Introducción... 3 Axiomas de la seguridad de la información en la actualidad Defensa en profundidad Recomendación...

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Introducción... 3 Axiomas de la seguridad de la información en la actualidad... 3 1 Defensa en profundidad... 3. Recomendación..."

Transcripción

1

2 Índice Introducción... 3 Axiomas de la seguridad de la información en la actualidad Defensa en profundidad... 3 Recomendación Controles por tipo de activo... 5 Recomendación Aceptar la consumerización... 6 Recomendación Correlación de eventos Recomendación Proactividad y capacidad de respuesta 7x Recomendación Procesos y buenas prácticas Recomendación Pedir ayuda! Recomendación Recomendaciones específicas sobre qué no hacer Falsa sensación de seguridad Confianza excesiva en la tecnología Conclusiones Referencias y otras lecturas... 21

3 Introducción Los hackers siempre serán hackers, y la seguridad de la información siempre se definirá por las propiedades de Confidencialidad, Integridad y Disponibilidad bueno, al menos hasta que cambie o se mejore el modelo actual! Sin embargo, más allá de invocar una definición del diccionario, este artículo apunta a responder algo mucho más concreto: para un Director de TI (CIO/CTO) o un Director de Seguridad (CSO/CISO), qué representa gestionar la seguridad de la información? Quisiera proponerle abordar este tema desde la perspectiva de cuáles deberían ser los axiomas de una gestión de la seguridad de la información efectiva en la actualidad, es decir, qué es lo mínimo que debemos considerar y hacer para poder proclamar con orgullo que efectivamente estamos gestionando el riesgo de la información y por lo tanto protegiendo al negocio. Vale aclarar de antemano dos cosas: en primer lugar, la selección de los axiomas es absolutamente caprichosa; solamente con base en la experiencia y el aprendizaje recogido en las visitas que realizo habitualmente a empresas de toda la región, he tratado de agrupar en siete axiomas aquellas iniciativas que, además de considerar fundamentales en torno a la seguridad de la información, he tenido oportunidad de comprobar que dan resultado. Por supuesto, algunos de los axiomas pertenecen a normas internacionales, otros son buenas prácticas establecidas en el mercado, y algunos también son opiniones de mi autoría. Sin embargo, sirva también de aclaración, que más que ser original lo que busco es presentar temas que posean relevancia en la actualidad. En segundo lugar, con el ánimo de agregar valor a los axiomas, me animo a compartir algunas recomendaciones asociadas a cada uno de ellos y contribuir a que este White Paper, lejos de ser un ejercicio netamente teórico, se convierta en una herramienta útil de aplicación práctica. Axiomas de la seguridad de la información en la actualidad 1 Defensa en profundidad Creo que nadie se atrevería a negar que hace 20 años todo era mucho más fácil en relación a la seguridad de la información, verdad? Si bien nos preocupábamos ( y mucho!) de ciertos virus en determinadas fechas, el mayor riesgo que podíamos correr era que se borrara el disco del computador. En esa época las amenazas no se distribuían por la red, y el principal método de contagio era la información trasladada en disquetes. Cuando Internet comenzó a ser realmente masivo, y los riesgos en torno a la seguridad de la información aumentaron considerablemente, el modelo que se impuso fue el de la seguridad perimetral. Ese modelo operaba en base a determinados axiomas, los cuales me gusta resumir en una frase: todo lo malo viene de afuera, es decir, que mientras existiera una separación ( punto de control ) entre la red privada y la red pública (o sea, Internet), las amenazas no tendrían por dónde ingresar; y por otro lado, al existir una zona de confianza (es decir, la red privada), no era necesario adicionar más controles por fuera del perímetro. Sé que ya no es ninguna novedad, pero vale la pena decirlo: el modelo de seguridad perimetral está completamente obsoleto, hace años!

4 Qué cosas han cambiado desde aquella época hasta hoy? Repasemos algunas por favor: 1) No existen más zonas de confianza: los ataques pueden venir, literalmente, desde cualquier punto de la infraestructura; de hecho es una verdad establecida en la industria que la mayor cantidad de ataques se originan en la red privada. 2) Los ataques de ingeniería social crecen sostenidamente: este tipo de ataques, que explotan vulnerabilidades en la tecnología y también condicionamientos innatos en los seres humanos, hacen más complicada aún la implementación de controles! 3) Movilidad, teletrabajo y la distribución de la información: en cualquier compañía, la información está hoy en día cada vez más distribuida. Celulares, laptops, servicios de nube pública, sucursales, exempleados, datacenters Y la lista sigue creciendo a medida que los modelos de nube híbrida y las tendencias como consumerización y BYOD (Bring Your Own Device) van en aumento. 4) Crecimiento en complejidad y cantidad de ataques: malware, vulnerabilidades en el código de las aplicaciones, ataques de día cero, amenazas avanzadas (APT), ataques de denegación de servicio (DDoS) e ingeniería social son solamente algunos de los ataques y técnicas más utilizados en la actualidad, con impacto en toda la infraestructura de la empresa. Quizás una de las conclusiones más importantes que podemos obtener aquí es que no existe una solución mágica a todos los posibles riesgos a la seguridad. La única estrategia viable es un modelo que integre diferentes controles, como lo es la defensa en profundidad (defense in depth). Recomendación Es necesario implementar múltiples controles y distribuirlos en la infraestructura de forma tal que los activos más críticos se encuentren protegidos por más controles que los menos críticos. Esta estrategia, que se conoce como defensa en profundidad, debe incluir no solamente el datacenter o los dispositivos en el sitio central, sino también todas las sucursales y usuarios remotos ( teleworkers ). Una de las claves para que una estrategia de defensa en profundidad sea exitosa, es la clasificación de activos de información: si no sabemos qué debemos proteger y por qué, es muy difícil garantizar algún nivel de efectividad. La organización debe conocer los activos de información que posee y cuál es su criticidad para el negocio. Solamente un ejemplo: una empresa del sector retail coloca controles de seguridad en el datacenter y en los accesos externos a la red para evitar la fuga de información confidencial. Sin embargo, en las cajas ubicadas en las sucursales, se utilizan computadores a los que se conectan lectores de códigos de barra, lectores de tarjetas de crédito e impresoras para procesar las transacciones de los clientes. La empresa no sabe que el software utilizado en el computador guarda un log que contiene la información de todas las transacciones. Ese log, que queda almacenado en cada uno de los computadores de las sucursales, sirve a los desarrolladores de la aplicación para verificar el funcionamiento de los cambios y actualizaciones en el software. A pesar de todas las medidas de seguridad implementadas en la red, cualquier atacante con acceso a un computador de una sucursal, puede obtener información confidencial con un mínimo esfuerzo. Claro que conocer dónde se encuentran los activos críticos de información por sí solo no garantiza un mayor de nivel de profundidad, pero cuesta pensar cómo podemos diseñar e implementar una estrategia de seguridad exitosa si éste no fuera el primer paso.

5 2 Controles por tipo de activo Recuerdo la primera vez que leí una versión de la norma BS 7799 (predecesora de la ISO 27001), hace más de 10 años. Si bien toda mi vida me ha encantado leer, confieso que no nací con el talento de recordar frases para citar de forma exacta; en general, siempre recuerdo la esencia de lo que leo (es decir, aquello que me parece subjetivamente más relevante) en vez de las palabras en sí. Al igual que en la ISO del año 2005, una de las primeras cosas que me llamó la atención, fue la referencia a proteger la información en todas sus formas, incluyendo los diferentes medios en los que la información se utiliza en las compañías: no solamente se trata de los datos en formato digital, sino también aquellos que se encuentran en papeles e incluso en las mentes de los empleados. Si bien puede sonar obvio, la realidad es que muy pocas empresas hoy en día tienen en cuenta los diversos procesos por los que atraviesa la información y la forma particular en la que cada uno de esos procesos debe ser controlado y protegido ante amenazas. Sin embargo, hay quienes sí constantemente se esfuerzan por descubrir nuevas formas de explotar vulnerabilidades en la cadena de procesamiento de la información: se conocen habitualmente con el nombre de ciber delincuentes. Hoy en día, la creación de amenazas lleva a los atacantes a operar en un nivel de detalle cada vez mayor, tratando de aprovechar cualquier mínima vulnerabilidad que garantice acceso a los activos de información buscados. Uno de los tantos ejemplos de esto son las amenazas con Stuxnet, diseñadas para atacar una plataforma específica. Seguramente, muchos recuerdan la época en que se podía decir que determinadas plataformas o sistemas operativos eran más seguras porque no eran susceptibles a virus. Luego, eso cambió a que no eran invulnerables, sino que había menos ciber delincuentes detrás de explotar amenazas que en otras plataformas. Ahora, todas las tecnologías son vistas con el mismo potencial de ser vulneradas. Lo cierto es que en seguridad de la información no existe una vara mágica que proteja de todas las amenazas: incluso los mejores equipos de seguridad multi-propósito que, al mejor estilo navaja suiza, incorporan múltiples funciones para la protección de amenazas en una sola caja, en general no poseen el nivel de detalle suficiente para ser igualmente efectivo y eficaz en todas sus funciones. De hecho, muchos administradores experimentan día a día que el crecimiento exponencial de las amenazas y del volumen de negocios realizado en plataformas digitales hace que para no degradar el rendimiento de algunas plataformas de seguridad, es necesario apagar temporalmente algunas funciones, dejando a la empresa efectivamente sin protección ante determinados tipos de ataques. Recomendación Por supuesto que esto no es problema de la tecnología, sino de cómo se utiliza. De hecho, yo mismo recomiendo a diario utilizar equipos multi-propósito para determinadas funciones, sin embargo la clave está en cómo y dónde se utilizan, y fundamentalmente qué otras medidas de seguridad, más específicas, se colocan en los puntos críticos de la infraestructura. Ejemplos de funciones de seguridad específica son: Aplicaciones web: dispositivos como los WAF (Web Application Firewall) están diseñados para proteger ante amenazas específicamente dirigidas contra vulnerabilidades en el código de

