Posted: 31st October 2007 by Secure Gossip in Uncategorized
0
MEJORES PRÁCTICAS PARA EVITAR LA PÉRDIDA DE INFORMACIÓN
El reporte titulado “Data Loss Prevention Best Practices, Managing Sensitive Data in the Enterprise,” define algunas de las mejores prácticas que pueden aplicar las empresas para prevenir las fugas de información, asegurar el cumplimiento y proteger el valor y la reputación de su marca, dicho reporte es elaborado por IronPort Systems.

La Prevención de la Pérdida de Información (DLP sus siglas en inglés) es un serio problema para las empresas; la cantidad de incidentes (y costos relacionados) continúan aumentando. Puede tratarse de un ataque malintencionado o un error involuntario, pero la pérdida de información puede afectar la marca, disminuir el valor de todas las partes involucradas y dañar el buen nombre y la reputación de una empresa.

“Cuando se trata de prevenir la pérdida de información, el aspecto más importante es la falta de control en la comunicación”, comentó Tom Gillis, Vicepresidente Senior de Mercadotecnia de IronPort Systems. “Los comunicados electrónicos y el intercambio de la información constituyen el vector de pérdida de información más importante para las empresas. Actualmente, los firewalls y otras soluciones de seguridad para redes no incluyen capacidades para prevenir la pérdida de información y asegurar el intercambio de datos. Se necesitan controles eficaces como el escaneo de contenido para proteger mensajes que contengan información confidencial y codificada. Cuando se está buscando una solución para controlar la pérdida de información, es necesario que las organizaciones consideren las mejores prácticas de DLP para estructurar una solución que se adapte a sus necesidades específicas”.

La gran mayoría de medios de comunicación electrónicos como los correos electrónicos, mensajes instantáneos, webmails, formatos en sitios web o transferencias de archivos que utiliza una empresa no están sujetos a un control o monitoreo, por lo tanto, siempre existe el riesgo de que la información confidencial caiga en las manos equivocadas. En todos los protocolos básicos de cualquier empresa siempre se debe incluir una solución DLP inteligente y de alto rendimiento. Los líderes deben buscar proveedores con gran experiencia y conocimientos en el escaneo de contenido para seleccionar la mejor solución DLP disponible. El reporte sobre DLP incluye las siguientes mejores prácticas:

1: Dedicar el tiempo necesario a la definición de los requisitos de DLP

El primer paso importante para resolver el problema de pérdida de información es conocer e identificar los tipos de información confidencial que existen dentro de la organización y las políticas necesarias para controlar y determinar la mejor forma de transmitir dicha información. Para lograr este objetivo, las organizaciones deben analizar el grado de afectación de su empresa o agencia, ocasionado por el cumplimiento regulatorio, la protección de la propiedad intelectual y la implementación de los usos adecuados.

2: Priorizar el enfoque de DLP

La prevención de la pérdida de información es un problema complejo que requiere la combinación de las mejores soluciones para satisfacer de manera adecuada las necesidades específicas de una organización. El hecho de enfocarse primero en las áreas más importantes de DLP, las que representan los principales vectores de pérdida, facilita la definición de soluciones y el bloqueo de fugas.

3: Garantizar una cobertura eficiente e integral

En términos generales, una solución DLP debe tener la capacidad de detectar de manera eficiente e integral las posibles violaciones a las políticas. Esto implica lo siguiente:

- Monitoreo y prevención de protocolos múltiples – Análisis de contenido de los archivos principales y adjuntos

- Bloqueo y/o cuarentena selectiva de mensajes

- Aplicación automática de políticas corporativas de codificación

4: Lograr una solución no intrusiva

La mejor solución DLP es la que no es intrusiva. Para superar el reto de contar con una comunicación efectiva (al mismo tiempo que se garantiza la administración y el control de la información confidencial y de los clientes) es necesario: contar con políticas bien definidas; y procesos para monitorear el contenido de los comunicados. Las organizaciones deben seleccionar una solución DLP para las aplicaciones de correo electrónico y web, capaz de administrar los crecientes volúmenes de mensajes y manejar las necesidades futuras de ancho de banda. Aunque esto parezca una tarea difícil, la buena noticia es que sí existen soluciones optimizadas en cuanto a escalabilidad, desempeño y seguridad.

5: Organizar tareas, administración y elaboración de reportes

Una solución DLP no puede ser eficaz si no produce reportes detallados de todas las supuestas transgresiones. Los administradores y encargados de definir las políticas deben recibir reportes que describan las fallas detectadas y ofrezcan información específica para permitirles tomar las medidas necesarias. Algunos de estos detalles son: el remitente del mensaje, el contenido, los archivos adjuntos, los posibles destinatarios e información sobre el contenido afectado.

