lunes, 27 de septiembre de 2010

A mi nadie me quiere atacar

Hola mi gente elegante del blog,


Antes de entrar en materia, quisiera hacer unos avisos parroquiales: En alguna entrada anterior, escribí "los antivirus (o sea los programas que se encargan de ponerte lenta la máquina vendiendote una sensación de seguridad) utilizan métodos heurísticos para reconocer los programas malintencionados", ciertos colegas míos, me hicieron notar de manera muy amable y noble, la falacia que afirmé, porque ellos - grandes estudiosos de la Seguridad de la Información del semestre pasado - conocen un antivirus que no hace eso (lo de la heurística), entonces y para no herir susceptibilidades... "ALGUNOS antivirus (o sea los programas que se encargan de ponerte lenta la máquina vendiendote una sensación de seguridad  te cuidan el PC) utilizan métodos heurísticos para reconocer los programas malintencionados" ... No siendo más:


En el mundo de las empresas existen cierto tipo que han sido desde tiempos inmemoriables blanco de ataques (como los bancos! qué fácil y divertido sería hacerse con toda esa plata) o empresas que venden por internet (Oh! eBay como quisiera timarte), este tipo de empresas (bancarias y de e-commerce, entre otras) gastan mucho tiempo y recursos asegurandose de que el Mal no los afecte, hasta ahí nada raro, en el otro extremo, podemos poner a las pequeñas empresas, empresas que en la big picture parece que no hicieran la diferencia o que por su naturaleza alejada de las TI, son lejanas a ser blancos de ataque (digamos una empresa que vende hilo Carmencita).


¿Lejanas de ser blancos de ataque? ¡ERROR! no importa que haga la empresa! mientras tenga un cable que lo conecte a internet en un mísero computador que la dueña hexagenaria usa para leer el correo y guardar pedidos de hilo Carmencita, hay problemas.


¿Cómo cuales? - ¡Qué bueno que preguntes! 


Servidor de correo: Si tienes activa la opción de "enviar correo a terceros" sin autorización...será cuestión de minutos que riegues el Spam por todos tus contactos...y créeme que no hace gracia cuando tus clientes te pongan en la lista de spammer.


Abuso de tu servidor: Alojar en el único computador de la empresa, una página que sea la copia exacta de Bancolombia...ahí verás qué poca gracia le hace al banco que tu hagas eso.


Abuso de equipos: Si tienes uno o más equipos sin seguridad, alguien podría programarlos para hacer un super computador que se dedique a romper contraseñas por fuerza bruta. Poca gracia para el pobre infeliz al que le descubrieron la contraseña.


Abuso de alojamiento: En un equipo sin seguridad y conectado a internet, suben pelis, videos, música, programas y todas las cosas que le molestan a la DIAN (en Colombia) o a las SGAE (en España)...nula gracia si te caen a la casa para llevarte a la guandoca.


Puente para cometer ilícitos: Un clásico! el malandro usa la dirección IP de la empresa para ocultar la propia.


Esto es, entre otras, las cosas que le pueden pasar a las empresas que "nadie quiere atacar".

miércoles, 22 de septiembre de 2010

Seguridad = Gestionar riesgos + Minimizar impactos

Hola a todos

Como hemos aprendido durante el desarrollo del Blog, uno de los principales factores que la ISO 27001 trata de alivianar es la gestión de riesgos. Ya que Riesgo=(Impacto)x(Vulnerabilidad frente a una amenaza).

Un análisis basado en los riegos nos da una idea de como ajustar los recursos económicos de la empresa para lograr un protección efectiva. Para lograrlo es necesario agrupas los problemas de seguridad en varios tipos:
  • Riesgos ocasionados por activos de alto impacto y alta vulnerabilidad: acciones inmediatas.
  • Riesgos ocasionados por activos de bajo valor y alta vulnerabilidad: acciones inmediatas o planificadas.
  • Riesgo ocasionados por activos de alto impacto y baja vulnerabilidad: acciones inmediatas o planificadas.
  • Riesgos ocasionados por activos de bajo valor y baja vulnerabilidad: deben esperar a tener solventados cualquiera de los tres tipos de riesgos anteriores.
Por ejemplo, supongamos que somos los dueños de un muy modernos DATA CENTER, con lo último en tecnología, los servidores mas potentes, la mejor disponibilidad de red y el edificio mas seguro de todos. A simple vista poseemos una infraestructura muy robusta y auto-sostenible. Sin embargo, no poseemos un plan de contingencia ante una situación de desastres natural....?


