C

M

Y

CM

MY

CY

CMY

K

Portada_012.pdf 1 5/30/13 9:48 AM

SEGUR IDADPERIMETRALADMINISTRADA

SPA

Proteja el activomás importantede su empresa:

SU INFORMACIÓN

Es un servicio administrado por especialistas certificados en seguridad, que le brinda la mejor protección a su información.

Servicio que le ofrece:

·Consulta de indicadores de su seguridad y su servicio vía nuestro portal SPA.·Monitoreo y gestión 7x24 desde nuestro SOC (centro de operaciones de seguridad).·Implementación de un UTM con las funciones de firewall, IPS, filtrado de contenido, VPN.

Para mayor información,favor de contactar

a su ejecutivo de cuentao llame al 01 800 835 6391

C

M

Y

CM

MY

CY

CMY

K

SPA_AD_MGZCTM_ene-mar_2013.pdf 1 5/30/13 4:47 PM

3Abril - Junio 2013

contenido

» opinión

» editorial

6 El mundo de las bitácoras (parte 2: herramientas)

10 Infraestructura como servicio y los nuevos retos de seguridad

16 Vulnerabilidades, amenazas y riesgo en “texto claro"

24 Maximizar la creación de valor de TI al ritmo del negocio

28 Origen y evolución del concepto de “Gobierno Corporativo de TI”

32 Metamétricas de seguridad

14 ¿Y si lo hacemos diferente?

4 EditorialHéctor Acevedo Juárez

Omar Alcalá Ruiz

Alejandro Quintanar Helgueros

Patricia Prandini y Marcela Pallero

Franco Rigante

Alberto Arroyo

Elia Fernández Torres

Julio Ángel Ayala Nuñez

» conexiones

» misión: crítica

37

14

6

4Dirección GeneralUlises Castillo Hernández

Editor en JefeHéctor Acevedo Juárez

EditoresDavid Gutiérrez Jiménez

Consejo EditorialUlises Castillo Hernández

Priscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres

ColaboradoresOmar Alcalá RuizAlberto Arroyo

Julio Ángel Ayala NuñezElia Fernández Torres

Fabiola Moyón ConstanteMarcela PalleroPatricia Prandini

Alejandro Quintanar HelguerosFranco Rigante

Carlos Villamizar Rodríguez

Marketing y ProducciónKarla Trejo Cerrillo

Correctora de EstiloAdriana Gómez López

DiseñoSilverio Ortega Reyes

Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 4, número 2, 2013 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF 06500. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma México DF. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de Photos.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.

Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx

12AÑO 4, NÚMERO 2, 2013

37 Conexiones Auditoría de seguridad de la información… ¿Por dónde empezar?

Fabiola Moyón Constante

» historias de éxito20 20 Implementando seguridad de la información

en sistemas de control industrialCarlos Villamizar Rodríguez

4

editorial

CISSP, CISA, CGEIT, ITIL y MCSEhacevedoj@scitum.com.mx

Una visión hispanoamericana Héctor Acevedo Juárez

En el número anterior tuve el gusto de informarles sobre la incorporación de nuevos colaboradores de otros países, siendo Miguel García Menéndez, de España, el primero de ellos.

En la segunda edición de 2013 nos congratulamos por contar con textos de Patricia Prandini (Argentina), Marcela Pallero (Argentina), Carlos Villamizar (Colombia), Fabiola Moyón (Ecuador), Franco Rigante (Argentina), Alejandro Quintanar (México, vía Ecuador), Alberto Arroyo (España), Elia Fernández (México, vía Alemania), Omar Alcalá (México) y Angel Ayala (México). Mucho agradezco a todos ellos por permitirnos publicar sus artículos, que sin duda, resultarán interesantes para los

seguidores de la revista al cubrir una gama amplia de temas relacionados con la seguridad informática:

· Administración de bitácoras.· Definición de controles de seguridad.

· Metamétricas de seguridad.· Administración de vulnerabilidades.

· Respuesta a incidentes de seguridad.· Seguridad en sistemas SCADA (supervisory control and data acquisition).

· Auditoría de seguridad.· Seguridad en la nube.· Gobernanza de TI.

Estimado lector, lo invito a dar un paseo por esta visión hispanoamericana que construiremos a partir de ahora. No dude en hacernos llegar sus dudas, observaciones y sugerencias pues la “ecuación” llamada Magazcitum requiere de dos variables imprescindibles para funcionar adecuadamente: las personas que escriben y las que se interesan en leernos.

Muchas gracias a todos por ser parte de la revista.

Héctor Acevedo Juárez

www.magazcitum.com.mx

Alemania

Argentina

Colombia

Ecuador

España

6

opinión

CISSP, ISO-27001 y CCNAoalcala@scitum.com.mx

Omar Alcalá Ruiz

En esta segunda parte, revisaré cómo la industria ha optado por varios tipos de manejo de información, de acuerdo con las necesidades de cada proceso. Posteriormente comentaré sobre algunas

características a tomar en cuenta para elegir lo que mejor convenga y con las consideraciones de dimensionamiento que cumplan con los intereses de la organización. Por favor noten que

estaré usando los términos más comunes pues, como ya dije antes, aún no hay estándares formales.SIM, SEM y SIEM

Guardar bitácoras no es suficiente si no les damos un significado. Sería el equivalente de las personas compulsivas que guardan cualquier recorte, imagen, nota o artículo de revista y nunca le dan un uso. Sin una finalidad, las bitácoras solo consumirán espacio de almacenamiento y se volverán un gasto.

Desde hace mucho tiempo hemos escuchado los términos de log management (administración de bitácoras), correlacionadores de bitácoras de seguridad y, últimamente, las siglas SIM, SEM y SIEM:

» SIM (security information management): herramienta orientada a colectar bitácoras sin alguna inteligencia sobre su significado. Debido a su enfoque, un SIM está optimizado para captar grandes volúmenes de información y almacenarlas con una gran compresión para disminuir el espacio usado.

» SEM (security event management): diseñado para la colección selectiva de bitácoras, usualmente enfocada a cierto significado de las mismas y descartando aquellas que no cumplen con las reglas del negocio, desde el punto de vista de seguridad. El enfoque, ya que está orientado a reglas de significado e interpretación, se ocupa del procesamiento y lectura “al vuelo” de las bitácoras. Estos equipos requieren gran capacidad de procesamiento y suelen involucrar un trabajo arduo y continuo para interpretar las reglas de negocio.

» SIEM (security information and event management): es un híbrido de elementos SIM y SEM. Suele tratarse de soluciones que se implementan de manera distribuida para orientar los esfuerzos de los equipos que conforman la solución de acuerdo con el rol en la arquitectura que manejan.

Así pues, en resumen se dice que SIM equivale a guardar la información y SEM a interpretar eventos o, dicho de otra manera, SIM equivale a administración de bitácoras y SEM a correlación de eventos, entendido como la aplicación de inteligencia para obtener un producto del análisis de las bitácoras.

Es prioritario entender estas diferencias porque a la hora de procesar la información, los resultados que esperemos podrán variar de una manera sutil pero relevante, y de ello dependerá que podamos dar información de valor y se considere a la herramienta una inversión o bien, en un caso contrario, que no se exploten estas herramientas en función de las necesidades de la organización y todas ellas se consideren un gasto.

El mundo de las bitácoras(parte 2: herramientas)

7Abril - Junio 2013

¿Qué herramienta debo elegir?

Como he comentado en líneas anteriores, la definición debe estructurarse con base en cuáles necesidades se quieren cubrir. La siguiente tabla pretende apoyar a visualizar algunas de las funcionalidades más importantes que es factible cubrir con cada elemento. Consideremos que un SIEM tendrá ambas capacidades, sin embargo no hay que perder de vista el costo asociado a cada solución.

Funcionalidad SIM SEMAlmacenado histórico de información de todas las bitácoras X ** Puede hacerlo, pero los

recursos serían muy costosos

Extracción de información cruda de todos los eventos X

Extracción masiva de información X

Generación de alertas específicas a un evento X X

Generación de alertas específicas a un conjunto de eventos

** Puede hacerlo, pero suele contar con

limitacionesX

Generación de alertas en función de otras alertas ** Muy limitado X

Generación de reglas de correlación X

Almacenamiento de bitácoras CrudoNormalizados* (pueden guardar datos crudos, pero los recursos

serían costosos)

ReportesSí, orientados a

estadísticos e históricos de información sin

procesar

Sí, orientados a reglas del negocio

RendimientoOrientado a la extracción y almacenamiento masivo

de información

Orientado a la comparación continua de información para

generación de alertas complejas

ComplejidadBaja, media si hay que integrar dispositivos no

nativos

Alta, en función de la cantidad de dispositivos no nativos, aplicaciones y las reglas a

configurar para correlación y alertas

Integración de cualquier fuente de eventos Depende el fabricante

La intención con la tabla anterior es proveer una guía mínima que puede ayudar al decidir qué herramienta se debe adquirir. Mi intención no es hablar de un fabricante en particular, ya que muchos de ellos tienen soluciones que fungen como SIM o SEM y los consolidan en un SIEM. Es posible, sin embargo, tener un fabricante A que provea SIM y un fabricante B que se enfoque en SEM, o bien un SIEM que se realimente. Se puede generar un flujo como el presentado en la siguiente gráfica:

Nótese que los elementos muy importantes para decidir son la cantidad de bitácoras y el tiempo que se retendrán. Por ello las empresas deben definir qué información se requiere y por cuánto tiempo, ya que de esta manera se enfocarán apropiadamente los recursos económicos, de personal y de almacenamiento.

Fuentes SIM SEM

SIEM

Envían todaslas bitácoras

Envían bitácorasfiltradas

Almacena bitácorascorrelacionadas

8

La piedra de Roseta

Una característica vital a la hora de elegir una herramienta es su capacidad de integrar diversas fuentes de eventos. Esta es una de las ligas más importantes con la primera parte del artículo, específicamente en lo que llamé “La Torre de Babel”. Al existir diferentes tipos de bitácoras con diferentes tipos de mensajes y diferentes formatos de colección, no hay un solo fabricante que tenga una conexión de tipo nativa (desarrollada por el fabricante) para todos los sistemas del mercado. Además recordemos que incluso es factible implementar aplicaciones hechas en casa, lo cual puede llevar a un escenario con bitácoras en múltiples formatos. Afortunadamente, las tecnologías comunes en el mercado suelen contar ya con los conectores nativos generados por los propios fabricantes de los SIEM.

Para ello, los diseñadores de herramientas SIEM (incluso los de tipo open source) tienen una funcionalidad particular que permite integrar fuentes “no nativas” (sin soporte directo del fabricante) a los sistemas. El reto es traducir las diferentes bitácoras a un lenguaje que el SIEM entienda, y el concepto aplica para la gestión de bitácoras o correlación por igual. El desarrollo de una conexión (llamada colector o conector, dependiendo del fabricante) a un sistema no nativo puede involucrar desarrollo, parsing (interpretación de campos) y selección de eventos de acuerdo con las necesidades de generación de alertas.

Especialmente para correlación, la “piedra de Roseta” involucra inteligencia en el parsing, lo cual es una tarea que tiene una demora variable en función de la complejidad de la interpretación de la bitácora, de las alertas y de los reportes que queremos se generen a partir de esta. Es aquí donde la herramienta cobra el carácter de consumidora de servicios consultivos que muchos fabricantes o proveedores de servicio ofrecen y que supone un costo oculto a considerar.