6: Combinar las mejores soluciones

Lo que distingue a las mejores soluciones es su capacidad de aumentar y mejorar el nivel de eficacia a través de la integración de otras herramientas de la misma calidad. Las empresas no deberían elegir una solución DLP que no les permita hacer estas integraciones en un futuro. A medida que evolucione la industria, será muy importante contar con la flexibilidad y el respaldo necesario para aprovechar al máximo las soluciones de terceros a través de la conectividad y el intercambio de información.

Tom Gillis, Vicepresidente Senior de Mercadotecnia de IronPort Systems

Fuente: http://www.tynmagazine.com/notas.php?id=716

Posted: 23rd October 2007 by Secure Gossip in Uncategorized
0
VELOCIDADES DE RECUPERACIÓN DE CONTRASEÑAS
¿Cuanto tiempo resiste su contraseña a un ataque?

Este documento muestra la cantidad aproximada de tiempo requerido por un computador o un cluster de computadores para adivinar varios tipos de contraseñas. Las figuras mostradas indican aproximadamente el tiempo máximo requerido para adivinar cada contraseña utilizando un simple ataque de fuerza bruta “key-search”, aunque es posible (y probablemente así sea) adivinar correctamente una contraseña sin intentar todas las combinaciones utilizando otros métodos de ataques o teniendo “suerte”.

Seguir leyendo

Fuente: http://www.seguridad-informatica.cl

Posted: 23rd October 2007 by Secure Gossip in Uncategorized
0
SEGURIDAD DE NUESTROS HIJOS, SEGÚN MICROSOFT

Microsoft como parte de su plan de concientizacion de “Seguridad en el hogar” publico hace un tiempo algunas sugerencias de seguridad para los niños segun la edad de los mismos:

Actividades que pueden realizar los niños en edad preescolar en línea (2 a 4 años)

Un estudio de 2003 sobre el uso de Internet por parte de los niños demostró que los niños en edad preescolar constituyen actualmente el segmento de mayor crecimiento de los usuarios de Internet. Aunque los niños de esta edad tienen una capacidad de atención limitada para las actividades en línea, las imágenes de Internet pueden estimular su imaginación e incorporarse a sus experiencias.

Los padres y los hermanos mayores se pueden conectar con los niños en edad preescolar para visitar sitios Web infantiles y jugar en línea. En esta edad, los adultos desempeñan una función importante en la enseñanza de un uso de Internet seguro y la supervisión estrecha de las reacciones de los niños al material en línea.

Sugerencias de seguridad
A continuación se ofrecen algunas sugerencias de seguridad que debe tener en cuenta cuando se conecte con su hijo de 2 a 4 años:
• Conéctese siempre con sus hijos de esta edad.
• Agregue sitios aceptables a la lista “Favoritos” para crear un entorno en línea personalizado para los niños.
• Utilice motores de búsqueda para niños (como MSN Kids Search) o motores de búsqueda con protección infantil.
• Investigue las herramientas de filtrado de Internet (como la protección infantil de MSN Premium) como complemento, no reemplazo, de la supervisión paterna.
• Proteja a sus hijos de las ventanas emergentes ofensivas con software que bloquee elementos emergentes. Hay un bloqueador de elementos emergentes en Windows XP y en la barra de herramientas de MSN.
• Empiece por informar a sus hijos de la privacidad. Si un sitio pide a los niños que envíen sus nombres para personalizar el contenido Web, ayúdeles a crear un apodo en línea que no revele información personal.
• Todos los miembros de la familia deben actuar como modelos para los niños pequeños cuando empiecen a utilizar Internet.

Qué pueden hacer en línea los niños de entre 5 y 6 años

Por lo general, los niños de 5 a 6 años tienen una actitud positiva y son receptivos. Se enorgullecen de sus progresos al leer y al contar y les encanta conversar y compartir ideas. No sólo están deseosos de portarse bien, sino que también son confiados y raramente cuestionan la autoridad.

A esta edad, los niños pueden ser muy capaces de seguir instrucciones cuando usan el equipo, así como de manejar el mouse y disfrutar de juegos. Sin embargo, dependen en gran medida de los adultos o de hermanos mayores para buscar sitios web, interpretar la información en línea o enviar correo electrónico.

Sugerencias sobre seguridad
1. Es recomendable fomentar una comunicación abierta y positiva con los hijos. Hable con ellos acerca de los PC y muéstrese abierto ante sus preguntas y su curiosidad.
2. Use herramientas de seguridad para la familia que le permitan crear perfiles adecuados para cada miembro.
Para obtener más información, consulte Windows Live OneCare Family Safety o Control parental de Windows Vista.
3. Use motores de búsqueda para niños (como MSN Kids Search) (en inglés) o con controles parentales.
4. Mantenga los equipos conectados a Internet en un área abierta en que pueda supervisar fácilmente las actividades de sus hijos.
5. Investigue herramientas de filtrado de Internet (como Windows Live OneCare Family Safety) como complemento a la supervisión parental.
6. Contribuya a proteger a sus hijos de ventanas emergentes ofensivas mediante el bloqueador de elementos emergentes integrado en Internet Explorer.
También puede bloquear ventanas emergentes que aparecen cuando no navegue por Internet con Windows Defender.
7. Empiece a educar a sus hijos acerca de la privacidad. Si desde un sitio se anima a los niños a que envíen sus nombres para personalizar el contenido web, ayúdeles a crear un apodo que no revele información personal cuando estén en línea.
8. Invite a sus hijos a que le digan si alguien o algo de Internet les hace sentir incómodos o amenazados. Mantenga la calma y recuerde a sus hijos que no es malo que le pongan al corriente de algo que les haya sucedido. Felicíteles por su comportamiento y anímeles a que recurran a usted si se repite la situación.

