C

M

Y

CM

MY

CY

CMY

K

Portada_014.pdf 1 2/11/14 4:45 PM

¿Sabías que

es el únicoCentro de Entrenamientoautorizado en México?

Por lo que ahora puedes:

1.- Tomar el Seminario Oficial de CISSP de (ISC)2 del 7 al 11 de abril de 2014, en Scitum a un precio de US$1,900.00 más IVA.

2.- Presentar el examen de certificación con costo de US$599.00 a través de uno de los centros autorizados.

La sede del seminario es:Torre Telmex, Oficinas de Scitum, Cd. de México: Av. Insurgentes Sur No. 3500, colonia Peña

Pobre, C.P. 14060, delegación Tlalpan.

Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: capacitacion-isc2@scitum.com.mx

La fecha límite de inscripciones es el 24 de marzo de 2014.

C

M

Y

CM

MY

CY

CMY

K

Seminarios_ISC2.pdf 1 1/15/14 2:16 PM

3Enero - Marzo 2014

22 Democratización de la tecnología

contenido

» opinión

» editorial

6 Diez consejos para mejorar su relación con los fabricantes

10 Se dice cifrar, no encriptar

14 La seguridad y los ñus

20 BYOD: gestión no es igual a seguridad

4 EditorialHéctor Acevedo Juárez

Imelda Flores Monterrosas

Julio Ayala Nuñez

Héctor Acevedo Juárez

Julio Ayala Nuñez

» conexiones16

6

4Dirección General

Ulises Castillo Hernández

Editor en jefeHéctor Acevedo Juárez

Consejo EditorialUlises Castillo Hernández

Priscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres

ColaboradoresHéctor Acevedo

Julio Ayala NuñezImelda Flores Monterrosas

Manolo PalaoEsteban San Román

Carlos Villamizar Rodriguez

Marketing y ProducciónKarla Trejo Cerrillo

Correctora de estiloAdriana Gómez López

DiseñoSilverio Ortega Reyes

Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 1, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF 06500. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma México DF. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de Photos.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.

Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx

14AÑO 5, NÚMERO 1, 2014

Carlos Villamizar Rodríguez

28 Troyanos materiales

y la información

Manolo Palaoo la seguridad de las cosas

¿Sabías que

es el únicoCentro de Entrenamientoautorizado en México?

Por lo que ahora puedes:

1.- Tomar el Seminario Oficial de CISSP de (ISC)2 del 7 al 11 de abril de 2014, en Scitum a un precio de US$1,900.00 más IVA.

2.- Presentar el examen de certificación con costo de US$599.00 a través de uno de los centros autorizados.

La sede del seminario es:Torre Telmex, Oficinas de Scitum, Cd. de México: Av. Insurgentes Sur No. 3500, colonia Peña

Pobre, C.P. 14060, delegación Tlalpan.

Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: capacitacion-isc2@scitum.com.mx

La fecha límite de inscripciones es el 24 de marzo de 2014.

C

M

Y

CM

MY

CY

CMY

K

Seminarios_ISC2.pdf 1 1/15/14 2:16 PM

16 Seguridad perimetral:

Esteban San Román el debate del momento

4

editorial

Después de un 2013 que resultó más difícil de lo que esperábamos por la fuerte reducción del gasto gubernamental en México y la contracción económica en toda Latinoamérica, el sector de TI está a la espera de un mejor desempeño para este año. ¿Será posible? La anunciada recuperación de EE.UU. deberá ayudarnos, empiezan a liberarse presupuestos públicos y se espera mayor inversión debido a los incidentes de seguridad que han estado ocurriendo, tanto en la iniciativa privada como a nivel

gubernamental, además, con el fantasma de la NSA rondando en la cabeza de muchos líderes de la región, sin duda incrementarán sus inversiones para proteger la información

sensible de sus respectivos países.