6 aplicaciones web. No solamente se trata de aplicaciones hacia Internet, sino también de aquellas que funcionan en la red interna: recordemos que algunas técnicas de ataque se basan en conseguir pequeños trozos de información que, en conjunto, pueden permitir realizar un ataque de mayor envergadura. Dispositivos móviles: es claro que la información en los dispositivos móviles también debe ser controlada, la gran pregunta es cómo? Quizás una de las técnicas más efectivas es la de compartimentalizar el dispositivo: crear un ambiente dedicado para las aplicaciones laborales y de esta manera proteger la información a través de funcionalidades como la autenticación centralizada, encripción o el borrado remoto de datos. Bases de datos: además de proteger los ataques realizados al sistema operativo y el software de base de datos, es necesario también controlar qué tipo de transacciones se ejecutan. Algunos ataques se basan en ganar acceso a servidores que poseen permisos de acceso a las bases de datos y desde ahí ejecutar consultas para obtener información privilegiada. Control de aplicaciones: este punto es particularmente sensible porque es donde la mayoría de las empresas logran poner a los usuarios en contra de las medidas de seguridad. En general, la gran mayoría de los usuarios están de acuerdo en seguir las políticas de seguridad, siempre y cuando éstas no les impidan hacer su trabajo. Si puedo arriesgar una cifra, diría que este número excede el 80% de los usuarios, es decir que el departamento de TI tiene a la mayoría de la empresa de su lado en la aplicación de políticas! La clave es entender qué aplicaciones filtrar y cuáles son las alternativas que los usuarios poseen para acceder a la misma funcionalidad pero a través de herramientas provistas por el departamento de TI. 3 Aceptar la consumerización La buena noticia es que hay veces en las que nadar contra la corriente es no solamente beneficioso sino necesario. La sociedad y su evolución histórica nos ofrecen incontables ejemplos de pioneros que, desafiando las reglas establecidas, alcanzaron cambios que resultaron fundamentales para el avance de la humanidad en su conjunto y el triunfo de valores universales como la libertad, por citar solamente un ejemplo. La mala noticia es que la consumerización, hace diez años una tendencia y hoy una realidad consolidada, no representa para TI una oportunidad de luchar contra la corriente, sino más bien una batalla perdida. Para ser claro: las áreas de TI tienen más para perder que para ganar luchando contra los usuarios. De hecho, se podría argumentar que la consumerización se puede interpretar como el triunfo de los usuarios, aunque yo diría más bien que es el triunfo de los departamentos de marketing de ciertas empresas de consumo versus el de las compañías tradicionalmente orientadas al sector empresarial. Si tomamos como ejemplo dos dispositivos que nacieron completamente fuera del ámbito empresarial pero que hoy están omnipresentes en las empresas como los celulares inteligentes y las tablets de última generación, la realidad es que las empresas de consumo lograron interpretar de una manera más eficiente las funcionalidades más atractivas para los usuarios y de esta forma ganar su aceptación. En este punto, quizás pienso que debería haber comentado antes qué es la consumerización, además claro de una traducción por lo menos dudosa del Inglés consumerization. La definición más académica que conozco es que la define consumerización como la introducción en el sector empresarial de tecnologías originalmente diseñadas para usuarios finales.

7 Mi propia definición, desde el punto de vista de las áreas de TI, es que la consumerización significa que cada vez es más difícil decirle no a los usuarios. Hace 10 años, era típico escuchar a los departamentos de TI decir con orgullo que las políticas de seguridad eran estrictas y que estaban implementadas en toda la organización, con la salvedad de algunas pocas y controladas excepciones (típicamente, los niveles directivos más altos, por ejemplo, no debían pasar por el control del filtro de contenido o no poseían limitaciones para conectar dispositivos a sus computadores). Hoy en día, lo que era una excepción, se ha vuelto la regla: los usuarios deciden con qué dispositivo quieren trabajar, utilizan software no autorizado por TI diariamente para trabajar (como por ejemplo las aplicaciones gratis en la nube para compartir archivos) y crean sus propias soluciones de teletrabajo, entre otras. Es interesante notar que este mismo fenómeno se desarrolla a la par de dos movimientos: La conversión, a nivel mundial, de cómo se entiende y se posiciona el área de TI en las organizaciones: cada vez más, TI debe funcionar como un área estratégica que presta servicios a la organización para aumentar la productividad de los principales procesos de negocios. Hace algunos años, la discusión era si TI debía ser vista como un área de gasto o como un área de inversión. Pues bien, la conclusión es que debe ser un área de servicios. La convergencia, en toda la industria, de las tecnologías de uso empresarial con las de uso personal. Es decir, el departamento de TI ya no cuenta ni siquiera con la ayuda de los proveedores, quienes lejos de fomentar el desarrollo de tecnologías para usuarios y para empresas, están enfocados en integrar ambas necesidades en servicios únicos. Solamente un ejemplo con dos aplicaciones de Microsoft: cuántos de nosotros utilizamos Lync para trabajar y Skype para comunicarnos con amigos y familiares? Pues bien, ahora ambos se integran y las funcionalidades de uso personal y de negocios pueden convivir en una sola plataforma. Cuál de las dos? Acertó: Skype, la que originalmente era sólo de uso personal. Ahora bien, cómo podría TI convertirse efectivamente en un área de servicios si no puede tener a sus clientes (usuarios finales) satisfechos? Sin más, luchar contra la consumerización es luchar contra los usuarios, lo cual definitivamente no es recomendable. Recomendación Ineludiblemente, el primer paso es aceptar la consumerización como una realidad. Lejos de ser una derrota para el departamento de TI, hay que mirarlo como una oportunidad. Seamos sinceros: a pesar de todas las medidas de seguridad implementadas, como proxies, filtros de contenido, incluso sistemas de detección de intrusos implementados como filtros de navegación avanzados (!), los usuarios siempre encuentran la forma de vulnerar las políticas. Recuerdo una de tantas veces en las que, visitando una empresa con múltiples controles de seguridad (que en general buscan como principal medida aumentar la productividad de los usuarios ), podía ver usuarios con sus teléfonos móviles y tablets, navegando por cualquier página o utilizando programas de chat, sin ninguna posibilidad para TI de poder controlarlos.

8 Por supuesto que los controles deben existir! De hecho, son absolutamente necesarios. La gran pregunta es cómo deben ser implementados para ser efectivos. Para esto, me gustaría ofrecer algunas recomendaciones: Pensar en servicios en lugar de controles Hablar de controles es hablar en terminología técnica. Entre expertos en seguridad, es un término adecuado y útil. Pero para referirnos a la experiencia de los usuarios en la organización, no lo es tanto. El área de TI debe pensar en función de servicios, es decir, que cualquier funcionalidad o dispositivo que se agregue en la infraestructura debe proveer un servicio al negocio, y por ende a los usuarios. Si el objetivo del control no le ofrece ninguna ventaja a los usuarios, entonces probablemente no sirva demasiado al negocio tampoco. Puede sonar drástico y hasta a veces riesgoso, pero si logramos pensar en función de servicios, vamos a asegurar que el área de TI sea vista como un contribuidor al negocio por toda la organización. Ud. puede hacer su propia investigación o encuesta: le garantizo que la abrumadora mayoría de los usuarios en la organización, solamente quieren trabajar de la forma más productiva. Cuidar la implementación En general, el problema de muchas recomendaciones, es que son tomadas en forma aislada cuando en realidad están diseñadas para formar un sistema. Este es el caso cuando hablamos de consumerización. Pensar en servicios no se trata de otorgar un si automático a cada dispositivo o software nuevo que aparece. Se trata de implementar controles de forma integral, considerando que la funcionalidad que el usuario necesita, siempre se mantenga. Algunos ejemplos: Redes de Wi-Fi para navegación, separadas de la red corporativa: por supuesto que no se trata de ofrecer un canal de Internet de 1 Mbps para usuarios y desincentivar su uso, sino que se trata de ofrecer un servicio bueno para incentivar que los usuarios lo utilicen pero a través del cual se puedan implementar controles no intrusivos y desde el cual exista una separación física entre la red privada y la red pública. De esta manera, los usuarios son invitados a utilizar sus dispositivos personales a través de esta red. De esta manera, no sería descabellado para TI implementar un proceso de registro de dispositivos, y obtener de los usuarios una firma para una política de uso aceptable de la red. Imagino que los usuarios aceptarían gustosos de obtener un mejor servicio, aprobado oficialmente por la compañía. Políticas de BYOD (Bring Your Own Device): parte de aceptar la consumerización es entender (y reconocer) que los usuarios se identifican cada vez más con sus dispositivos. Así como en una época ocurría, por ejemplo, con las marcas de ropa, hoy ocurre con las marcas de dispositivos. Incluso, a pesar de que la evidencia técnica indique lo contrario! (en este momento, por ejemplo, pienso en los auriculares: algunas de las marcas más populares, utilizadas incluso por estrellas del mundo deportivo y del espectáculo de forma casi uniforme, son las que peores calificaciones en términos de calidad de sonido reciben por los audiófilos). No es exagerado decir que, por ejemplo, para el usuario que invierte una suma considerable de dinero en comprar un computador bastante más caro que el promedio con el afán de disfrutar de una tecnología y pertenecer a un grupo selecto de personas que se identifican con los valores de esa marca, puede resultar hasta traumático tener que utilizar otra marca de equipo en el trabajo que no le representa lo mismo. El mismo ejemplo aplica para el teléfono celular corporativo, y en general cualquier dispositivo que puede ser utilizado tanto para trabajar como para el uso personal. En estos casos, permitirle al usuario utilizar sus propios dispositivos es una muy buena alternativa. Es verdad que BYOD (traducción: traiga su propio dispositivo ) exige más al