Qué hacen en línea los niños de 7 y 8 años

Los niños de siete y ocho años tienen un sentido de la familia muy acusado. Están empezando a desarrollar una percepción de su propia identidad moral y sexual, y suelen interesarse en las actividades de los niños mayores que conocen. Los niños de 7 y 8 años suelen ser confiados y, por lo general, no cuestionan la autoridad.

A estas edades, navegar por diversión y para disfrutar de juegos interactivos son los pasatiempos favoritos en línea. Es probable que estos chicos ya usen el correo electrónico y quizá también experimenten con sitios web y salas de charla que sus padres no les han autorizado a visitar.

A estas edades, navegar por diversión y para disfrutar de juegos interactivos son los pasatiempos favoritos en línea. Es probable que estos chicos ya usen el correo electrónico y quizá también experimenten con sitios web y salas de charla que sus padres no les han autorizado a visitar.

Sugerencias sobre seguridad
1. Es recomendable fomentar una comunicación abierta y positiva con los niños. Hable con ellos acerca de los PC y muéstrese abierto ante sus preguntas y su curiosidad.
2. Elabore una lista de reglas de Internet en casa con aportaciones de sus hijos.
3. Anime a sus hijos a que visiten únicamente los sitios que usted haya aprobado.
4. Mantenga los equipos conectados a Internet en un área abierta en que pueda supervisar fácilmente su uso.
5. Investigue herramientas de filtrado de Internet (como el Control parental de Windows Vista o Windows Live OneCare Family Safety) como complemento a la supervisión parental.
6. Use motores de búsqueda para niños (como MSN Kids Search) (en inglés) o con controles parentales.
7. Contribuya a proteger a sus hijos de ventanas emergentes (en inglés) ofensivas mediante el bloqueador de elementos emergentes integrado en Internet Explorer.
También puede bloquear ventanas emergentes que aparecen cuando no navegue por Internet con Windows Defender.
8. Establezca una cuenta de correo electrónico familiar compartida a través de su proveedor de servicios Internet, en lugar de dejar que sus hijos tengan sus propias cuentas.
9. Enseñe a sus hijos a que siempre acudan a usted antes de facilitar información a través del correo electrónico, salas de charlas, paneles de mensajes, formularios de registro y perfiles personales.
10. Enseñe a sus hijos a que no descarguen software, música ni archivos sin su permiso.
11. Use filtros de correo electrónico para bloquear mensajes de determinadas personas o que contengan ciertas palabras o frases.
12. No permita que sus hijos usen la mensajería instantánea con estas edades.
13. Deje a sus hijos que usen únicamente salones de charla supervisados y paneles de mensajes de sitios acreditados para niños.
14. Hable con sus hijos acerca de sus actividades y amigos y en línea, del mismo modo que si se tratara de otros actividades en las que empiezan a conocer a nuevas personas.
15. Hable con sus hijos acerca de una sexualidad sana, ya que no es difícil que los niños se topen con contenido para adultos o pornografía en línea.
16. Eduque a sus hijos acerca de la privacidad. Si desde un sitio se anima a los niños a que envíen sus nombres para personalizar el contenido web, ayúdeles a crear un apodo que no revele información personal cuando estén en línea.
17. Todos los miembros de la familia deben actuar como modelos para los niños que usen Internet.

Fuente: http://seguridad-informacion.blogspot.com/2007/10/internet-vs-seguridad-de-nuestros-hijos.html

Posted: 23rd October 2007 by Secure Gossip in Uncategorized
0
HERRAMIENTA DE EVALUACIÓN DE SEGURIDAD INFORMÁTICA

No se trata de la típica aplicación que escanea la red en busca de riesgos de seguridad y vulnerabilidades de los sistemas, Microsoft Security Assessment Tool es una herramienta que encuesta al administrador con más de 200 preguntas sobre su infraestructura, las aplicaciones, las operaciones y los usuarios; para elaborar un informe sobre los riegos de seguridad y las políticas que debe adoptar el administrador. Las preguntas, sus respuestas asociadas, y las recomendaciones están fundadas en normas tales como las ISO 17799 y NIST-800.x, las recomendaciones y la orientación prescriptiva del Grupo de Informática de Confianza de Microsoft (Microsoft Trustworthy Computing Group) y otras orígenes externos de seguridad de la información.

