertir a sus compañeros de posibles peligros y rutas de escape, entre otros. Claramente, se trata de una película de ciencia ficción. Qué tiene que ver una película filmada el siglo pasado (sí, es de 1999!) con una de las técnicas más avanzadas en el ámbito de la seguridad de la información? La realidad es que si uno mira, por ejemplo, la consola de información de un sistema IDP/IDS (detección y prevención de intrusos) intentando entender los eventos de seguridad que circulan por la infraestructura en tiempo real, lo que uno puede observar se parece mucho a las pantallas con jeroglíficos de Matrix!

11 Lo cierto es que la complejidad de los ataques, el crecimiento en cantidad de los mismos y también la gran variedad de dispositivos y aplicaciones que generan eventos en tiempo real, hace imposible hoy en día para un ser humano poder interpretar qué es lo que ocurre en la red con sólo mirar una pantalla. Tengamos en cuenta que es perfectamente normal, por ejemplo, para un sistema IDP/IDS, generar más de eventos por hora. Si a esto le sumamos que según el modelo de defensa en profundidad los controles deben ser variados y estar distribuidos en la infraestructura, el número de eventos crece geométricamente con los controles justificando aún más la necesidad de sistemas de apoyo que puedan hacer las cosas que los seres humanos no podemos. Recomendación La correlación de eventos hace referencia a una combinación particular de servicios y funcionalidades que permiten: Recibir gran cantidad de eventos en tiempo real, desde múltiples orígenes (típicamente: servidores, aplicaciones, equipos de red (routers, switches, access points) y soluciones de seguridad). Interpretar, en tiempo real, los eventos recibidos según una serie de reglas (normalmente llamadas directivas de correlación o reglas de correlación ). Agrupar los eventos según determinados tipos de ataques y generar, en tiempo real, una calificación de riesgo que permita entender qué riesgo potencial implica cada grupo de eventos para la infraestructura, y cómo evoluciona ese nivel de riesgo en el tiempo. Claro que está que a medida que la tecnología evoluciona, las funciones que se incorporan a la correlación de eventos también crecen. Podemos encontrar estas soluciones en el mercado bajo el nombre de SIEM (Security Information and Event Management). Sin embargo, más allá de dar definiciones, me gustaría resaltar tres características únicas que la correlación de eventos aporta a una organización. Así como en matemáticas muchas veces se realizan demostraciones comenzando por asumir algo que se cree imposible ( demostración por el absurdo ), me voy a centrar en responder cuatro preguntas que normalmente, para la mayoría de las organizaciones que no utilizan la correlación de eventos, no tienen respuesta. Cómo está la seguridad de la red en este momento? Cuando hablamos de sistemas de seguridad, mucho de lo que se dice en el mercado es que mientras más seguridad exista en la organización, el CIO (Chief Information Officer) y el CISO (Chief Information Security Officer), entre otros, van a poder dormir más tranquilos. No es menos cierto que, una vez que se despiertan de su placentero sueño, deben poder entender rápidamente en qué situación se encuentra la infraestructura. Hay algún riesgo para los principales procesos de negocio? Hay algún incidente crítico ocurriendo, o mejor aún, existe algún riesgo incipiente con capacidad de generar un incidente crítico? Hubo algún cambio significativo en la infraestructura? La capacidad de conocer el nivel de riesgo de la red en tiempo real, y en cualquier momento, es una de las características de las soluciones de correlación de eventos. Cuál es la prioridad en materia de seguridad de la infraestructura? La mayoría de las organizaciones en la actualidad no poseen personal dedicado a seguridad de la información. Incluso para aquellas que poseen personal dedicado, la realidad es que las obligaciones del

12 día a día y de los proyectos en curso dejan poco tiempo real para ser dedicado a la evaluación y tratamiento de las amenazas en tiempo real. Sin importar con cuántos recursos de personal, hardware y software cuenta la organización, es la propia dinámica del negocio la que hace que no haya tiempo para dedicarse a ciertas actividades. Qué hacer, entonces, ante esta realidad? Sería muy bueno poder contar con un análisis de eventos de seguridad que ayude a las empresas a determinar dónde están las prioridades. Así mismo, sería bien interesante saber qué está ocurriendo en la seguridad de la red mientras nadie está particularmente enfocado en eso. Una de las características de los sistemas de correlación de eventos es que son capaces de analizar cada evento que ocurre en la infraestructura, algo impensado para un ser humano. Algunos ataques, incluso contando con sistemas avanzados de detección, son muy difíciles de reconocer, y mucho más aún cuando se cuenta con poco tiempo. Ejemplo sencillo: un usuario con muchos intentos de autenticación fallidos quién tiene tiempo para detenerse a observar esto? Sin embargo, según de qué usuario y qué computador o servidor se trate, el nivel de riesgo puede variar significativamente, sobre todo si se considera que podría tratarse de un ataque de fuerza bruta! No solamente la correlación de eventos ayuda a dormir mejor, también contribuye a distribuir los esfuerzos y los recursos de la forma más efectiva posible. Qué avanzamos desde la última auditoría? Cualquiera que haya pasado por una auditoría sabe que siempre existe un cierto componente de incertidumbre. No importa qué tan bien se haya preparado la organización, las auditorías son momentos críticos en los cuales las personas se sienten a prueba. A pesar de lo expuesto, siempre sostengo que el resultado de una auditoría no puede ser un misterio. Cuántas empresas se apresuran por solucionar los problemas detectados en la auditoría anterior, durante las dos semanas previas a la nueva auditoría? Aún aquellas que poseen sistemas de mejora continua y se comprometen a tratar las oportunidades de mejora a tiempo, qué control poseen sobre las que se relacionan con la seguridad de la información? Otra de las funcionalidades que ofrecen las soluciones de correlación de eventos es permitir visualizar la seguridad de la información y su evolución a través de tiempo. Las más avanzadas también poseen reportes y tableros de comando específicos para las regulaciones internacionales más importantes, como ISO 27001, PCI, HIPPA, etc. Ya sea que se trate de una auditoría formal siguiendo una normativa internacional, o una auditoría interna que involucre, por ejemplo, un test de penetración o un hacking ético, las herramientas de correlación de eventos pueden contribuir a evaluar el impacto de las medidas de mejora implementadas en la infraestructura, permitiendo conocer el estado actual de la seguridad en comparación con períodos anteriores. Qué fue lo que pasó? Muchas veces, los ataques son inevitables. Aún si una organización hace todo lo que está a su alcance para reducir el nivel de exposición al riesgo, no hay forma de garantizar que la información está 100%