Imagen Tomada de: http://www.carlonetech.com/w

Si llegase suceder un desastre natural como un terremoto o un incendio, nada en nuestra infraestructura serviría para contrarrestar el riesgo. Simplemente falláramos ante esta situación. Pero, cómo podemos evitarlo? Un plan de contingencia es una medida que aplica la estrategia de recuperación o restauración. Esto quiere decir que no es ni de carácter disuasorio (intenta alejar a la amenaza o al atacante), ni de carácter preventivo (intenta evitar la vulnerabilidad).
La naturaleza de este tipo de medidas tienen su utilidad una vez que ya el incidente se ha producido y su principal objetivo es reducir el impacto.

Un posible plan de contingencia para prevenir este tipo de situaciones, puede ser tener un contrato de outsourcing con una empresa extrajera, con su infraestructura ubicada en otro país, con la cual hacemos un procesos de Backup periódicamente. Simplemente tendríamos a disposición una copia de los datos que se perdieron en el desastre.


Sin duda un medida segura que nos previene de muchas pérdidas. Hallamos un articulo muy interesante donde hablan de como crear un plan estratégico para la continuidad del negocio, de aquí destacamos las siguientes reglas para la creación de un plan estratégico:

  1. Identifica tus activos y establece cuales son tus "activos críticos.
  2. Protege tus datos mediante backups y trabaja para reducir los tiempos de acceso a ellos cuando te vayan a hacer falta (Optimiza tu RTO)
  3. Revisa las medidas para garantizar el suministro eléctrico y las condiciones medioambientales.
  4. Forma y entrena a tu personal para estar preparados a responder en situaciones de desastre.
  5. Documenta, prueba y actualiza los planes de continuidad de negocio.
  6. Considera medios alternativos de garantizar tus telecomunicaciones.
  7. Asegúrate que tus proveedores estarán a la altura de tus necesidades cuando tengas problemas.

lunes, 13 de septiembre de 2010

Acerca de la Certificación

Hola mi gente seguidora,

Supongamos que ustedes son CIO de una empresa y ya se dieron cuenta de que certificarse es un camino lleno de ventajas y alegrías y se preguntan "¿qué más tengo que saber?"

Deben tener en cuenta 4 cosas: Proyecto, Tecnología, Procesos y Personas.

Como proyecto se deben definir Alcance, Tiempo y Costo, inicialmente, en una empresa sin ninguna política de seguridad, el tiempo mínimo sería unos dos años, extendiéndose conforme se abarquen más áreas.

En tecnología, la empresa muy seguramente deberá invertir en hardware y es que si el hardware y el software estuvieran alineados, la certificación resultaría trivial.

Procesos, toca preguntarse ¿qué procesos de negocio se verán afectados con el cambio?. La idea es que en su fase inicial, el proyecto conste de alcances cortos y controlados, para que al afectar procesos claves de negocio, el asunto no se desplome por la falta de organización.

Personas, tenemos que estar conscientes de que la falta de capacitación de nuestro talento humano es un riesgo que no podemos permitirnos y definitivamente nos cerrará las puertas a la certificación.

En muchas páginas se pueden encontrar otras guías acerca del proceso, muchas afirman que se debe tener un agente externo que ayude a orientar los esfuerzos, por lo general un agente externo puede ver cosas que no son evidentes para los que viven en el problema...y aunque yo no tengo muchos conocimientos, parece que tiene sentido ¿no?.

domingo, 5 de septiembre de 2010

ISO 27001 en Colombia

Hola  a todos.

Como ya lo hemos visto en post anteriores, la ISO27001 es básicamente un conjunto de reglas y estándares que se rigen para la normalización de todo lo que tiene que ver con seguridad informática y de la información. Pero, cómo funciona la ISO 27001  en Colombia?

Actualmente en Colombia se rige el decreto 1931 de 2006, donde se estipula que:
Para garantizar la idoneidad del servicio al que se refiere el presente numeral, los Operadores de Información deberán certificar el cumplimiento de la norma ISO 27001, a más tardar en un año a partir de la entrada en vigencia del presente decreto. 
Es decir, el gobierno exige el cumplimiento obligatorio de la ISO 27001 en el sector privado del estado.    Su incumplimiento asegura una salida inmediata del mercado,  por lo cual surge la duda, Donde podré certificarme ISO 27701 en Colombia?



La empresa encargada de regular las certificaciones en Colombia es ICONTEC (Como lo habíamos mencionado anteriormente),  dicha certificación tiene un costo aproximado de $ 1.050.000 (Pesos Colombianos). Los cuales sin duda alguna valen mucho la pena, ya que no solo obtendrás tu certificación ISO 27001, sin también garantizar a tu empresa la gestión correcta de la información....


Así que, haz las cuentas, es mejor invertir un poco en una certificación o perder millones en información??

miércoles, 1 de septiembre de 2010