En línea con lo anterior, algunas de las estimaciones de IDC México para 2014: » El crecimiento de la industria de TI en Latinoamérica será de 8.4% en promedio, mientras

que Brasil y México podrían estar creciendo 9% y 13%, respectivamente. » La inversión en tecnología (hardware, software y servicios) llegará a 139 mil

millones de dólares, cifra mayor en 8.4% a la de 2013. » En servicios de telecomunicaciones se espera una inversión que supere

en 8% a la del año anterior, para llegar a los 218 mil millones de dólares. Pero no todo el panorama es halagüeño; Europa no termina de salir de

la recesión y en nuestro continente las mayores economías al sur del Río Bravo enfrentan algunas dificultades: las reformas estructurales a las leyes

no terminan de cuajar en México y hay incertidumbre sobre el desempeño de Brasil, además de lo que pudiera causar una nueva versión del “efecto tango” por

la crisis argentina. Así pues, habrá que estar alertas y no confiarnos.

Antes de despedirme, quisiera compartir con ustedes algunas estadísticas de nuestro sitio Web para 2013, que existe gracias a todos ustedes:

» Total de visitas 45,912

» Páginas vistas 67,485 » Los cinco países con más visitas (de un total de 88):

· México 14,169· Colombia 3,474· España 2,449· Perú 2,256· Ecuador 1,126

Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes.

Como siempre, muchas gracias por su atenta lectura.

CISSP, CISA, CGEIT, ITIL y MCSEhacevedoj@scitum.com.mx

Héctor Acevedo

2014 ¿Año de claroscuros?

Atentamente

Héctor Acevedo JuárezEditor en jefe

6

Durante el desempeño de nuestras funciones, muchos de nosotros tenemos que interactuar con distintos fabricantes de hardware y software pero dicha interacción no siempre es fácil. Por ello comparto con ustedes algunas recomendaciones en caso de que necesiten solicitar soporte:

opinión

PMP, CISSP, ITIL, CCNA Security, CISCO IPS y Optenet Certifiediflores@scitum.com.mx

Imelda Flores Monterrosas

Diez consejos para mejorar su relación con

los fabricantes

Si la falla no está entre la capa uno y cuatro de OSI, es momento de abrir un caso.

Cuando una falla se encuentra en las primeras capas es mucho más fácil de identificar ya que una simple captura de tráfico la puede poner al descubierto, pero por la naturaleza de muchas tecnologías de seguridad, cuando no es así, el diagnóstico se puede volver más complejo y algunas veces caemos en un ciclo tratando de resolver todo por nuestra cuenta cuando una sola llamada nos podrían dar la solución.

Levante sus casos por teléfono.

Si desea tener un seguimiento más certero, lo mejor es levantarlos telefónicamente. En mi experiencia he visto que los fabricantes suelen dar prioridad a aquellos casos que son abiertos de esa manera, sin importar el tipo de contrato de soporte con el que se cuente, mientras que aquéllos que se abren a través de su portal pasan a segundo término. Pareciera que el pensamiento subyacente es que si el problema fuese realmente crítico, estaríamos levantando el teléfono para contactarlos.

1

2

3

4

Identifique si las recomendaciones de los fabricantes no son las más acertadas.

Recordemos que nadie conoce la red mejor que nosotros, por lo que a veces podría suceder que el fabricante dé recomendaciones que no necesariamente son las más acertadas. Es aquí cuando resulta imperante hacer un análisis y combinar lo que el fabricante comenta, lo soportado por la documentación del producto, y el entorno de su red.

Es mejor pedir soporte del país de origen del producto.

El soporte en el país de origen tiende a ser mejor porque es mucho más fácil entrenar a los especialistas cuando el desarrollador está en una ciudad cercana o incluso en la misma oficina. Por ello si es posible pedir atención localizada en un TAC (technical assistance center) ubicado en el lugar donde se desarrolla el producto, le garantizo que la solución llegará más rápido.

7Enero - Marzo 2014

El seguimiento es clave en la resolución de cualquier caso.

Como es de imaginar, los fabricantes reciben un gran número de llamadas por día y es usual que mientras le piden correr pruebas a un cliente trabajan con los resultados provistos por otro, de ahí que si nos tardamos varios días en proporcionar la información necesaria para continuar con el análisis, el fabricante no podrá avanzar. Así pues, alguien debe dedicarse al seguimiento de principio a fin, de tal manera que si es necesario reiniciar un firewall o hacer un bypass en un IPS, esa persona sea capaz de tomar la decisión y así acelerar las pruebas. Tomemos en cuenta que normalmente cuando la falla se debe a un bug, el fabricante terminará por crear un parche que típicamente tomará por lo menos cuatro semanas, por lo que un rápido diagnóstico es muy importante.