13 segura. De hecho, es una máxima conocida en el ambiente de la seguridad de la información que un grupo de hackers determinados y con el tiempo suficiente, puede vulnerar cualquier cantidad de medidas de seguridad. Ante un ataque, dos cosas son fundamentales: Detectar que el ataque ocurrió lo antes posible para poder mitigarlo. Descubrir qué vulnerabilidades fueron explotadas para poder corregirlas. En ambos casos, las soluciones de correlación de eventos tienen mucho que aportar, ya que permiten almacenar y procesar grandes cantidad de eventos, permitiendo realizar todo tipo de consultas históricas. De nuevo, las más avanzadas, incorporan incluso funciones de análisis forense y análisis avanzado de tráfico para detectar amenazas desconocidas ( zero-day attacks ) y contribuir con información lo más detallada posible al estudio de las amenazas. Ahora bien, quizás un ejemplo más representativo (y por qué no, un poco más positivo también) de cómo un servicio de correlación de eventos puede ayudar a diagnosticar y prevenir ataques, se da en el caso de las amenazas persistentes avanzadas (APT, por sus siglas en inglés, que corresponden a Advanced Persistent Threats). En general, para que las amenazas de este tipo sean exitosas, deben producirse una serie de intrusiones que finalmente dan lugar al objetivo deseado. Pues bien, la detección de estas intrusiones intermedias, quizás no tan riesgosas pero necesarias, son las que pueden dar lugar a detectar el comportamiento anómalo, asociarlo con un ataque de mayor envergadura, y mitigarlo. Los servicios de correlación de eventos contribuyen a detectar eventos de seguridad que normalmente pasarían desapercibidos, así como también aportar la información de trazabilidad para detectar el origen de los ataques y contribuir a su mitigación. 5 Proactividad y capacidad de respuesta 7x24 Cuál es la principal ventaja ante un ataque de cualquier tipo? La cantidad de recursos económicos, la cantidad de personal, la capacidad de artillería? Seguramente, todos ellos suman a la posibilidad de realizar un ataque exitoso, pero ninguno constituye por sí mismo una ventaja esencial. La principal ventaja que un atacante puede ejercer sobre su adversario es, sin duda, la sorpresa. En el caso de la seguridad de la información, esto es particularmente cierto. La mayoría de las empresas hoy en día no cuentan ni siquiera con los sistemas que les permitan detectar ataques ocurriendo en el momento. Así de preocupante es la situación hoy en día: en general, la mayoría de las organizaciones no alcanzan un estándar mínimo en materia de seguridad de la información. Repasemos uno de los principales y más publicitados ataques en 2014: el sufrido por la empresa Target. Se estima que este ataque produjo beneficios para los atacantes de alrededor de U$S 50 millones. Incluso considerando que de los alrededor de 40 millones de datos de tarjetas de crédito robados, solamente entre 1 y 3 millones fueron efectivamente negociados en el mercado negro. Sin embargo, lo que me interesa destacar de este caso, es qué diferencia puede hacer la sorpresa frente a otras características de un ataque. A pesar de contar con herramientas avanzadas de detección y tratamiento de amenazas, y a pesar de haber contado con múltiples alertas sobre actividad maliciosa en la red, no fue posible evitar o mitigar el ataque. Los recursos estaban ahí, disponibles para ser utilizados, pero nadie pudo reaccionar a tiempo.

14 Muchas otras historias bien conocidas en el ámbito de la seguridad de la información están asociadas a los ataques de ingeniería social, en los cuales se aprovechan características inherentes de los seres humanos como la tendencia a confiar demasiado para lograr accesos no autorizados a activos de información críticos. Nuevamente, mientras todos los esfuerzos de protección se centran en la infraestructura de red, la intrusión de produce por el lugar menos pensado. Otra de las características de los ataques informáticos en la actualidad es su característica global: así como en la región países como Brasil y México aparecen al tope de la generación de ataques, también otros viejos conocidos como China y Rusia continúan ofreciendo su cuota creciente de ataques. El resultado: 24 horas de riesgo sostenido, a través de diferentes usos horarios. Eventos de seguridad durante el día y la noche, tratando de aprovechar cualquier ventaja que sea posible, incluyendo los días y horarios en los que el personal de seguridad y TI no se encuentra en sitio. Tengamos en cuenta que no solamente importa la capacidad de detectar el ataque (como todos debimos haber aprendido luego del ataque a Target), sino que es igual de crítico poseer capacidad real de respuesta una vez que se ha detectado un incidente. Nuevamente, quiero utilizar un ejemplo de otra disciplina: la continuidad de negocios. Muchas empresas se vanaglorian de poseer verdaderos planes de continuidad de negocios implementados. De hecho, pueden mostrar que poseen verdaderos sitios de réplica, procesos de transferencia de las operaciones de producción a los sitios secundarios, herramientas de software, hardware redundante, conectividad redundante, personal entrenado de nuevo, todo perfectamente comprobable y en su lugar. Sin embargo, también saben que tener que poner en marcha el plan de recuperación ante desastres (DRP, Disaster Recovery Plan, por sus siglas en Inglés) puede llegar a ser aún más traumático que la propia amenaza! En general, si la duración de la indisponibilidad se estima en 8 horas o menos (efectivamente, un día hábil), la gran mayoría de las empresas optarían por medidas de mitigación menores antes que activar el plan de continuidad del negocio. De hecho, he podido comprobar casos en los que la empresa decide esperar hasta cuatro días (si, casi una semana!) con tal de no tener que afrontar las consecuencias del plan de recuperación ante desastres. Y es que toda acción tiene sus consecuencias: por diferentes razones, que cambian de empresa a empresa, los procesos de continuidad de negocio que efectivamente pueden restaurar la operación de los procesos críticos de negocios, muchas veces presentan riesgos iguales o mayores a la amenaza que se trató de mitigar al momento de tener que restaurar la operación al sitio principal, lo que se conoce normalmente como fail back (restauración). Lo mismo ocurre con la seguridad de la información: muchas veces vemos que se implementan controles y políticas con el objetivo honesto de disminuir el nivel de exposición de la organización, pero sin considerar cuál es la capacidad de respuesta real ante incidentes que se posee. Recomendación Parece obvio preguntar por qué esto es importante, pero lo cierto es que vale la pena mencionar que en seguridad de la información, la experiencia indica que generalmente un poco tarde es sinónimo de demasiado tarde.