Como se puede apreciar, la integración de cualquier fuente de eventos es un factor preponderante a tomar en cuenta, por lo que debe saberse previo a la selección de una herramienta, cuáles tecnologías habrá que integrar para colección de bitácoras o correlación, y en función de eso seleccionar los servicios y la herramienta que mejor se ajuste a dichas necesidades.

Consideraciones técnicas para un SIM/SEM/SIEM

Para finalizar esta entrega, me interesa también mencionar las características de hardware que usualmente se ven involucradas en las herramientas y cómo una pobre selección del hardware se convertirá en serios dolores de cabeza:

» Fuentes de eventos: se debe listar cada tipo de fuente que enviará bitácoras al sistema SIEM para determinar los eventos por segundo (EPS) que deberán manejarse, y con ello tener información para definir si se requiere un equipo único o una arquitectura distribuida (por lo general se recomienda implementar los sistemas SIEM en equipo distribuido).

» Espacio en disco duro: hay que considerar los tipos de bitácoras a recolectar. Algunas de las consideraciones más importantes al determinar el espacio en disco son:· Para altas tasas de almacenamiento hay que tomar en cuenta los arreglos de discos (sistemas NAS, SAN o

DAS), de acuerdo con el tiempo de vida de las bitácoras y cuántos EPS se esperan.

· Revisar los esquemas de compresión de los fabricantes, así como considerar que los eventos a correlacionar suelen no comprimirse porque se requieren para otras actividades.

· Hay que evaluar también los tipos de RAID a usar y los tipos de discos duros. Las tasas de entrada/salida (I/O) son relevantes para generar reportes y búsquedas ágilmente.

» Memoria RAM: es un elemento vital para la generación de reportes, ejecución de reglas de correlación y búsquedas en línea. Los sistemas híbridos SIEM suelen tener sus “cerebros de correlación” en la memoria RAM, ya que usualmente es ahí donde se procesan las reglas configuradas.

» Procesador: especialmente relevante para los sistemas de búsqueda, reportes y motores de correlación. Los manejos en sistemas de archivos o bases de datos, dependiendo la solución SIEM, dependen de la velocidad, cache y otras características de los procesadores.

» Arquitectura de red: las bitácoras suelen consumir ancho de banda en función de la forma en la que se envían a los sistemas SIEM. Por lo general los conectores proveen algún tipo de compresión para apoyar un mejor manejo de las mismas, pero desplegar conectores en todas las localidades puede terminar siendo más caro que otras opciones. La arquitectura de red debe evaluarse para determinar si tiene la capacidad de obtener las bitácoras de la mejor manera sin impactar otras comunicaciones. El ancho de banda entre localidades también debe medirse y considerarse.

» Alta disponibilidad: debido a sus características de operación, no es posible contar con alta disponibilidad en los elementos que colectan bitácoras. En motores de correlación, sistemas de archivos, arreglos de disco y bases de datos sí pueden existir estos elementos.

9Abril - Junio 2013

Conclusiones

Administrar las bitácoras es sumamente complejo, ya que requiere un completo entendimiento de cuál es el objetivo de la organización para, en función de ello, traducir las diferentes bitácoras en indicadores que permitan la toma de decisiones. Si bien el enfoque dado en este artículo va orientado a seguridad (correlación), el concepto aplica a otros elementos como inteligencia de negocios, sistemas antifraude o tableros de control.

Implementar estos sistemas implica involucrar varias y distintas áreas como son telecomunicaciones, desarrollo, gestión de sistemas y administración de bases de datos, por mencionar algunas de las más recurrentes.

Es responsabilidad del consultor orquestar las juntas y ser claro en lo que se requiere para que la implementación, y posteriores integraciones de fuentes, resulten exitosas, pero es responsabilidad de la organización definir el enfoque y alcance de la solución buscada para, a partir de ello, definir las reglas de negocio y realizar las integraciones necesarias. Los especialistas en cada tecnología deben apoyar a validar que la información generada en el sistema SIEM sea la esperada.

Puede sonar desalentador el volumen y complejidad de trabajo que hay que hacer, pero no hay un solo humano en la Tierra que sea capaz de procesar tanta información como la que generan los sistemas hoy en día. Es fácil perder el rastro, por ello nacieron estas herramientas: para facilitarnos un poco la vida, pero para echarlas a andar es necesario trabajar y dedicarles tiempo, recordando que estas herramientas pueden ser muy útiles para resolver un problema o encontrar pistas que permitan solucionar algún incidente de seguridad.

Espero que este artículo les permita disipar algunas dudas y los aliente a tomar en cuenta las bitácoras, así como tener elementos base para definir la tecnología que mejor les convenga.

10

Sabotaje, desastres naturales, continuidad de operaciones, aseguramiento de la información y

crecimiento de la organización son algunos de los aspectos principales que se consideran al diseñar

las instalaciones físicas que permitirán la operación informática.

opinión México vía Ecuador

Infraestructura como servicio y los nuevos

retos de seguridadalejandro@quihel.net

Alejandro Quintanar Helgueros

La infraestructura como servicio o IaaS, por sus siglas en inglés, es el modelo de provisión de recursos informáticos como servidores, almacenamiento, firewalls, y redes, entre otros, como un servicio.

IaaS como el modelo más simple de computación en la nube ayuda a las organizaciones a la reducción de costos invirtiendo solo en lo necesario para sus operaciones. Por otra parte, el crecimiento y modernización pueden llevarse a cabo gradualmente, con base en las necesidades de negocio.

“Amazon Web Services” (AWS) con centros de datos en Brasil, Asia y Norteamérica así como “Cloud Carib” con centros de datos en Latinoamérica y El Caribe son solo algunas de las innumerables opciones que existen para elegir proveedores de infraestructura como servicio.

Al iniciar el diseño de una solución con base en IaaS, debemos considerar el nuevo ambiente al que se encuentra expuesta nuestra información y debemos planificar el uso de las diferentes herramientas que auxiliarán en la administración de la seguridad.

Ambiente

El primer cambio de paradigma es el concepto de servidor. Los proveedores de IaaS llaman instancia a un objeto con recursos informáticos flexibles equivalente a los servidores físicos de los centros de datos corporativos. Por lo tanto nuestras instancias, al ser objetos virtuales, compartirán recursos reales con instancias de otros clientes.

11Abril - Junio 2013

Para la administración de las instancias y de los recursos, los proveedores de IaaS brindan acceso a una consola de administración.

Otro concepto importante son las IP elásticas. Estas son IP públicas pero no asociadas a un equipo sino a un recurso administrable que posee propiedades que posibilitan relacionarlo con diferentes instancias.

Firewalls

Las instancias deben ser aseguradas individualmente, por lo tanto la herramienta principal son los firewalls, y como puntos importantes a considerar en las reglas de estos se tienen las siguientes:

» Simplicidad. Cada firewall debe abarcar un número reducido de reglas para una rápida administración, documentación y comprensión.

» Precaución en apertura de puertos al segmento 0.0.0.0/0. Lo peligroso de esto es que esta regla se superpone a cualquier otra regla o segmento en las políticas. Este es un error común encontrado por AWS.

» No todas las redes 10.x son necesariamente privadas, a una instancia se le asigna una IP pública y una IP privada, pero debemos considerar que las IP privadas pertenecen en realidad a un ambiente semipúblico donde otros clientes poseen sus infraestructuras.

Estas recomendaciones para las reglas de firewall deben agregarse a las buenas prácticas ya utilizadas en sus centros de datos corporativos.

Respaldos

Los proveedores utilizan matrices de almacenamiento de datos del tipo elástico por bloques, EBS (Elastic Block Storage) por sus siglas en inglés, lo que permite a los volúmenes virtuales de almacenamiento ser independientes de las instancias. Con el sistema de EBS se cuenta con suficiente redundancia para minimizar las posibilidades de pérdida de información, pero aun así es recomendable poseer una copia reciente y consistente de la información. Por lo tanto es necesario continuar la práctica de respaldos en medios propios.

Continuidad

La continuidad de negocio es un problema crítico en ambientes de trabajo basados en IaaS. Uno de los métodos más efectivos de respaldo es la creación de instantáneas de los volúmenes de almacenamiento, pues así es factible una reanudación de operaciones rápida después de algún desastre. Como las instancias son independientes de los medios de almacenamiento, se puede realizar un cambio rápido entre estos.

Gestor de identidad de acceso

El gestor de identidad de acceso (Identity and Access Management o IAM), es una herramienta proporcionada por los proveedores de IaaS que brinda el control sobre quién y qué puede hacerse sobre los recursos de la infraestructura. Esta consola se basa en cuatro entes para su control: usuarios, grupos, permisos y roles. Con base en ello, el IAM genera llaves para que los usuarios a quienes implícitamente se les ha otorgado permiso realicen ciertas actividades; delegando actividades como conexión a instancias, control de recursos y acceso al mismo gestor.

En la revisión de las mejores prácticas del IAM se destaca una muy importante: reducir o remover el uso del root, por lo que se recomienda la no utilización de las llaves del root.

12

Nube privada virtual

La nube privada virtual (Virtual Private Cloud o VPC), brinda la posibilidad de aprovisionar una sección aislada de la infraestructura donde se pueden controlar recursos en una red virtual. Permite el control completo sobre el entorno de red virtual, incluyendo la selección de su gama propia dirección IP, la creación de subredes y configuración de tablas de rutas y puertas de enlace de la red. El VPC basa su control en la creación de grupos de seguridad.

Con estas herramientas es factible enfrentar algunos de los nuevos retos de seguridad que plantea el cómputo en la nube basado en IaaS. Reuniendo la experiencia del trabajo en centro de datos corporativos junto a una buena preparación y entendimiento de los recursos ofrecidos por los proveedores de IaaS, podremos dar seguridad con la adopción de esta modalidad de infraestructura para nuestra organización.

Los empleados de confianza cometen más infracciones de cumplimiento que cualquier otra persona. Gobiernos y grupos sectoriales han respondido promulgando reglamentos de gestión del fraude diseñados para proteger los intereses públicos y de los accionistas. Pero su negocio genera enormes volúmenes de tráfico de red cada día. Realizar el seguimiento de toda la actividad de los usuarios y cribarlo a continuación en busca de abusos, uso indebido y errores puede percibirse como una tarea imposible.

Afortunadamente, existe una tecnología para ayudarle a superar estos retos. Se llama software de gestión del fraude empresarial Luminet® de Attachmate®. Y se ha desarrollado para ayudarle a generar los datos que necesita para simplificar el proceso de auditoría, demostrar el cumplimiento legal, y gestionar el riesgo empresarial.

¿Quién hizo qué, cuándo… y por qué?La supervisión continua es la clave para saber exactamente quién hizo qué, y cuándo, y a continuación poder poner esa información en contexto. Luminet de Attachmate puede ayudarle a hacerlo en tres pasos:

Paso 1: Capturar los datos Luminet captura y registra toda la actividad de los usuarios en todas las aplicaciones de la empresa en tiempo real: pantalla a pantalla y tecla a tecla, lo que crea una pista de auditoría precisa y completa directamente desde la red. Esta pista de auditoría incluye acciones de actualización y de solo lectura de usuarios normales y con privilegios. Esta información, que se almacena en un repositorio seguro, firmado digitalmente, puede reproducirse para mostrar pantallas, tecleos, y actividades que apoyen su auditoría.