Siempre hay que probar las soluciones antes de cantar victoria. Cada ambiente es único, por ejemplo, un dispositivo de filtrado Web funcionará muy bien en cierta red pero cuando se implementa en otra donde la política de seguridad es diferente, puede presentarse algún comportamiento errático. Es importante cuestionar el impacto de los cambios que sugiera el fabricante y asegurarse de que este proporcione el sustento técnico de los mismos, ya que una solución que funcionó en un ambiente no siempre funcionará en otro. Lo mejor es replicar la falla y probar la solución en laboratorio, ahí antes de llevarla a un ambiente productivo.

Su gerente de cuenta (account manager) es su mejor amigo.

El gerente de cuenta se responsabiliza de darle seguimiento a nuestros casos y asegurarse de que terminamos satisfechos con la solución, ya que eso le abre la puerta al fabricante para que sigamos comprando sus soluciones. Cuando poseemos un soporte tipo Premium, es posible que nos provean de un gerente de cuenta personal, sin embargo, es más común que los fabricantes designen gerentes de cuenta por región o por grupos de clientes. Es recomendable investigar quién nos corresponde e involucrarlo en aquellos casos que se tornan difíciles de resolver, para escalarlos oportunamente al siguiente nivel.

5

6

7

Enero - Ma

8

8

9

10

Elija el plan de soporte de acuerdo a sus necesidades.

Cuando hablamos de equipos de seguridad, recomiendo invertir en el mejor plan de soporte que podamos conseguir; sin embargo puede haber excepciones: si, por ejemplo, tiene un dispositivo en un esquema de alta disponibilidad en una oficina remota, tal vez convenga comprar un tipo de soporte de menor costo ya que la lejanía geográfica podría implicar que el nivel de servicio de RMA (return merchandise authorization) sea de días en lugar de horas, de tal manera que no valdrá la pena asegurar soporte telefónico en, por ejemplo, cuatro horas.

Pida consejo de un experto antes de comprar.

En varias ocasiones hemos hablado de que no importa que tengamos el firewall o el IPS más caro del mundo si este no está ajustado a las necesidades de la red. Cuando se requiere alguna característica especial como análisis avanzado de amenazas o denegación de servicio o incluso la protección de una aplicación en específico, lo mejor es recurrir a servicios de consultoría que puedan hacer una evaluación objetiva de la tecnología a implementar, ya que ¿cuántas veces compramos un producto por una característica especial que no tiene el de la competencia y luego surge la decepción porque, al utilizarla, el desempeño del equipo cae drásticamente o aparece un bug inexplicable que tardará meses en ser resuelto? Lo mejor es invertir desde el inicio en servicios especializados que le provean información que le permita tomar la mejor decisión.

La información oportuna marca la diferencia.

Hay que dejar muy claras nuestras expectativas en términos de funcionalidad y desempeño, así como asegurarnos de proporcionar toda la información requerida para el diseño de la arquitectura que más se ajuste a nuestras necesidades. Si, por ejemplo, no tenemos claridad sobre cuántas conexiones concurrentes habrá, o el tipo de tráfico que pasará por un dispositivo, es posible que terminemos con un equipo sobrecargado que, lejos de proteger, terminará representando problemas constantes en la operación.

C

M

Y

CM

MY

CY

CMY

K

netiq_corp_ad_latin_america_spanish_print.pdf 1 1/28/14 11:03 AM

10

Se dice cifrar, no encriptar

Julio Ayala Nuñez

De acuerdo a la Real Academia Española, la palabra encriptar no existe. Desafortunadamente, esta palabra es utilizada como un anglicismo de la palabra “encryption” y en el mundo de la seguridad de la información muchos profesionales la emplean como si fuera un término correcto.

Pensando en ello, decidí hacer un pequeño artículo que introduzca algunas definiciones y usos básicos de la criptografía en el campo de la seguridad de la información.

El Diccionario de la Real Academia Española define criptografía como el arte de escribir con clave secreta o de un modo enigmático. Entonces la criptografía se vuelve un medio para mantener un nivel adecuado de confidencialidad e integridad de la información, a través del uso de las herramientas matemáticas aplicadas en programas de cómputo que cifran lo que quiere protegerse.