Es una aplicación muy recomendable para administradores de sistemas que tienen en sus redes sistemas de la plataforma Windows y no tiene políticas de seguridad bien definidas. También para saber la madurez de la seguridad, este concepto se refiere a la evolución de las prácticas de seguridad y mantenimiento.

Más información y descarga de MSAT:
http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/septiembre/msat.mspx

Fuente: http://vtroger.blogspot.com/2007/10/herramienta-de-evaluacin-de-la.html

Posted: 23rd October 2007 by Secure Gossip in Uncategorized
0
EL PHISHING SE CONVIERTE EN EL MAYOR PELIGRO DEL SPAM
Hace algunas semanas la empresa Ipswitch, especializada en la supervisión de redes, mensajería y soluciones de transferencia de archivos, anunciaba los resultados de su octava investigación sobre el Spam, donde se revelaba que el 95% de todo el e-mail recibido es correo electrónico no deseado. Esta cifra muestra un crecimiento en comparación al 93% del trimestre anterior, y al 70% del mismo período en el 2006.

Otras conclusiones del estudio fueron que la categoría líder de spam es “Medicamentos” representando más de un tercio del total de los mensajes recibidos en la bandeja de entrada. Luego vienen los correos con “Pornografía” que constituyen el 21%; y los correos que entran en la categoría de “Indescifrables” (que generalmente tienen imágenes insertadas), que representan el 18%.

Ante estas abrumadoras cifras, los usuarios muchas veces se sienten indefensos frente a esta epidemia tecnológica, que como se sabe, por el lado del usuario afecta la productividad laboral y desde la perspectiva del emisor deteriora la imagen de la empresa cuya publicidad se envía.

Para conocer las nuevas armas de quienes están detrás de este flagelo y cuáles son las últimas herramientas para combatirlo, conversamos con Alessandro Porro, Director de Ventas de Ipswitch Latinoamérica.

¿Cuáles son las nuevas “estrategias” de los spammers?

Las estrategias de los spammers siguen siendo crear un falso sentido de necesidad de atención por parte de la persona que recibe un correo. A nivel más detallado, los spammers están ahora utilizando imágenes con texto, en vez de solo texto, pues esto dificulta enormemente la efectividad de las herramientas antispam. El phishing sigue aumentando y es la amenaza más grave.

¿Qué beneficios buscan los Spammers hoy?

El benefício único es obtener dinero de parte de las “victimas”. Es decir, el spam puede ser algo relativamente inocente como propaganda u ofertas de un producto/servicio o puede ser algo nocivo como “phishing” que es algo equivalente a un asalto.

La pregunta de muchos usuarios es: se creará algún día un mecanismo o tecnología que permita acabar con el Spam o habrá que conformarse con convivir con él?

En este momento, la respuesta a corto plazo es “no”. El desafio es que los spammers muchas veces son tan capaces como los desarrolladores de software y, básicamente, es una carrera sin fin. Lo que si se están desarrollando son tecnologías para frenar o eliminar los spams más peligrosos como el “phishing”, algo que yo personalmente creo que es posible de eliminar.

¿Qué se entiende por utilizar el análisis humano para combatir el Spam y cómo debe aplicarse este concepto?

El análisis humano es utilizar las 24 horas del dia, en distintos locales del mundo, para examinar individulamente un mensaje spam e identificar tendencias de uso de letras, palabras, números, simbolos e imágenes, en múltiples idiomas, para poder clasificar un mensaje como spam (y todos los mensajes que tengan características comunes con tal mensaje). La tecnología humana es un complemento ideal a la tecnología cibernética, la cual se puede solo concentrar en tendencias reconocibles de forma mecánica.

¿Qué debe hacer una empresa o un usuario en su computador para no generar falsos positivos?

Lo más básico es no enviar mensajes con copia a docenas de personas (a menos que exista una lista preconfigurada internamente que ya esté aprobada como lista blanca) y tambien evitar utilizar palabras genéricas en los títulos o temas de un mensaje, como por ejemplo, “Hola” u “Oferta”.

¿Cuáles son las tecnologías de vanguardia que están implementando las empresas para protegerse del Spam?

Yo particularmente tengo una pelea personal con lo que es phishing. Lo que me está causando gran optimsimo es saber que empresas como bancos y administradoras de tarjetas de crédito (entre otras empresas del sector financiero) están utilizando nuevas tecnologías para intentar eliminar la posibilidad que un cliente caiga en la trampa del phishing. Es un nicho muy interesante y que vale la pena seguir cercanamente.

¿Cuál es su visión acerca del fenómeno del Spam en Latinoamérica en comparación con los países desarrollados?

Las similitudes son muchisimas, y la tendencia es que se vuelva idéntico, tanto en términos de tipo como de cantidad, ya que el uso del Internet en Latinoamérica está proliferando diariamente.

