Contra el lado oscuro de la seguridad
Email |
¿Desea imprimir?
Regístrese ahora
Hay dos consideraciones que se deben tener en toda estrategia de seguridad: enfocarse en la prevención y protección; y otra conocer a fondo qué herramientas usan y por dónde serán los ataques del lado oscuro. Expertos ahondaron en ambas consideraciones.Cómo realizar mejores planes de contingencia, utilizar la auditoría como prevención, conocer las mejores prácticas, y lo bueno y malo de los fraudes en internet son algunos de los temas tocados en el 6to b:Secure Conference 2009 Ciudad de México, organizado por Netmedia Events.
Durante una de las conferencias, Gilberto Vicente, gerente de desarrollo de negocios en seguridad de Cisco Systems, declaró que, si bien estamos en un ambiente adverso, según sus palabras, es el momento de la seguridad.
En su charla titulada “Mejores prácticas de seguridad en tiempos de crisis”, el ejecutivo dijo que hoy más que nunca las empresas realmente están interesadas en hacer un replanteamiento de la seguridad.
Esto se reafirma con un informe de IDC, el cual muestra que los recortes en gasto se harán en áreas como business intelligence, colaboración y herramientas de productividad más que en seguridad. “Este rubro es de los que se perciben con menos recortes”, apuntó Vicente.
Hoy las empresas están abrumadas con una gran cantidad de elementos que hay que usar inteligentemente para tener arriba la operación, ya no digamos la seguridad. A decir del conferencista, “con temas como movilidad y los niveles de interacción que hoy se requiere en los negocios, ya no se pueden conocer las fronteras de la red. Es más crítico, entonces, replantear la estrategia de seguridad, porque no se puede tener una solución IT puntual para cada uno de los elementos a proteger”.
¿Cómo salir librados ante tal panorama? La información se encuentra resumida en el recuadro adjunto (“Tips para resolver los retos en seguridad”), pero para el directivo se resume en “evolucionar y adaptarse al nuevo entorno.
En este sentido, Cisco tiene un ecosistema que incluye capacidades de investigación y desarrollo (R&D, por sus siglas en inglés), tecnologías apegadas con las mejores prácticas y una visión de integración, que el cliente hoy por hoy está requiriendo.
En cuanto a las tendencias que están surgiendo en el terreno de la seguridad destacan, en primera instancia, la seguridad integrada y la seguridad en la nube; otras son: la protección a la fuga de información (DLP, por sus siglas en inglés), la protección a aplicaciones y bases de datos, la convergencia entre seguridad física y lógica, y el control de acceso a la red –no tan nuevo, pero todo enmarcado en una tendencia de consolidación del mercado–.
Lo que debe saber de un plan de continuidad
También el marco del b:Secure Conference, expertos dieron a conocer los componentes básicos de los planes de contingencia o de recuperación de desastres.
Según lo expuesto en el panel del mismo nombre, un plan de contingencia para proteger la empresa frente a incidentes previsibles e incidentes imprevisibles. Los gusanos y los virus son previsibles si las máquinas fueran adecuadamente parchadas y si los antivirus estuvieran actualizados y funcionando. Los desastres naturales como, el que tuvo lugar en Villahermosa Tabasco el año pasado, pudieran ser imprevisibles.
La evaluación correcta del riesgo debe incluir un diagnóstico y definición de lo que está en riesgo y cómo afectaría esto a la operación del negocio, el análisis del riesgo en sí mismo, así como de la infraestructura crítica, lo cual finalmente da como resultado el plan de contingencia.
El mejor momento par comprobar la correcta validación del plan es la realización de un simulacro o prueba. El plan debe contener también quienes realizan las acciones de recuperación para rendir cuentas y presentar un informe detallado.
Lo que se necesita para recuperar los servicios proporcionados por los sistemas caídos, primero es identificar lo que se necesita reanudar y recuperar, así como qué elementos se requieren para hacerlo.
En contraparte, los errores que deben evitarse son que la información no esté actualizada o que esté desorganizada, que la documentación sea muy compleja, que el plan sea muy genérico o que sea demasiado detallado, una mala estimación del tiempo de recuperación, el no acceso a respaldos, así como que el personal responsable no esté capacitado en el manejo de crisis.