Conceptos clave: códigos, cifras, algoritmos y llaves

La criptografía utiliza la codificación como un método de escritura que consiste en sustituir las palabras por otras, cambiando un mensaje en texto plano a un formato diferente. Cuando se utiliza la codificación para transmitir un mensaje, regularmente el objetivo es asegurar la confidencialidad en la transmisión.

El cifrado es cuando se sustituyen las letras o los caracteres del mensaje original para crear uno que no cualquiera pueda leer. Existen

dos métodos, por permutación y por sustitución. Por permutación es cuando se reorganiza la posición de los caracteres de un

texto de acuerdo a un algoritmo, y la sustitución es cuando se cambia una letra o byte por otro mediante una serie de reglas predefinidas.

Un algoritmo es el método matemático que se emplea en el proceso de cifrar

o descifrar la información, y uno de los conceptos principales de los algoritmos modernos es el de “llave”. La llave es utilizada por el sistema de cifrado como

un parámetro de entrada para realizar el proceso de cifrado/descifrado. Es justamente la llave la que controla el

comportamiento del algoritmo y brinda confiabilidad en el cifrado del mensaje.

Existen métodos simétricos y asimétricos de cifrado: en el primer caso, la llave con la que se cifra el mensaje es la misma que se debe utilizar

para descifrarlo.

CISSP, GCFA, GCIH, CISA, ISO27001, ITIL, CSE y PMPjayala@scitum.com.mx

opinión

11Enero - Marzo 2014

En los métodos asimétricos las claves para cifrar y descifrar son diferentes y normalmente reciben el nombre de llave pública y llave privada, porque la primera es distribuida libremente mientras que la segunda se queda en posesión exclusiva del dueño de las llaves (algo cifrado con una llave privada sólo puede ser descifrado con su correspondiente llave pública, y viceversa).

Con el uso de la criptografía ayudamos a mantener la confidencialidad de la información haciendo que los mensajes cifrados solo puedan ser descifrados por aquéllos que conocen la clave de cifrado, y también permite validar la integridad de la información detectando si el mensaje fue alterado.

¿Y cuántas llaves se necesitan para mantener la confidencialidad? Esto depende del tipo de método utilizado. Por ejemplo, para que dos entidades se comuniquen en un sistema simétrico se requiere solamente una, para el caso de tres entidades se necesitan tres llaves y para el caso de cuatro entidades se requieren seis, lo que quiere decir que para n cantidad de usuarios se necesitarán tantas llaves como combinaciones de n usuarios escogidos en pares se tengan, lo cual se puede resolver con la siguiente fórmula:

Donde:

n = cantidad de entidades o usuarios del sistemax = número de llaves que serán necesarias

Por su parte, un sistema con cifrado asimétrico utiliza un menor número de llaves. La fórmula para determinar cuántas se necesitan es:

Ahora bien, aunque los algoritmos asimétricos son más complejos en su programación y requieren mayor poder de cómputo, son los preferidos porque al usar de maneras diferentes las llaves se pueden asegurar características distintas: confidencialidad, integridad o no repudiación. Lo anterior se debe al hecho de que en un sistema de llaves privadas y públicas aseguramos que cuando se cifra con una llave privada, el mensaje puede ser descifrado solo con la llave pública, la cual puede ser utilizada por cualquier persona, y cuando se cifra un mensaje con esa la clave pública solo puede ser descifrado con la clave privada con que se generó la pública.

x n(n-1)=2

x n= 2

12

Así pues, por ejemplo:

a) Si Julio cifra un mensaje con la llave pública de Héctor, sólo Héctor podrá descifrar el mensaje con su llave privada, lo cual asegura la confidencialidad.

b) Cuando Julio cifra un mensaje con su llave privada, cualquiera que tenga la llave pública de Julio puede abrir el mensaje y estar seguro de que fue precisamente éste último quien envió el mensaje, lo cual asegura la autenticidad y no repudiación del mensaje.