9 departamento de TI, pero ahí donde hay un servicio prestado hay una oportunidad de agregar más valor al negocio! Controles de contenido: una buena forma de entregar seguridad sin implementar controles intrusivos son los filtros de contenido, en un sentido amplio. Por ejemplo, en lugar de prohibir el acceso a sitios de correo electrónico personal, es más efectivo verificar que no se esté divulgando información confidencial a través del análisis de mensajes y archivos adjuntos. De esta manera, los usuarios que hacen un uso adecuado de los servicios pueden utilizarlos, y la empresa siempre tiene la oportunidad de filtrar las actividades maliciosas o que no se alinean con las políticas de seguridad. Conocer y entender al usuario Debe existir, por parte de TI, un esfuerzo sincero por conocer a los usuarios y adaptar, en la medida de lo posible, las políticas sobre tecnología, seguridad y dispositivos, para encontrar áreas de coincidencia entre las necesidades del negocio y las del personal. Si aceptamos que TI debe ser un área de servicios, conocer al cliente debería ser una prioridad. Solamente dos ejemplos: Muchas áreas de TI ven a los servicios de compartición de archivos en nubes públicas como un enemigo. Si bien tiendo a coincidir en esa apreciación cuando se trata de servicios no controlados por la empresa, la pregunta que queda por hacer es qué alternativa ofrece la organización? De nuevo, la mayoría de los usuarios va a preferir utilizar un servicio corporativo para compartir archivos. A su vez, tener ese servicio corporativo disponible, otorga el derecho de filtrar los servicios no autorizados. Cuántos usuarios trabajan hoy en día desde su casa? Me refiero a quienes lo hacen uno o dos días por semana. Cuántos lo hacen de forma oficial, es decir, con el reconocimiento y apoyo de TI? La época en la que todos trabajábamos desde la oficina, al mismo tiempo, siguiendo las mismas rutinas horarias, está tendiendo a desaparecer. Es responsabilidad de TI otorgar las herramientas para que los teletrabajadores puedan desarrollar sus funciones con normalidad sin necesidad de utilizar aplicaciones y servicios no autorizados. Qué tan satisfechos están los usuarios con el servicio que brinda TI? Sé que normalmente suena peligroso preguntar esto, pero créanme que en todo el mundo está comprobado que los beneficios de largo y mediano plazo son mucho más valiosos que las posibles decepciones de las primeras encuestas. Hay muchas formas de medir la satisfacción de los usuarios para obtener realimentación sobre oportunidades de mejora. Me gustan los sistemas basados en Net Promoter Score (NPS) porque son relativamente fáciles de implementar y ofrecen información muy valiosa. Sin embargo, más allá del sistema, es importante también el claro mensaje que se transmite a la organización cuando el área de TI se convierte en un área de servicios que se preocupa (y ocupa) de la satisfacción de sus clientes internos. Educación y comunicación Existe una falsa percepción de la educación en general como la transmisión de conocimientos en un sentido (por ejemplo, desde el maestro hacia el alumno). En cambio, todos aceptamos que la comunicación debe ocurrir en dos direcciones. Es por eso que cuando hablamos de concientizar al usuario para contarlo como aliado en la implementación y el respeto de las políticas de seguridad de la organización, nos referimos sin duda a una transmisión de conocimientos pero considerando la opinión y la visión también del usuario final. Particularmente en los primeros años desde el 2000, el auge de los programas de concientización de usuarios ( security awareness como se lo conoce en Ingles) ofreció a las empresas cursos (presenciales y

10 on-line) impartidos en un solo sentido que los usuarios debían tomar por obligación. Bueno, quizás no debería usar tanto el tiempo pasado aquí ya que todavía seguimos viendo este tipo de entrenamientos en muchas compañías. Algunas organizaciones comenzaron a reconocer la importancia de considerar los intereses de los usuarios en los entrenamientos como una forma de aumentar su efectividad, e incluso reconocen que la consumerización les ofrece una ventaja única: la convergencia entre las medidas de seguridad necesarias en la organización y en la vida personal. Las recomendaciones de seguridad son, en su mayoría, las mismas, pero sin duda son mucho más interesantes y relevantes para los usuarios cuando son presentadas, por ejemplo, como recomendaciones para mejorar la seguridad en sus transacciones online personales y para protegerse del robo de identidad. De la misma manera, para que los entrenamientos de concientización sean más efectivos, deben necesariamente actualizar su contenido año a año ( cuántos hemos visto los mismos slides por, digamos, tres años seguido?) y también funcionar en dos vías: como verdaderos talleres donde se abran espacios de discusión y oportunidades de compartir experiencias de la vida real. Adicionalmente, el entrenamiento formal debe ser segmentado (orientado solamente hacia quienes deben recibirlo) y premiado adecuadamente: es de fundamental importancia incentivar a los usuarios a estar siempre actualizados en sus competencias laborales, incluyendo la seguridad de la información. La justificación desde el punto de vista del negocio es muy sencilla: tiene mucho más poder lo que uno sabe y acepta como correcto, que lo que se impone como una regla a cumplir sin saber por qué. 4 Correlación de eventos Cada vez que me toca hablar de este punto me gusta usar una analogía. Muchos de nosotros hemos visto y recordamos la película Matrix, verdad? Quienes todavía sean demasiado jóvenes y no la hayan visto, muy probablemente la vayan a disfrutar, en particular la primera de la saga. Sin embargo esto no se trata de recomendaciones cinematográficas, para lo cual claramente no estoy adecuadamente calificado. La cuestión es que uno de los principales logros del bando de los buenos en Matrix, ocurre a partir de que son capaces de descifrar el lenguaje a través del cual los malos se comunicaban y organizaban todas las actividades que ocurrían en la matriz. La forma en la que esa decodificación tomaba lugar, era a través de unas pantallas de computador en la que jeroglíficos de color verde circulaban de arriba hacia abajo, superponiéndose en algunos casos unos a otros. Algunas pocas personas con un entrenamiento especial eran capaces de interpretar, en tiempo real, el significado de los jeroglíficos y de esa forma sabían exactamente qué era lo que estaba ocurriendo y podían advertir a sus compañeros de posibles peligros y rutas de escape, entre otros. Claramente, se trata de una película de ciencia ficción. Qué tiene que ver una película filmada el siglo pasado (sí, es de 1999!) con una de las técnicas más avanzadas en el ámbito de la seguridad de la información? La realidad es que si uno mira, por ejemplo, la consola de información de un sistema IDP/IDS (detección y prevención de intrusos) intentando entender los eventos de seguridad que circulan por la infraestructura en tiempo real, lo que uno puede observar se parece mucho a las pantallas con jeroglíficos de Matrix!

11 Lo cierto es que la complejidad de los ataques, el crecimiento en cantidad de los mismos y también la gran variedad de dispositivos y aplicaciones que generan eventos en tiempo real, hace imposible hoy en día para un ser humano poder interpretar qué es lo que ocurre en la red con sólo mirar una pantalla. Tengamos en cuenta que es perfectamente normal, por ejemplo, para un sistema IDP/IDS, generar más de eventos por hora. Si a esto le sumamos que según el modelo de defensa en profundidad los controles deben ser variados y estar distribuidos en la infraestructura, el número de eventos crece geométricamente con los controles justificando aún más la necesidad de sistemas de apoyo que puedan hacer las cosas que los seres humanos no podemos. Recomendación La correlación de eventos hace referencia a una combinación particular de servicios y funcionalidades que permiten: Recibir gran cantidad de eventos en tiempo real, desde múltiples orígenes (típicamente: servidores, aplicaciones, equipos de red (routers, switches, access points) y soluciones de seguridad). Interpretar, en tiempo real, los eventos recibidos según una serie de reglas (normalmente llamadas directivas de correlación o reglas de correlación ). Agrupar los eventos según determinados tipos de ataques y generar, en tiempo real, una calificación de riesgo que permita entender qué riesgo potencial implica cada grupo de eventos para la infraestructura, y cómo evoluciona ese nivel de riesgo en el tiempo. Claro que está que a medida que la tecnología evoluciona, las funciones que se incorporan a la correlación de eventos también crecen. Podemos encontrar estas soluciones en el mercado bajo el nombre de SIEM (Security Information and Event Management). Sin embargo, más allá de dar definiciones, me gustaría resaltar tres características únicas que la correlación de eventos aporta a una organización. Así como en matemáticas muchas veces se realizan demostraciones comenzando por asumir algo que se cree imposible ( demostración por el absurdo ), me voy a centrar en responder cuatro preguntas que normalmente, para la mayoría de las organizaciones que no utilizan la correlación de eventos, no tienen respuesta. Cómo está la seguridad de la red en este momento? Cuando hablamos de sistemas de seguridad, mucho de lo que se dice en el mercado es que mientras más seguridad exista en la organización, el CIO (Chief Information Officer) y el CISO (Chief Information Security Officer), entre otros, van a poder dormir más tranquilos. No es menos cierto que, una vez que se despiertan de su placentero sueño, deben poder entender rápidamente en qué situación se encuentra la infraestructura. Hay algún riesgo para los principales procesos de negocio? Hay algún incidente crítico ocurriendo, o mejor aún, existe algún riesgo incipiente con capacidad de generar un incidente crítico? Hubo algún cambio significativo en la infraestructura? La capacidad de conocer el nivel de riesgo de la red en tiempo real, y en cualquier momento, es una de las características de las soluciones de correlación de eventos. Cuál es la prioridad en materia de seguridad de la infraestructura? La mayoría de las organizaciones en la actualidad no poseen personal dedicado a seguridad de la información. Incluso para aquellas que poseen personal dedicado, la realidad es que las obligaciones del

