En estos últimos tiempos se viene hablando de la necesidad de mejorar los mecanismos de control sobre diferentes actividades, en general, de gestión económica dentro de las grandes compañías y empresas, para generar confianza y evitar el fraude. Las organizaciones han incorporado a su funcionamiento las ventajas de las tecnologías de la información, modificando sus procesos de negocio para mejorar el rendimiento y la productividad. Sin embargo, en el diseño de estos sistemas de información, desde el comienzo, ha primado el rápido funcionamiento y la puesta en marcha de los servicios sin parar mucho a pensar en la fase de diseño, en mecanismos de control y auditoría sobre los procesos. Llega actualmente el momento en el que esas desconsideraciones sobre la importancia de garantizar la fiabilidad de los procesos que han sido automatizados están poniendo de manifiesto una gran preocupación por la gestión y control de las tecnologías de la información, ya que han dado lugar a la aparición de nuevos riesgos no identificados debido principalmente a la complejidad de la infraestructura, la alta dependencia de la organización sobre los sistemas de información y los abusos de privilegios por parte de usuarios legítimos.
Fruto de esta preocupación puede entenderse el interés y la demanda que actualmente tienen las normas, recomendaciones y estándares considerados buenas prácticas de gestión de la tecnología, como pueden ser la norma ISO 27001, que especifica los requisitos para la construcción de Sistemas de Gestión de la Seguridad de la Información (SGSI) y la norma ISO 20000, que establece los requisitos para la construcción de Sistemas de Gestión de Servicios de Tecnologías de la Información (SGTI).
En términos técnicos, una auditoría viene definida por el establecimiento de cuatro aspectos relacionados con la actividad auditora:
- Objetivo.
- Evidencias.
- Independencia.
- Conclusiones.
Estos cuatro conceptos establecen los pilares de una posible definición de auditoría que sería “el proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.”
La Auditoría de Sistemas de Información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias.
La auditoría de sistemas de seguridad es una medida de seguridad que debe ser considerada por su importancia, dado que permite detectar deficiencias antes de que éstas puedan ser utilizadas o puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo que evita los abusos de poder.
Al igual que es un tópico de seguridad el tema del conocido post-it con la contraseña al lado del equipo al que permite el acceso, los logs que no son nunca consultados son otro que suele repetirse cuando se revisan sistemas de información. Estas trazas auditables informan de situaciones anómalas en el momento en que se producen y proporcionan pruebas electrónicas que puedan ser utilizables en caso de finalmente llevar al campo jurídico la denuncia correspondiente. Sin embargo, la práctica habitual es la de no mirar los logs y además, no conservarlos con garantías jurídicas suficientes para que puedan ser utilizados como evidencia en juicio. Es otro tópico más en el que se demuestra que la "sensación de protección" no se corresponde para nada con la seguridad efectiva que realmente se tiene ni con el objetivo que justifica el esfuezo económico que se hace para disponer de espacio para su almacenamiento. Los logs cuestan dinero pero si no cumplen con el objetivo por el que se recogen y almacenan, mejor no hacer nada.
Respecto a la normalización de la prueba electrónica, habrá que estar atentos a los trabajos de la Asociación Española de Evidencias Electrónicas (AEDEL) que nace con el objetivo de ser referente técnico y jurídico en aquello que las evidencias y pruebas electrónicas afecten a los ciudadanos, queriendo hacer posible con su actividad que la sociedad española – ciudadanos, padres, jóvenes, entidades públicas y privadas, sin distinción de tamaño o sector- puedan disfrutar de un marco de seguridad y confianza en los entornos digitales y en Internet.
miércoles, 21 de enero de 2009
ISO 27001/27002
0
comentarios
La función de auditoría como mecanismo de seguridad
Aunque ultimamente ando muy saturado de trabajo, en el Blog del Inteco dejo unas reflexiones sobre la importancia de la función de la auditoría en los actuales sistemas de información. Os extracto algunas partes y os invito a pasar por el Blog del Inteco para leer el texto completo.
Hoy se ha hecho público que David Bisbal ha sido objeto de extorsión cibernética fruto del acceso ilegítimo de una fan al correo electrónico personal del artista. Los hechos también son explicados en su propio comunicado.
Sorprende que el método de acceso parece haber sido simplemente que la fan ha podido adivinar las preguntas alternativas que se formulan como método de autenticación alternativo a no conocer la contraseña. Del incidente, íntimamente relacionado con otros similares producidos durante la campaña a las elecciones americanas, me sorprenden dos cosas:
- Por un lado, la importancia del bloqueo de una cuenta si tras sucesivos intentos fallidos no se adivina ni la contraseña ni las respuestas alternativas que permiten el acceso.