Paso 2: Analizar los datos El potente motor analítico de Luminet efectúa el seguimiento del comportamiento de los usuarios en tiempo real, detectando patrones entre canales y revelando visualmente actividades y relaciones. Por ejemplo, ¿muestra un administrativo financiero un patrón inusual de pagos con un proveedor en particular? ¿Está leyendo un empleado los datos de los registros sanitarios de una persona VIP con una frecuencia significativamente superior a la de otro empleado con la misma función? De este modo,

pueden señalarse acciones sospechosas, basándose en reglas empresariales y puntuaciones ponderadas definidas, y generar alertas en tiempo real. Estas alertas pueden utilizarse para demostrar los controles establecidos y señalar un comportamiento de riesgo.

Paso 3: Generar informes personalizados Los auditores esperan información precisa y detallada sobre cómo acceden los miles de personas de su empresa a información sensible sobre cientos de aplicaciones cada día. También esperan ver esta información presentada en un formato que esté alineado con sus exclusivos requisitos reglamentarios. Con Luminet, puede acceder fácilmente y en todo momento a información específica para auditoría, y ajustar los informes para que cumplan las expectativas de los auditores. No hay necesidad de extraer manualmente más datos, o datos diferentes, de archivos de conexión ni, lo que es peor, obligar a los auditores a que hagan conjeturas sobre qué ocurrió cuando los archivos de conexión son insuficientes.

Con estos tres pasos, Luminet ofrece la inteligencia que usted necesita para emprender acciones informadas para auditoría, cumplimiento legal, y propósitos generales de gestión de riesgos.N

3 pasos para simplificar auditorías, demostrar cumplimiento legal y gestionar el riesgo empresarial

Y si pudiera…

rápidamente datos de múltiples sistemas y múltiples departamentos para crear una pista completa de auditoría?

consultas de datos históricos, y analizar patrones y comportamientos relacionados con la actividad de usuarios para poner pulsaciones de las teclas en contexto?

su nivel de cumplimiento antes de una auditoría externa?

a la actualización de reglamentos cambiando unas cuantas reglas en vez de tener que reasignar resultados de registros a requisitos de cumplimiento?

pruebas claras y con base para una demanda, mucho después de que se produzca la actividad del usuario?

Con Luminet, usted puede: y sin añadir controles ni cambiar una sola línea de código.

attachmate.com.mx | info@attachmate.com

© 2013 Attachmate Corporation. Todos los derechos reservados. Attachmate, el símbolo de Attachmate, y Luminet son marcas comerciales registradas de Attachmate Corporation en Estados Unidos y otros países. El resto de marcas comerciales, nombres comerciales o nombres de empresas a que se hace referencia en el presente documento se emplean solo con fines de identificación y pertenecen a sus respectivos propietarios.

Nota Publicitaria

14

misión:crítica

Todo esto obedece a la preocupación creciente por los ataques cibernéticos y su evolución. Hace poco fuimos testigos del mayor ataque de denegación de servicio de la historia que, si bien estaba dirigido a una organización, afectó a toda la red de Internet, produciendo lentitud en los servicios de una parte de ella.

Al analizar el comportamiento de la industria y las estadísticas, es interesante ver cómo las organizaciones siguen manteniendo el mismo paradigma en la seguridad de la información, invirtiendo en soluciones similares a lo largo del tiempo. De acuerdo con “The Global State of Information Security ® Survey 2013”, solo 29.37% se siente muy segura, mientras que 14.19% no se siente muy segura y 38.7% se siente algo segura al respecto. En lo relativo a incidentes de seguridad sufridos en los últimos 12 meses, la misma encuesta señala que 14.24% no sabe si ha tenido alguno, 41.62% dijo que sufrió entre 1 y 49, 13.3% informó cincuenta o más y 31.01% afirma no haber tenido incidentes.

Lo preocupante de esta encuesta es que 14.24% de las organizaciones no sabe si ha sufrido incidentes de seguridad, y lo que parecería alentador es que 31.02% dice que no ha tenido incidentes.

¿Pero realmente podemos tomar este 31.02% como un dato alentador? Con base en la experiencia podríamos pensar que gran parte de este porcentaje ignora si han atentado contra su seguridad.

¿Por qué hay tanta incertidumbre sobre la seguridad de la información? ¿Será que las organizaciones en verdad no saben qué está sucediendo en el medio ambiente en el que se desenvuelven?

Pasando al origen de los incidentes de seguridad, las organizaciones estiman que los empleados y los exempleados ocupan el primer y segundo lugar, respectivamente, en la lista de las amenazas que originan

los incidentes de seguridad. Pero esto no es nuevo, durante muchos años los empleados han estado a la cabeza y los incidentes por ellos causados son muy visibles por el fuerte impacto que generan, sin embargo no es raro que los directivos desconozcan los efectos que produce el resto de amenazas externas a

la organización ¿Es suficiente lo que se está implementando en las empresas para protegerse? Resulta desalentador pero la respuesta es no.

Con el paso del tiempo, los ataques siguen evolucionando y alcanzando niveles de efectividad y complejidad nunca antes vistos, lo que provoca que los controles existentes no brinden los resultados esperados. La ineficiencia no necesariamente es debida

a los propios controles; por desgracia las iniciativas de seguridad pocas veces son integrales y por lo tanto no consideran una adecuada valoración de los

riesgos en los procesos, su interacción con la organización y sus activos. Y lo que es más grave aún, muchas veces ni siquiera se conoce con certeza cuáles son los activos a proteger y, por ello, se desconocen todas las vulnerabilidades presentes.

El pasado 2 de febrero el diario “The Hill” informó que Barack Obama, presidente de Estados Unidos, emitiría una orden ejecutiva para que las empresas refuercen sus medidas de seguridad en Internet. Dicha orden tiene el objetivo de establecer un programa para que las organizaciones que operan infraestructura crítica pongan en marcha las mejores prácticas y normas establecidas por el gobierno federal. Por otro lado, el director de Inteligencia Nacional de ese país presentó un informe en el que declara que los ciberataques han sustituido al terrorismo como primera amenaza en ese país.

CISSP, GCFA, GCIH, CISA, ISO27001, ITIL, CSE y PMPjayala@scitum.com.mx

Julio Ángel Ayala Nuñez

¿Y si lo hacemos diferente?

15Abril - Junio 2013

misión:crítica

¿Y si lo hacemos diferente?

Entonces, ¿qué podemos hacer para incrementar el nivel de seguridad de las empresas?

En la publicación de 2013 del Top 10 Predictions de IDC Latin America Predictions, la predicción número nueve se refiere a que la función de los CIO deberá transformarse y enfocarse a ser innovadora en relación a encontrar nuevas formas de utilizar la tecnología para responder de manera creativa a las necesidades de las organizaciones y a los retos que representa operar en el medio ambienta actual.

Si la palabra innovación puede utilizarse para definir la generación de nuevas ideas, entonces es momento de hacer las cosas de forma diferente para tratar los riesgos de la seguridad de la información y los ataques a los que las organizaciones están sujetas hoy en día.

Partamos de la premisa de que estamos bajo ataque y desconocemos nuestras vulnerabilidades ¿Tiene caso implementar controles? Sí, ¿pero cómo?

Mi respuesta para las organizaciones es la siguiente: si no se conoce por qué o cómo es el ataque, entonces hay que aprender de los mismos ataques. En lugar de invertir principalmente en controles preventivos que no van a funcionar del todo porque no sabemos cómo nos deberían proteger, invirtamos en controles de detección y en formar grupos de respuesta a incidentes de seguridad.

No estoy proponiendo dejar de invertir en la prevención, lo que sugiero es utilizar los esfuerzos y recursos de mejor manera. Por ejemplo, si se está invirtiendo 10% para monitoreo, 10% para respuesta a incidentes y 80% para controles preventivos, cambiemos y hagamos una distribución de 33% para monitoreo, 33% para respuesta a incidentes y 33% para controles preventivos.

¿Y qué obtendremos con esta redistribución de recursos? Si las organizaciones preparan equipos de respuesta a incidentes de seguridad, con las habilidades y conocimientos para definir cómo responder ante estos eventos, con base en procedimientos y políticas, cada incidente será una oportunidad para identificar las vulnerabilidades y entender en qué condiciones son aprovechadas, por lo tanto, podrán mejorar y aumentar su nivel de seguridad.

De esta forma, comenzaremos a aplicar la seguridad de la información más inteligentemente y contrarrestaremos el impacto de los ciberataques. Disminuyamos los esfuerzos y recursos que dedicamos a prevenir y aumentemos los esfuerzos y recursos para aprender a detectar y responder a incidentes de seguridad.

Recordemos que no se trata de si seremos atacados, se trata de que nos están atacando, ¿estamos listos para responder de una forma inteligente?

16

Vulnerabilidades, amenazasy riesgo en “texto claro"

CISA y CRISC patriciaprandini@yahoo.com marcelai.pallero@gmail.com

opinión

La evolución constante de las nuevas tecnologías suele generar un gran interés para quienes las utilizan como eje de su trabajo, lo

cual los lleva a tratar de conocer y aprovechar cada avance y cada nuevo dispositivo que aparece. Por otro lado, el trabajo diario muchas

veces los obliga a focalizarse en la solución de cuestiones específicas, provocando a menudo la degradación de una visión más amplia de todas las aristas que acompañan las soluciones que es factible implementar.

Patricia Prandini y Marcela Pallero

En el campo de la seguridad de la información esta realidad se refleja también en la necesidad de comprender las fallas que se presentan en el día a día, junto a la presión cotidiana que sienten los profesionales para solucionarlas. Este panorama dificulta la posibilidad de una visión integral de la protección de la información y los sistemas. Muchas veces no se dimensionan ciertos conceptos fundamentales como son los de amenaza, vulnerabilidad y riesgo, los cuales constituyen la base de la gestión de riesgos y de cualquier programa o actividad que se lleve adelante respecto a la protección de la información.

En efecto, cualquiera que sea el tamaño, finalidad, complejidad del negocio o de la plataforma tecnológica, ninguna organización debe desconocer los riesgos que se plantean para cada uno de los procesos que constituyen su actividad y, una vez identificados, no debe dejar de gestionarlos. Si esto último ocurriera, irremediablemente se afectaría su desempeño pudiendo, inclusive, verse obligada a cesar su actividad.

Por consiguiente, y para una efectiva gestión del riesgo, necesariamente deberán conocerse las situaciones que pueden afectar a la organización, es decir de qué debe protegerse, cuál es su información y sus recursos críticos, y si las medidas que ha implementado para preservarlos evitarán o minimizarán cualquier impacto negativo. Al desarrollar su actividad en un escenario cambiante, el profesional se verá obligado a evaluar de modo permanente la situación en la que se encuentra y a asegurarse de que las medidas de protección establecidas siguen siendo efectivas.

En esta línea, el presente artículo se propone rescatar ciertos conceptos básicos, comprender sus implicaciones y plantear las relaciones que existen entre ellos, para lograr una gestión segura de la información.

Vulnerabilidades

Se establece este concepto de vulnerabilidad en primer lugar en virtud de la dimensión que ha cobrado en la actualidad. En efecto, las vulnerabilidades se han vuelto una materia en sí misma, ya que su búsqueda, desarrollo de pruebas de concepto, explotación y publicación de las actualizaciones que las corrigen son parte de un ciclo que involucra múltiples actores interesados, entre los que pueden citarse instituciones académicas, investigadores independientes, empresas especializadas, gobiernos y hasta organizaciones supranacionales.