En base a lo anterior, cuál sería su mensaje para los usuarios chilenos?

Diria que, a nivel empresa, hay que armarse con buenas herramientas antispam para poder mantener tanto la seguridad como la productividad del negocio. A nivel usuario individual, hay que ser inteligente para no crear spam de forma involuntaria, pero, mucho más allá de esto, hay que tener cuidado para no caer en la trampa del phishing.

Fuente: http://www.mundoenlinea.cl/noticia.php?noticia_id=11228&categoria_id=4

Posted: 22nd October 2007 by Secure Gossip in Uncategorized
0

LAS RELACIONES SEXUALES CON MENORES SIGNIFICA LA CARCEL
“La pornografía infantil es la reproducción explícita de la imagen de un niño o niña. Se trata, en sí misma de una forma de explotación sexual de los niños.

Estimular, engañar o forzar a los niños a posar en fotografías o participar en videos pornográficos es ultrajante y supone un menosprecio de la dignidad y autoestima de los niños.

Esto significa que el cuerpo de un niño o niña carece de valor y les demuestra que su cuerpo está a la venta…”

Sin palabras.

Esto es el “preámbulo” de la página web http://www.pedofilia-no.org, un sitio dedicado a la lucha contra la pedofilia.

Además les dejo un excelente video

Fuente: http://www.pedofilia-no.org/

Posted: 22nd October 2007 by Secure Gossip in Uncategorized
0
SITIO ARGENTINO DE BIOMETRIA

El sitio estatal Biometria.gov.ar nació luego de terminar en Noviembre del 2006 en la Ciudad Autónoma de Buenos Aires – Argentina, el Primer Congreso Internacional de Biometría de ese país, en dicho congreso de trató los diferentes aspectos acerca de la utilización de sistemas de identificación y verificación biométrica. El comité organizador del evento quedo convencido que la mejor forma de preservar la seguridad y contribuir al crecimiento tecnológico es compartiendo el conocimiento, y qué la mejor forma que hacerlo a través de un portal dedicado al tema.
En el portal se publican noticias, estándares y soluciones de distintos gobiernos, organizaciones, empresas e investigadores.

Entre los documentos publicados o referenciados en la web, podemos resaltar los siguientes:

Posted: 19th October 2007 by Secure Gossip in Uncategorized
0
LA FUNCIÓN DE SEGURIDAD INFORMÁTICA EN LA EMPRESA
Por Omar Alejandro Herrera Reyna

Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa.

Por lo tanto lo que les expongo aquí no es una mejor práctica, simplemente se trata de algunas sugerencias basadas en mi experiencia.

Componentes principales de un área de seguridad informática
Existen diversas funciones que debe desempeñar un área de seguridad informática y éstas se pueden agrupar de la siguiente manera:


Hay un par de áreas que no son tan comunes y que están en color gris en el diagrama: normatividad y desarrollo. Al revisar las responsabilidades y funciones de cada área quedará más claro el por qué. Por lo pronto les comento que es menos probable encontrar estas 2 áreas en empresas medianas o pequeñas, mientras que en empresas grandes es más común que existan las 4 áreas junto con la figura del líder de área.

Líder de área Esta figura, a la cual se le suele conocer como CISO (Chief Information Security Officer – Oficial de Seguridad informática). Entre sus responsabilidades se encuentran:

* Administración del presupuesto de seguridad informática
* Administración del personal
* Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos
* Administración de proyectos
* Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución

El líder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa.

Normatividad
Es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO. Por esta razón se le suele ver como un área que asiste al CISO en las labores de cumplimiento.

Operaciones Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia definida por el CISO lograr los objetivos del área (en otras palabras, la “gente que está en la trinchera”). Entre sus responsabilidades se encuentran:

* Implementación, configuración y operación de los controles de seguridad informática (Firewalls, IPS/IDS, antimalware, etc.)
* Monitoreo de indicadores de controles de seguridad
* Primer nivel de respuesta ante incidentes (típicamente a través de acciones en los controles de seguridad que operan)
* Soporte a usuarios
* Alta, baja y modificación de accesos a sistemas y aplicaciones
* Gestión de parches de seguridad informática (pruebas e instalación)

Supervisión Es el área responsable de verificar el correcto funcionamiento de las medidas de seguridad así como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del área de normatividad). Entre sus responsabilidades se encuentran:

* Evaluaciones de efectividad de controles
* Evaluaciones de cumplimiento con normas de seguridad
* Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta ante incidentes)
* Atención de auditores y consultores de seguridad

Noten que las actividades de monitoreo las realiza el área de operaciones y no el área de supervisión. Esto es porque el monitoreo se refiere a la vigilancia del estado de la seguridad de la empresa a través de los controles, pero las actividades del área de supervisión se limitan a la vigilancia de las actividades de seguridad que realizan otras áreas. La única excepción es la investigación de incidentes. Operaciones no investiga porque en algunos casos podrían se juez y parte. Por ejemplo, en el caso de una intrusión no es válido que el mismo personal que operaba los controles que protegían el servidor investiguen el suceso porque no puede haber objetividad (aunque no sea el propósito de la investigación, de cierta manera los resultados de la misma podrían calificar indirectamente la efectividad del personal del área de operaciones). La razón por la cual es preferible que esta área sea el punto de contacto con auditores y consultores es porque sus labores son afines y es más probable que tengan a la mano la información que requieran o sepan quién la tiene.