12 día a día y de los proyectos en curso dejan poco tiempo real para ser dedicado a la evaluación y tratamiento de las amenazas en tiempo real. Sin importar con cuántos recursos de personal, hardware y software cuenta la organización, es la propia dinámica del negocio la que hace que no haya tiempo para dedicarse a ciertas actividades. Qué hacer, entonces, ante esta realidad? Sería muy bueno poder contar con un análisis de eventos de seguridad que ayude a las empresas a determinar dónde están las prioridades. Así mismo, sería bien interesante saber qué está ocurriendo en la seguridad de la red mientras nadie está particularmente enfocado en eso. Una de las características de los sistemas de correlación de eventos es que son capaces de analizar cada evento que ocurre en la infraestructura, algo impensado para un ser humano. Algunos ataques, incluso contando con sistemas avanzados de detección, son muy difíciles de reconocer, y mucho más aún cuando se cuenta con poco tiempo. Ejemplo sencillo: un usuario con muchos intentos de autenticación fallidos quién tiene tiempo para detenerse a observar esto? Sin embargo, según de qué usuario y qué computador o servidor se trate, el nivel de riesgo puede variar significativamente, sobre todo si se considera que podría tratarse de un ataque de fuerza bruta! No solamente la correlación de eventos ayuda a dormir mejor, también contribuye a distribuir los esfuerzos y los recursos de la forma más efectiva posible. Qué avanzamos desde la última auditoría? Cualquiera que haya pasado por una auditoría sabe que siempre existe un cierto componente de incertidumbre. No importa qué tan bien se haya preparado la organización, las auditorías son momentos críticos en los cuales las personas se sienten a prueba. A pesar de lo expuesto, siempre sostengo que el resultado de una auditoría no puede ser un misterio. Cuántas empresas se apresuran por solucionar los problemas detectados en la auditoría anterior, durante las dos semanas previas a la nueva auditoría? Aún aquellas que poseen sistemas de mejora continua y se comprometen a tratar las oportunidades de mejora a tiempo, qué control poseen sobre las que se relacionan con la seguridad de la información? Otra de las funcionalidades que ofrecen las soluciones de correlación de eventos es permitir visualizar la seguridad de la información y su evolución a través de tiempo. Las más avanzadas también poseen reportes y tableros de comando específicos para las regulaciones internacionales más importantes, como ISO 27001, PCI, HIPPA, etc. Ya sea que se trate de una auditoría formal siguiendo una normativa internacional, o una auditoría interna que involucre, por ejemplo, un test de penetración o un hacking ético, las herramientas de correlación de eventos pueden contribuir a evaluar el impacto de las medidas de mejora implementadas en la infraestructura, permitiendo conocer el estado actual de la seguridad en comparación con períodos anteriores. Qué fue lo que pasó? Muchas veces, los ataques son inevitables. Aún si una organización hace todo lo que está a su alcance para reducir el nivel de exposición al riesgo, no hay forma de garantizar que la información está 100%

13 segura. De hecho, es una máxima conocida en el ambiente de la seguridad de la información que un grupo de hackers determinados y con el tiempo suficiente, puede vulnerar cualquier cantidad de medidas de seguridad. Ante un ataque, dos cosas son fundamentales: Detectar que el ataque ocurrió lo antes posible para poder mitigarlo. Descubrir qué vulnerabilidades fueron explotadas para poder corregirlas. En ambos casos, las soluciones de correlación de eventos tienen mucho que aportar, ya que permiten almacenar y procesar grandes cantidad de eventos, permitiendo realizar todo tipo de consultas históricas. De nuevo, las más avanzadas, incorporan incluso funciones de análisis forense y análisis avanzado de tráfico para detectar amenazas desconocidas ( zero-day attacks ) y contribuir con información lo más detallada posible al estudio de las amenazas. Ahora bien, quizás un ejemplo más representativo (y por qué no, un poco más positivo también) de cómo un servicio de correlación de eventos puede ayudar a diagnosticar y prevenir ataques, se da en el caso de las amenazas persistentes avanzadas (APT, por sus siglas en inglés, que corresponden a Advanced Persistent Threats). En general, para que las amenazas de este tipo sean exitosas, deben producirse una serie de intrusiones que finalmente dan lugar al objetivo deseado. Pues bien, la detección de estas intrusiones intermedias, quizás no tan riesgosas pero necesarias, son las que pueden dar lugar a detectar el comportamiento anómalo, asociarlo con un ataque de mayor envergadura, y mitigarlo. Los servicios de correlación de eventos contribuyen a detectar eventos de seguridad que normalmente pasarían desapercibidos, así como también aportar la información de trazabilidad para detectar el origen de los ataques y contribuir a su mitigación. 5 Proactividad y capacidad de respuesta 7x24 Cuál es la principal ventaja ante un ataque de cualquier tipo? La cantidad de recursos económicos, la cantidad de personal, la capacidad de artillería? Seguramente, todos ellos suman a la posibilidad de realizar un ataque exitoso, pero ninguno constituye por sí mismo una ventaja esencial. La principal ventaja que un atacante puede ejercer sobre su adversario es, sin duda, la sorpresa. En el caso de la seguridad de la información, esto es particularmente cierto. La mayoría de las empresas hoy en día no cuentan ni siquiera con los sistemas que les permitan detectar ataques ocurriendo en el momento. Así de preocupante es la situación hoy en día: en general, la mayoría de las organizaciones no alcanzan un estándar mínimo en materia de seguridad de la información. Repasemos uno de los principales y más publicitados ataques en 2014: el sufrido por la empresa Target. Se estima que este ataque produjo beneficios para los atacantes de alrededor de U$S 50 millones. Incluso considerando que de los alrededor de 40 millones de datos de tarjetas de crédito robados, solamente entre 1 y 3 millones fueron efectivamente negociados en el mercado negro. Sin embargo, lo que me interesa destacar de este caso, es qué diferencia puede hacer la sorpresa frente a otras características de un ataque. A pesar de contar con herramientas avanzadas de detección y tratamiento de amenazas, y a pesar de haber contado con múltiples alertas sobre actividad maliciosa en la red, no fue posible evitar o mitigar el ataque. Los recursos estaban ahí, disponibles para ser utilizados, pero nadie pudo reaccionar a tiempo.

14 Muchas otras historias bien conocidas en el ámbito de la seguridad de la información están asociadas a los ataques de ingeniería social, en los cuales se aprovechan características inherentes de los seres humanos como la tendencia a confiar demasiado para lograr accesos no autorizados a activos de información críticos. Nuevamente, mientras todos los esfuerzos de protección se centran en la infraestructura de red, la intrusión de produce por el lugar menos pensado. Otra de las características de los ataques informáticos en la actualidad es su característica global: así como en la región países como Brasil y México aparecen al tope de la generación de ataques, también otros viejos conocidos como China y Rusia continúan ofreciendo su cuota creciente de ataques. El resultado: 24 horas de riesgo sostenido, a través de diferentes usos horarios. Eventos de seguridad durante el día y la noche, tratando de aprovechar cualquier ventaja que sea posible, incluyendo los días y horarios en los que el personal de seguridad y TI no se encuentra en sitio. Tengamos en cuenta que no solamente importa la capacidad de detectar el ataque (como todos debimos haber aprendido luego del ataque a Target), sino que es igual de crítico poseer capacidad real de respuesta una vez que se ha detectado un incidente. Nuevamente, quiero utilizar un ejemplo de otra disciplina: la continuidad de negocios. Muchas empresas se vanaglorian de poseer verdaderos planes de continuidad de negocios implementados. De hecho, pueden mostrar que poseen verdaderos sitios de réplica, procesos de transferencia de las operaciones de producción a los sitios secundarios, herramientas de software, hardware redundante, conectividad redundante, personal entrenado de nuevo, todo perfectamente comprobable y en su lugar. Sin embargo, también saben que tener que poner en marcha el plan de recuperación ante desastres (DRP, Disaster Recovery Plan, por sus siglas en Inglés) puede llegar a ser aún más traumático que la propia amenaza! En general, si la duración de la indisponibilidad se estima en 8 horas o menos (efectivamente, un día hábil), la gran mayoría de las empresas optarían por medidas de mitigación menores antes que activar el plan de continuidad del negocio. De hecho, he podido comprobar casos en los que la empresa decide esperar hasta cuatro días (si, casi una semana!) con tal de no tener que afrontar las consecuencias del plan de recuperación ante desastres. Y es que toda acción tiene sus consecuencias: por diferentes razones, que cambian de empresa a empresa, los procesos de continuidad de negocio que efectivamente pueden restaurar la operación de los procesos críticos de negocios, muchas veces presentan riesgos iguales o mayores a la amenaza que se trató de mitigar al momento de tener que restaurar la operación al sitio principal, lo que se conoce normalmente como fail back (restauración). Lo mismo ocurre con la seguridad de la información: muchas veces vemos que se implementan controles y políticas con el objetivo honesto de disminuir el nivel de exposición de la organización, pero sin considerar cuál es la capacidad de respuesta real ante incidentes que se posee. Recomendación Parece obvio preguntar por qué esto es importante, pero lo cierto es que vale la pena mencionar que en seguridad de la información, la experiencia indica que generalmente un poco tarde es sinónimo de demasiado tarde.