15 El principal objetivo de cualquier sistema de seguridad debe ser la prevención: definida coloquialmente, la proactividad es la capacidad de evitar sorpresas. Sin embargo, de una forma más práctica, la proactividad es también la capacidad de reacción ante amenazas o eventos que no necesariamente son críticos en sí mismos, pero que pueden dar lugar a riesgos mayores. Es decir, existe una relación directa entre la proactividad y la posibilidad de reaccionar con inmediatez. Qué necesita una organización para poder garantizar proactividad en la gestión de la seguridad de la información? Entre muchas otras cosas, algo que normalmente no se encuentra en la mayoría de las empresas: recursos expertos disponibles, todo el tiempo. Entiendo muy bien las limitaciones que muchas empresas, cuyo negocio no está centrado en la seguridad de la información sino, por ejemplo, en la producción o distribución de bienes de consumo, podrían enfrentar a la hora de justificar una estructura de recursos expertos para garantizar capacidad de reacción ante amenazas incluso en horario extendido. Sin embargo, nos estaríamos engañando a nosotros mismos si creyéramos que esto no es necesario. Por supuesto que existen alternativas, como se describen también más adelante en este documento. De cualquier manera, lo primero para solucionar un problema es reconocerlo: no solamente se trata de ser conscientes de los riesgos, sino también de los recursos disponibles para su tratamiento y mitigación. Solamente de esa forma será posible trabajar en mejorar y reforzar la seguridad de la información de la empresa. 6 Procesos y buenas prácticas Cuántas veces escuchó, o Ud. mismo le dijo a alguien, que no tiene sentido tratar de reinventar la rueda? Bueno, quizás algunos gurús de la innovación estarían en desacuerdo, pero hay ciertas disciplinas en las cuales uno debe ser particularmente cuidadoso. En cualquier caso, no se trata de negar la innovación, sino aprovechar los recursos existentes de le mejor manera, hasta que exista una forma mejor y consensuada sobre cómo hacer las cosas. En este sentido, la seguridad de la información es una disciplina que se nutre permanentemente de experiencias, tanto exitosas como fallidas, para desarrollar buenas prácticas que contribuyan a disminuir el nivel de exposición de una organización. Una pequeña anécdota: es bien sabido que la zona de la Florida, en los Estados Unidos, es particularmente susceptible a huracanes. De hecho, son bien conocidos los casos en los que los huracanes han ocasionado verdaderas catástrofes. Ahora bien, es claro que los huracanes no pueden evitarse: inevitablemente van a ocurrir. Algo similar ocurre con los ataques informáticos. Al menos, confío en que ya no quedan personas que honestamente piensen que su organización, por causa de algún milagro, no va a ser atacada. Pero volviendo al ejemplo de los huracanes, uno sabe que algún día, inevitablemente, alguno va a llegar. Qué se puede hacer entonces? Mitigar los riesgos, por supuesto! Así es como los códigos de construcción han evolucionado consistentemente en la Florida para incluir cada vez más medidas que permitan mitigar el impacto dañino de los huracanes. En cada uno se descubren nuevas oportunidades de mejora, es cierto, pero al menos se hace el mayor esfuerzo posible

16 por no volver a sufrir los problemas de los huracanes anteriores. De nuevo, cualquier similitud con los ataques informáticos, no es pura coincidencia. Algo similar ocurre con las normas y estándares internacionales en seguridad de la información: quienes participan en la escritura y revisión de los mismos son profesionales del ambiente que aportan su experiencia tras haber vivido incidentes de seguridad con el fin de que otras organizaciones no deban pasar por el mismo proceso traumático de aprendizaje sino que se beneficien de las conclusiones y las oportunidades de mejora implementadas. Para apuntar solamente un ejemplo: uno de los problemas que se buscó mitigar frente a los huracanes, es evitar que se arrastren los techos de las casas. Así es: muchas de las casas en la Florida poseen techos de madera que, al momento de llegar un huracán y atravesar alguna de las entradas a la casa (típicamente, una ventana), por la diferencia de presión generada, simplemente son despegados de la estructura y arrastrados hacia arriba sin que nada puedan hacer los habitantes de la casa para detenerlo. Debido a la gravedad de la situación, la forma de mitigar este problema debe combinar varias medidas de seguridad, incluyendo una forma completamente diferente de asegurar el techo a la estructura de la casa (diferentes tornillos y formas de sujeción fueron creadas e incorporadas al código de construcción) así como también las persianas anti huracanes ( hurricane shutters como se las conoce en Ingles). De hecho, con un mismo control, se mitigan diferentes riesgos: las persianas anti huracanes también ayudan a proteger a los habitantes de las casas de los objetos que son arrancados y que literalmente vuelan hasta encontrar algún obstáculo, evitando que penetren en las casas. En el caso de la seguridad de la información, ocurre exactamente lo mismo: mientras algunos piensan que las recomendaciones vertidas en normas y estándares internacionales son estrictamente de orden teórico, al momento de investigar de dónde provienen, nos damos cuenta que poseen importantes raíces prácticas y usualmente varias décadas de evolución y probada eficacia. Si bien siempre existen ciertas discrepancias entre los expertos, generalmente éstas se dan solamente cuando se busca un nivel profundo de detalle, pero existe un grupo de recomendaciones y buenas prácticas para el cual existe un consenso generalizado a nivel internacional. Este grupo de recomendaciones ha evolucionado a través de la serie de estándares que comenzó con la norma BS 7799 y hoy constituye un grupo de normas bajo de la denominación ISO El cuerpo de normas ISO pretende abarcar más de 40 estándares que van desde la generalidad del sistema de gestión de la seguridad de la información, hasta normas específicas sobre cuestiones como la gestión del riesgo, la gestión de servicios de terceros, y recomendaciones específicas para ciertos tipos de empresas que manejan habitualmente información confidencial como la industria financiera y el sector salud. Recomendación La principal clave para obtener el mayor valor posible de una norma o estándar internacional, es adaptarlo a la organización. El proceso de adaptar la organización al estándar, algo que en más o menos medida de ocurrir inevitablemente, debe ser gradual y estar cementado tanto en el apoyo incondicional de los más altos niveles directivos como también de los usuarios finales, proveedores, y cualquier entidad que participe en los procesos críticos de negocios.