Desarrollo
Es el área responsable del diseño, desarrollo y adecuación de controles de seguridad informática (típicamente controles de software). Entre sus responsabilidades se encuentran:

* Diseño y programación de controles de seguridad (control de acceso, funciones criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.)
* Preparación de librerías con funciones de seguridad para su uso por parte del área de Desarrollo de Sistemas
* Soporte de seguridad para el área de Desarrollo de Sistemas
* Consultoría de desarrollos seguros (integración de seguridad en aplicaciones desarrolladas por Sistemas).

Básicamente se trata de un área de desarrollo enfocada a cuestiones de seguridad. La razón de requerir un área dedicada para esto es que la integración de controles efectivos en software es una tarea muy compleja; el perfil de un programador promedio no incluye experiencia ni conocimientos en seguridad (y particularmente en criptografía). Esta es la razón por la cual sólo las grandes empresas cuentan con un área de desarrollo de seguridad que está formada por especialistas en vez de programadores ordinarios.

¿Dónde debe estar la función de Seguridad Informática? Este es otro problema para el cual no hay una respuesta única. Podemos empezar por listar las áreas o direcciones de las cuales no debe de depender el área de Seguridad Informática:

* Sistemas – Mucho de lo que vigila el área de operaciones de seguridad son precisamente los sistemas y las redes de telecomunicación. El área de sistemas tiene como prioridad la operación, y los controles tienden a impactar de cierta forma el desempeño y flujo operativo (pero no por esto dejan de ser necesarios). El hecho de que Seguridad Informática dependa del Área o Dirección de Sistemas genera conflictos de interés.
* Auditoría Interna – La función de auditoría es verificar la efectividad y existencia de controles en todas las áreas de la organización (incluyendo Seguridad). Auditoría no opera, pero el área de Operaciones de Seguridad sí, por lo que habría conflictos de interés (Auditoría revisaría en parte algo que ella misma hace, lo que la convertiría en juez y parte)
* Unidades operativas del negocio – por la misma razón que para el área de Sistemas

Por supuesto hay algunas áreas que no hace mucho sentido que incluyan la función de Seguridad Informática (Recursos Materiales y Recursos Humanos, por ejemplo), pero hay áreas donde sí puede colocarse esta función, como por ejemplo:

* Cumplimiento – Cumplimiento no es Auditoría. El área de Cumplimiento define establece las normas internas y supervisa su aplicación de la misma manera que las áreas de Normatividad y Supervisión lo hacen dentro de la función de Seguridad Informática.
* Jurídico – Esta área atiende todos los asuntos legales de la empresa. Como tal el tener al área de Seguridad dentro de la misma constituye un excelente apoyo para implementar controles que garanticen el cumplimiento de la ley.
* Finanzas – Esta área se asegura del buen uso del dinero de la empresa. Contar con un área de Seguridad Informática le permite asegurar la implementación adecuada de controles para minimizar riesgos que tengan impacto económico (fraudes, fugas de información, etc.). Dada la dependencia de los sistemas informáticos para el manejo de las finanzas en la actualidad este esquema es una buena opción para algunas empresas.
* Riesgos – El área de Seguridad Informática dependiendo del área de riesgos permite controlar y evaluar la mitigación de aquellos riesgos que afectan a los sistemas informáticos y la información que se almacena, procesa, genera o transmite a través de los mismos. Dada la dependencia que tienen muchos procesos productivos de los sistemas de información en la actualidad, ésta es una buena opción también para muchas empresas.
* Dirección General – Permite tener un estricto control de los recursos informáticos de la Empresa. Desafortunadamente este esquema es difícil por la diferencia de lenguajes y niveles entre ambas áreas así como las prioridades y el poco tiempo que suele tener la Dirección General, pero algunas organizaciones así lo tienen (por ejemplo, algunos Bancos).

Podría parecer que la existencia de las áreas de Operaciones y Desarrollo de Seguridad generan un conflicto de interés en los casos anteriores, pero no es así, ya que el conflicto está controlado por la separación interna de funciones dentro de la misma Área de Seguridad; con respecto al resto de las áreas, no se interfiere con su operación y existe separación de funciones, ya que el área de Operaciones de Seguridad realiza únicamente funciones de soporte al negocio y no interviene de forma directa en dichos procesos. Adicionalmente, la existencia de un área de Auditoría Interna separada permite una revisión imparcial de las funciones de Seguridad que dependa de cualquiera de las 3 áreas mostradas anteriormente. En ninguno de los casos anteriores la implementación y supervisión de controles de seguridad informática es un factor tan importante debido a su orientación a controlar; a diferencia del caso de Sistemas, donde su orientación es a producción.