Para los lectores que son nuevos en el campo de la seguridad y quieren aprender más sobre este tema, les recomiendo el libro “Matemáticos, espías y piratas informáticos” de Joan Gómez, que resulta muy interesante por la historia que cuenta, y aborda el tema de las matemáticas implicadas en los algoritmos de cifrado de manera muy didáctica, sin embargo comete el error de usar la palabra “encriptar”, lo que me llevó a recordar lo importante de los conceptos básicos y de mantener un lenguaje correcto que brinde validez a nuestro desempeño dentro del campo de la seguridad de la información.

14

La seguridady los ñus

opinión

CISSP, CISA, CGEIT, ITIL y MCSEhacevedoj@scitum.com.mx

Todos los días vemos, leemos y escuchamos noticias sobre la gran cantidad de vulnerabilidades y amenazas a los sistemas informáticos que

usamos, tanto en nuestro trabajo como a nivel personal. Botnets, rootkits, virus, ataques de día

cero y un montón de cosas más amenazan nuestros servidores, computadoras personales, teléfonos

inteligentes, tabletas y cualquier artefacto con chip (hasta los sistemas electrónicos de ese bonito BMW que muchos

tienen en casa).¿Por qué entonces seguimos tan confiados, incluso aquéllos que nos dedicamos a la

seguridad informática? ¿Por qué no vemos incidentes de seguridad todo el día y todos los días? (El hecho de no detectarlos no significa que no existan.) Las respuestas a estas preguntas

no son sencillas y sin duda son multifactoriales, pero en esta ocasión me concentraré en una faceta que me parece interesante porque habla mucho de la naturaleza de los humanos ante las amenazas: nuestro comportamiento es similar al de los ñus cuando atraviesan parte de África durante su migración.

Me explico: los ñus no son muy inteligentes y físicamente no se caracterizan por nada en particular; no poseen grandes o filosos cuernos, no son muy rápidos, etcétera. Entonces, ¿cuál es su estrategia de supervivencia ante los hambrientos leones en la sabana o los cocodrilos que esperan pacientemente para cazarlos cuando cruzan el río? Es simple, siendo muchos y protegiéndose al ser parte de un gran rebaño.

No es lo mismo ser un ñu solitario que trata de cruzar un río con cien cocodrilos hambrientos (seguramente terminaré siendo comido), que ser parte de un rebaño de cien mil individuos que cruzarán el río: la probabilidad de ser comido se reduce increíblemente y el "ñu Héctor" tiene una muy alta probabilidad de sobrevivir otro rato.

Creo que en el mundo de la seguridad informática vivimos, inconscientemente, un escenario semejante: somos tantos que la probabilidad de ser víctimas parece baja.

Héctor Acevedo Juárez

15Enero - Marzo 2014

Pero, ¿realmente lo es? Creo que no. Lamentablemente nuestros cocodrilos son mucho más inteligentes, cada día son más y, lo que es peor, trabajan en equipos muy bien coordinados. Por ello también nosotros debemos ser más inteligentes y coordinados, lo cual inicia con un aumento del grado de conciencia de las amenazas y vulnerabilidades de nuestros sistemas.

¿Hay una solución mágica? No. Tanto en casa como en las empresas debemos tomar medidas tecnológicas y de otros tipos. Aunque mucho se ha hablado de la probable inutilidad de los programas de concienciación, yo soy de aquéllos que sostienen que sí son valiosos y necesarios, no obstante que muchos esfuerzos hayan resultado infructuosos (más por una mala implantación que por la inutilidad de estos programas). Y apoyo mi información en el simple hecho de que el incremento del grado de conciencia de las vulnerabilidades y amenazas es la principal herramienta que hemos utilizado durante muchas generaciones para proteger a nuestros semejantes, en especial los menores.

En conclusión, implantemos programas de concienciación para dejar de comportarnos como un ñu; pero hagámoslo bien, asegurándonos de definir claramente los objetivos, asignando los recursos necesarios y haciendo al plan parte de un proceso continuo que incremente la seguridad de los sistemas, la información y las personas.

16

Recientemente se ha desencadenado un debate en foros, congresos y diferentes

publicaciones de nuestro medio sobre si es inteligente seguir invirtiendo en la seguridad perimetral de la empresa o si el gasto de seguridad debe redistribuirse y enfocarse hacia otras áreas.