Una vulnerabilidad es una debilidad de un bien o de un control, que puede ser aprovechada por una amenaza. Se trata de una característica negativa del bien, también conocido como activo o recurso de información, o de un control que se implementó sobre él, que lo hace vulnerable. En efecto esa vulnerabilidad es susceptible de ser aprovechada y varía de acuerdo con los cambios en las condiciones que dieron origen a su existencia o a las acciones que se tomen con el fin de evitar su explotación o aprovechamiento.

De esta definición se desprende que las vulnerabilidades afectan a los bienes de una organización, pero también pueden darse sobre un procedimiento destinado a protegerlo. En cada uno de estos casos, corresponderá analizar las posibilidades de que las vulnerabilidades sean aprovechadas, sus características y su ciclo de vida.

Argentina

17Abril - Junio 2013

Un caso particular lo constituye el software utilizado masivamente, como por ejemplo las aplicaciones Web, los sistemas operativos y la ofimática, para el cual el tema de las vulnerabilidades constituye además una pérdida de confianza en productos y proveedores. Su origen y las causas por las cuales aparecen, su divulgación, los vectores de ataque, sus posibles impactos y su alcance, entre otros factores, vuelven al tema complejo y en continuo avance, resultando motivo tanto de grandes especulaciones como de alarma real en algunos casos.

En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseño, por una codificación deficiente o insegura, por errores en la implementación o por falta de mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementación y mantenimiento de una pieza de software es susceptible de poseer una debilidad que es factible usar para alterar su funcionamiento. Un ejemplo significativo es el protocolo utilizado para el envío de correos electrónicos, que no fue diseñado pensando en la seguridad1 y que provoca que hoy suframos la consecuencia de este problema de diseño, por citar un caso, cuando se usa para distribuir phishing, suplantando identidades.

Un tipo especial de vulnerabilidad es la conocida como día cero o “zero-day”. Recibe esta calificación desde el momento en que es descubierta y hay evidencias de que existe un código que puede aprovecharla, denominado como “exploit”, hasta que se hace públicamente conocida y el fabricante del producto afectado no la corrige. Mientras no aparezcan soluciones o medidas de mitigación, este tipo de vulnerabilidades abre una ventana de tiempo que puede utilizarse para infectar una gran cantidad de sistemas, con una alta probabilidad de éxito. Esto genera la existencia de un mercado de compra-venta de vulnerabilidades2, en el cual se les asigna un valor monetario.

Las vulnerabilidades que logran ser aprovechadas impactan a usuarios hogareños, organizaciones gubernamentales y empresas de todo tamaño. Valen como ejemplo los casos ocurridos en febrero de este año con Java3, cuando las redes internas de Facebook, Twitter y Apple fueron infectadas por código malicioso.

En el campo de la seguridad de la información, el problema de las vulnerabilidades ha dado lugar a un nuevo escenario. Ya no resultan suficientes las soluciones simples o aisladas sino que se hace necesario implementar “seguridad en profundidad”, que proteja todos los activos de acuerdo con su criticidad, y también contemple la capacitación y la concientización a los empleados sobre las nuevas amenazas.

Respecto a la forma en que se da tratamiento a estas vulnerabilidades, existe un fuerte debate en el que las partes parecen nunca ponerse de acuerdo, mientras las derivaciones negativas del mercado de compra-venta de fallas continúa su desarrollo, con consecuencias negativas para todos los damnificados. Por este motivo, en estos últimos tiempos, varias de las grandes empresas de TI han implementado programas de incentivos para que se les reporten los descubrimientos de fallas, demostrando con ello que han entendido el riesgo que significa que los delincuentes las aprovechen.

Cabe mencionar finalmente que otro aspecto, no menor, si bien no tratado específicamente en este artículo por su complejidad, es el de las vulnerabilidades sobre las personas, de las cuales se benefician los malhechores a través de la ingeniería social.

Amenazas

El término amenaza, en contraposición al de vulnerabilidad, requiere pensar los posibles problemas que nos pueden afectar en un futuro cercano, por lo que plantea un posicionamiento anterior a un hecho, que representa algún grado de probabilidad de materializarse. A manera de ejemplos de amenazas reales pueden citarse los virus, los delincuentes informáticos o las intrusiones.

No existe una terminología uniforme en el campo de la informática al respecto, ya que se habla de amenazas cibernéticas, ciberamenazas, amenazas a la seguridad de la información o a la informática. El concepto hace referencia a una situación potencial que supone un daño para un activo o para un control implementado en una organización, con cierta probabilidad de ocurrencia. La ITU (International Telecommunication Union) define una amenaza como una violación potencial a la seguridad y, en ese sentido, para el contexto informático debe interpretarse para la seguridad de la información.

Dicho lo anterior se aprecia que es un término que generaliza y enuncia los problemas a los que se encuentra expuesta una organización, a través de los denominados agentes de amenazas, que son las entidades que aprovechan una vulnerabilidad.

Otra definición es aquella que la caracteriza como cualquier acción o acontecimiento no deseado e inesperado con la capacidad de ocasionar consecuencias adversas. En este caso, se habla de ella como origen de un incidente no deseado, que podría causar daños a un sistema u organización, según la define el estándar ISO/IEC-27002, si cualquiera de ellos presentara alguna debilidad o falla.

Existen amenazas relacionadas con fallas humanas, catástrofes naturales o ataques deliberados. Las fallas humanas pueden ser con intención o sin ella, debido a negligencia, impericia o mal uso. También se clasifican como internas o externas dependiendo de su origen: desde dentro de la propia organización o desde un punto remoto. Dentro de las amenazas naturales son ejemplos los terremotos o las inundaciones.

18

En rigor de la verdad, en el contexto de la interacción de los individuos a través de medios electrónicos y la diversificación de las tecnologías utilizadas en la actualidad, las clasificaciones sirven para orientar y segmentar el estudio de los problemas, aunque no siempre los modelos conceptuales se ajustan a la realidad.

Las amenazas varían en el tiempo. Los factores que contribuyen a un panorama de amenazas siempre cambiante son el constante crecimiento de la cantidad y el tamaño de las redes y del número de usuarios interconectados, la profusión de las bases de datos en línea, la inmadurez de las nuevas tecnologías que se lanzan al mercado sin haber sido probadas en forma exhaustiva, la alta disponibilidad de herramientas automatizadas de ataque y las técnicas de ingeniería social.

Amenazas

De origenhumano

De origennatural

Interno Externo

Sinintención

Negligencia,impericia

Mal-intencionadas

Los distintos escenarios que plantean las amenazas deben contemplarse dentro de planes de continuidad del negocio y siempre deben identificarse y estimarse debidamente al gestionar los riesgos.

Riesgo

La materialización de una amenaza que aprovecha una vulnerabilidad expone a las organizaciones y sus sistemas informáticos a lo que se conoce como riesgo. El riesgo puede ser definido como la posibilidad de que algo que ocurra impacte negativamente sobre la información o sobre los recursos para gestionarla. La Norma ISO/IEC-27002 lo define como la combinación de la probabilidad de ocurrencia de un determinado hecho y sus consecuencias. La probabilidad de ocurrencia es el producto del análisis sobre datos históricos respecto a cuántas veces sucedió un hecho similar en un periodo de tiempo que se tomará como unidad. Se entiende por consecuencias, el impacto, es decir, los hechos o acontecimientos que resultan de uno o varios eventos evaluados para esa organización.

La determinación de la probabilidad de ocurrencia y la valoración del impacto tienen lugar en el proceso de gestión del riesgo, que dará como producto la decisión de distribuir o aplicar los controles, sobre la base de una ecuación de costo/beneficio, dando como resultado la determinación del nivel de riesgo aceptable y la identificación del riesgo a mitigar.

Los riesgos en las organizaciones pueden ser de todo tipo: ambientales, de mercado, financieros, estratégicos, operacionales, de cumplimiento, etcétera. Los riesgos vinculados al uso de tecnologías de información son transversales a todos.

Frente a estos, deben aplicarse controles, entendidos como cualquier medida, que permita prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una amenaza específica. Se trata de medidas dirigidas a producir un efecto sobre la probabilidad de ocurrencia de una amenaza determinada o sobre su impacto.

Los controles pueden ser de naturaleza técnica, de gestión o legal, de acuerdo con la definición dada en la Norma ISO/IEC antes citada.

En el rubro de controles técnicos, el mercado de software y de equipamiento es basto, y los ajustes para su puesta en marcha deben además efectuarse acorde a estándares de seguridad, que muchas veces brindan los fabricantes o las buenas prácticas de organizaciones especializadas como OWASP (The Open Web Applications Security Project), por citar un ejemplo.

Para los aspectos funcionales, la industria brinda hoy normas que ayudan a identificar y mitigar muchos de los riesgos, así como certificaciones para profesionales interesados en aspectos particulares. Sin embargo, el punto a resaltar es que más allá de los múltiples enfoques es importante no perder una visión global.

En efecto, la visión estratégica de la seguridad debe ser reflejada en herramientas aplicadas de manera planificada con objetivos claros y revisados de manera periódica, para que sean implementadas en los procesos de toda la organización. Estos procesos se definen como aquellos que buscan la identificación y evaluación de los riesgos, así como también adoptar los pasos para su reducción a un nivel aceptable y devendrán en programas que serán la base para la adopción de medidas de gestión, controles técnicos, procedimentales y normativos, que mitiguen los riesgos a los que se encuentra expuesta la información.

19Abril - Junio 2013

Este esquema en constante cambio por la incorporación de nuevos bienes, la aparición de amenazas y el descubrimiento de vulnerabilidades requiere la constante atención del profesional dedicado a la seguridad de la información y plantea un desafío permanente para el logro de una protección efectiva de la información.

Conclusión

El escenario en el que hoy desarrollan su actividad las organizaciones presenta múltiples amenazas de características cambiantes. Algunas son preexistentes y otras surgen a partir de nuevos avances. Por otra parte, muchos productos en el mercado tecnológico se liberan para su venta sin una adecuada verificación de su seguridad. Esta peligrosa combinación requiere una permanente consideración de las vulnerabilidades que puedan afectar la información y los recursos que la gestionan. Lo cierto es que el riesgo en las organizaciones aparece desde el momento en que inician sus actividades. A lo largo de su existencia podrán identificarse y reducirse pero nunca se eliminarán en su totalidad. Es por ello que puede afirmarse que las organizaciones se encuentran siempre en riesgo, en mayor o menor medida, cuando aprovechan los beneficios de las tecnologías de la información.

Por consiguiente, el profesional que se dedica a cualquiera de las áreas de la seguridad de la información deberá tener en cuenta estos conceptos frente a cada paso que dé, identificando las amenazas, las vulnerabilidades y riesgos que afectan a los procesos en los que se desempeña, para así estar en condiciones de definir los controles a implementar. Esta responsabilidad no debe evadirse para cumplir adecuadamente su tarea.

Finalmente, cabe agregar que la seguridad no es un concepto del que se pueda hablar en términos absolutos. En materia informática se presenta una situación particular, dado que se requiere aplicar un conocimiento técnico y funcional muy específico y nuevo, en comparación con otras disciplinas. La diversidad de plataformas, la masividad de las aplicaciones, el crecimiento de las tecnologías móviles y la interacción social de los individuos en Internet se establecen hoy como características que afectan desde el punto de vista de la seguridad a las organizaciones modernas a lo largo de toda su actividad. Sin embargo, la buena noticia es que en la actualidad existen herramientas como la gestión de riesgos, que permiten entender aquellas situaciones que pueden causar un daño real sobre la información, redes y procesos, y que brindan una adecuada protección. No es tan simple como incorporar un equipo o una pieza de software, pero el esfuerzo vale la pena.