- Por otro, el alto valor de los activos que David Bisbal maneja a través del correo electrónico.
Es cierto que la fluidez del email permite agilidad e inmediatez en las gestiones profesionales y personales pero dudo yo que David Bisbal enviara por carta ordinaria información excesivamente valiosa o comprometedora. El formato electrónico parece tener la curiosa habilidad de hacer disminuir el valor de la información, pero una canción es una canción ya sea un fichero mp3 o una partitura escrita.
Para estos casos donde la información es tan sensible, yo utilizo un método muy simple basándome en la creación de unos contenedores seguros de información. La idea es bien sencilla, utilizar el software freeware Truecrypt y consta de los siguientes pasos:
El tutorial sobre como usar truecrypt se puede consultar aquí.
También recomendar los consejos que Julián Inza da en su blog para evitar la ingeniería social sobre contraseñas.
Sorprende que el método de acceso parece haber sido simplemente que la fan ha podido adivinar las preguntas alternativas que se formulan como método de autenticación alternativo a no conocer la contraseña. Del incidente, íntimamente relacionado con otros similares producidos durante la campaña a las elecciones americanas, me sorprenden dos cosas:
- Por un lado, la importancia del bloqueo de una cuenta si tras sucesivos intentos fallidos no se adivina ni la contraseña ni las respuestas alternativas que permiten el acceso.
- Por otro, el alto valor de los activos que David Bisbal maneja a través del correo electrónico.
Es cierto que la fluidez del email permite agilidad e inmediatez en las gestiones profesionales y personales pero dudo yo que David Bisbal enviara por carta ordinaria información excesivamente valiosa o comprometedora. El formato electrónico parece tener la curiosa habilidad de hacer disminuir el valor de la información, pero una canción es una canción ya sea un fichero mp3 o una partitura escrita.
Para estos casos donde la información es tan sensible, yo utilizo un método muy simple basándome en la creación de unos contenedores seguros de información. La idea es bien sencilla, utilizar el software freeware Truecrypt y consta de los siguientes pasos:
- 1.- Se crea un fichero truecrypt del tamaño deseado (1,2,o más MB) para guardar la información importante que se desea enviar.
- 2.- Se introducen los archivos valiosos dentro del fichero truecryt.
- 3.- Se envía por correo electrónico el fichero truecrypt que hace de contenedor seguro.
- 4.- Se envía un SMS al destinatario o se llama por teléfono para indicar la clave simétrica utilizada para proteger el fichero truecrypt.
El tutorial sobre como usar truecrypt se puede consultar aquí.
También recomendar los consejos que Julián Inza da en su blog para evitar la ingeniería social sobre contraseñas.
- La longitud de las contraseñas no debe ser inferior a los siete caracteres.
- Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.
- La contraseña no debe contener el identificador o el nombre del usuario o de otras personas.
- La contraseña no debe ser (o contener) una palabra del diccionario (de cualquier idioma).
- La contraseña no debe ser una fecha, o un número identificable como el teléfono, el DNI, la matrícula del coche,…
- La contraseña no debe estar compuesta por letras cuyas teclas sean consecutivas en el teclado
- Un truco interesante es pensar en una frase (que no sea de uso muy frecuente) y utilizar laa letras iniciales de cada palabra. Ojo, que mucha gente usa este truco y acaba poniendo +vpemq100v (¿adivinas el refrán?)
Interesantes reflexiones de Joseba Enjuto sobre la problemática del "análisis y gestión del riesgo en materia de seguridad de la información".
Ni una sola coma tiene desperdicio. También es muy interesante el artículo inicial que genera su reflexión.
Más información en Seguridad y Gestión: ¿Funcionan los analisis de riesgos?
Esto va muy en la línea de un próximo post que se plantea el por qué hacemos las cosas, en materia de seguridad.
PD: Gracias a los ahora más de 1.000 suscriptores vía RSS que ya seguís a diario este humilde blog. Intentaré estar a la altura de las circunstancias con post algo más meditados y reflexivos sobre la "cuestión de la seguridad".
Ni una sola coma tiene desperdicio. También es muy interesante el artículo inicial que genera su reflexión.
Más información en Seguridad y Gestión: ¿Funcionan los analisis de riesgos?
Esto va muy en la línea de un próximo post que se plantea el por qué hacemos las cosas, en materia de seguridad.