Cada vez es más frecuente percatarse de que empresas chicas y medianas evitan realizar inversiones cuantiosas en infraestructura, tomando modelos y ofrecimientos creados especialmente para explotar las características del cómputo en la nube. Los grandes corporativos, por su parte, están aumentando el uso de esquemas de outsourcing, migrando aplicaciones a la nube, promoviendo el uso de dispositivos de los propios empleados (BYOD) y apoyándose en innovadores mecanismos de intercambio de información.

Todo esto conduce a cuestionamientos más frecuentes sobre el futuro de la seguridad perimetral y si realmente se puede considerar que aún existe. Aquellos que la catalogan como algo del pasado, afirman que con la consolidación del cómputo en la nube y la movilidad generalizada de muchas organizaciones no tiene sentido seguir invirtiendo en firewalls o IPS. El paradigma de la empresa de hoy difiere de lo que muchos de nosotros conocimos hace algunos años.

Uno de los principales impulsores de que la seguridad perimetral ya no tiene cabida en la estrategia de las empresas es el Open Group (www.opengroup.org) que entre otras aportaciones desarrolló el popular modelo de arquitectura TOGAF (The Open Group Architecture Framework). A través del foro Jericho, el Open Group sostiene como propósito la desmitificación de los lineamientos que por años se han manejado alrededor de la seguridad perimetral como algo inamovible de la estrategia y los presupuestos de las empresas, esta “desperimetrización” involucra un mayor enfoque a la seguridad en la nube y las arquitecturas seguras de colaboración.

Por otro lado existen algunos fabricantes y otras voces autorizadas e independientes que no se imaginan a las compañías dejando de lado de un día para otro los elementos básicos de protección perimetral. Ellos dicen que, pase lo que pase, siempre habrá un centro de datos donde se conserve la información fundamental de la organización y dicho centro debe contar con un control para los accesos externos, independientemente de donde vengan (Internet, enlaces VPN, nube MPLS, etcétera).

¿Qué tanto pueden influir los argumentos anteriores para la toma de decisiones?, esto es lo que trataremos de dilucidar a través de las siguientes líneas.

La historia de la tecnología de información en la segunda mitad de los años ochenta tuvo una revolución tecnológica detonada por la aparición de las redes de cómputo, se crearon grupos de trabajo, tanto físicos como virtuales, y después la conectividad maduró a un nivel tal que las posibilidades de comunicación y acceso se han tornado casi ilimitadas.

opinión

Seguridad perimetral:el debate del momento

CISSP, CISA, CEH, ITIL y CRISCesanroman@scitum.com.mx

Esteban San Román

17Enero - Marzo 2014

Las capas externas de las redes en una arquitectura estándar evolucionaron a esquemas conformados típicamente por un ruteador de detección y un firewall. Las partes internas por lo general manejaban otros niveles de protección con ruteadores, switches y otros dispositivos de seguridad, como firewalls y filtros de Web o correo.

El perímetro se consideraba el punto de encuentro entre la red a proteger (trusted) y la red donde comenzaba la exposición (untrusted). Hoy esta idea se ha modernizado y podemos considerar la nueva definición de perímetro como el punto donde la compañía y el dispositivo se encuentran. No importa si la organización retiene la infraestructura de los recursos de información, o una parte de ella, en algún punto hay una división entre la red pública y la red privada.

En 2012 por primera vez las ventas de dispositivos móviles superaron las ventas tradicionales de computadoras personales. Estos dispositivos llegaron para quedarse e interactuar en todos los procesos de negocio de la organización; los podemos identificar en casi cualquier persona dentro de la empresa: empleados, socios, contratistas y terceros, sin importar dónde se encuentren.

Si agregamos las aplicaciones basadas en entornos Web y la gran penetración de las redes sociales, caracterizadas por su capacidad de llevar mayores contenidos dinámicos, será claro por qué y cómo se ha modificado la idea de lo que es el perímetro.

Teniendo como objetivo disminuir costos de operación, en particular los relacionados con TI, las empresas contratan servicios de coubicación buscando que los proveedores se encarguen del acondicionamiento e infraestructura de los centros de datos; las empresas a su vez les brindan a los empleados la flexibilidad de un acceso externo a sus sistemas.