17 En algunos casos, incluso, es necesaria la participación activa de los clientes. Las empresas del sector financiero lo saben bien: varias han pasado por la experiencia de entregar sistemas de autenticación fuerte a sus clientes con el fin de mejorar la seguridad de sus transacciones, comprobando que la forma en la cual se introducen estos cambios tiene impactos bien diferentes con su aceptación y utilización. A menos que se cuente en la organización con personal especializado y dedicado al diseño e implementación de procesos relacionados a la seguridad de la información, la mayoría de las empresas buscan ayuda externa para la implementación de este tipo de estándares. De hecho, aún quienes cuentan con personal propio reconocen el valor agregado de quienes han pasado varias veces por el proceso de adaptar e implementar un estándar internacional, como una forma de optimizar el proceso de implementación y los recursos asociados. Es importante destacar que para algunas industrias e incluso algunos países, trabajar según buenas prácticas ya no es opcional: normas como FISMA, PCI, HIPPA, leyes nacionales como en Perú o regulaciones para el sector bancario como las existentes en Colombia y Panamá, por nombrar solamente algunos ejemplos, vuelven la adaptación a estándares una actividad obligatoria que debe ser efectuada normalmente en cumplimiento de tiempos estrictos, a riesgo de sufrir penalidades económicas. En cualquier caso, es innegable que aceptar la influencia de estándares probados internacionalmente al momento de diseñar la estrategia de seguridad de la información, ofrece ventajas concretas al negocio, no solamente en términos de mitigación del riesgo, sino también en la optimización de recursos humanos y económicos destinados a la implementación. 7 Pedir ayuda! Si existe una propiedad significativa que define al escenario de amenazas actual, es que las empresas están en inferioridad numérica, pero en un sentido amplio. A nivel de recursos económicos, es bien sabido que los ataques que se realizan en la actualidad tienen fines económicos. Lo que muchas veces no se menciona, es que los ciber delincuentes operan de forma muy similar a como lo hace una empresa legalmente constituida: es decir, buscando las oportunidades que tienen mayor potencial para generar ingresos, y reinvirtiendo el capital ganado para garantizar el crecimiento de la organización. Es decir: a diferencia de un departamento de TI que debe trabajar en función de un Budget fijado de antemano (sobre el cual generalmente hay presión hacia la baja!), las organizaciones de ciber delincuentes cuentan con un flujo de ingresos creciente, que ellas administran, y que pueden reinvertir con total libertad para mejorar su infraestructura, contratar más personal, etc. A nivel de recursos humanos, el tipo de estructura que manejan los ciber delincuentes les permiten tener total flexibilidad para incorporar personal a la medida de cada ataque. Esta flexibilidad se diferencia mucho de lo que ocurre normalmente en una empresa, donde los recursos humanos representan costos fijos que el negocio debe absorber, y que deben pasar a través de procesos de justificación y aprobación, siempre y cuando hayan sido considerados previamente en el presupuesto del año.

18 En definitiva, es claro que a todas luces estamos hablando de una pelea muy desigual para aquellas organizaciones que quieren enfrentarse a los ciber delicuentes contando solamente con sus propios recursos: es prácticamente una batalla perdida antes de comenzar. Incluso, aún para aquellas empresas que pueden darse el lujo de contar con grandes planteles de personal en áreas de TI y seguridad, lo cierto es que mientras los ciber delicuentes están 100% enfocados en la explotación de amenazas, el personal de una empresa debe atender un sinfín de tareas en el día a día, gestionar la implementación de proyectos que se encuentran en marcha, interactuar con proveedores y otras áreas de la organización En la práctica, una mayor cantidad de recursos no garantiza una mayor dedicación a la seguridad, mucho menos en horario extendido. Recomendación Es necesario involucrar recursos de terceras partes (por ejemplo, un proveedor de servicios administrados) que puedan integrarse a los procesos de TI de la empresa para poder ofrecer apoyo en la gestión del riesgo, complementando los recursos existentes en la organización. La única forma en la cual las empresas pueden paliar la desventaja entre su disponibilidad de recursos y la de los ciber delincuentes, es contar con ayuda externa. De esta forma, la empresa cuenta con la tranquilidad de que mientras el personal de TI y seguridad está desarrollando sus tareas del día a día, siempre hay alguien monitoreando la seguridad de la infraestructura, descartando falsos positivos, y trabajando proactivamente sobre las amenazas que son detectadas. Algunas compañías optan por modelos de servicios que incluyen una garantía de horas de soporte con un cumplimiento, pero que no poseen monitoreo ni permisos de acceso a la infraestructura del cliente; si bien este modelo puede ofrecer una mayor sensación de control para la empresa porque los recursos externos son involucrados solamente ad-hoc, claramente esto presenta dos desventajas: la primera, es que no existe proactividad en la detección de amenazas, y la segunda es que el tiempo de diagnóstico de las amenazas se incrementa exponencialmente. Sea cual sea el modelo que la empresa prefiera, es importante tener en cuenta dos cosas: 1) Los proveedores deben ser controlados, la responsabilidad por el control nunca se delega: sin importar cuánta confianza nos inspire un proveedor, la empresa debe dedicar tiempo y recursos a controlar regularmente cómo se está realizando la entrega de los servicios. Aún si es solamente para verificar que todo está bien, la función de control es clave para garantizar una adecuada gestión del riesgo. Es recomendable que la responsabilidad por el control de los proveedores esté formalmente asignada y que se exija, como mínimo, un reporte mensual de resultados. 2) Interpretar los reportes y tomar acción: si bien el hecho de contar con un proveedor de servicios administrados elimina la mayoría de las tareas operativas del día a día relacionadas a la gestión de la seguridad de la información, lo cierto es que también le ofrece a la empresa un flujo regular de información acerca de oportunidades de mejora. Si estas mejoras no son ejecutadas, con el tiempo, el impacto negativo tiende a agravarse. Principales áreas de oportunidad Las principales áreas de oportunidad para la integración de terceros en los procesos de gestión del riesgo son:

19 Monitoreo y soporte 24x7 Gestión de cambios estándar Soporte para gestión de incidentes 24x7 Tratamiento proactivo de alarmas Correlación de eventos 24x7 Soporte en sitio 24x7 Disponibilidad de expertos 24x7 Análisis forense Implementación de controles Auditorías externas Recomendaciones específicas sobre qué no hacer Así como tuve la oportunidad de compartir recomendaciones sobre cuestiones que podrían ofrecer resultados beneficiosos en la disminución de la exposición al riesgo de una empresa, también me gustaría ofrecer algunos comentarios sobre dos puntos en especial. Se trata de cuestiones que recomiendo particularmente no hacer! Falsa sensación de seguridad Quizás una de las principales razones sobre la mayoría de los ataques informáticos, pocas cosas son peores que pensar que la empresa no está expuesta a ningún riesgo concreto. La realidad me ha demostrado que aquellos que dicen nunca haber sufrido un ataque o un incidente de seguridad, en realidad están expresando que no poseen ningún control que les permita detectarlos! Desde el más mínimo y probablemente inocente robo de información hasta la instalación de redes botnet en instituciones financieras, los ataques informáticos son cuestiones del día a día de la realidad de las empresas. De hecho, desde hace algunos años, muchos expertos en seguridad de la información recomiendan que el enfoque correcto para comenzar un plan de mitigación de riesgos, es asumir que la empresa ya fue atacada. Así es: lejos de tratar de parecer invulnerable, debemos asumir la vulnerabilidad y comenzar a trabajar desde esa posición para reducir el nivel de exposición. Lo cierto es que algunas empresas pierden más tiempo en demostrar por qué no están expuestas a riesgos que en efectivamente mitigarlos o detectarlos: la seguridad de la información no es una pelea personal ni tampoco un ataque a la personalidad, es la posibilidad de un impacto negativo en el negocio, incluso catastrófico, que debe ser tratado de la forma más responsable y profesional posible. Confianza excesiva en la tecnología Desde que comencé en este negocio, he visto infinidad de fabricantes de tecnología prometer que han desarrollado la tecnología milagrosa que es capaz de proteger, en forma automática y sin intervención humana, de cualquier tipo de amenaza. Es cierto que en los últimos 20 años las tecnologías asociadas a la seguridad de la información han avanzado significativamente. De hecho, yo mismo me encuentro recomendando a diario diferentes tipos de servicios y tecnologías con el convencimiento fiel de que van a contribuir a disminuir la exposición al riesgo de las empresas.