Para que los planes de contigencia sean exitosos deben contar con el apoyo de la alta dirección, ser sencillos y claros, concisos, contar con presupuesto apropiado, incluir a todos los participantes e incluso proveedores), considerar un proceso de respaldo fuera de sitio, ser documentado y probado frecuentemente, flexible, adaptable y tenen un proceso continuo para su mantenimiento.
Las empresas que tercerizan servicios también deben cumplir con las políticas de la compañía.
Auditoría como prevención
Durante el panel Auditoría de seguridad, en el que participaron Erika Saucedo, gerente de la práctica de seguridad en Ernst & Young México y Adrián Palma, catedrático y conferencista a nivel internacional en cuestiones de seguridad informática, se profundizó en la importancia de la auditoría de seguridad, es decir, de la identificación de la desviación entre la seguridad percibida y la seguridad real.
Además de esto, los panelistas definieron las dos diferentes formas de auditoría: la técnica en la que se realizan pruebas de penetración, análisis de vulnerabilidades, configuraciones de la infraestructura de aplicaciones Web y contraseñas; y la de procesos, en la que se analizan los requerimientos y estrategias de seguridad, cumplimiento con regulaciones, políticas y procedimientos, seguridad física y clasificación de la información.
Ambos expositores recomendaron la importancia de este proceso, sobre todo ahora que el cumplimiento regulatorio o compliance es uno de los puntos fundamentales de casi todas las empresas.
Lo bueno y lo malo de los fraudes en internet
Una de las pláticas más dinámicas y ricas en información fue la que dieron Alfredo Reyes Krafft, vicepresidente ejecutivo de la Asociación Mexicana de Internet (AMIPCI), así como presidente del Consorcio Mexicano de Software y director de nuevos medios de pago de Grupo Financiero BBVA Bancomer, y Luis Javier Pérez del Real, director general de la consultora en seguridad Pilambda Omega y presidente de Grupo Evoluta (empresa de entretenimiento IT), en el marco de la sexta edición del bSecure Conference celebrado en la ciudad de México.
El mensaje que quedó en el ambiente es que las instancias financieras están lo suficientemente blindadas y la comunidad de hackers ya no están perdiendo su tiempo intentando obtener beneficio a través de prácticas oscuras. No lo necesitan. Ahora el desarrollo de Internet está llevando a los ciber criminales a una zona de confort, donde el mismo usuario “solito” está entregándose al ataque.
El panel llevó por nombre “Reingeniería Social: la última frontera”. Reyes Krafft dejó claro que el crecimiento de Internet es impresionante: en México hoy hay 27.8 millones de usuarios y 75.6 millones de teléfonos móviles con acceso a la Red (moviéndose, según datos del AMIPCI, a una tasa anual de crecimiento de 27%).
“Hoy estamos en una etapa de diversificación. Ya no es una red centralizada ni descentralizada; son redes con las cuales hay que compartir”, agregó el experto. “Es un Web abierto, estandarizado y colaborativo.”
Por desgracia no todo es miel
Sin duda, los beneficios a nivel comercial y de expansión de mercados que puede traer ya no sólo el Internet tradicional sino las redes sociales, es innegable.
Con todo, hay un lado muy negro, y es el de la ingeniería social. A amenazas como el skimming, el hawking, el phishing, el pharming, el spyware (keyloggers, troyanos), etc., se está agregando la pericia de los estafadores de la red con tecnologías de persuasión cada vez más sofisticadas, y herramientas de inteligencia comercial (a veces de diversas fuentes) dirigidas a una sola persona. Y la fuente de información, así como los medios de ataque, son las redes sociales.
¿Quién las usa? De acuerdo con Pérez del Real, no hablamos sólo de gente joven, como a veces se supone. Por supuesto, el número de personas de 25 a 34 años se duplica en Facebook cada seis meses, pero los últimos reportes de esta red social muestran que el uso de Facebook por gente de entre 35 y 54 años creció 276% en el año, y el de mayores de 55 años también subió, en su caso, 194.3%.