PD: Gracias a los ahora más de 1.000 suscriptores vía RSS que ya seguís a diario este humilde blog. Intentaré estar a la altura de las circunstancias con post algo más meditados y reflexivos sobre la "cuestión de la seguridad".
Como suele ser ya rutinario en este blog, en el cambio de año toca hacer balance del pasado y pensar en lo que se nos viene encima para el 2009. Este año me he dormido demasiado y ya están publicados muy buenos resumenes en otras Webs. Quiero destacar el repaso de Hispasec al 2008 en los post Resumen del 2008 (I), (II) y (III)
Como estudios ya publicados con las tendencias para el 2009, destacar los realizados por GDATA,Websense,Fortinet,Karspesky, lo publicado por la revista Networkworld basado en los estudios de la consultora Forrester y el extenso informe de E-SET.
Como resumen, nos podemos quedar con las conclusiones de Fortinet que enumera las 9 tendencias más relevantes:
Como estudios ya publicados con las tendencias para el 2009, destacar los realizados por GDATA,Websense,Fortinet,Karspesky, lo publicado por la revista Networkworld basado en los estudios de la consultora Forrester y el extenso informe de E-SET.
Como resumen, nos podemos quedar con las conclusiones de Fortinet que enumera las 9 tendencias más relevantes:
1.- Hacer más con menos – Consolidar la seguridad y algo más: Los mecanismos integrados de seguridad se sucederán en un número aún mayor que antes, porque los departamentos de IT de las empresas están siendo presionados por la economía para recortar los costos y mantener la integridad de la red, en esencia, hacer más con menos.
Además de la integración de dos o más funciones de seguridad en un único dispositivo para el capital y el ahorro operacional, las empresas pueden buscar "superset", soluciones de seguridad que pueden abarcar otras funcionalidades de la red como la optimización WAN y SSL. En pocas palabras, la eficiencia será la nueva tecnología necesaria para el año 2009.
2.- Bloqueo de la información de seguridad: Según recientes estudios, a partir del robo de información sensible (ataques a bases de datos AKA) en TJMax y otros, más empresas se están dando cuenta de que no basta con restringir el acceso en la puerta de entrada a sus redes, sino que deben proteger sus bases de datos para detectar y prevenir tanto ataques internos como externos.
Además, la última reglamentación de PCI-DSS (Payment Card Industry Data Security Standard) ha sido actualizada y requiere la aplicación de un firewall como medida de seguridad para proteger la información crediticia de los clientes. Como resultado de esto, se hará más hincapié en la seguridad de bases de datos y el cumplimiento de la reglamentación, obligando a las empresas a incorporar medidas de seguridad como parte de la estrategia de seguridad global de sus redes.
3.- Múltiples vulnerabilidades de la Web 2.0: La popularidad de sitios de redes sociales y las operaciones in-the-cloud (como SaaS – Software as a Service) han ampliado el significado de "red" y muchos hackers encuentran grietas en la protección con el objetivo de poder ingresar y salir de la red. Como resultado, las empresas tienen una mayor necesidad de emplear firewalls en aplicaciones Web y mecanismos para prevenir fugas de información de la red corporativa y evitar la distribución involuntaria de esa información.
4.- Mayor ancho de banda, más velocidad - Tolerar lo bueno, lo malo y lo feo: 10 Gb de velocidad de navegación no es una quimera sino una realidad que se recibió con satisfacción, y su adopción se espera que aumente durante el año 2009. Sin embargo, la apertura del grifo de la red significa también que muchas cosas malas llegarán de la mano de las cosas buenas. Es crucial la disponibilidad de protocolos de seguridad que trabajen con la velocidad 10 Gb, y debería ser el próximo área de enfoque para mantener la integridad de las redes de alta velocidad.
5.- 3G - la próxima gran amenaza para la seguridad móvil: La actividad malintencionada en dispositivos móviles como teléfonos inteligentes ha sido escasa hasta la fecha, pero se espera que los consumidores adopten por la tecnología 3G de banda ancha móvil, lo que permitirá la apertura de un nuevo y enorme mercado para la actividad cibercriminal.
Por ejemplo, estamos viendo sólo la punta del iceberg con la reciente vulnerabilidad del Sistema Operativo Android de Google. 3G le permite a los operadores ofrecer una gama más amplia de los más avanzados servicios móviles, como transmisión en tiempo real y alta calidad de audio / vídeo, y una mayor capacidad de la red. Todo esto se suma a una mayor oportunidad para las infecciones de virus y los ataques, y exige un enfoque centrado en garantizar seguridad a los millones de dispositivos móviles en funcionamiento en la actualidad.