Interacción entre vulnerabilidades, amenazas y riesgos

Conceptos involucrados y su relación

AmenazasEnfoquegeneral

de causas

Enfoqueen bienes

o controles

Enfoquegeneral sobre

impacto

Estudio de lascausas potencialesde daño.

Estudio de lasdebilidades enbienes o controles.

Estudio de laprobabilidad deocurrencia de unincidente y su impacto.

Vulnerabilidad

Riesgo

El cuadro precedente muestra en forma gráfica la interacción entre los distintos elementos analizados.

Vemos que las amenazas se vinculan con causas potenciales con posible impacto negativo sobre la información, en la medida en que los bienes a los que sea factible que afecten posean debilidades o se registren fallas en los controles que los protegen. Este último concepto se resume en el término vulnerabilidad, que al ser explotada por la amenaza expone a la organización al riesgo. Dicho riesgo surgirá del análisis de su probabilidad de ocurrencia y del impacto sobre el bien a proteger.

1 Buenas prácticas contra el phishing por parte de los bancos, 25/02/2013. http://unaaldia.hispasec.com/2013/02/buenas-practicas-contra-el-phishing-por.html 2 Bienvenidos a la industria del software malicioso, 14/2/2013 http://www.technologyreview.es/read_article.aspx?id=42424 3 Java detrás de los ataques a Apple, Facebook y Twitter, 19/02/2013 http://unaaldia.hispasec.com/2013/02/java-detras-de-los-ataques-apple.html

20

historiaséxitode

Los sistemas de control industrial más conocidos son los llamados SCADA (supervisory control and data acquisition) y DCS (distributed control systems). De manera genérica, los sistemas SCADA son redes de sistemas de control industrial que contienen computadoras y aplicaciones que realizan funciones clave para el suministro de servicios esenciales para una nación, por ejemplo agua, energía, gas, gasolina o petróleo.

Estos sistemas inicialmente se diseñaron para trabajar aislados, pero no han escapado a la imperiosa necesidad de interconectarse con los aplicativos de negocio para facilitar la toma de decisiones, heredando con ello el mundo de vulnerabilidades de los sistemas abiertos. Cualquier infraestructura de red gubernamental o industrial basada en SCADA está sujeta a potenciales ataques, razón por la cual hoy día se requiere tratar el tema de seguridad en sistemas de control industrial.

Recientemente, en enero de 2013, se dio a conocer un informe del US-CERT que indica que el número de ataques cibernéticos registrados en 2012 creció 52%. Los sistemas de electricidad, de agua y nucleares son el principal blanco de los cibercriminales. Durante 2012 se registraron 198 ataques, de los cuales 82 fueron en contra del sector energético, 29 contra del de agua, 7 a instalaciones químicas y 6 contra plantas nucleares. Estas cifras corresponden a ataques denunciados, y puesto que la mayoría de empresas opta por no denunciar las brechas

de seguridad, una gran cantidad de ataques permanece desconocida.

La elaboración de este artículo surge del interés en compartir con la comunidad de lectores de Magazcitum un proyecto de definición e implementación de controles de seguridad de la información en sistemas de control industrial en una empresa del sector petrolero de Colombia, considerado como uno de los sectores objeto de protección de infraestructuras críticas.

Antecedentes

La empresa ha venido trabajando desde 2007 en la gestión de riesgos para sistemas de control industrial, con base en revisiones puntuales de algunos poliductos y ha implementado políticas y procedimientos de seguridad de la información para dichos sistemas.

Problemática

En 2010 se decidió contratar una consultoría especializada con el objeto de efectuar el diagnóstico y análisis de seguridad de la información en 10 estaciones de poliductos, diseñar el plan de mitigación para las principales vulnerabilidades administrativas y

tecnológicas encontradas, realizar un análisis comparativo de evolución en seguridad de sistemas de control industrial con base en la evaluación de 2007, los resultados de 2010, y

la proyección de mejores prácticas.

La seguridad de la información en sistemas de control industrial (SCI) y, por extensión, la protección de infraestructuras críticas, ha tomado en los últimos años importancia cada vez mayor en algunos países.

Carlos Villamizar RodríguezCISA, CISM, CGEIT, CRISC, CobiT Foundation Certificate e ISO27001 LA

Implementando seguridad de la información en sistemas de

control industrialcvillami@telecom.com.co

Colombia

2013 21

Equipo de proyecto

El equipo asignado, de manera casi exclusiva, al proyecto por parte del grupo consultor incluyó:

» Un gerente de proyecto y líder técnico. » Dos especialistas en pruebas de vulnerabilidad. » Un especialista en seguridad SCADA. » Dos profesionales en seguridad de la información.

Y por parte del cliente:

» Un supervisor del contrato. » Un líder técnico.

Además, se contó con el apoyo de los líderes de control y especialistas en cada uno de los poliductos visitados.

Duración del proyecto

La duración total fue de cinco meses.

Metodología aplicada

Las siguientes fueron las principales etapas llevadas a cabo durante la ejecución del proyecto:

» Identificación de vulnerabilidades tecnológicas, administrativas y operativas mediante visitas programadas a los poliductos. Se revisó y ajustó un formato de recolección de información para ser aplicado en cada uno de los poliductos, el cual contenía aspectos tanto técnicos como administrativos relacionados con los diferentes activos involucrados en el sistema de control local (SCL) de cada poliducto tales como configuración de PC, software y parches instalados, usuarios y permisos; prácticas administrativas, de seguridad y contingencia; copias de respaldo de información; gestión de bitácoras; equipos de control, seguridad y conectividad relacionados con el activo evaluado y periféricos. Con base en la información recolectada se elaboró un informe detallado de resultados de la visita.

» Análisis de riesgos para el negocio. Una vez efectuadas las visitas de campo a los poliductos y elaborados los respectivos informes individuales, se analizó toda la información recolectada para conocer las principales vulnerabilidades técnicas y administrativas, amenazas, principales riesgos para el negocio, controles existentes y su efectividad.

» Diseño de estrategias de mitigación. Para aquellos riesgos críticos se identificaron los principales controles para mitigarlos. En algunos casos se definieron nuevos controles y en otros se revisaron y ajustaron los controles existentes, contando siempre con el apoyo y aprobación de los diferentes proveedores de sistemas de control industrial, lo cual dio aún mayor tranquilidad a la empresa.

» Manual de seguridad de la información en sistemas de control industrial. Para desarrollar este entregable, se acudió a la identificación y alineación de buenas prácticas de la industria, a saber:o ISA 99.- Norma de la ISA (Industrial Automation and Control Systems Security) que da pautas para definir e

implementar un sistema de gestión de ciberseguridad.

o NIST SP800-82.- Provee una guía para asegurar sistemas de control industrial, incluyendo sistemas SCADA, DCS y otros sistemas que llevan a cabo tareas de control y que contribuye a la implementación de controles de seguridad asentados en el documento NIST SP800-53 (17 familias y 171 requerimientos de control).

22

historiaséxitode

El manual elaborado, entre otros aspectos, incluyó:

‣ Políticas generales.

‣ Roles y responsabilidades de seguridad de la información para sistemas de control industrial.

‣ Concientización en seguridad de la información para sistemas de control industrial.

‣ Seguridad física y ambiental de los sistemas de control industrial.

‣ Control de acceso a los sistemas de control industrial.

‣ Administración de las redes de control y operaciones de los sistemas de control industrial.

‣ Desarrollo, mantenimiento y documentación de sistemas de control industrial.

‣ Manejo y respuesta a incidentes de seguridad en sistemas de control industrial.

» Implementación de políticas, normas y procedimientos de seguridad. La documentación entregada, la existencia previa de controles clave y la aprobación para la implementación de nuevos controles por parte de los diversos fabricantes de sistemas de control industrial, ayudaron a la implementación del conjunto de controles que forman parte del manual de seguridad.

» Capacitación y entrenamiento en seguridad de la información para sistemas de control industrial. Como parte de los entregables se realizaron actividades de capacitación y entrenamiento en seguridad de la información para sistemas de control industrial en diferentes niveles de la organización.

» Auditorías internas. Se elaboraron y entregaron guías de auditoría de seguridad de la información en sistemas de control industrial para que la organización ejecutara cada cierto tiempo de manera interna este tipo de auditoría, y diera sostenibilidad al programa del modo como se lleva a cabo el ciclo PHVA (planear-hacer-verificar-actuar) en cualquier sistema de gestión.

» Análisis evolutivo. Finalmente, se llevó a cabo un estudio evolutivo para establecer el avance en gestión de riesgos y el camino a seguir según el estado del arte en seguridad de la información de SCI de la empresa. Para marcar la ruta se necesitó echar una mirada hacia el futuro, analizando el presente. El análisis del presente se efectuó tomando en cuenta las mejores prácticas de seguridad de la información en SCI, además de las diferentes actividades que la empresa debía realizar para alcanzar un nivel adecuado de aseguramiento de información y de sus activos de control.

Resultado final

Al final del proyecto se entregó al cliente una especie de sistema de gestión de seguridad de la información para sistemas de control industrial alineado a marcos de referencia de aceptación mundial.

Beneficios del proyecto

Entre los beneficios que originó el proyecto a la organización se pueden mencionar:

» Mayor gobernabilidad sobre los riesgos de la empresa (en este sentido lo mejor que le puede ocurrir a cualquier empresa es gobernar sus riesgos y no que sean sus riesgos los que la gobiernen).

» Planeación y manejo más efectivo de seguridad de la información en sistemas de control industrial.

» Adopción de herramientas metodológicas que facilitan el proceso integral de gestión de riesgos, seguridad de la información y concientización en seguridad en sistemas de control industrial.

» Incremento de la cultura de seguridad de la información en sistemas de control industrial.

2013 23

Epílogo

En su momento, este proyecto fue, en alguna medida, pionero en Colombia, máxime considerando que en este país no existen leyes o regulaciones que obliguen a las entidades gubernamentales a establecer las estrategias y las estructuras adecuadas, que permitan dirigir y coordinar sus actuaciones en materia de protección de infraestructuras críticas (previa identificación y designación de las mismas) para mejorar la prevención, preparación y respuesta frente a atentados terroristas u otras amenazas a estas infraestructuras.

Hoy en día a partir de una directiva de la Unión Europea, por ejemplo España ha promulgado la Ley 8 de 2011 y el Real Decreto Reglamentario para el sector gobierno, encaminados a identificar sus infraestructuras críticas y establecer el sistema de protección.

Este ejemplo debería seguirse por los gobiernos de otros países para ofrecer un estado y condiciones de vida menos inseguras a los ciudadanos.

24

Desde su irrupción en las organizaciones, la tecnología de la información (TI) ha logrado convertir a la figura del CIO (Chief Information Officer) en un jugador clave a la hora de alcanzar

los objetivos estratégicos del negocio.

Cualquiera que sea el tamaño, mercado o segmento de una empresa, hay amplia coincidencia en reconocer a TI como un recurso crítico, que amerita que el CIO aplique un enfoque integral, basado en comunicación efectiva, liderazgo proactivo, visión estratégica y selección de las herramientas adecuadas para medir el desempeño de las TI a su cargo.