En estas redes –que prácticamente “todo mundo” usa–, hay riesgos latentes, como el robo de identidad o el encuentro con contenido malicioso, “que ha sido publicado libremente porque no hay quien valide qué se sube a este tipo de sitios”, puntualiza el directivo de Pilambda Omega.
“Hay poca restricción de acceso a sitios como Hi5, LinkedIn, Facebook, Twitter…, donde se publican datos personales, y los hackers pueden andar buscando información sobre usted –agregó el directivo–, de sus grupos de interés, sus gustos, sus citas, e incluso qué están haciendo, qué problemas tiene y quiénes son sus amigos.”
¡RH es un firewall!
Las áreas de Recursos Humanos podrían cargar con la responsabilidad de permitir el ingreso o no de personas que puedan sabotear a las áreas IT y a la compañía completa cambiando contraseñas, privilegios en los sistemas o provocando incidentes de seguridad.
En el marco del b:Secure Conference 2009 expertos coincidieron en la necesidad de evaluar mejor a los nuevos empleados antes de su ingreso en la compañía con el fin de evitar incidentes de seguridad.
Mercedes Romano, directora de la División Organizacional de Markey Research Services, aconsejó a los CIO que implementen buenas prácticas para detectar a los empleados que representen una amenaza para la compañía, particularmente en el área de sistemas utilizando diversas metodologías, entre ellas la de background check para entren a la organización.
Romano consideró que las variables culturales inciden en las prácticas de los empleados dentro de las compañías. Por ejemplo, en México 35% de los delitos que se cometen dentro de las organizaciones son robo de propiedad industrial, 30% son amenazas y difamaciones, y 30% son fraudes y abuso de confianza, según cifras de Mattica.
De acuerdo con Romano, la selección de personal juega ya un papel trascendente en el esquema de prevención de incidentes de seguridad al interior de las compañías y presentó cuatro categorías de empleados que podrían representar amenazas: los no informados, los descuidados, los resentidos y los de tendencias sicópatas.
En el caso del resentido, dijo que todo comienza con un conjunto de expectativas insatisfechas y el sabotaje se detona con un evento. En el del psicópata, destacó que en una entrevista de trabajo éste es difícil de detectar, para ello el background check para ir más allá del historial laboral y de los antecedentes penales.
“Los exámenes que se practican en una entrevista laboral y las pruebas sicométricas no son suficientes porque no existen muchas métricas al respecto, la prueba del polígrafo pudiera ayudar pero poca gente la sabe usar. Al parecer es necesario incluir en cada entrevista laboral una entrevista clínica especializada” opinó la consultora.
Por su parte, Daniel Peñaloza, CSO de Banco Wal-mart, dijo que los CIO deben buscar el punto de inflexión entre el costo total de la seguridad y lo que podría costarle a la organización la pérdida de la información o las consecuencias de un incidente de seguridad.
Peñaloza recomendó tener más información sobre los empleados a través del background check y sugirió llenar solicitudes de empleo que estén alineadas a las leyes aplicables de la industria, siempre obtener la firma autógrafa aceptando el proceso de obtener referencias, documentar si los expatrones se rehúsan a dar referencias de un empleado, pedir siempre más referencias y contactos, así como ocupar las entrevistas como un medio para aclarar dudas, entre otras.
En el panel ‘Infiltrados en la fuerza’ 94% de los asistentes opinaron mediante votación electrónica que es muy importante un buen reclutamiento, pues puede prevenir la pérdida de información en las organizaciones.
No toda la responsabilidad recaería en las áreas de Recursos Humanos. Magahandi Suárez, consultor de seguridad SpencerStuart, dijo que el rol del CISO no tiene que ver solamente con temas de seguridad, sino que también está muy ligado con el cumplimiento de regulaciones, investigación de amenazas, comportamiento de los usuarios y otros temas.
El CISO, como parte de sus tareas, debe analizar las tendencias de la operación del día a día, cómo los nuevos usuarios se comportan y descubrir lo que la organización está descuidando, además de proveer de los servicios rutinarios, explicó Suárez.
No hay artículos relacionados.