20 Sin embargo, hay veces en que esta situación me hace acordar a lo que ocurre con los dentistas: a pesar de que los procedimientos odontológicos han avanzado mucho, todavía no se encuentra la cura definitiva contra la caries. Cualquier profesional con experiencia en el ambiente de la seguridad de la información sabe que la única forma de mitigar efectivamente el riesgo es a través de la combinación de, por lo menos, tres factores: tecnología, talento y procesos. Cada uno de los tres es igualmente importante. Por supuesto, es posible pretender ignorar esto y asignar propiedades mágicas a la tecnología para convencerse de que es relativamente más importante que, por ejemplo, contar con expertos y procesos de respuesta ante incidentes. Sin embargo, luego de ataques como el sufrido por Target en 2014, deberíamos repensar si este enfoque es realmente efectivo o solamente un espejismo para generar una falsa sensación de seguridad. La realidad es que así como las cosas bien hechas son una combinación de distintos factores, en el caso de la confianza excesiva en la tecnología también se suceden generalmente varias acciones que contribuyen a aumentar el riesgo: una empresa que está dispuesta a confiar la seguridad de la organización en una combinación de hardware y software, probablemente ni siquiera posea una estructura que permita aprovechar al máximo esa tecnología acompañando, por ejemplo, la detección de amenazas con procesos de respuesta efectiva, o con procesos de mitigación de amenazas para garantizar que no volverán a repetirse. Así como cualquier dentista juraría que desea el desarrollo de una vacuna contra la caries, cualquier profesional de la seguridad de la información desearía también que hubiera métodos y tecnologías probadas que garanticen ( palabra clave!) la mitigación de ciertas amenazas. Créame que es así, nadie dejaría de tener trabajo por eso. Sin embargo, la realidad indica que la confianza excesiva en la tecnología, puede incluso representar riesgos aún mayores para una empresa que el de las propias amenazas, ya que contribuye a generar una falsa sensación de seguridad, y apuntala el convencimiento de que no es necesario hacer nada más para disminuir la exposición a riesgos. Conclusiones Me animo a decir que si Ud. es capaz de implementar estas recomendaciones en su organización, va a poder dormir más tranquilo y decir con orgullo que está gestionando efectivamente la seguridad de la información! Claro que también puede sonar a como cuando uno va al médico a un control de rutina: quizás realmente se sienta bien y esté convencido de que no le pasa nada, pero de cualquier manera el profesional la recomienda: dormir más, hacer más ejercicio, tener menos stress en el trabajo, no beber, hacer dieta Y uno termina preguntándose más bien para qué fue al médico! Bueno, así como el doctor generalmente tiene razón en sus recomendaciones, la realidad es que todos los puntos descriptos aquí son lo mínimo necesario para comenzar el camino de la gestión del riesgo. Sí, todavía existen más cosas por hacer, como el amplio campo de la continuidad del negocio y la digitalización de procesos e integración de plataformas M2M (machine to machine). Más aún, si su

BYOD - Retos de seguridad

BYOD - Retos de seguridad BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA Siete mitos de la seguridad de TI corporativa by Yuri Ilyin Los Mitos y prejuicios son compañeros inevitables de cualquier rama del conocimiento, y la seguridad

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Presupuesto de Seguridad de la Información

Presupuesto de Seguridad de la Información PresupuestodeSeguridaddelaInformación Unapautaenqueycuantoinvertir CristianBobadillaC.,CISSP,PCI QSA EXTRACTO Hoycuandosevieneunperiododemayorrestriccióndegastosylosriesgosdelaseguridadseincrementan, las

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Información de seguridad en Línea

Información de seguridad en Línea Información de seguridad en Línea Qué es el phishing? El phishing es el nombre dado a la práctica de enviar correos electrónicos al azar que supuestamente afirman ser de una empresa autentica que opera

Más detalles

Introducción a la plena colaboración en medianas empresas.

Introducción a la plena colaboración en medianas empresas. Introducción a la plena colaboración en medianas empresas. Cómo de bien conectada está su empresa? Este es el desafío de hoy en día en el entorno de la empresa móvil y virtual: las organizaciones se esfuerzan

Más detalles

Administración de Sistemas Operativos Licenciatura en Administración de Tecnologías de Información y Comunicaciones

Administración de Sistemas Operativos Licenciatura en Administración de Tecnologías de Información y Comunicaciones Administración de Sistemas Operativos Licenciatura en Administración de Tecnologías de Información y Comunicaciones Rafael Vázquez Pérez Principios Básicos de Administración de Sistemas Que es un Administrador

Más detalles

Movilidad del usuario: seguridad en la era de la conectividad

Movilidad del usuario: seguridad en la era de la conectividad Movilidad del usuario: seguridad en la era de la conectividad Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: viernes 27 de agosto de 2010 ESET Latinoamérica, Av. Del

Más detalles

El toque humano (Parte 1)

El toque humano (Parte 1) El toque humano (Parte 1) Transcripción del vídeo En este vídeo me gustaría compartir una sencilla estrategia que permitió cerrar un 40% más de ventas... y que, efectivamente nació de una "casualidad"

Más detalles

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo GUÍA DE AYUDA Tecnologías de Información y Comunicación para un México más Competitivo Estimad@ usuari@, esta guía tiene como objetivo orientarle sobre cómo utilizar la Vitrina de Soluciones Tecnológicas.