De todas maneras, no hay un área ideal de dónde colgar al área de Seguridad Informática (si la hubiera, todo mundo lo haría así) quizás la dependencia directa de la Dirección General pero no es viable o fácil de lograrla en muchas empresas.

¿Función Centralizada o Distribuida?
Nuevamente, una pregunta que ha dado origen a interminables discusiones filosóficas sin ningún consenso, pero aquí trataré al menos de definir ventajas y desventajas de ambos esquemas así como algunas estrategias de distribución que han funcionado en algunas organizaciones.

Función centralizada
La función centralizada permite un mejor control y desempeño de las funciones de seguridad informática, sin embargo, este esquema también suele generar algunos roces con otras áreas de la empresa, particularmente con el área de Sistemas.

En mi opinión esta es una mejor opción para áreas donde el control sea esencial (incluso requerido por regulación) y se pueda sacrificar algo de desempeño en producción a costa de una mejor vigilancia. Algunos sectores que donde este esquema puede ser benéfico son: Financiero, Farmacéutico, Salud, Gobierno, Organismos Militares y Organismos Policiales.

Existe también la opinión de muchos especialistas de no sólo mantener una función central de Seguridad informática, sino incluso fusionarla con el área de Seguridad Física. Mi opinión al respecto es que debe existir integración entre ambas funciones de seguridad, pero en mi experiencia la dependencia de una de la otra no genera siempre buenos resultados. Lo ideal en mi opinión es integrar ambas bajo un mismo líder, el famoso CSO (Chief Security Officer).

El único cambio que yo vería en la integración de ambas funciones es el pasar la responsabilidad de implementación de los controles de seguridad física al área de Seguridad Informática (lo mismo con el desarrollo de controles si es el caso). Esto debido a que hoy en día, la mayoría de los controles de seguridad física se basan en sistemas informáticos (control de acceso, CCTV, alarmas de intrusión, etc.) y es más eficiente realizar estas funciones a través de gente con conocimientos y experiencia en sistemas.

En este caso, el área de Seguridad (física e informática) podría distribuirse de la siguiente manera:

Función Distribuida
Para algunas organizaciones hace más sentido distribuir la función de la seguridad ya que esto permite tener un mejor desempeño operativo a costa de menor control y desempeño en la seguridad informática. Algunos ejemplos de sectores de empresas donde esto suele suceder son: Manufactura, Servicios, Consultoría, Telecomunicaciones y Comercial.

En este esquema podemos pasar algunas funciones a áreas que normalmente no deberían contar con toda la función de seguridad informática. Por ejemplo, podríamos pasar las áreas de Operaciones de Seguridad y Desarrollo de Seguridad al área de Sistemas, integrándolas en las funciones correspondientes, siempre y cuando exista un líder de Seguridad Informática separado y que la función de Supervisión también se encuentre separada. El área de Normatividad de Seguridad podría recaer en el área de Cumplimiento y el área de Supervisión de Seguridad podría pasarse al área de Auditoría Interna (igualmente, sólo si las áreas de Operaciones de Seguridad y Desarrollo de Seguridad están en otro lado). Finalmente el CISO puede depender de alguna de las áreas antes mencionadas.

Un ejemplo de una función de Seguridad totalmente distribuida sería el siguiente:


Mi esquema preferido es un esquema parcialmente distribuido, donde el área de Seguridad Informática Depende directamente de la Dirección General y cuenta con áreas de Supervisión y Normatividad, mientras que las áreas de Operaciones de Seguridad y Desarrollo de Seguridad dependen del área de Sistemas.

Una de las razones principales por las que prefiero que estas 2 áreas dependan de Sistemas es por la burocracia que se genera al tenerlas dentro de un área de Seguridad centralizada. Por ejemplo, si un área operativa requiere que se abra un puerto en un firewall para instalar un nuevo sistema que urge (ya saben que en las empresas todo urge) es más rápido que el equipo de Operaciones de Seguridad en el área de sistemas se ponga de acuerdo con el equipo de Telecomunicaciones y aplique el cambio después de una breve revisión de impacto. Si hubiera algún conflicto de interés (ej. que se encontrara algún riesgo pero que el Director de Sistemas ordenara el cambio de todas maneras), eventualmente el área de Seguridad (a través del Equipo de Supervisión de Seguridad) se daría cuenta y tomaría acciones (de forma directa o a través de otra área). Igualmente, para resolver algún problema de Seguridad sencillo (por ejemplo una infección por Virus) es más fácil y rápido si el área de Operación de Seguridad está dentro de sistemas porque en estos casos esta área requiere del apoyo de personal de Sistemas (administradores por ejemplo); en el peor de los casos un Director de Sistemas podría pedir que se retrase la solución para dedicar a su gente a resolver otros problemas que considera más urgentes.

