GOBIERNO DE LA CIBERSEGURIDAD

Transcripción

1 B o l e t í n d e S i s t e m a s B O L E T Í N N O. 1 2 D I C I E M B R E D E GOBIERNO DE LA CIBERSEGURIDAD C O N T E N I D O Gobierno de la 1 Ciberseguridad Gobierno de la 2 Ciberseguridad Aseguramiento 3 del (IoT) Solucionadas 3 Vulnerabilidades en servidores Apache Corregidas 28 3 vulnerabilidades en el navegador Firefox Plazo de inscripción de las bases 4 de datos ante el RNDB Nuevo servicio 4 de video llamadas por Whatsapp Quienes Somos 5 En una reciente publicación, la revista de seguridad UNAM, hizo importante énfasis en los riesgos generados por las amenazas cibernéticas, debido al constante uso de los sistemas de información interconectados, para las operaciones del negocio y a la interacción usuarios aplicaciones. En este sentido se hace hincapié en la gestión del gobierno corporativo desde el compromiso de la alta dirección, de proporcionar una estrategia que asegure el alcance de los objetivos, la garantía de una gestión de riesgos adecuada y el uso responsable de los recursos de la empresa. 1. Alineación estratégica: Alinear la seguridad de la información con la estrategia de negocio. 2. Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los activos de información. 3. Entrega de valor: Optimizar las inversiones en la seguridad. 4. Administración de recursos: Utilizar el conocimiento y la infraestructura de la seguridad de la información con eficiencia y eficacia. 5. Medición del desempeño: Monitorear y reportar métricas de seguridad de la información para garantizar que se alcancen los objetivos. Por lo tanto la Ciberseguridad debe hacer parte del gobierno corporativo para el logro de los objetivos, y se puede comprender dentro de la seguridad de la información. 1. Un gobierno eficaz de seguridad debe alcanzar los siguientes resultados: Un gobierno eficaz debe establecer desde la alta dirección, un marco que guíe el desarrollo y mantenimiento de un programa integral de seguridad, que cubra: -La estrategia de negocio y objetivos de la organización. -La gestión de riesgos, estrategia y requerimientos de seguridad. -Planes de acción, políticas, procedimientos, programa, objetivos de seguridad. -Monitoreo, métricas, reporte de tendencias.

2 P Á G I N A 2 Sabias que! Ciberseguridad no es lo mismo que seguridad de la Información, puesto que la Ciberseguridad busca proteger la información digital en los sistemas interconectados, y se enfoca principalmente en la información en formato digital está comprendida dentro de la seguridad de la información. 2. Principios y buenas prácticas de seguridad de la información Como los enfoques de cada organización son diferentes a continuación se resumen los principios y buenas prácticas que ayudan al buen gobierno de la seguridad: Principios: Los riesgos de seguridad de TI, deben ser gestionados y supervisados por la dirección. Los riesgos pueden tener implicaciones legales que la alta dirección debe entender. Implementar un marco de gestión de riesgos efectivo. Los riesgos de seguridad de la información deben ser evaluados por la alta dirección, y asegurar que los riesgos se acepten, eviten y se mitiguen. Buenas Prácticas: La dirección debe realizar una evaluación anual de la seguridad de la información. Implementación de políticas y procedimientos que contemplen las evaluaciones de riesgos. Asignación de roles y responsabilidades según la gestión de seguridad. Incluir la seguridad de la información en el ciclo de vida de los sistemas de información. Educación en seguridad de la información para todo el personal. Medición de la efectividad de políticas y procedimientos de seguridad. Establecer planes y procedimientos que aseguren la continuidad de las operaciones. Sabias que! La guía SP del NIST, proporciona controles agrupados en 18 familias, para hacer frente a las ciberamenazas a las que están expuestas las organizaciones. 3. Marco de Ciberseguridad del NIST (SP ) Este marco de Ciberseguridad, permite a las organizaciones, aplicar las mejores prácticas para la gestión de riesgos, que permitan mejorar la seguridad y resiliencia a nivel de infraestructura crítica, dicho marco define 5 funciones: 1. Identificar: Saber que se va a proteger. Desarrollar el conocimiento de la organización para gestionar riesgos de seguridad en sistemas, activos, datos y capacidades. 2. Proteger: Desarrollar e implementar y documentar las políticas y salvaguardas adecuadas para garantizar la prestación de servicios. 3. Detectar: Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de seguridad. 4. Responder: Desarrollar e implementar las actividades apropiadas para actuar ante un evento de seguridad detectado. 5. Recuperar: Desarrollar e implementar las actividades apropiadas para mantener planes de resiliencia y restaurar las capacidades o servicios que fueron perjudicados debido a un evento de seguridad. Las empresas pueden basarse en distintos estándares, como ISO 27001, NIST, Cobit, para el establecimiento de un gobierno de seguridad eficaz.

