miércoles, 28 de marzo de 2012 1 comentarios

35 actuaciones esenciales para establecer una estrategia frente al cibercrimen.

Llevaba algún tiempo queriendo postear sobre varios documentos que había encontrado del Gobierno australiano que detallan de forma sencilla y clara cual va a ser su estrategia en ciberseguridad.

Lo más destacable y que fué lo que me llamó la atención en su momento es que las pautas generales que se dan son cosas relativamente básicas y claras que en toda organización se pueden implementar con la debida planificación y ajuste de recursos. Es muy significativo el texto inicial de la Web donde se indica que al menos el 85% de las intrusiones detectadas en 2010 podrían haberse evitado aplicando 4 sencillas estrategias que son:
  • Actualización y parcheo de aplicaciones.
  • Parcheo de vulnerabilidades en sistemas operativos.
  • Principio de mínimos privilegios en la asignación de acceso.
  • Usar listas blancas con aplicaciones autorizadas para denegar la ejecución de todo lo demás.
Quizás el problema real por el que estas estrategias no son algo cotidiano en las empresas/organizaciones es que las áreas directivas creen que los sistemas de información se mantienen sólo con estar enchufados y que no se requieren recursos técnicos que realicen tareas a diario para que todo funcione con normalidad. Es el gran problema de las áreas TI, que puede que no sean capaces de hacer visible su duro e intenso trabajo diario para pelear porque "todo funcione con normalidad". A ello hemos de añadir ahora la virtualización que ha multiplicado exponencialmente el número de elementos a gestionar y que hace que el ratio administrador/servidor se haya disparado. Y precisamente las tareas operativas que forman parte de estas 4 actuaciones se tienen que realizar tanto en entornos físicos como en los virtuales. Por tanto, si los servidores se han multiplicado por 4, las tareas posiblemente también.

Los documentos donde se detallan cada una de estas 35 actuaciones técnicas  pueden ser descargados en este enlace del Departamento de Defensa del Gobierno Australiano.
Además de esos documentos, Microsoft ha complementado esta iniciativa con otro documento donde describe qué medidas aplicar en cada uno de los dominios de seguridad de toda organización. Este dibujo representa muy buen las "zonas calientes en seguridad" de toda Empresa/Institución que se encuentra conectada a Internet y permite segmentar los riesgos por los niveles de sensibilidad y alcanzabilidad del intruso. Los dominios establecidos en el gráfico son:

Dominio de cliente final (end point)
  • Usb y medios de almacenamiento portatiles.
  • Usuarios remotos.
  • Tablets, portátiles y equipos PC.
Protección perimetral y frontend.
  • Firewalls y equipos de protección perimetral.
  • Elementos de red e infraestructura.
  • Servidores de correo.
Backend.
  • Servidores de BB.DD. y aplicaciones.
  • Servidores de directorio.
Es un dibujo de esos a poner como poster en cualquier departamento TI porque de un vistazo refleja qué vigilar y cómo. En cada dominio se indican las medidas de seguridad a aplicar y si son preventivas o de detección. El documento de Microsoft puede ser descargado en este enlace.

Este tipo de actuaciones son siempre interesantes aunque generalistas. Un análisis del riesgo aporta cierto criterio de ponderación del peligro atendiendo al propio modelo de negocio de la organización. En todo caso, no quita para que este tipo de enfoques basados solamente en gestionar amenazas también pueda ser relevante en aquellos casos donde se carece de este análisis porque siempre será mejor protegerte aun considerando que no es tu máximo riesgo que no hacer nada. Como reflexión final también quiero destacar que las 4 actuaciones esenciales tienen que ver con la correcta gestión y actualización de los sistemas de información. Esto pone de manifiesto que normalmente los intrusos no rompen puertas y ventanas. Simplemente se cuelan por aquellas que dejamos entreabiertas o sin proteger. Quizás sea más un problema de dar la relevancia que tienen a estas tareas técnicas de mantenimiento que un mérito del atacante. Como ya comenté en el post "El cibercrimen ataca al eslabón más debil, ahora tramitación electrónica", hay una descompensación brutal entre el esfuerzo en proteger y la pericia en atacar. A nosotros nos toca vigilar a todas las ovejas mientras que el lobo sólo tiene que permanecer al acecho, buscar la más débil y atacar en un momento de despiste.







miércoles, 14 de marzo de 2012 2 comentarios

Explicando "eso de la seguridad de la información" a tu mamá

Llevo unas semanas de mucha intensidad y no me permiten sentarme tranquilamente a postear algunas reflexiones que tengo pendientes. Sin embargo y vistas las estadísticas de uso del último post, quiero enlazaros también 2 videos bastante útiles para temas de concienciación y formación.

El primero, al que llegué vía Microsiervos, explica de forma pedagógica que es eso de la criptografía asimétrica.

Video 1: Criptografía asimétrica.




El segundo grupo de videos me llamó mucho la atención cuando leí el tweet con el que llegué a ellos. La serie la han titulado "Explaining Information Security, Risk and Compliance to Your Mom"

Video 2: Gestión del riesgo.


Video 3: Políticas de seguridad y cumplimiento.





Todas estas cosas no podría haberlas compartido si no fuera gracias a Evernote, mi auténtica biblioteca digital que de forma sencilla me permite ahora capturar información de forma rápida y sencilla. Para quien no conozca esta potente herramienta, le dejo un enlace a la sección "Evernote Ninja" de Berto Pena, del que soy asiduo seguidor y alumno del curso en podcast "www.eresproductivo.com".
martes, 6 de marzo de 2012 2 comentarios

Enlaces a mis cuatro webinars gratuitos de seguridad (Actualización 01-02-2012)

Llevo un par de meses participando en unos seminarios Web (webinars) gratuitos impartidos por Bureau Veritas Business School. En los tres casos he podido comentar aspectos relacionados con la seguridad de la información tanto en el ámbito de la norma ISO 27001 como en el del R.D. 3/2010 del Esquema Nacional de Seguridad. Los títulos y enlaces son los siguientes:
También son muy recomendables los seminarios que ha grabado mi compañera Nuria Martínez (en Twitter @numarfer) sobre la problemática de protección de datos en problemas concretos y comunes. Sus seminarios y enlaces son:
La duración aproximada de todos ellos es de unos 35 minutos y en su contenido tratamos de volcar nuestra experiencia y conocimiento sobre los temas en los que somos consultores.

 
;