En ese sentido, se destaca el aporte que brinda el marco de referencia denominado COBIT® (Control Objectives for Information and related Technology) creado por ISACA (Information Systems Audit and Control Association), cuya última versión (5a – Abril/2013), presenta los siguientes objetivos para el gobierno empresarial de TI:

» Maximizar la realización de beneficios.o Asegurar que se obtiene el óptimo valor de las iniciativas, servicios y activos de TI, brindando soluciones

confiables para alcanzar las necesidades del negocio. » Optimización de riesgos.

o Garantizar que los riesgos para el negocio, relacionados con TI, se gestionan y no exceden el nivel aceptable establecido por la dirección.

» Optimización de recursos.o Garantizar que las necesidades de recursos de TI se cubren en forma eficiente, con costos optimizados.

Maximizar la creación de valor deTI al ritmo del negocio

CISA, CRISC y PMPTwitter: @francoit_grc

opinión

Franco Rigante

Objetivos de gobierno para la creación de valor desde TI según COBIT® 5 (ISACA)

Dichos objetivos para el gobierno empresarial de TI permitirían alcanzar expectativas y necesidades de los distintos stakeholders internos y externos de la organización, dando una respuesta ágil acorde con los contextos turbulentos originados en los diferentes drivers de cambios con los que una empresa debe lidiar en la actualidad.

Origen de los objetivos de gobierno para la creación de valor desde TI según COBIT® 5 (ISACA)

Las cuatro perspectivas de un balanced scorecard (Norton/Kaplan) compatibles con las metas de negocio de COBIT®

(ISACA)

Creación de Valor:Objetivos de GobiernoOptimización de:

+ Beneficios

Recursos

Riesgos

Creación de Valor:Objetivos de GobiernoOptimización de:

+ Beneficios

Recursos

Riesgos

Necesidades delos StakeholdersExternos

InternosTipo de

Stakeholders

Drivers

EstrategiaNegocio

RegulacionesTecnología

Gobierno / Proveedores /Clientes / Sindicatos, etc.

CEO / CFO / CIO / CRO /Auditoría / Gtes Negocio

Por cambios en:

Argentina

25Abril - Junio 2013

Por lo tanto, dado este esquema jerárquico (modelo de objetivos en cascada) que presenta COBIT®, es posible la absoluta trazabilidad de la relación entre el desempeño de cada uno de los procesos de TI, midiendo su contribución al cumplimiento de las metas y perspectivas a través de las herramientas adecuadas.

Asimismo, para alcanzar dichos objetivos de gobierno empresarial de TI será necesario traducirlos en metas del negocio, que requieren del cumplimiento de metas de TI específicas las cuales solo podrán ser logradas con un adecuado nivel de madurez de los procesos de TI correspondientes, potenciados con varios facilitadores organizacionales (estructura, cultura, políticas, recursos, etcétera) imprescindibles para que los procesos alcancen un desempeño óptimo.

Por lo tanto, el primer paso a la hora de implementar esta herramienta para TI, es seleccionar, a partir del estándar COBIT®, las metas de negocio correspondientes a las diversas perspectivas que nos interesa medir y balancear, considerando su relación consistente con la misión, visión y objetivos estratégicos de la organización:

En ese sentido, gracias a la compatibilidad del estándar internacional COBIT®, es totalmente factible implementar la famosa herramienta de Cuadro de Mando Integral (balanced scorecard), creado por Robert S. Kaplan y David P. Norton, con el fin de medir y proporcionar a la alta gerencia una vista rápida e integral del desempeño de TI para el negocio, desde las perspectivas financiera, del cliente, del negocio y del aprendizaje.

Las cuatro perspectivas de un balanced scorecard (Norton/Kaplan) compatibles con las metas de negocio de COBIT®

(ISACA)Perspectiva financiera

Proveer un buen retorno de inversión de las inversiones de TIGestionar los riesgos de negocio basados en TI

Perspectiva del cliente

Mejorar los servicios orientados al clienteCrear agilidad en responder a los cambios de los requerimientos

de negocio

Perspectiva interna

Mejorar y mantener la funcionalidad de los procesos de negocioDisminuir los costos de procesos

Perspectiva de aprendizaje y crecimiento

Gestionar la innovación del producto/negocioAdquirir y mantener personal capacitado y motivado

Metas de negocio de COBIT(R) (ISACA) para cada una de las cuatro perspectivas de un balanced scorecard (Norton/Kaplan)

Modelo de objetivos en cascada de COBIT® 5 (ISACA)

Una vez efectuada la selección de las metas del negocio que incluiremos en el balanced scorecard, siguiendo el esquema de relaciones que plantea COBIT®, se obtienen fácilmente cuáles son las metas de TI cuyos procesos se deben monitorear.

Creación de Valor:Objetivos de Gobierno

Metas delNegocio

Metas de TI

Procesos y Facilitadoresinterconectados para

alcanzar las metas de TI

Origen de unaMeta del Negocio

PerspectivaFinanciera

Perspectivadel Cliente

PerspectivaInterna

Perspectiva deAprendizaje

26

A continuación se expone un ejemplo completo que incluye la relación entre perspectiva, meta de negocio, metas de TI, procesos de TI e indicadores relacionados.

Cabe destacar que COBIT® ya cuenta con más de 300 indicadores predefinidos (prospectivos y retrospectivos), relacionados con los 37 procesos de TI que soportan las metas del negocio, cada una de ellas vinculada con alguna de las cuatro perspectivas del balanced scorecard.

Retrasos entre las actualizaciones del Plan Estratégico/Táctico de Negocio y la actualización del Plan Estratégico/Táctico de Sistemas.

Objetivos de TI en el Plan Estratégico de TI que dan soporte al Plan Estratégico de Negocio.

Roles con puestos documentados y descripciones de autoridad.

Interesados satisfechos con el nivel de respuesta de TI/SI.

Iniciativas del negocio retrasadas debido a la inercia operativa de TI.

Interrupciones al negocio debidas a interrupciones en el servicio de TI.

Personal de TI que hayan completado sus planes profesionales de desarrollo.

Ratio de rotación de personal de TI.

Proyectos de TI revisados y autorizados por QA que satisfacen metas y objetivos de calidad.

Frecuencia de la revisión del proceso de administración de riesgos de TI.

Ejemplos de indicadores incluidos en COBIT® (ISACA) para medir el desempeño de las metas del negocio.

Ejemplos de indicadores incluidos en COBIT® (ISACA) para medir el desempeño de las metas del Negocio

La selección de los indicadores que se desee medir, implicará que se deba definir para cada uno de ellos, al menos, los siguientes atributos:

» Unidad de medida (%, días, cantidades, etcétera).

» Frecuencia de actualización (ej. mensual / semestral).

» Responsable del indicador. » Fórmula del indicador. » Origen de la información para calcular la fórmula. » Valores permitidos (mínimo / máximo). » Valor objetivo (maximizar o minimizar). » Peso del indicador para el desempeño del proceso (ponderación).

En consecuencia, solo resta llevar este modelo a alguna herramienta informática, dado que si bien es factible desarrollarlo utilizando planillas de cálculo, existen en el mercado diversas soluciones específicas que facilitan la implementación del proceso y la generación automática de variados gráficos, donde se pueden consolidar y analizar los resultados por perspectiva, meta del negocio, meta de TI y proceso, hasta llegar al nivel de los indicadores alcanzados por el balanced scorecard de TI.

Finalmente, gracias a la implementación de esta herramienta, el CIO de la organización podrá monitorear el desempeño de su gobierno de TI, contar con alertas tempranas que lo orienten para rectificar el rumbo en forma oportuna y promocionar, en un lenguaje fácilmente comprensible para el CEO, la contribución que las tecnologías de información brindan al éxito del Negocio.

Perspectiva Financiera

Proveer un buen ROI de las inversiones de TI

Administrar la inversión en TI

% de Inversionesen TI que generan losbeneficios predefinidos

Mejorar la eficiencia en costos de TI y suaporte a la rentabilidad del negocio

Perspectiva

Meta de negocio

Meta de TI

Proceso de TI

Indicador

RecueRda BoRRaR tu SmaRtphone & taBleta con SeguRidad

¿Por qué borrar datos en dispositivos móviles?• con Blancco puedes estar 100% seguro que todos tus

datos personales, emails, contactos y fotos serán borrados de manera permanente

• al borrar tu equipo con seguridad puedes facilitar el reuso o venta de tu equipo

¿Por qué Blancco ?• Borrado 100% seguro• proceso rápido• la solución certificada para el borrado de datos

Contacta al Equipo de Blancco México tel. 55 4627 1576 email: ventas@blancco.com www.blancco.com

28

Origen y evolución del concepto de “Gobierno Corporativo de TI”

aarroyo@ittrendsinstitute.org

opinión

El gobierno corporativo de TI, o gobernanza de TI, no es

un concepto nuevo. Tiene sus orígenes en lo que se denominó gobernanza – aplicado a la

buena gestión de los recursos por parte de los gobiernos y al fomento de la participación de la sociedad civil – y en el desarrollo del concepto de gobierno corporativo en las dos últimas décadas.

Alberto Arroyo

El presente artículo desgrana la evolución desde la gobernanza hasta el gobierno corporativo y sus diferentes enfoques y tratamientos. Finalmente, muestra el marco teórico para la concepción e identificación de la gobernanza de TI como la disciplina dentro del gobierno corporativo.

El concepto de gobernanza

El concepto de gobernanza es relativamente antiguo y era un sinónimo de gobierno. El Diccionario de la Real Academia Española (DRAE) dice: Acción y efecto de gobernar o gobernarse.

En los años 90, el término fue utilizado para hacer referencia a un nuevo estilo de gobierno de las administraciones públicas, mediante el cual estas tratan de gestionar de forma eficiente, honesta, transparente, igualitaria y con responsabilidad, los recursos públicos1.

Este significado queda recogido en el DRAE:

Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el estado, la sociedad civil y el mercado de la economía.

Finalmente, este concepto comienza a ser adoptado por instituciones (por ejemplo el Banco Mundial y las Naciones Unidas) como elemento clave en la dotación de financiación a países en vías de desarrollo.

El gobierno corporativo

Asociado al término gobernanza surge el concepto de gobierno corporativo, que ya fue introducido por Adam Smith en su obra “La riqueza de las naciones”:

“Cuando la propiedad y la gestión de las empresas no coinciden plenamente, habrá potenciales conflictos de interés entre los propietarios y los gestores/administradores”.

En la década de los años 90 se desarrolló este concepto abordando las diferencias de intereses entre la propiedad y la administración de la empresa (“problemas de agencia”2). Específicamente, el gobierno corporativo trata de definir y establecer mecanismos de control y salvaguarda por parte de los accionistas, sobre las acciones realizadas por los miembros del consejo de administración.

Argentina

29Abril - Junio 2013

Los problemas de agencia tienen un enfoque más amplio en la década de los años 90, al considerar a los llamados grupos de interés dentro del esquema de gobierno de las empresas. Surge el enfoque de grupos de interés, denominados “stakeholder”:

controlelección

controlnombramiento

responsabilidad última/rendición de cuentas

responsabilidad

AccionistasConsejo de

Administración/Directorio

DirecciónEjecutiva

La preocupación por los problemas de gobierno corporativo en los países se presentó por primera vez en el “Informe Cadbury”3 (1992, Reino Unido), que recogía un “código de buen gobierno” al que las compañías que cotizaban en la bolsa de Londres debían adherirse.

Este mismo año se publica el Informe COSO4 (EE.UU.) como el marco de trabajo para el establecimiento de un sistema de control interno en las organizaciones.