3 P Á G I N A 3 Aseguramiento del Internet de las Cosas (IoT) Sabias que! El internet de las cosas, Internet of Things o IoT por sus siglas en ingles es una red que interconecta objetos físicos valiéndose del Internet. Los objetos se valen de sistemas embebidos, que permiten no solo la conectividad a Internet, sino que además programa eventos específicos en función de las tareas que le sean dictadas remotamente. El internet de las cosas ya se está implementado en la interconexión de infraestructura crítica, en países desarrollados como Estados Unidos, y es que recientemente, dicha infraestructura fue objeto de ciberataques, que causaron la interrupción de servicios como el eléctrico, por lo que el gobierno se apropio de la seguridad del IoT, haciéndolo asunto de seguridad nacional, publicando los siguientes principios estratégicos que aseguren el IoT de ciberamenazas: 1. Seguridad en la fase de diseño. 2. Actualizaciones y gestión de vulnerabilidades avanzada. 3. Construir sobre prácticas de seguridad probadas. Solucionadas Vulnerabilidades en servidores Apache Apache Software Foundation publicó la corrección de tres vulnerabilidades importantes en el servidor Web Apache Tomcat en sus versiones 6,7,8 y 9. Dichas vulnerabilidades podrían permitir la ejecución remota de código, denegación del servicio, ataques de inyección de datos, envenenamiento de cache web, entre otros. Mas Información en: solucionadas-tres-vulnerabilidades en.html 4. Priorizar las medidas de seguridad según el entorno de uso. 5. Evaluaciones de riesgo que abarquen a todos los componentes incluso a desarrolladores y fabricantes. 6. Implementar conexiones intencionales y selectivas de modo que se evalúe si cada dispositivo necesita estar conectado en forma continua y automática a Internet. El continuo desarrollo de dispositivos y la aceleración de la evolución de la interconectividad, ha dejado la seguridad en un segundo plano, haciendo vulnerable al internet de las cosas, situación que están aprovechando los ciberatacantes. Corregidas 28 vulnerabilidades en el navegador Firefox Mozilla publica la versión 50 de Firefox, la cual cuenta con la corrección de 28 vulnerabilidades, e incluye nuevas funcionalidades. Según un reciente boletín publicado por Mozilla, 3 vulnerabilidades son críticas, 13 de gravedad alta, 10 de gravedad media,, y 2 de gravedad baja. Los fallos podrían permitir desbordamiento de buffer, corrupción de memoria, ataques de hombre en medio, denegaciones del servicio, entre otros. Mas Información en: advisories/mfsa /

4 P Á G I N A 4 Noticias: Se amplió el plazo de inscripción de las bases de datos ante el RNDB Mediante el decreto 1759 del 8 de noviembre de 2016, se amplió el plazo para llevar a cabo la inscripción de las bases de datos ante el registro Nacional de Bases de Datos así: Los Responsables del Tratamiento de personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio, tienen plazo hasta el 30 de junio de Los Responsables del Tratamiento de personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio tienen plazo hasta el 30 de junio de El decreto indica que las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos, deberán inscribirse dentro de los dos meses siguientes, contados a partir de su creación. Más información en: Noticias: El nuevo servicio de video llamadas por Whatsapp Recientemente Whatsapp, incluyó el nuevo servicio de video llamadas, compitiendo con otros servicios como Skype. La empresa informó que las videollamadas cuentan con cifrado punto a punto, asegurando la privacidad en las conversaciones, sumándose al reto de hacer de esta aplicación, una de las más seguras. Según informa Welivesecurity en un reciente artículo los mensajes de WhatsApp no se almacenan en los servidores de la aplicación, esto con el fin de evitar filtraciones de datos, y hacer responsable al usuario de su propia información. Sin embargo argumenta que el hecho de compartir información con Facebook, implicó un manejo no adecuado de la información personal. Más información en: http: //w ww.we liv es ecur ity.com/la - es/2016/11/18/videollamadas-en-whatsappcifradas/

5 QUIENES SOMOS Somos una compañía fundada en diciembre de 1997, que busca escalar posiciones en el mercado y convertirse en una de las empresas de auditoría y consultoría más importantes del país, desarrollando nuestro trabajo con los más altos estándares de calidad. Oficina principal : Carrera 49 No Teléfonos: Bogotá D.C. - Colombia Oficina en Tunja: Calle 20 No oficina 212 B ( C.C Plaza Real) Teléfonos: (8) Tunja, Boyacá. - Colombia sac@saenzauditores.com Debido a esto, nuestra firma alcanzó la certificación de Gestión en Calidad ISO 9001:2008 el 22 de marzo de 2006, en los servicios de REVISO- RÍA FISCAL, AUDITORÍA EXTERNA, AUDITORIA DE SISTEMAS, y AUDITORÍA EXTERNA DE GESTIÓN Y RESULTADOS. El pasado 27 de abril de 2015 la compañía alcanzo la re certificación de sus Servicios mediante auditoría efectuada por el ente certificador ICONTEC. Nuestra compañía realiza un trabajo integral orientando a ofrecer servicios y asesorías de carácter interdisciplinario basados en las características de operación y gestión de nuestros clientes. Nuestros Servicios: Certificados por ISO 9001:2008: REVISORÍA FISCAL AUDITORÍA EXTERNA AUDITORIA DE SISTEMAS AUDITORÍA EXTERNA DE GESTIÓN Y RESULTADOS Otros Servicios: Asesoría Jurídica, Asesoría y Planeación Tributaria, Desarrollo, implementación y evaluación de procedimientos y manuales de funciones. Desarrollo, implementación y evaluación de sistemas de control interno. Outsourcing Contable.

6 P Á G I N A 6 Referencias en.html Inteco. Ciberresiliencia. Un marco de aproximación