15 El principal objetivo de cualquier sistema de seguridad debe ser la prevención: definida coloquialmente, la proactividad es la capacidad de evitar sorpresas. Sin embargo, de una forma más práctica, la proactividad es también la capacidad de reacción ante amenazas o eventos que no necesariamente son críticos en sí mismos, pero que pueden dar lugar a riesgos mayores. Es decir, existe una relación directa entre la proactividad y la posibilidad de reaccionar con inmediatez. Qué necesita una organización para poder garantizar proactividad en la gestión de la seguridad de la información? Entre muchas otras cosas, algo que normalmente no se encuentra en la mayoría de las empresas: recursos expertos disponibles, todo el tiempo. Entiendo muy bien las limitaciones que muchas empresas, cuyo negocio no está centrado en la seguridad de la información sino, por ejemplo, en la producción o distribución de bienes de consumo, podrían enfrentar a la hora de justificar una estructura de recursos expertos para garantizar capacidad de reacción ante amenazas incluso en horario extendido. Sin embargo, nos estaríamos engañando a nosotros mismos si creyéramos que esto no es necesario. Por supuesto que existen alternativas, como se describen también más adelante en este documento. De cualquier manera, lo primero para solucionar un problema es reconocerlo: no solamente se trata de ser conscientes de los riesgos, sino también de los recursos disponibles para su tratamiento y mitigación. Solamente de esa forma será posible trabajar en mejorar y reforzar la seguridad de la información de la empresa. 6 Procesos y buenas prácticas Cuántas veces escuchó, o Ud. mismo le dijo a alguien, que no tiene sentido tratar de reinventar la rueda? Bueno, quizás algunos gurús de la innovación estarían en desacuerdo, pero hay ciertas disciplinas en las cuales uno debe ser particularmente cuidadoso. En cualquier caso, no se trata de negar la innovación, sino aprovechar los recursos existentes de le mejor manera, hasta que exista una forma mejor y consensuada sobre cómo hacer las cosas. En este sentido, la seguridad de la información es una disciplina que se nutre permanentemente de experiencias, tanto exitosas como fallidas, para desarrollar buenas prácticas que contribuyan a disminuir el nivel de exposición de una organización. Una pequeña anécdota: es bien sabido que la zona de la Florida, en los Estados Unidos, es particularmente susceptible a huracanes. De hecho, son bien conocidos los casos en los que los huracanes han ocasionado verdaderas catástrofes. Ahora bien, es claro que los huracanes no pueden evitarse: inevitablemente van a ocurrir. Algo similar ocurre con los ataques informáticos. Al menos, confío en que ya no quedan personas que honestamente piensen que su organización, por causa de algún milagro, no va a ser atacada. Pero volviendo al ejemplo de los huracanes, uno sabe que algún día, inevitablemente, alguno va a llegar. Qué se puede hacer entonces? Mitigar los riesgos, por supuesto! Así es como los códigos de construcción han evolucionado consistentemente en la Florida para incluir cada vez más medidas que permitan mitigar el impacto dañino de los huracanes. En cada uno se descubren nuevas oportunidades de mejora, es cierto, pero al menos se hace el mayor esfuerzo posible

16 por no volver a sufrir los problemas de los huracanes anteriores. De nuevo, cualquier similitud con los ataques informáticos, no es pura coincidencia. Algo similar ocurre con las normas y estándares internacionales en seguridad de la información: quienes participan en la escritura y revisión de los mismos son profesionales del ambiente que aportan su experiencia tras haber vivido incidentes de seguridad con el fin de que otras organizaciones no deban pasar por el mismo proceso traumático de aprendizaje sino que se beneficien de las conclusiones y las oportunidades de mejora implementadas. Para apuntar solamente un ejemplo: uno de los problemas que se buscó mitigar frente a los huracanes, es evitar que se arrastren los techos de las casas. Así es: muchas de las casas en la Florida poseen techos de madera que, al momento de llegar un huracán y atravesar alguna de las entradas a la casa (típicamente, una ventana), por la diferencia de presión generada, simplemente son despegados de la estructura y arrastrados hacia arriba sin que nada puedan hacer los habitantes de la casa para detenerlo. Debido a la gravedad de la situación, la forma de mitigar este problema debe combinar varias medidas de seguridad, incluyendo una forma completamente diferente de asegurar el techo a la estructura de la casa (diferentes tornillos y formas de sujeción fueron creadas e incorporadas al código de construcción) así como también las persianas anti huracanes ( hurricane shutters como se las conoce en Ingles). De hecho, con un mismo control, se mitigan diferentes riesgos: las persianas anti huracanes también ayudan a proteger a los habitantes de las casas de los objetos que son arrancados y que literalmente vuelan hasta encontrar algún obstáculo, evitando que penetren en las casas. En el caso de la seguridad de la información, ocurre exactamente lo mismo: mientras algunos piensan que las recomendaciones vertidas en normas y estándares internacionales son estrictamente de orden teórico, al momento de investigar de dónde provienen, nos damos cuenta que poseen importantes raíces prácticas y usualmente varias décadas de evolución y probada eficacia. Si bien siempre existen ciertas discrepancias entre los expertos, generalmente éstas se dan solamente cuando se busca un nivel profundo de detalle, pero existe un grupo de recomendaciones y buenas prácticas para el cual existe un consenso generalizado a nivel internacional. Este grupo de recomendaciones ha evolucionado a través de la serie de estándares que comenzó con la norma BS 7799 y hoy constituye un grupo de normas bajo de la denominación ISO El cuerpo de normas ISO pretende abarcar más de 40 estándares que van desde la generalidad del sistema de gestión de la seguridad de la información, hasta normas específicas sobre cuestiones como la gestión del riesgo, la gestión de servicios de terceros, y recomendaciones específicas para ciertos tipos de empresas que manejan habitualmente información confidencial como la industria financiera y el sector salud. Recomendación La principal clave para obtener el mayor valor posible de una norma o estándar internacional, es adaptarlo a la organización. El proceso de adaptar la organización al estándar, algo que en más o menos medida de ocurrir inevitablemente, debe ser gradual y estar cementado tanto en el apoyo incondicional de los más altos niveles directivos como también de los usuarios finales, proveedores, y cualquier entidad que participe en los procesos críticos de negocios.

17 En algunos casos, incluso, es necesaria la participación activa de los clientes. Las empresas del sector financiero lo saben bien: varias han pasado por la experiencia de entregar sistemas de autenticación fuerte a sus clientes con el fin de mejorar la seguridad de sus transacciones, comprobando que la forma en la cual se introducen estos cambios tiene impactos bien diferentes con su aceptación y utilización. A menos que se cuente en la organización con personal especializado y dedicado al diseño e implementación de procesos relacionados a la seguridad de la información, la mayoría de las empresas buscan ayuda externa para la implementación de este tipo de estándares. De hecho, aún quienes cuentan con personal propio reconocen el valor agregado de quienes han pasado varias veces por el proceso de adaptar e implementar un estándar internacional, como una forma de optimizar el proceso de implementación y los recursos asociados. Es importante destacar que para algunas industrias e incluso algunos países, trabajar según buenas prácticas ya no es opcional: normas como FISMA, PCI, HIPPA, leyes nacionales como en Perú o regulaciones para el sector bancario como las existentes en Colombia y Panamá, por nombrar solamente algunos ejemplos, vuelven la adaptación a estándares una actividad obligatoria que debe ser efectuada normalmente en cumplimiento de tiempos estrictos, a riesgo de sufrir penalidades económicas. En cualquier caso, es innegable que aceptar la influencia de estándares probados internacionalmente al momento de diseñar la estrategia de seguridad de la información, ofrece ventajas concretas al negocio, no solamente en términos de mitigación del riesgo, sino también en la optimización de recursos humanos y económicos destinados a la implementación. 7 Pedir ayuda! Si existe una propiedad significativa que define al escenario de amenazas actual, es que las empresas están en inferioridad numérica, pero en un sentido amplio. A nivel de recursos económicos, es bien sabido que los ataques que se realizan en la actualidad tienen fines económicos. Lo que muchas veces no se menciona, es que los ciber delincuentes operan de forma muy similar a como lo hace una empresa legalmente constituida: es decir, buscando las oportunidades que tienen mayor potencial para generar ingresos, y reinvirtiendo el capital ganado para garantizar el crecimiento de la organización. Es decir: a diferencia de un departamento de TI que debe trabajar en función de un Budget fijado de antemano (sobre el cual generalmente hay presión hacia la baja!), las organizaciones de ciber delincuentes cuentan con un flujo de ingresos creciente, que ellas administran, y que pueden reinvertir con total libertad para mejorar su infraestructura, contratar más personal, etc. A nivel de recursos humanos, el tipo de estructura que manejan los ciber delincuentes les permiten tener total flexibilidad para incorporar personal a la medida de cada ataque. Esta flexibilidad se diferencia mucho de lo que ocurre normalmente en una empresa, donde los recursos humanos representan costos fijos que el negocio debe absorber, y que deben pasar a través de procesos de justificación y aprobación, siempre y cuando hayan sido considerados previamente en el presupuesto del año.