El “Código Combinado”5 (1998) integra las diferentes recomendaciones que fueron apareciendo a lo largo de los años 90 (accionistas institucionales, remuneración del consejo, etcétera) adoptando el principio de “cumplir o explicar”:

» La imposición a las compañías de informar cómo aplican las recomendaciones del Código Combinado. » La necesidad de explicar por qué no se han aplicado las recomendaciones.

El respaldo internacional para el gobierno corporativo llega con la publicación (1999 y revisada en 2004) de los Principios de Gobernanza Corporativa por la OCDE6, donde se definen los elementos principales y se adopta un modelo stakeholder. Estos principios han sido asumidos por los distintos países en la definición de sus recomendaciones y códigos de buen gobierno.

La Ley “Sarbanes-Oxley”7 (2002, EE.UU.) aparece como respuesta a los escándalos corporativos ocurridos en ese país (Enron, Worldcom, etcétera). El principio de cumplir o explicar desaparece, introduciéndose responsabilidades penales a los administradores y ejecutivos de las compañías.

Los códigos de buen gobierno han evolucionado, destacándose especialmente el “Código King III”8 (Sudáfrica, 2009).

controlelección

controlnombramiento

responsabilidad última/rendición de cuentas

responsabilidad

considera losintereses

soportan laaportación

de valor

AccionistasConsejo de

Administración/Directorio

Grupos deInterés

DirecciónEjecutiva

30

La concepción de la gobernanza de TI

El siguiente paso, dado por CIMA e IFAC9 (EE.UU.), consistió en dividir el gobierno de la empresa, atendiendo a dos aspectos: regulatorios y de negocio:

» El gobierno corporativo, que cubre los aspectos de cumplimiento legal y normativo. » El gobierno del negocio (rendimiento y valor).

Así, la gobernanza de TI es un subconjunto del gobierno de la empresa que persigue obtener el máximo valor de las TI en las organizaciones, buscando el alineamiento estratégico de las TI con el negocio, gestionando riesgos de forma acotada, recursos de forma eficiente y supervisando el rendimiento de las mismas.

En 2004, Weill y Ross10 (investigadores del MIT), dan un paso más, identificando los seis activos clave que deben ser objeto de gobierno en toda organización:

» Activos financieros. » Activos físicos. » Recursos humanos. » El esquema de relaciones de la organización. » Propiedad intelectual. » La información y las TI.

Personas Activosfinancieros

Activosfísicos

Propiedadintelectual

Informacióny TI Relaciones

Gobernanza de TI

Gobernanza deactivos clave

Activos clave

Gobierno corporativoOtros grupos

de interés

Comunicación

Accionistas

Monitorización

Consejo deAdministración

Dirección ejecutiva

Comportamientosdeseables Estrategia

En ese último grupo se ubica, conceptualmente, la gobernanza de TI o gobierno corporativo de TI.

1 http://www.bvsde.paho.org/texcom/cd050853/johnson.pdf 2 AECA, Gobierno y Responsabilidad Social de la Empresa. 20073 http://www.ecgi.org/codes/documents/cadbury.pdf 4 http://www.coso.org 5 http://www.ecgi.org/codes/documents/combined_code_final.pdf 6 http://www.oecd.org/corporate/ca/corporategovernanceprinciples/31557724.pdf 7 http://www.sec.gov/about/laws/soa2002.pdf 8 http://www.ecgi.org/codes/documents/king3.pdf 9 http://www.ifac.org/sites/default/files/publications/files/enterprise-governance-gett.pdf 10 Peter Weill and Jeanne Ross., IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Harvard Business Press. 2003

Esto se puede ver en la siguiente figura (adaptado de Weill y Ross):

C

M

Y

CM

MY

CY

CMY

K

32

Metamétricas de seguridad

CISAeft@innovative-soft.com

Elia Fernández Torres

opinión

Las métricas como medidas de seguridad

Cuando se habla de seguridad en una organización, la preocupación primordial es identificar riesgos. Pero cuando se plantea cómo medir los riesgos, algo imprescindible es cómo determinar las métricas de seguridad necesarias y aplicables a la organización. Una vez obtenidas dichas métricas, a un responsable de negocio le interesa saber de qué forma le han de beneficiar.

Las métricas son una herramienta de soporte para tomar decisiones, lo cual significa que si una medida no sirve de soporte para las decisiones gerenciales significativas, es irrelevante.

Métricas de seguridad para el negocio

Las métricas son una parte sustancial de la respuesta que los administradores de seguridad consideran como un reto actual. No se puede seguir desperdiciando dinero en seguridad, tratando de adivinar lo que se podría hacer, o implementando cualquier herramienta que los proveedores ofrezcan, esperando que sea la solución.

Se puede y se debe hacer algo mejor. Se deben canalizar más finamente los recursos, en forma efectiva e inteligente, tomando las riendas, midiendo y administrando de manera apropiada y definitiva la seguridad de la información. Es claro que, refiriéndose a métricas de seguridad, no se puede uno quedar con una métrica esencialmente inútil como, por ejemplo, el número de virus detectados en un mes determinado.

Se ha mencionado en distintos foros sobre indicadores de gestión, que “no se puede administrar lo que no se mide”; dicho de otra forma, “no se puede mejorar lo que no se ha medido”. Así que la pregunta sigue en pie, ¿qué puede hacer una organización para medir, en este caso la seguridad, y por tanto para manejarla, planearla, mejorarla y controlarla? y sobre todo para dirigir los esfuerzos de seguridad. Dentro de los criterios de medición está sin duda el punto de vista del responsable de negocio, el cliente. Si no se mide la situación actual en materia de seguridad, no se sabrá a dónde se tendrá que llegar y qué mejorar. Este es un tema que ha sido también ampliamente discutido en relación a la gestión de calidad total.

¿Es usted el director general (CEO), o el director de sistemas (CIO), quizás el director de finanzas (CFO) o acaso el director

de seguridad de sistemas de información (CISO)?¿Es usted tal vez el líder de una unidad de negocio?¿Está satisfecho con su inversión en seguridad y los resultados que está obteniendo de dicha inversión?¿Está invirtiendo su dinero en materia de seguridad en forma inteligente? ¿Cómo lo sabe?¿Es el departamento de seguridad en su organización efectivo, eficiente y está logrando los resultados que espera? ¿Cómo lo sabe?¿Qué clase de métricas de seguridad estratégicas está logrando a través de sus esfuerzos de seguridad?¿Es acaso su down-time la métrica de seguridad más estratégica que está considerando?

México vía Alemania

33Abril - Junio 2013

Habiendo apuntado lo anterior, aunque se diga que no se puede manejar lo que no se mide, es una realidad que las organizaciones han gestionado la seguridad de información por décadas sin medidas útiles y comprobables. Basta observar las noticias de primera plana, las cuales revelan ejemplos claros de fallas de seguridad y de privacidad (y un sinnúmero de incidentes permanece sin ser reportado) a pesar de las inversiones significativas que se realizan en esta materia.

Algunos expertos en seguridad de información se han convertido en hackers, criminales organizados, terroristas, espías industriales, así como otro tipo de adversarios, ante quienes se va perdiendo la batalla de seguridad.

Las métricas se utilizan no solo para dar seguimiento y reportar el desempeño, sino para identificar áreas de problemas y oportunidades, y así llevar a cabo las mejoras de seguridad. Enfocándose en el uso de datos de medición para soportar las decisiones de la gerencia, hay una forma de diseñar un sistema de medición de seguridad de información, con aplicaciones de apoyo afines al sistema de gestión de seguridad de información, tal como se describe en el estándar ISO/IEC-27001.

Metamétricas como datos de las métricas

Las “metamétricas” son para las métricas, lo que “metadata” es para los datos –en otras palabras, metamétricas son información sobre métricas.

Las metamétricas incluyen varias características de métricas. Por ejemplo, algunas listas y catálogos describen típicamente cada métrica en términos de su alcance, propósito, parámetros, fuentes y cálculos: todas estas son metamétricas ¿Quién decide que estas características particulares son importantes?, ¿cómo lo deciden?, ¿cuáles son los factores más/menos importantes?, ¿en qué se basa uno para determinar que ciertas métricas deban ser tomadas en cuenta o ignoradas? Por desgracia, estas importantes consideraciones se pasan por alto o pocas veces son motivo de discusión. Con frecuencia todo lo que se llega a ver es el resultado final, sin la oportunidad de comprender el proceso de pensamiento que hay detrás de ello.

La mayoría de las metamétricas proporcionan una base objetiva para diseñar y seleccionar métricas que vale la pena medir, analizar, reportar y utilizar. Sin ellas se haría un trabajo con resultados subjetivos.

En el contexto de seguridad de información, las metamétricas son valiosas:

» Para evaluar distintas métricas de seguridad en forma significativa, racional y comparable, siendo posible decidir con objetividad cuáles, si es que existen, valdría la pena adoptar, desarrollar, o ignorar temporalmente;

» Al revisar y reevaluar las métricas que están siendo actualmente utilizadas, por ejemplo si la gerencia está insatisfecha con los resultados actuales, o requiere información de facto, para poder administrar otros riesgos de seguridad;

» Para considerar los méritos de métricas recomendadas por otros, y para explicar el fundamento de recomendaciones específicas para terceros, sin dejar de tomar en cuenta nuestra propia administración;

» Para realizar comparativos (benchmarking) de métricas utilizadas por diferentes organizaciones o por unidades de negocio dentro de una gran organización, en particular para identificar y compartir formas más creativas y productivas de medir la seguridad de información;

» Para apoyar las medidas de seguridad de información en forma más rigurosa y desde una perspectiva más profesional, lo cual es esencial para el gobierno (dirección, gestión/administración y control) de la seguridad de la información.

En la misma forma que las métricas de seguridad son utilizadas para medir, administrar y mejorar los controles de seguridad y por ende el sistema de gestión de seguridad, así las metamétricas ayudan a medir, administrar y mejorar nuestras métricas, y por tanto, el sistema de medición. El aplicar el pensamiento sistémico al diseño de métricas es un ejemplo de innovación en el enfoque pragmático de métricas de seguridad.

La información sobre métricas incluye métricas sobre métricas. Por ejemplo, el número de métricas de seguridad utilizado por la organización es una metamétrica relativamente cruda, mientras que la calidad de aquellas es potencialmente mucho más informativa y útil.

34

¿Sabías que

es el únicoCentro de Entrenamientoautorizado en México?

Por lo que ahora puedes:1.- Tomar el Seminario Oficial de CISSP de (ISC)2 del 12 al 16 de

agosto del 2013, en Scitum a un precio de US$1,900.00 mas IVA.2.- Presentar el examen de certificación con costo de US$599.00 a

través de uno de los centros autorizados.

La sede del seminario es:Torre Telmex, Oficinas de Scitum, Cd. de México.

Av. Insurgentes Sur No. 3500, colonia Peña Pobre, C.P. 14060, delegación Tlalpan.

Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: capacitacion-isc2@scitum.com.mx

La fecha límite de inscripciones es el 31 de julio de 2013.

C

M

Y

CM

MY

CY

CMY

K

Seminarios_ISC2_.pdf 1 5/14/13 11:58 AM

El método pragmático de las métricas

Como ya se comentó, uno de los retos de la gestión de seguridad de la información es cómo medir la seguridad.

Las métricas de seguridad son una práctica esencial de la gestión de seguridad de la información.

Si no se cuenta con métricas útiles estamos solo asumiendo y confiando en el trabajo subjetivo por suposiciones, por instinto, en lugar de por análisis basado en hechos, observaciones y datos. Es como la astrología en comparación con la astronomía.