Más detalles

Dudas y certezas sobre las redes sociales en la empresa

Dudas y certezas sobre las redes sociales en la empresa Dudas y certezas sobre las redes sociales en la empresa Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: lunes 2 de agosto de 2010 ESET Latinoamérica, Av. Del Libertador

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

8 pasos para garantizar el éxito en tu implementación de CRM

8 pasos para garantizar el éxito en tu implementación de CRM 8 pasos para garantizar el éxito en tu implementación de CRM Tu estrategia de CRM merece tener éxito, pues hoy por hoy, las empresas centradas al cliente se convierten en dominantes del mercado, adaptando

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Seguridad web: Proteja sus datos en la nube

Seguridad web: Proteja sus datos en la nube Informe técnico Seguridad web: Proteja sus datos en la nube Lo que aprenderá Los equipos de seguridad no pueden estar en todos lados, pero el panorama actual exige que las organizaciones defiendan sus

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

Cómo pueden las empresas emergentes favorecer su crecimiento y proteger su información empresarial importante?

Cómo pueden las empresas emergentes favorecer su crecimiento y proteger su información empresarial importante? INFORME DE LA SOLUCIÓN: CA ARCSERVE BACKUP PARA MICROSOFT ESSENTIAL BUSINESS SERVER Cómo pueden las empresas emergentes favorecer su crecimiento y proteger su información empresarial importante? CA ARCserve

Más detalles

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS Con los Servicios Gestionados se transfieren, parcial o totalmente, las responsabilidades y operaciones relacionadas con el área de seguridad a un tercero

Más detalles

Barómetro Internacional de Seguridad en PYMEs

Barómetro Internacional de Seguridad en PYMEs 2009 Barómetro Internacional de Seguridad en PYMEs Estudio anual sobre hábitos de seguridad Panda Security Mayo 2009 PANDA SECURITY Barómetro Internacional Seguridad en PYMEs 1 Índice General 1. Introducción..

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Una red es un conjunto de computadoras interconectadas entre sí con el. propósito de compartir archivos y periféricos Completando esta definición

Una red es un conjunto de computadoras interconectadas entre sí con el. propósito de compartir archivos y periféricos Completando esta definición REDES RED Una red es un conjunto de computadoras interconectadas entre sí con el propósito de compartir archivos y periféricos Completando esta definición podemos añadir que una red es un sistema de comunicaciones

Más detalles

ENTREVISTA CON... RAFAEL CASAS-DON MANAGING DIRECTOR AND MARKET LEADER BURSON-MARSTELLER MEXICO

ENTREVISTA CON... RAFAEL CASAS-DON MANAGING DIRECTOR AND MARKET LEADER BURSON-MARSTELLER MEXICO ENTREVISTA CON... RAFAEL CASAS-DON MANAGING DIRECTOR AND MARKET LEADER BURSON-MARSTELLER MEXICO Desde los tiempos en los que Harold Burson, fundador de Burson Marsteller, empezó en el campo de las Relaciones

Más detalles

Principales beneficios para una pyme del uso de la plataforma Microsoft Office 365

Principales beneficios para una pyme del uso de la plataforma Microsoft Office 365 Portal de la competitividad - Office 365. Escenario Necesito movilidad y colaboración: estar fuera de la oficina y tener acceso a la información Hoja de Producto Técnica (para Pymes). Todas las empresas

Más detalles

CAPITULO III POR QUE NECESITA LA EMPRESA UN BALANCED

CAPITULO III POR QUE NECESITA LA EMPRESA UN BALANCED CAPITULO III POR QUE NECESITA LA EMPRESA UN BALANCED SCORECARD? Los empresarios se preguntaran por que necesitan mas indicadores, si con los financieros es suficiente, lo que no se dan cuenta es que así

Más detalles

Principios Obligatorio Para uso interno Septiembre 2011. Los Principios de Gestión y Liderazgo de Nestlé

Principios Obligatorio Para uso interno Septiembre 2011. Los Principios de Gestión y Liderazgo de Nestlé Principios Obligatorio Para uso interno Septiembre 2011 Los Principios de Gestión y Liderazgo de Nestlé Principios Obligatorio Para uso interno Septiembre 2011 Autoridad emisora Consejero Delegado Grupo

Más detalles

EmE 2012 Estudio de la Movilidad en las Empresas

EmE 2012 Estudio de la Movilidad en las Empresas El fenómeno BYOD (Bring Your Own Device - Trae tu dispositivo) La fuerza de la "consumerización" de la tecnología ha causado el interés de los empleados por usar su dispositivo personal para conectarse

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Entrevista de Eduard Punset con Dario Maestripieri, psicobiólogo de la University of Chicago. Nueva York, 3 de octubre del 2009.

Entrevista de Eduard Punset con Dario Maestripieri, psicobiólogo de la University of Chicago. Nueva York, 3 de octubre del 2009. Entrevista de Eduard Punset con Dario Maestripieri, psicobiólogo de la University of Chicago. Nueva York, 3 de octubre del 2009. Vídeo del programa: http://www.redesparalaciencia.com/1659/1/redes-46-macacos-y-humanos-el-secreto-del-exito

Más detalles

White Paper Gestión Dinámica de Riesgos

White Paper Gestión Dinámica de Riesgos White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar

Más detalles

El lmpacto de los Dispositivos Particulares en la Infraestructura Tecnológica

El lmpacto de los Dispositivos Particulares en la Infraestructura Tecnológica El lmpacto de los Dispositivos Particulares en la Infraestructura Tecnológica Agenda La Era PC/Web La Era Post PC BYOD Bring Your Own Device Estadísticas BYOD Lado A: Ventajas de BYOD Adopción de BYOD

Más detalles

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. Finalmente en este último capítulo se conocen los resultados, las pruebas y las conclusiones finales de la aplicación Web para el monitoreo

Más detalles

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse?

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Lenin Espinosa www.theiia.org Lenin Espinosa Máster en Sistemas de Información Tecnológico de Monterrey,

Más detalles

CAPITULO V DISEÑO DEL CUADRO DE MANDO INTEGRAL

CAPITULO V DISEÑO DEL CUADRO DE MANDO INTEGRAL CAPITULO V DISEÑO DEL CUADRO DE MANDO INTEGRAL Al hablar del balance scorecard, no deberíamos referirnos al mismo como Proyecto, sino más bien como Programa. Esto solamente para dar al balanced scorecard

Más detalles

QUÉ TAN DIFÍCIL ES AHORRAR PARA LOS COLOMBIANOS?