6.- Mayor flujo de efectivo en el subsuelo digital: Durante el último par de años, operaciones organizadas de hackers han construido sus bases y ahora esperamos que amplíen su actividad. Ofrecerán más herramientas, como botnets (software que se ejecuta de manera autónoma) o recolectores de información de cuentas de red (por ejemplo, redes sociales).
Los programa de afiliados aumentarán a medida que esas organizaciones busquen alimentar su estructura; si funciona, seguirán ofreciendo más programas de incentivos para "Script kiddies" (crackers inexpertos que usan programas, scripts, exploits, troyanos, nukes, etc. creados por terceros para romper la seguridad de un sistema). Una nueva generación de usuarios está conectada en el ciberespacio. Esta generación será más vulnerable a los canales subterráneos, como el phishing y los exploits kits. Esto, a su vez, los tentará a unirse al lado oscuro.
7.- Que comiencen los juegos: Los juegos online han cobrado mucho impulso durante el año pasado, en particular en Asia. Esto seguirá creciendo con la próxima generación de usuarios. Como resultado de ello, se producirá más interactividad en estos mundos virtuales. Hemos visto un fuerte aumento de troyanos destinados a recolectar información de cuentas de usuario, y esto será algo a considerar durante 2009 en este mercado en crecimiento.
8.- Aumento de ataques selectivos y premeditados: A lo largo de 2008, hemos visto una caída sostenida en la distribución mensual de malware --con la excepción de ataques de scareware que elevó el volumen de malware en el segundo semestre del año.
A medida que entramos en una era de guerra informática, los ataques que utilizan malware serán mucho más agresivos que en la actualidad. Veremos más en 2009: ataques premeditados a objetivos específicos, orientados a empresas y gobiernos.
9.- La aplicación de la Ley en la red: La aplicación de la ley durante 2008 implicó un agresivo esfuerzo para llevar ante la Justicia a los autores de malware y organizaciones hackers. Sin embargo, llevará más que el 2009 para acabar por completo con esa actividad delictiva. Este será un proceso lento, que requerirá un esfuerzo sin precedentes entre los distintos organismos de aplicación de la ley para abordar eficazmente las cuestiones de la seguridad cibernética.
miércoles, 7 de enero de 2009
Documentación de interés
2
comentarios
Actual situación de la validación de certificados digitales
Tras el descanso vacacional de las navidades, vuelvo a reengancharme con la actividad blogera aunque la actual carga de trabajo no me permita todavía grandes disertaciones y extensos y profundos post sobre los temas que a todos nos preocupan.
Sin embargo si puedo localizar y compartir con vosotros los lectores los enlaces de otra gente que está haciendo un muy buen trabajo sobre temas relacionados con la problemática de la que trata este blog.
He podido encontrar un excelente texto que aclara con todo detalle cual es la actual situación de los servicios de validación de certificados digitales en España, qué establece la Ley al respecto y qué servicios se están prestando.
Aquí aparece claramente descrito cómo algunos prestadores, entre ellos la FNMT han decidido que los servicios de validación de certificados no sean gratuítos.
Ahora se nos presenta la paradoja de que, en el uso de estos certificados para la tan atractiva factura electrónica, el emisor va a generar un documento y el receptor (según el prestador que elija) puede tener que pagar para poder verificar si la factura que ha recibido es correcta o no. ¿Esto de la factura electrónica no eran todo ventajas y ahorro de costes?
El texto completo podéis leerlo en "Apuntes electrónicos: Validación de certificados digitales".
Sin embargo si puedo localizar y compartir con vosotros los lectores los enlaces de otra gente que está haciendo un muy buen trabajo sobre temas relacionados con la problemática de la que trata este blog.
He podido encontrar un excelente texto que aclara con todo detalle cual es la actual situación de los servicios de validación de certificados digitales en España, qué establece la Ley al respecto y qué servicios se están prestando.
Aquí aparece claramente descrito cómo algunos prestadores, entre ellos la FNMT han decidido que los servicios de validación de certificados no sean gratuítos.
Ahora se nos presenta la paradoja de que, en el uso de estos certificados para la tan atractiva factura electrónica, el emisor va a generar un documento y el receptor (según el prestador que elija) puede tener que pagar para poder verificar si la factura que ha recibido es correcta o no. ¿Esto de la factura electrónica no eran todo ventajas y ahorro de costes?
El texto completo podéis leerlo en "Apuntes electrónicos: Validación de certificados digitales".
Suscribirse a:
Entradas (Atom)
- Follow Us on Twitter!
- "Join Us on Facebook!
- RSS
Contacta por Linkedin