18 En definitiva, es claro que a todas luces estamos hablando de una pelea muy desigual para aquellas organizaciones que quieren enfrentarse a los ciber delicuentes contando solamente con sus propios recursos: es prácticamente una batalla perdida antes de comenzar. Incluso, aún para aquellas empresas que pueden darse el lujo de contar con grandes planteles de personal en áreas de TI y seguridad, lo cierto es que mientras los ciber delicuentes están 100% enfocados en la explotación de amenazas, el personal de una empresa debe atender un sinfín de tareas en el día a día, gestionar la implementación de proyectos que se encuentran en marcha, interactuar con proveedores y otras áreas de la organización En la práctica, una mayor cantidad de recursos no garantiza una mayor dedicación a la seguridad, mucho menos en horario extendido. Recomendación Es necesario involucrar recursos de terceras partes (por ejemplo, un proveedor de servicios administrados) que puedan integrarse a los procesos de TI de la empresa para poder ofrecer apoyo en la gestión del riesgo, complementando los recursos existentes en la organización. La única forma en la cual las empresas pueden paliar la desventaja entre su disponibilidad de recursos y la de los ciber delincuentes, es contar con ayuda externa. De esta forma, la empresa cuenta con la tranquilidad de que mientras el personal de TI y seguridad está desarrollando sus tareas del día a día, siempre hay alguien monitoreando la seguridad de la infraestructura, descartando falsos positivos, y trabajando proactivamente sobre las amenazas que son detectadas. Algunas compañías optan por modelos de servicios que incluyen una garantía de horas de soporte con un cumplimiento, pero que no poseen monitoreo ni permisos de acceso a la infraestructura del cliente; si bien este modelo puede ofrecer una mayor sensación de control para la empresa porque los recursos externos son involucrados solamente ad-hoc, claramente esto presenta dos desventajas: la primera, es que no existe proactividad en la detección de amenazas, y la segunda es que el tiempo de diagnóstico de las amenazas se incrementa exponencialmente. Sea cual sea el modelo que la empresa prefiera, es importante tener en cuenta dos cosas: 1) Los proveedores deben ser controlados, la responsabilidad por el control nunca se delega: sin importar cuánta confianza nos inspire un proveedor, la empresa debe dedicar tiempo y recursos a controlar regularmente cómo se está realizando la entrega de los servicios. Aún si es solamente para verificar que todo está bien, la función de control es clave para garantizar una adecuada gestión del riesgo. Es recomendable que la responsabilidad por el control de los proveedores esté formalmente asignada y que se exija, como mínimo, un reporte mensual de resultados. 2) Interpretar los reportes y tomar acción: si bien el hecho de contar con un proveedor de servicios administrados elimina la mayoría de las tareas operativas del día a día relacionadas a la gestión de la seguridad de la información, lo cierto es que también le ofrece a la empresa un flujo regular de información acerca de oportunidades de mejora. Si estas mejoras no son ejecutadas, con el tiempo, el impacto negativo tiende a agravarse. Principales áreas de oportunidad Las principales áreas de oportunidad para la integración de terceros en los procesos de gestión del riesgo son:

19 Monitoreo y soporte 24x7 Gestión de cambios estándar Soporte para gestión de incidentes 24x7 Tratamiento proactivo de alarmas Correlación de eventos 24x7 Soporte en sitio 24x7 Disponibilidad de expertos 24x7 Análisis forense Implementación de controles Auditorías externas Recomendaciones específicas sobre qué no hacer Así como tuve la oportunidad de compartir recomendaciones sobre cuestiones que podrían ofrecer resultados beneficiosos en la disminución de la exposición al riesgo de una empresa, también me gustaría ofrecer algunos comentarios sobre dos puntos en especial. Se trata de cuestiones que recomiendo particularmente no hacer! Falsa sensación de seguridad Quizás una de las principales razones sobre la mayoría de los ataques informáticos, pocas cosas son peores que pensar que la empresa no está expuesta a ningún riesgo concreto. La realidad me ha demostrado que aquellos que dicen nunca haber sufrido un ataque o un incidente de seguridad, en realidad están expresando que no poseen ningún control que les permita detectarlos! Desde el más mínimo y probablemente inocente robo de información hasta la instalación de redes botnet en instituciones financieras, los ataques informáticos son cuestiones del día a día de la realidad de las empresas. De hecho, desde hace algunos años, muchos expertos en seguridad de la información recomiendan que el enfoque correcto para comenzar un plan de mitigación de riesgos, es asumir que la empresa ya fue atacada. Así es: lejos de tratar de parecer invulnerable, debemos asumir la vulnerabilidad y comenzar a trabajar desde esa posición para reducir el nivel de exposición. Lo cierto es que algunas empresas pierden más tiempo en demostrar por qué no están expuestas a riesgos que en efectivamente mitigarlos o detectarlos: la seguridad de la información no es una pelea personal ni tampoco un ataque a la personalidad, es la posibilidad de un impacto negativo en el negocio, incluso catastrófico, que debe ser tratado de la forma más responsable y profesional posible. Confianza excesiva en la tecnología Desde que comencé en este negocio, he visto infinidad de fabricantes de tecnología prometer que han desarrollado la tecnología milagrosa que es capaz de proteger, en forma automática y sin intervención humana, de cualquier tipo de amenaza. Es cierto que en los últimos 20 años las tecnologías asociadas a la seguridad de la información han avanzado significativamente. De hecho, yo mismo me encuentro recomendando a diario diferentes tipos de servicios y tecnologías con el convencimiento fiel de que van a contribuir a disminuir la exposición al riesgo de las empresas.

20 Sin embargo, hay veces en que esta situación me hace acordar a lo que ocurre con los dentistas: a pesar de que los procedimientos odontológicos han avanzado mucho, todavía no se encuentra la cura definitiva contra la caries. Cualquier profesional con experiencia en el ambiente de la seguridad de la información sabe que la única forma de mitigar efectivamente el riesgo es a través de la combinación de, por lo menos, tres factores: tecnología, talento y procesos. Cada uno de los tres es igualmente importante. Por supuesto, es posible pretender ignorar esto y asignar propiedades mágicas a la tecnología para convencerse de que es relativamente más importante que, por ejemplo, contar con expertos y procesos de respuesta ante incidentes. Sin embargo, luego de ataques como el sufrido por Target en 2014, deberíamos repensar si este enfoque es realmente efectivo o solamente un espejismo para generar una falsa sensación de seguridad. La realidad es que así como las cosas bien hechas son una combinación de distintos factores, en el caso de la confianza excesiva en la tecnología también se suceden generalmente varias acciones que contribuyen a aumentar el riesgo: una empresa que está dispuesta a confiar la seguridad de la organización en una combinación de hardware y software, probablemente ni siquiera posea una estructura que permita aprovechar al máximo esa tecnología acompañando, por ejemplo, la detección de amenazas con procesos de respuesta efectiva, o con procesos de mitigación de amenazas para garantizar que no volverán a repetirse. Así como cualquier dentista juraría que desea el desarrollo de una vacuna contra la caries, cualquier profesional de la seguridad de la información desearía también que hubiera métodos y tecnologías probadas que garanticen ( palabra clave!) la mitigación de ciertas amenazas. Créame que es así, nadie dejaría de tener trabajo por eso. Sin embargo, la realidad indica que la confianza excesiva en la tecnología, puede incluso representar riesgos aún mayores para una empresa que el de las propias amenazas, ya que contribuye a generar una falsa sensación de seguridad, y apuntala el convencimiento de que no es necesario hacer nada más para disminuir la exposición a riesgos. Conclusiones Me animo a decir que si Ud. es capaz de implementar estas recomendaciones en su organización, va a poder dormir más tranquilo y decir con orgullo que está gestionando efectivamente la seguridad de la información! Claro que también puede sonar a como cuando uno va al médico a un control de rutina: quizás realmente se sienta bien y esté convencido de que no le pasa nada, pero de cualquier manera el profesional la recomienda: dormir más, hacer más ejercicio, tener menos stress en el trabajo, no beber, hacer dieta Y uno termina preguntándose más bien para qué fue al médico! Bueno, así como el doctor generalmente tiene razón en sus recomendaciones, la realidad es que todos los puntos descriptos aquí son lo mínimo necesario para comenzar el camino de la gestión del riesgo. Sí, todavía existen más cosas por hacer, como el amplio campo de la continuidad del negocio y la digitalización de procesos e integración de plataformas M2M (machine to machine). Más aún, si su

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

BYOD - Retos de seguridad

BYOD - Retos de seguridad BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir

Más detalles

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Junio, 2013 Por qué estamos aquí? Entender los factores que están impulsando a cambiar la Auditoría

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

White Paper Gestión Dinámica de Riesgos

White Paper Gestión Dinámica de Riesgos White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar

Más detalles

Movilidad del usuario: seguridad en la era de la conectividad

Movilidad del usuario: seguridad en la era de la conectividad Movilidad del usuario: seguridad en la era de la conectividad Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: viernes 27 de agosto de 2010 ESET Latinoamérica, Av. Del

Más detalles

Seguridad web: Proteja sus datos en la nube

Seguridad web: Proteja sus datos en la nube Informe técnico Seguridad web: Proteja sus datos en la nube Lo que aprenderá Los equipos de seguridad no pueden estar en todos lados, pero el panorama actual exige que las organizaciones defiendan sus

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales.

SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales. SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales. Acerca de SERIT Nuestra compañía se dedica a proveer servicios integrales de infraestructura a empresas, con el objetivo de

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Redes de próxima generación: seguridad para hoy y mañana

Redes de próxima generación: seguridad para hoy y mañana Redes de próxima generación: seguridad para hoy y mañana La protección contra las amenazas del presente en redes diseñadas para satisfacer las necesidades del pasado hace vulnerables a las empresas. E

Más detalles

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA Siete mitos de la seguridad de TI corporativa by Yuri Ilyin Los Mitos y prejuicios son compañeros inevitables de cualquier rama del conocimiento, y la seguridad

Más detalles

El toque humano (Parte 1)

El toque humano (Parte 1) El toque humano (Parte 1) Transcripción del vídeo En este vídeo me gustaría compartir una sencilla estrategia que permitió cerrar un 40% más de ventas... y que, efectivamente nació de una "casualidad"

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Para la prueba 3 del nivel superior se requiere el cuadernillo del estudio de caso.

Para la prueba 3 del nivel superior se requiere el cuadernillo del estudio de caso. M&N14/4/COMSC/HP3/SPA/TZ0/XX/CS INFORMÁTICA ESTUDIO DE CASO: SEGURIDAD EN LAS REDES Para usar en mayo de 2014 y noviembre de 2014 INSTRUCCIONES PARA LOS ALUMNOS Para la prueba 3 del nivel superior se requiere

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Protegiendo la seguridad de los mayores en Internet

Protegiendo la seguridad de los mayores en Internet Protegiendo la seguridad de los mayores en Internet La proliferación del uso de Internet y de las nuevas tecnologías ha hecho que el acceso a la Red esté al alcance de todos. Sin embargo, es necesario

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

5 pilares de la gestión de API con CA Layer 7

5 pilares de la gestión de API con CA Layer 7 Introducción: Gestión de la nueva empresa abierta Materialización de las oportunidades de la economía de API En los sectores industriales, los límites de la empresa tradicional están desapareciendo, pues

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio.

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio. Seguridad orientada al negocio Adopte una estrategia integral de seguridad alineada con el negocio. Junio de 2008 2 Contenido 2 Visión general 3 Optimización y protección de los procesos empresariales

Más detalles

BYOD & Las Implicaciones Para Los Organismos de Informática (IT) Un Informe Desktone

BYOD & Las Implicaciones Para Los Organismos de Informática (IT) Un Informe Desktone BYOD & Las Implicaciones Para Los Organismos de Informática (IT) Un Informe Desktone Resumen Ejecutivo Las predicciones que muchos de los expertos en la industria han venido haciendo sobre el incremento

Más detalles

Informe sobre la Situación Tecnológica de las Medianas Empresas en País Vasco, Aragón y Navarra contado por sus protagonistas

Informe sobre la Situación Tecnológica de las Medianas Empresas en País Vasco, Aragón y Navarra contado por sus protagonistas Informe sobre la Situación Tecnológica de las Medianas Empresas en País Vasco, Aragón y Navarra contado por sus protagonistas Índice 1 Introducción pág.3 2 3 4 Tendencias tecnológicas para 2015 Cloud Computing

Más detalles

Introducción a la plena colaboración en medianas empresas.

Introducción a la plena colaboración en medianas empresas. Introducción a la plena colaboración en medianas empresas. Cómo de bien conectada está su empresa? Este es el desafío de hoy en día en el entorno de la empresa móvil y virtual: las organizaciones se esfuerzan

Más detalles

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Descripción general de la solución Cisco Advanced Malware Protection Prevención y detección de violaciones, respuesta y corrección para el mundo real El malware avanzado de la actualidad es sigiloso, persistente

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

Herramientas para evitar ataques informáticos

Herramientas para evitar ataques informáticos Herramientas para evitar ataques informáticos Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica Jueves 30 de abril del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400,

Más detalles

Nuestra Organización

Nuestra Organización 1 Nuestra Organización «Especialistas en proveer Servicios y Soluciones Tech en marca blanca, aportando las soluciones tecnológicas más adecuadas a las necesidades de los proyectos de nuestros clientes»

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

JOAQUÍN REYES LA COLABORACIÓN INCIDE EN LA MEJORA DE LA PRODUCTIVIDAD CIO DE CEPSA

JOAQUÍN REYES LA COLABORACIÓN INCIDE EN LA MEJORA DE LA PRODUCTIVIDAD CIO DE CEPSA JOAQUÍN REYES CIO DE CEPSA LA COLABORACIÓN INCIDE EN LA MEJORA DE LA PRODUCTIVIDAD CEPSA (Compañía Española de Petróleos, S.A.U.) es un grupo energético integrado, presente en todas las fases de la cadena

Más detalles

Sobreviviendo sin Antivirus. (Consejos y trucos)

Sobreviviendo sin Antivirus. (Consejos y trucos) Sobreviviendo sin Antivirus. (Consejos y trucos) Por... Eder A. López. White Sec Team www.whitesec.com.mx dr.h47@live.com.mx [ White Security Group ] 2010-2011 White Sec Team. Reservados todos los derechos.

Más detalles

EmE 2012 Estudio de la Movilidad en las Empresas

EmE 2012 Estudio de la Movilidad en las Empresas El fenómeno BYOD (Bring Your Own Device - Trae tu dispositivo) La fuerza de la "consumerización" de la tecnología ha causado el interés de los empleados por usar su dispositivo personal para conectarse

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Qué será eso que dice en el asunto

Qué será eso que dice en el asunto Como Obligar a tus Prospectos a Abrir Tus Emails Seamos claros, todos estamos en los negocios para GANAR DINERO, pero es muy importante que sepas que el factor más importante para que ganes dinero, es

Más detalles

GUÍA ELECTRÓNICA PARA LA VIDA DIGITAL DE. 5 preguntas clave sobre la privacidad de los dispositivos móviles

GUÍA ELECTRÓNICA PARA LA VIDA DIGITAL DE. 5 preguntas clave sobre la privacidad de los dispositivos móviles GUÍA ELECTRÓNICA PARA LA VIDA DIGITAL DE 5 preguntas clave sobre la privacidad de los dispositivos móviles Lleva varios días probando su nuevo juguete: ha enviado correos electrónicos, descargado aplicaciones,

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Monitorización de red como elemento esencial en el concepto de seguridad de TI

Monitorización de red como elemento esencial en el concepto de seguridad de TI Monitorización de red como elemento esencial en el concepto de seguridad de TI White Paper Autor: Daniel Zobel, Head of Software Development, Paessler AG Publicación: julio 2013 PÁGINA 1 DE 8 Contenido

Más detalles

Por qué MobilityGuard OneGate?

Por qué MobilityGuard OneGate? Para Acceso de Cualquier Escenario Solo Una Solución Por qué MobilityGuard OneGate? Escenarios 1 Acceda desde cualquier lugar 2 Identifique sólidamente los usuarios 3 No más notas de recordatorio con ingreso

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

MDM: Un enfoque de productividad y seguridad

MDM: Un enfoque de productividad y seguridad MDM: Un enfoque de productividad y seguridad Armando Enrique Carvajal Rodríguez Gerente Arquitecto de Seguridad de la información - Globaltek Security S.A Master en seguridad informática - Universidad

Más detalles

Temas de Seguridad y Privacidad en Cloud Computing

Temas de Seguridad y Privacidad en Cloud Computing Fuente: Marko Hölbl LSI SIN (10)02 Temas de Seguridad y Privacidad en Cloud Computing CEPIS El Consejo Europeo de Sociedades Profesionales de Informática (CEPIS) es una organización sin ánimo de lucro

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Seguridad de SharePoint en acción: las prácticas recomendables llevan a una colaboración segura. agility made possible

Seguridad de SharePoint en acción: las prácticas recomendables llevan a una colaboración segura. agility made possible Seguridad de SharePoint en acción: las prácticas recomendables llevan a una colaboración segura agility made possible Una de las aplicaciones más implementadas que se utilizan actualmente, Microsoft SharePoint

Más detalles

5 pilares de la gestión de API

5 pilares de la gestión de API 5 pilares de la gestión de API Introducción: Gestión de la nueva empresa accesible Materialización de las oportunidades de la economía de API En los sectores industriales, los límites de la empresa tradicional