QUÉ TAN DIFÍCIL ES AHORRAR PARA LOS COLOMBIANOS? 0 QUÉ TAN DIFÍCIL ES AHORRAR PARA LOS COLOMBIANOS? "El ahorro consiste en poner cuidado y escrúpulo al gastar los medios de que se dispone. No es una virtud y no requiere destreza ni talento Kant. Desde

Más detalles

Dynamic Audit. Potenciando el valor de la auditoría 1.23536 13235686 0.1125 0.142 0.1758 0.1485 0.0123 0.1523 1.23536 13235686 2213146

Dynamic Audit. Potenciando el valor de la auditoría 1.23536 13235686 0.1125 0.142 0.1758 0.1485 0.0123 0.1523 1.23536 13235686 2213146 Potenciando el valor de la auditoría Dynamic Audit DYNAMIC AUDIT LA OPORTUNIDAD QUE OFRECE LA AUDITORÍA 0.253 La auditoría de los estados financieros lleva tiempo garantizando el cumplimiento normativo

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

Bank Leumi transforma la autenticación.

Bank Leumi transforma la autenticación. Bank Leumi transforma la autenticación. Utiliza una autenticación multifactor y rentable en uno de los mayores contact centers de Israel. Reto Tiempo medio de entre 20 y 30 segundos para la autenticación

Más detalles

www.csp.es Asturias - Cantabria - Madrid - Bilbao T. 902 870 962 F. 902 870 039 Síguenos en

www.csp.es Asturias - Cantabria - Madrid - Bilbao T. 902 870 962 F. 902 870 039 Síguenos en www.csp.es Asturias - Cantabria - Madrid - Bilbao T. 902 870 962 F. 902 870 039 Síguenos en CANTÁBRICO SISTEMAS CLIENTES Y PARTNERS Cantábrico Sistemas es una Ingeniería de Servicios Informáticos dedicada

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

Telefonía IP. telefonía ip > DOSSIER INFORMÁTIVO // > / SEPT, 2006. evolución natural. Jesús Martínez Martínez jesus.martinez@inove.

Telefonía IP. telefonía ip > DOSSIER INFORMÁTIVO // > / SEPT, 2006. evolución natural. Jesús Martínez Martínez jesus.martinez@inove. Telefonía IP evolución natural Jesús Martínez Martínez jesus.martinez@inove.es España, Murcia 2006 telefonía ip > DOSSIER INFORMÁTIVO // > / SEPT, 2006 2006 Inove Servicios Telemáticos. All rights reserved.

Más detalles

Ventajas del TPV Las TIC en el comercio minorista de Aragón

Ventajas del TPV Las TIC en el comercio minorista de Aragón Ventajas del TPV 1 Índice 1. Presentación... 3 2. Caja registradora vs TPV... 4 3. Principales ventajas del TPV... 5 4. La imagen de la empresa... 6 5. Perfiles de trabajo... 7 6. Bases de datos: fuentes

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible

identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible Transformación de TI y evolución de identidades Una cantidad de tendencias

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE

5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE 5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE Julio 2012 Introducción. Cada empresa y cada empresario ha entendido que, si hay una constante, ésta es el cambio. Día a día, los negocios se ponen

Más detalles

Banco Galicia Maneja 12.000 Tickets Mensuales con CA Service Desk Manager

Banco Galicia Maneja 12.000 Tickets Mensuales con CA Service Desk Manager CUSTOMER SUCCESS STORY Diciembre 2012 Banco Galicia Maneja 12.000 Tickets Mensuales con CA Service Desk Manager PERFIL DEL CLIENTE Industria: Servicios Financieros Compañía: Banco Galicia Empleados: 12.000+

Más detalles

EDI. por dónde empezar? Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI)

EDI. por dónde empezar? Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI) EDI por dónde empezar? Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI) El EDI (Electronic Data Interchange) es el sistema electrónico

Más detalles

Qué será eso que dice en el asunto

Qué será eso que dice en el asunto Como Obligar a tus Prospectos a Abrir Tus Emails Seamos claros, todos estamos en los negocios para GANAR DINERO, pero es muy importante que sepas que el factor más importante para que ganes dinero, es

Más detalles

POLITICA DE PRIVACIDAD. www.tuboleta.com

POLITICA DE PRIVACIDAD. www.tuboleta.com http://vive.tuboleta.com/content/privatepolicy.aspx POLITICA DE PRIVACIDAD Tu Boleta respeta la privacidad de todos sus clientes y contactos comerciales, y está comprometido a salvaguardar la información

Más detalles

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Agenda No olvidar Casos de la vida real.. Definiciones Qué es ISACA y cómo apoya

Más detalles

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Plan de Estudios. Diploma de Especialización en Seguridad Informática Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías

Más detalles

ESET Security Report. Latinoamérica. protegemos su mundo digital

ESET Security Report. Latinoamérica. protegemos su mundo digital ESET Security Report Latinoamérica protegemos su mundo digital El presente informe revela los resultados de una serie de encuestas realizadas por ESET en distintos países de Latinoamérica durante el año

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Engagement efectivo para empresas medianas

Engagement efectivo para empresas medianas Engagement efectivo para empresas medianas Esta realmente conectado? Ese es el desafío actual de los negocios móviles y virtuales a medida que las empresas se esfuerzan por tener comunicaciones consistentes

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image Proteger sus servidores virtuales con Acronis True Image Copyright Acronis, Inc., 2000 2008 Las organizaciones dedicadas a la TI han descubierto que la tecnología de virtualización puede simplificar la

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

WHITE PAPER UNITRONICS MOBILITY SOLUTIONS. La solución para la nueva Oficina Virtual y el Nuevo Espacio de Trabajo de Unitronics

WHITE PAPER UNITRONICS MOBILITY SOLUTIONS. La solución para la nueva Oficina Virtual y el Nuevo Espacio de Trabajo de Unitronics WHITE PAPER MOBILITY SOLUTIONS La solución para la nueva Oficina Virtual y el Nuevo Espacio de Trabajo de Unitronics Unitronics Mobility Solutions La solución para la nueva Oficina Virtual y el Nuevo Espacio

Más detalles

Introducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas

Más detalles

Pensamiento Estratégico. La Empresa. Santiago Antognolli. Somos hoy la consecuencia de las decisiones que tomamos en el pasado

Pensamiento Estratégico. La Empresa. Santiago Antognolli. Somos hoy la consecuencia de las decisiones que tomamos en el pasado Pensamiento Estratégico. La Empresa. Santiago Antognolli. Somos hoy la consecuencia de las decisiones que tomamos en el pasado El saber mirar y actuar estratégicamente en una empresa es una habilidad que

Más detalles

HACER UN SEGUIMIENTO Y PONER LAS HERRAMIENTAS EN ACCIÓN.

