viernes, 27 de diciembre de 2013

Carta a los Reyes Magos de un Responsable de Seguridad para el 2014.

Siguiendo ya la tradición por estas fechas de mi carta a los Reyes Magos como en el año 2012 y 2013, esta sería la epístola que enviaré este año.
Este año, como en años anteriores he sido bueno y intentado que en mi organización no ocurran incidentes pero el milagro cada año cuesta mayor esfuerzo. Ya son notables los cambios de tendencia en relación al "lado oscuro de la fuerza" y los malos cada vez cuentan con mejores herramientas o aplicaciones que les hacen más fáciles sus fechorías. Es lógico en parte dado que las mismas herramientas que podemos emplear los que defendemos sistemas de información son también utilizables por quienes quieren atacarlos. Lo que se nota ya es que cada año cuentan con mejor artillería y que los conocimientos necesarios disminuyen lo que hace fácil transformar a cualquiera en atacante como nos van mostrando los diferentes informes de inteligencia que van publicando algunos fabricantes como Microsoft.
Como todos los años, dada la ausencia de incidentes graves, el resto de áreas no valoran demasiado el trabajo el área de seguridad pero este año ha sido ya algo más duro resistir porque la hostilidad del entorno va en aumento. Ya los ataques de phishing se dirigen a entornos más pequeños buscando todo tipo de empresas y víctimas potenciales. Así que de nuevo tengo que pedir algunas cosas para este año 2014 que empieza. Mi lista es la siguiente:
  • Este año necesito refuerzos muy importantes desde la capa de inteligencia de red. Es cada vez más necesario saber cuáles son los flujos de tráfico de mi organización con el exterior. Siempre nos había preocupado vigilar y proteger el tráfico entrante pero dada la sofisticación del malware ahora es necesario poder detectar actividades anómalas o tráfico extraño desde la red interna a sitios de reputación conocida y vinculada al mundo del malware. Este año 2014 que empieza me gustaría poder explotar el análisis reputacional de las IP sobre todo del tráfico desde mi red interna hacia sitios catalogados como malware. La existencia de los APT debe hacernos asumir que la red puede estar infectada y vigilar al menos de que los amigos de lo ajeno no se llevan por la red el botín a que hayan podido llegar usando sus técnicas de ingeniería social y pivoteo por la red. Por tanto, las herramientas SIEM que antes eran un lujo empiezan a ser una necesidad. También la introducción de dispositivos específicos para APT porque los métodos de intrusión cada vez están mas dirigidos a debilidades en las aplicaciones y es complejo tener un entorno homogéneo y un parque controlado de software instalado. Aunque durante un tiempo hemos descartado la filosofía de protección basada en listas blancas, probablemente debamos volver a ella de la mano del puesto de trabajo virtualizado.
  • La concienciación del usuario final será como todos los años otro frente sobre el que trabajar. Si antes eran claves en la protección del puesto de trabajo, ahora con la dispersión de los dispositivos móviles (BYOD) todavía se hace más necesario que estén al día en cuanto cómo proteger la información que custodian. Además, los ataques dirigidos intentan usar el correo electrónico y la debilidad del usuario final para contagiar un equipo y después pivotar hacia el backend.
  • Desde las áreas de la organización que velan por el cumplimiento normativo también empiezan a preguntarme cada vez más cuál es el estado de situación de nuestra seguridad. Seguramente los constantes incidentes y fugas de información de empresas muy notables les estarán haciendo pensar que "cuando ves las barbas de tu vecino pelar, pon las tuyas a remojar". Por eso mi primera petición está relacionada con mejorar mi capacidad de "mostrar" el nivel de protección. 
  • El efecto Snowden también se ha dejado notar bastante y seguramente en este año que empieza voy a tener que empezar a reportar a Dirección qué vigilamos y cuál es el nivel de riesgo que la Organización está asumiendo. En este sentido, es una buena noticia que las capas directivas quieran ya saber de mi, que deseen tener cierta "conciencia situacional" respecto a la seguridad de la infraestructura TI que da soporte a sus procesos de negocio sobre todo para poner freno a algunos de los saltos hacia la cloud computing que no estaban calibrando de forma correcta otros factores además del ahorro de costes. Ahora parece que este caso ha puesto de manifiesto lo que desde hace años tenemos claro en nuestra área y es el valor capital que tiene la información como activo de la Organización.  
  • Como no quiero ser muy acaparador, ya en último lugar y en relación al proceso de posibles subcontrataciones quiero pedirte consejo para poder valorar los riesgos que voy a tener que delegar sí o sí en terceros. El outsourcing que ya está implantado en casi todas las organizaciones llega al área de TI transformado en servicios de cloud computing. En este sentido, espero que en este 2014 se creen marcos de valoración o revisión de terceros que permitan de forma sencilla poder comparar la calidad, resiliencia y fiabilidad de los distintos prestadores para no tener que gestionar ese nivel de incertidumbre que actualmente tengo que asumir. Aunque tengo claro que voy a introducir la capacidad de poder supervisar o auditar las delegaciones de servicios que realice, lo ideal sería que existiera un enfoque estandarizado. Espero que el desarrollo de la futura "ISO 27017 Code of practice for information security controls for cloud computing services based on ISO 27002" me ayude al menos a poder solicitar una declaración de aplicabilidad del externo sobre los sistemas que haya podido delegar.



En fin queridos Reyes, se que éste seguirá siendo un año difícil y que las organizaciones todavía no valoran/comprenden y entienden qué pinta la seguridad de la información aunque como cada vez son más frecuentes los ataques al menos se incrementan su sensación de que somos un mal necesario. 


 
;