Más detalles

MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE

MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE Resumen Ejecutivo de Websense MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE WEBSENSE TRITON VERSIÓN 7.7 Introducción Recientemente anunciamos varias capacidades nuevas de protección contra el malware avanzado y el

Más detalles

... Una reflexión sobre movilidad ... Yascha Aciman. Director Ejecutivo SIA Homefashion Iberia. ovilidad

... Una reflexión sobre movilidad ... Yascha Aciman. Director Ejecutivo SIA Homefashion Iberia. ovilidad ... Una reflexión sobre movilidad... Yascha Aciman Director Ejecutivo SIA Homefashion Iberia ovilidad ... Una reflexión sobre movilidad... Yascha Aciman Director Ejecutivo SIA Homefashion Iberia En un

Más detalles

Riesgos y ventajas del uso de dispositivos personales en entornos laborales

Riesgos y ventajas del uso de dispositivos personales en entornos laborales Riesgos y ventajas del uso de dispositivos personales en entornos laborales Cómo mantener protegidos los teléfonos inteligentes, los portátiles y las tabletas de los empleados Gerhard Eschelbeck, director

Más detalles

Entrevista a José Manuel Vilaseñor, director general de Cezánne Software Ibérica AEDIPE

Entrevista a José Manuel Vilaseñor, director general de Cezánne Software Ibérica AEDIPE Entrevista a José Manuel Vilaseñor, director general de Cezánne Software Ibérica AEDIPE Cezanne Software desarrolla y soporta soluciones software que permiten a las empresas la mejor comprensión, planificación

Más detalles

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse?

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Lenin Espinosa www.theiia.org Lenin Espinosa Máster en Sistemas de Información Tecnológico de Monterrey,

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Protección Web Sucuri de

Protección Web Sucuri de Protección Web Sucuri de HostPapa Deshágase y evite el malware, listas negras, SEO malicioso y otras amenazas a su sitio web. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com El malware

Más detalles

De qué SecaaS estamos hablando al decir Cloud Security?

De qué SecaaS estamos hablando al decir Cloud Security? De qué SecaaS estamos hablando al decir Cloud Security? Adrián Palma, CISSP, CISA, CISM, CRISC, BSA Director General de Integridata adrian.palma@integridata.com.mx Modelos de Servicio Los tres modelos

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Resultados de la Encuesta Global de Seguridad de la Información

Resultados de la Encuesta Global de Seguridad de la Información www.pwc.com/ar Resultados de la Encuesta Global de Seguridad de la Información Advisory Auditoría. Asesoramiento Impositivo y Legal. Consultoría. Introducción s complace presentarles los resultados de

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

3. Acceso granular a su información. 4. Información no estructurada. 5. Privilegios de accesos granulares. 6. Almacenamiento de conocimiento

3. Acceso granular a su información. 4. Información no estructurada. 5. Privilegios de accesos granulares. 6. Almacenamiento de conocimiento ÍNDICE 1. Introducción 2. Análisis Forense 3. Acceso granular a su información 4. Información no estructurada 5. Privilegios de accesos granulares 6. Almacenamiento de conocimiento 7. Patrones de comportamiento

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Gestión de dispositivos móviles

Gestión de dispositivos móviles G DATA WhitePaper Gestión de dispositivos móviles Desarrollo de aplicaciones G DATA WhitePaper_MDM_2015_04_21 ReferenceGuide_Business_2013-10-23_DRAFT Contenido 1. Introducción... 3 2. Dispositivos móviles

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

TALLER MANUEL ARROYAVE HENAO PRESENTADO A:

TALLER MANUEL ARROYAVE HENAO PRESENTADO A: TALLER DESCUBRIENDO OTRAS HERRAMIENTAS DE SW AUDITORIA MANUEL ARROYAVE HENAO JHON FREDY GIRALDO PRESENTADO A: CARLOS HERNAN GÓMEZ INGENIERO DE SISTEMAS UNIVERSIDAD DE CALDAS FACULTAD DE INGENIRIAS INGENIERIA

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Administración de Sistemas Operativos Licenciatura en Administración de Tecnologías de Información y Comunicaciones

Administración de Sistemas Operativos Licenciatura en Administración de Tecnologías de Información y Comunicaciones Administración de Sistemas Operativos Licenciatura en Administración de Tecnologías de Información y Comunicaciones Rafael Vázquez Pérez Principios Básicos de Administración de Sistemas Que es un Administrador

Más detalles

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos ENDPOINT PROTECTION STANDARD Para empresas con más de 25 equipos 2 ESET Endpoint Protection Standard Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar

Más detalles

La Clave para la Banca en la Era de la Tecnología Móvil: La Integración de Canales

La Clave para la Banca en la Era de la Tecnología Móvil: La Integración de Canales Preguntas y Respuestas Por Elana Varon N.º 03 La Clave para la Banca en la Era de la Tecnología Móvil: La Integración de Canales PARA PROSPERAR, LOS BANCOS NECESITAN MÁS QUE SOLO UNA APLICACIÓN MÓVIL:

Más detalles

P: Cuándo y cómo modificará el panorama tecnológico la TI Internet de las cosas?

P: Cuándo y cómo modificará el panorama tecnológico la TI Internet de las cosas? A N A L Y S T C O N N E C T I O N Robert Young Gerente de investigación, Software de administración de sistemas empresariales R e f o r m u l a c ión de la administración de activo s t e c n o l ó g i

Más detalles

El lmpacto de los Dispositivos Particulares en la Infraestructura Tecnológica

El lmpacto de los Dispositivos Particulares en la Infraestructura Tecnológica El lmpacto de los Dispositivos Particulares en la Infraestructura Tecnológica Agenda La Era PC/Web La Era Post PC BYOD Bring Your Own Device Estadísticas BYOD Lado A: Ventajas de BYOD Adopción de BYOD

Más detalles

Software CRM On Premise ó CRM On Demand (SaaS)

Software CRM On Premise ó CRM On Demand (SaaS) Software CRM On Premise ó CRM On Demand (SaaS) 5 factores a considerar antes de tomar una decisión. Las alternativas de software disponibles en el mercado para apoyar una estrategia de CRM son muy amplias.

Más detalles

5 criterios para seleccionar una solución de copias para equipos de usuario final

5 criterios para seleccionar una solución de copias para equipos de usuario final Informe Técnico solución de copias para equipos de usuario Conseguir una protección eficaz de los equipos corporativos de usuario entendiendo sus necesidades específicas. A medida que los trabajadores

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Antivirus Seguridad endpoint Seguridad Perimetral análisis y gestión de riesgos telefonía IP

Antivirus Seguridad endpoint Seguridad Perimetral análisis y gestión de riesgos telefonía IP Antivirus Seguridad endpoint Seguridad Perimetral análisis y gestión de riesgos telefonía IP Sobre Nosotros En uso de Internet en los últimos años ha cambiado las formas de hacer negocios, ofreciéndonos

Más detalles

Engagement efectivo para empresas medianas

Engagement efectivo para empresas medianas Engagement efectivo para empresas medianas Esta realmente conectado? Ese es el desafío actual de los negocios móviles y virtuales a medida que las empresas se esfuerzan por tener comunicaciones consistentes

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014 Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina Guatemala Julio 2014 Agenda Introducción Tendencias Seguridad 2014 Conclusiones 2014 - Deloitte Introducción

Más detalles

Protección contra virus y malware para tu entorno de virtualización

Protección contra virus y malware para tu entorno de virtualización Protección contra virus y malware para tu entorno de virtualización Autor: Gary Barnett Fecha de publicación: junio de 2012 Todos los contenidos The Bathwick Group Ltd 2012 Contenido Resumen ejecutivo...3

Más detalles

Ayudamos a Prevenir, Detectar e Investigar el Fraude Informático

Ayudamos a Prevenir, Detectar e Investigar el Fraude Informático Ayudamos a Prevenir, Detectar e Investigar el Fraude Informático Prevención de Fraude Ethical hacking (Garantizado), Concientización y Capacitación en Seguridad Detección de Fraude Ambientes de control,

Más detalles

Cómo operar una iniciativa BYOD exitosa. Juan Francisco García Gerente Comercial de Soluciones en la Nube

Cómo operar una iniciativa BYOD exitosa. Juan Francisco García Gerente Comercial de Soluciones en la Nube Cómo operar una iniciativa BYOD exitosa Juan Francisco García Gerente Comercial de Soluciones en la Nube Desafíos BYOD Cómo les doy soporte a las aplicaciones en dispositivos múltiples y aseguro los datos?

Más detalles

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014 Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad de la Información Andrés L. Gil Rosario, Diciembre 2014 Agenda Seguridad de la Información y Cyber Riesgos Hoy Principales tendencias en Gestión

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI - guía de la continuidad empresarial para pymes. Copyright Acronis, Inc.,

Más detalles

Protección de los datos, la propiedad intelectual y la marca frente a ciberataques

Protección de los datos, la propiedad intelectual y la marca frente a ciberataques Informe Protección de los datos, la propiedad intelectual y la marca frente a ciberataques Guía para CIO, CFO y CISO Informe Contenido El problema 3 Razones para preocuparse 4 La solución 5 Acerca de FireEye

Más detalles

SEGURIDAD GESTIONADA

SEGURIDAD GESTIONADA SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos

Más detalles