HACER UN SEGUIMIENTO Y PONER LAS HERRAMIENTAS EN ACCIÓN. HACER UN SEGUIMIENTO Y PONER LAS HERRAMIENTAS EN ACCIÓN. Un seguimiento es una de las cosas más importantes en la construcción de este negocio. Muchos subestiman la importancia del seguimiento o no tienen

Más detalles

guía de uso para redes sociales

guía de uso para redes sociales guía de uso para redes sociales Tu trabajo en Randstad y en las redes sociales Estimado colega, Cuando trabajas para alguna de las empresas Randstad, es muy probable que seas un miembro muy activo de la

Más detalles

PROYECTO FINAL DE PLANEACION Y GESTION DE REDES IMPLEMENTACION DE DIRECTORIO ACTIVO

PROYECTO FINAL DE PLANEACION Y GESTION DE REDES IMPLEMENTACION DE DIRECTORIO ACTIVO Ing.FabiánL.Cortes PROYECTO FINAL DE PLANEACION Y GESTION DE REDES IMPLEMENTACION DE DIRECTORIO ACTIVO Empresa Expertos INC. Para el año de 1970 fue fundada una compañía de asesorías tecnológicas en materia

Más detalles

IBM Cognos Insight. Explore, visualice, modele y comparta información de forma independiente y sin ayuda de TI. Características principales

IBM Cognos Insight. Explore, visualice, modele y comparta información de forma independiente y sin ayuda de TI. Características principales Explore, visualice, modele y comparta información de forma independiente y sin ayuda de TI Características principales Explore, analice, visualice y comparta su información de forma independiente, sin

Más detalles

Introducción. Imagine toda la información personal que tiene almacenada en su computadora, información irrecuperable como fotografías, documentos de

Introducción. Imagine toda la información personal que tiene almacenada en su computadora, información irrecuperable como fotografías, documentos de Guía de Backup Introducción Imagine toda la información personal que tiene almacenada en su computadora, información irrecuperable como fotografías, documentos de texto, planillas, presentaciones, entre

Más detalles

Offering de Servicios Xpress Security. BT Assure. Security that matters

Offering de Servicios Xpress Security. BT Assure. Security that matters Offering de Servicios Xpress Security BT Assure. Security that matters Servicios de Gestión de Seguridad Internet Xpress ha contribuido en el establecimiento de los estándares de responsabilidad, fiabilidad

Más detalles

Administración de dispositivos móviles desde el escritorio. Erik Willey

Administración de dispositivos móviles desde el escritorio. Erik Willey Administración de dispositivos móviles desde el escritorio Introducción En los últimos años, la adopción de dispositivos móviles ha experimentado un crecimiento explosivo que supera ampliamente los índices

Más detalles

Cinco tendencias de administración basada en los clientes que cualquier negocio puede implementar

Cinco tendencias de administración basada en los clientes que cualquier negocio puede implementar Cinco tendencias de administración basada en los clientes que cualquier negocio puede implementar Hay tantas buenas prácticas para administrar tus relaciones con los clientes que puede ser difícil identificar

Más detalles

NETWORK VULNERABILITY & ACCESS CONTROL

NETWORK VULNERABILITY & ACCESS CONTROL Control de Acceso a Redes (NAC) Se encuentra a un clic del desastre? Refuerce su red y proteja sus activos con un control férreo de acceso a la red y gestión de vulnerabilidad. Conozca los hechos y obtenga

Más detalles

Potencia tu talento y el de los que te rodean MÉTODO SIDECAR. No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer.

Potencia tu talento y el de los que te rodean MÉTODO SIDECAR. No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer. No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer. Johan Wolfgang Goethe INDICE 1. 2. OBJETIVO PROCESO Evaluación ANTES: Perfil de partida. Evaluación DESPUÉS: Perfil

Más detalles

Minimice los riesgos para la migración de red del centro de datos

Minimice los riesgos para la migración de red del centro de datos Minimice los riesgos para la migración de red del centro de datos Optimice su arquitectura e inversión de TI y, al mismo tiempo, reduzca la complejidad y los riesgos Los Servicios de migración de centros

Más detalles

Manejo y Análisis de Incidentes de Seguridad Informática

Manejo y Análisis de Incidentes de Seguridad Informática Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente En este capítulo definimos los requisitos del modelo para un sistema centrado en la mejora de la calidad del código fuente.

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

#$%&'#(#)'#'%( ' /001234 $" * * + 8* < + 8* =* #*

#$%&'#(#)'#'%( ' /001234 $ * * + 8* < + 8* =* #* #$%&'#(#)'#'%( '*+,*-!-.- ' /001234 5** 06/111/ #***,"*- -- 7* $" * * + 8* 9*: *;#*:" < + 8* =* #*

Más detalles

Las 7 principales prácticas recomendadas para mantener la continuidad de los servicios de TI

Las 7 principales prácticas recomendadas para mantener la continuidad de los servicios de TI Las 7 principales prácticas recomendadas para mantener la continuidad de los servicios de TI Quién debe leer este white paper Responsables organizativos que influyen y toman decisiones sobre las prácticas

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

Liderazgo y tecnología: Comparación del costo total de propiedad de soluciones de comunicaciones unificadas

Liderazgo y tecnología: Comparación del costo total de propiedad de soluciones de comunicaciones unificadas INFORME TÉCNICO Liderazgo y tecnología: Comparación del costo total de propiedad de soluciones de comunicaciones unificadas Julio de 2012 Resumen ejecutivo Las empresas medianas se esfuerzan por lograr

Más detalles

FORTALEZAS CON PUERTAS DE CRISTAL

FORTALEZAS CON PUERTAS DE CRISTAL FORTALEZAS CON PUERTAS DE CRISTAL SEGURIDAD DE LA INFORMACIÓN Conoce usted a alguien que proteja su patrimonio o seres queridos con puertas de cristal? En lo que respecta a seguridad de la información,

Más detalles

ARTÍCULO TÉCNICO. Los cinco pilares para controlar las ACL y reglas del cortafuegos

ARTÍCULO TÉCNICO. Los cinco pilares para controlar las ACL y reglas del cortafuegos ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos Resumen Los principales expertos en redes y seguridad del mundo se enfrentan al mismo desafío: intentar controlar el complejo

Más detalles

Comunicación con clientes y mercado

Comunicación con clientes y mercado Personal Training Comunicación con clientes y mercado Introducción al marketing Las actividades de marketing son esenciales para llevar los productos y servicios de tu empresa a los consumidores finales.

Más detalles

SharePoint Governance Tu SharePoint sobre ruedas

SharePoint Governance Tu SharePoint sobre ruedas White paper SharePoint Governance Tu SharePoint sobre ruedas Si ya tienes SharePoint o estás pensando en implementarlo en tu organización, este White Paper te interesa. Incremento de productividad En él

Más detalles