En una publicación de enero de 2013, Krag Brotby y Gary Hinson presentaron un nuevo método denominado Metamétricas Pragmáticas de Seguridad.

De acuerdo con el método pragmático de Krag Brotby y Gary Hinson, una metamétrica de seguridad debe ser:

• Predictiva• Relevante• Accionable• Genuina• Significativa• Precisa• Oportuna• Independiente• Económica

PredictiveRelevantActionableGenuineMeaningfulAccurateTimelyIndependentCost-effectiveM

etam

etric

s

Predictiva: ayuda a manejar situaciones, tomar decisiones y mejorar las cosas para el futuro;

Relevante: para el especialista de la materia, sea seguridad de información, gobierno, riesgo, cumplimento, control, etcétera;

Accionable: proporciona información para tomar acciones, además de decir: “¡Ah, qué bien”!;

Genuina: Los números están basados en hechos y no pueden ser inventados fácilmente o manipulados de manera deliberada;

Significativa: para la audiencia a la que va dirigida, sin crear incertidumbre o escepticismo;

Precisa: para permitir un control mesurado o proporcional (¿Nos detenemos o seguimos avanzando?, ¿más rápido, o más lento?);

Oportuna: la seguridad es un área dinámica, por lo que requerimos información al momento de la toma de decisiones;

Independiente: medida objetiva, basándose en evidencia verificable; y

Costo-efectiva (económica): genera más valor que lo que cuesta recopilar, analizar, presentar y utilizar la métrica.

Fuente: Pragmatic Security Metametrics por Brotby y Hinson, 2013

El método pragmático presenta una forma estructurada de evaluar y realizar puntuaciones de posibles métricas, con el fin de identificar aquellas que valgan la pena para trabajar, de aquellas que únicamente generan trabajo inútil en lugar de ayudar. Permite diseñar, discutir, comparar y mejorar métricas, y estimula discusiones productivas con gerentes y colegas de la profesión, sobre qué aspectos de la seguridad de información les preocupan más, qué información requieren obtener y mantener para administrar la seguridad y riesgos de su información, y por tanto qué necesitan medir y cómo.

Este método proporciona ideas y formas prácticas para aquellos profesionales que necesitan un apoyo concreto y directo para dar solución a problemas reales del día a día.

¿Sabías que

es el únicoCentro de Entrenamientoautorizado en México?

Por lo que ahora puedes:1.- Tomar el Seminario Oficial de CISSP de (ISC)2 del 12 al 16 de

agosto del 2013, en Scitum a un precio de US$1,900.00 mas IVA.2.- Presentar el examen de certificación con costo de US$599.00 a

través de uno de los centros autorizados.

La sede del seminario es:Torre Telmex, Oficinas de Scitum, Cd. de México.

Av. Insurgentes Sur No. 3500, colonia Peña Pobre, C.P. 14060, delegación Tlalpan.

Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: capacitacion-isc2@scitum.com.mx

La fecha límite de inscripciones es el 31 de julio de 2013.

C

M

Y

CM

MY

CY

CMY

K

Seminarios_ISC2_.pdf 1 5/14/13 11:58 AM

36

Es importante hacer énfasis en que las métricas no son universalmente aplicables, en otras palabras, las métricas de seguridad que podrían ser ideales para una organización, pueden no ser afines para otra. Esta distinción se puede apreciar mejor una vez que se ha comprendido y se ha utilizado el proceso pragmático.

Se ha profundizado en el diseño de un sistema de medición de seguridad, usando un enfoque de sistemas para especificar una serie de métricas de seguridad coherentes que soportan unas a las otras. Es similar al concepto del Sistema de Administración de Seguridad de Información (ISMS) ISO2700*, por ejemplo incorporando la idea de mejora continua del sistema de métricas a través de un monitoreo sistemático de la efectividad de las métricas – un concepto denominado “metamétricas” (información sobre métricas).

El sistema de medición debe evolucionar en paralelo con el ISMS, de tal forma que las métricas de seguridad que se necesitan en el momento, no sean las mismas que las que se requieran, por ejemplo, dentro de un año.

Además, algunas medidas son tan importantes para la organización que su integridad es un problema, por lo tanto, en esta metodología se introduce la idea de métricas complementarias (tomando deliberadamente perspectivas diferentes en áreas clave tales como riesgo, con el fin de revelar aquellas arrugas que indican que algo raro está sucediendo, lo que conduce a ahondar más en dicho problema).

El uso de métricas de seguridad pragmáticas puede apoyar a quienes están dedicados a la práctica de seguridad, explicando e interpretando las métricas de seguridad en una forma más directa, sin ignorar totalmente las complejidades de la materia.

Algunos ejemplos de métricas podrían incluir:

» Medición de la capacidad y desempeño de TI. » Extensión de la incorporación de seguridad de información en el software de aseguramiento de calidad. » Proporción de cuentas de usuario de cómputo inactivas deshabilitadas de acuerdo con las políticas. » VaR (valor en riesgo). » Correlación entre bitácoras de sistema/configuración y requerimiento de cambios autorizados. » Consecuencias históricas de no cumplimiento. » Cobertura de seguros versus primas anuales. » Retorno sobre la inversión (ROI)

Continuará...

37Abril - Junio 2013

Auditar la seguridad de la información resulta ser una tarea compleja e interesante. La complejidad está dada por la esencia misma de la gestión, sabemos que detrás de las cuatro palabras “seguridad de la información” existen miles de palabras que forman parte de una amplia gama de conceptos, normativas, tecnologías, técnicas y demás. Por curiosidad tomé NIST SP800-100 y noté que solo un apéndice abarca 440 palabras que definen 39 acrónimos, cuyos conceptos son muy amplios, como por ejemplo “Infraestructura de llave pública”. Definitivamente, cuando se trata de auditoría de seguridad de la información se puede y debe hacer mucho, por ello es necesario decidir por dónde empezar.

Para responder, analicemos dos perspectivas: el nivel de madurez del área de auditoría y el nivel de detalle.

Nivel de madurez del área de auditoría

El principal objetivo de una función de auditoría es validar la exposición al riesgo; este rol debe efectuarse con un grado de madurez que sea consecuente con la organización. Básicamente, el nivel requerido depende del tipo de organización. Un buen punto de referencia es el grado de regulación a la que se somete la industria: a mayor regulación, mayor madurez del área en temas de seguridad; este es el caso de las industrias financiera o de salud.

Para empezar, en auditoría de seguridad de la información determine cuál es el nivel de madurez óptimo para su área de auditoría y evalúe si ciertos indicadores responden a este nivel. El principal indicador tiene que ver con la capacidad del equipo de trabajo, por ejemplo conocimientos y experiencia en seguridad de tecnologías de información base o en estándares, regulaciones y buenas prácticas aplicables, habilidades de investigación y autoaprendizaje. Es común efectuar auditoría de seguridad de información con especialistas en tecnología, sin embargo denota mayor madurez incluir también profesionales de ramas como procesos o riesgos para identificar los flujos de información. Es recomendable conseguir capacitación específica que permita obtener certificaciones reconocidas.

Otro indicador clave es el valor que la auditoría quiere dar al negocio: un nivel de madurez inicial se refleja en evaluaciones básicas de cumplimiento de políticas internas, y un nivel mayor determinará lo razonable de las políticas así como los aspectos estratégicos y de gobierno.

ConexionesAuditoría de seguridad de la

información… ¿Por dónde empezar?Fabiola Moyón ConstanteCISA fabiola@quihel.net

Ecuador

38

c ·o ·n ·e ·x · i ·o ·n ·e · s

Nivel de detalle

Auditar seguridad de información involucra analizar el flujo completo de información, en resumen: evaluar todos los procesos. En un inicio resulta práctico utilizar la estrategia “divide y vencerás”, seleccionando los procesos que permitan cumplir de mejor forma el objetivo. Siendo el objetivo validar la efectividad de la gestión de seguridad de la información recomiendo empezar por una evaluación de alto nivel pues es lo que brinda más valor, y combinar con evaluaciones de cumplimiento con prácticas básicas.

La evaluación de alto nivel consiste en analizar el gobierno de seguridad de la información. Una política clara, así como un gestor de alto nivel, son pilares de un enfoque efectivo. Primeramente busque una política que cubra aspectos de clasificación de información con las medidas de protección respectivas. Segundo, identifique a los gestores que garantizan que las medidas se cumplan pues es importante que exista un organismo de alto nivel con injerencia sobre todas las áreas de la organización, así como entes operativos que ejecuten y monitoreen las medidas. Da valor a la auditoría evaluar qué tan alineada está la gestión de seguridad de información con los objetivos estratégicos, evidenciar definiciones y cumplimiento de medidas para garantizar que la información se gestione en forma segura a través de los procesos estratégicos y, lógicamente, por medio de las tecnologías de información relacionadas.

La evaluación de cumplimiento se recomienda primero en las prácticas básicas de seguridad informática, sobre todo gestión de identidad en aplicaciones y equipos críticos de infraestructura, así como existencia de bitácoras para aplicaciones base. Posteriormente se puede validar el cumplimiento con normativas aplicables. Considere siempre que toda práctica o normativa involucra estas actividades básicas.

En síntesis, para empezar a trabajar en auditoría de seguridad de la información, parta de un análisis del nivel de madurez de su proceso de auditoría y efectúe evaluaciones de gobierno y de cumplimiento con las prácticas básicas de gestión de identidad en sistemas e infraestructura. Con los resultados que obtenga será más claro el camino a seguir.

ERAHacia una

NUEVA

Westcon y ��na a Westcon Group company son empresas de Westcon Group, mayorista de valor agregado, líder en comunicaciones uni�cadas, infraestructura de redes, centros de datos y soluciones de seguridad con una red global de distribuidores especializados. Los equipos de Westcon crean programas únicos y proporcionan un apoyo excepcional para acelerar los negocios de sus socios. Las fuertes relaciones en todos los niveles de Westcon Group permiten que los socios reciban apoyo adaptado a sus necesidades.

Av. Insurgentes Sur No. 800 piso 21-A Col. Del Valle, México D.F. C.P. 03100Tel. ���� �0�2 ��00 e-mail� mexico.mar�eting�a�na-la.com

www.a�na�la.com www.cala.westcon.com

Preventa, Servicios Profesionales y Capacitación T�cnica Certi�cada

Servicios de Marketing y Generación de Demanda

Logística Global y Soluciones de Financiación Personalizadas y Flexibles

A U T H O R I Z E D T R A I N I N G C E N T E R

R

Check PointSOFTWARE TECHNOLOGIES LTD.

R

Afina Security Westcon Security

Afina Data Center Westcon Convergence

Check PointSOFTWARE TECHNOLOGIES LTD.

R

Check Point Virtual Systemsgateways de seguridad en un solo dispositivo o servidor abierto - simplificando la seguridad, reduciendo los costos e impulsando el rendimiento para los entornos de nube privada.

permite que las empresas consoliden los

Los clientes pueden proteger varios segmentos de red al seleccionar cualquier combinación de protecciones de software blade de la marca, como:

FirewallVPNPrevención de intrusiones (IPS)Control deAplicacionesFiltrado de URLAntibotAntivirusVerificación de identidad

Brindando a los clientes la más amplia gama de protecciones de seguridad virtualizada disponible.

w w w . c h e c k p o i n t . c o m

C

M

Y

CM

MY

CY

CMY

K

check_point_curvas copy.pdf 1 5/21/13 1:55 PM