Si bien este tipo de conflictos se llegan a presentar, de acuerdo a mi experiencia son menos frecuentes de lo que mucha gente piensa (en la actualidad, la mayoría de los Directores de Sistemas y el personal de esta área se han sensibilizado ante los problemas de seguridad informática) y el beneficio en términos de tiempos de respuesta y menor roce con el área de Seguridad bien valen la pena. Pero ésta es sólo mi opinión.

Fuente: http://candadodigital.blogspot.com/2007/10/la-funcin-de-seguridad-informtica-en-la.html

Posted: 18th October 2007 by Secure Gossip in Uncategorized
0

MATERIAL ENTERPRISE SECURITY & RISK II
Gracias a Ruben Dario Aybar, tengo el agrado de contarles que se han agregado los módulos que faltaban de este curso de seguridad.

Ruben, de forma totalmente desinteresada, ha preparado en formato PDF y exclusivamente para “nuestro blog”, los módulos 4, 5, 6 y 7 de ESR II.

Nótese que digo “nuestro blog”, no porque exista alguna “sociedad” en cuanto a su mantenimiento, sino porque desde su nacimiento fue pensado con la intensión de poder brindar información educacional de interés que sirva para aumentar los conocimientos en todo lo referido a este apasionante mundo constituido por la Seguridad en el campo Informático, y que cualquier persona pueda acceder al contenido. Por lo tanto este blog pertenece a todas las personas que día a día colaboran para hacer realidad su crecimiento, lo cual me llena de alegría.

Espero puedan disfrutar de la utilidad que representa este excelente material.

¡Muchas gracias Luther!

Jorge

Posted: 11th October 2007 by Secure Gossip in Uncategorized
0

CUANDO QUEDAN RASTROS DEL MALWARE

Si bien es cierto que un usuario final, al adquirir una solución antivirus, siempre busca lo mejor debido a sus características en cuanto a la detección de códigos maliciosos, además de otro tipo de factores que involucran la performance de nuestra computadora, la realidad es que en algunas oportunidades nuestro antivirus puede no eliminar ciertas amenazas.

Y esto de ninguna manera significa que la solución elegida es poco efectiva o que hemos optado erróneamente. Debe notarse que he remarcado las palabras detección y eliminar ya que muchas veces se piensa, erróneamente, que son sinónimos. Que se detecte una amenaza no significa que se elimine la misma luego de una infección. Se debe recordar que el objetivo de un antivirus es detectar una amenaza para prevenir la infección, y sus capacidades de limpieza pueden ser otras ventajas incorporadas.

En este punto, y si bien no viene al caso vale la pena mencionarlo, detrás de cada herramienta antivirus se encuentran muchísimas personas trabajando para ofrecer siempre la mejor respuesta de detección y eliminación dependiendo el caso que se trate.

¿Qué quiero decir con esto? Nada raro, tampoco vender algo. Simplemente contar que ningún software de seguridad es 100% seguro, sí se puede alcanzar un nivel muy alto de detección dependiendo de las técnicas que utilice el AV.

Aclarado ese punto, el tema es que al eliminar un código malicioso, se puede dar el caso de que queden “secuelas” del paso del malware por nuestra PC, que en la mayoría de los casos tienen que ver con claves de registro y archivos que ha creado el malware, y que el producto no ha eliminado completamente.

Lo importante en este caso es que el malware deje de reproducirse y de ejecutarse en el sistema. Una buena solución sería explorar manualmente el registro del sistema en busca de las “restos” que pudieran haber quedado.

El malware actual suele agregar y/o modificar algunas de las siguientes claves de registro:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
  • HKLM\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg

Los creadores de malware no buscan dejar referencias del código maliciosos en estas claves del registro por que sí, lo hacen por que estas claves en particular son las que permiten que los programas que en encuentran referidos en ella se ejecuten.

Es decir, toda referencia a archivos ejecutables que se encuentren en la clave “Run” del registro, implica que se levantarán como procesos en cada inicio del sistema operativo, lo que asegura, en el caso de los códigos maliciosos, que el proceso dañino se activará al arrancar la computadora. En la siguiente imagen podemos ver una clave maliciosa creada por un malware:

Clave maliciosa creada por un malware

Nota importante: que un programa figure en esa lista no significa que sea malicioso ya que los procesos legales del sistema también utilizan esta técnica. Lo dificil suele ser identificar qué es qué.

Pero más allá de las explicaciones que se pueden dar, es importante que recuerden que la principal barrera contra los códigos maliciosos somos nosotros mismos y la prevención (o detección como se mencionó al comienzo). Además, con un antivirus con detección proactiva como ESET NOD32 estableceremos una suerte de “antivirus humano” dentro de nuestro sistema.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Older Entries
Newer Entries