Los dispositivos móviles adquieren funcionalidades cada vez más complejas y con un periodo de renovación que en promedio está alrededor de los dos años, una organización moderna que trabaja con aplicaciones Web, medios

sociales y accesos móviles posee hoy una arquitectura dispersa y muy difícil de definir pero, en definitiva, ya no es de capas.

Por su parte, la seguridad perimetral ha evolucionado con la aparición de sistemas de protección de intrusos basados en comportamiento, los firewalls inteligentes de aplicación y los sistemas

de protección contra ataques distribuidos de negación de servicio (DDoS). El incremento de botnets y ataques del Día Cero hacen muy difícil concebir la protección de los recursos de la organización sin considerar una estrategia de seguridad perimetral.

El firewall perimetral de ahora se enfoca más hacia el desempeño, su reto es garantizar los niveles de servicio en un ambiente donde Internet no lo va a hacer; las ráfagas aleatorias de

paquetes, los script kiddies y alguno que otro programa experimental pueden afectar la calidad de servicio que los usuarios esperan de los sistemas de la organización.

Aunado a esto, la propia red interna es menos segura que la red externa, seguramente ha escuchado amable lector que 80% de los ataques se producen

desde la red interna y es que las aplicaciones internas, los servidores de archivos y otros dispositivos, usualmente no están endurecidos y esto los hace susceptibles a ataques desde el interior. La protección no se provee en estos recursos porque el argumento es que una utilería de protección afecta el desempeño, de manera que la seguridad se termina encomendando al esquema perimetral.

El uso de dispositivos móviles y aplicaciones basados en la nube ha cambiado la forma de manejar la seguridad perimetral. Se ha hecho uso de la autenticación basada en roles y la federación de identidades

basada en sistemas de manejo de identidades residentes y protegidos dentro del perímetro. Además, ha sido recurrente el uso de infraestructura

de virtualización de escritorios remotos (VDI) con lo que la organización se sigue apoyando en mantener los datos sensibles de la organización detrás

de un firewall corporativo.

«No porque las empresas utilicen en mayor medida los dispositivos móviles y los servicios en la nube, quiere decir que ya no tendrán servidores locales y activos detrás de un perímetro relativamente estático»

18

¿Está Usted seguro de que está eligiendo al Mejor?

Protecting the Data That Drives Business

Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales

SecureSphere Web Application Firewall de Imperva, la solución

líder del mercado:

» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios

» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales

» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas

» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades

» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial

» Cumple totalmente los requisitos 6.6 de PCI DSS

SecureSphere Web Application Firewall

ThreatRadar

Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520

Informes: cynthia.ortega@imperva.com Tel: 55 8000 2370 © Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

C

M

Y

CM

MY

CY

CMY

K

IMPERVA - SCITUM.pdf 1 1/28/14 10:55 AM

Los propios estándares que nos rigen establecen que para cumplimiento regulatorio deben existir defensas perimetrales y control de acceso a red. Por eso mismo, se define que debe existir separación entre las redes públicas y privadas; por ejemplo, el estándar PCI requiere la adecuada segmentación dentro de la infraestructura que almacena datos sensibles.

¿Y entonces dónde deberían residir los esfuerzos? La forma más docta de definir cómo se debe proteger ahora es dirigiéndose al objetivo: los datos. Antaño se lograba esto a través de c apas, donde había diversos bastiones que un atacante debía de sortear para llegar a los datos dentro de una red interna. Hoy los datos están en muchos lados, lo que dificulta su administración y protección pero, al mismo tiempo, también dificulta el ataque.

Para saber dónde se debe aplicar la seguridad hay que tomar en cuenta cuáles son los activos que manejan la información y cómo son los flujos, con la finalidad de identificar qué es lo que se debe robustecer: el perímetro, en caso de que la información crítica se mantenga en un cuartel general; reforzar los mecanismos de acceso; proteger todos los recursos móviles que acceden a la información o, inclusive, emprender una campaña de concientización para los usuarios.

No porque las empresas utilicen en mayor medida los dispositivos móviles y los servicios en la nube, quiere decir que ya no tendrán servidores locales y activos detrás de un perímetro relativamente estático. La mejor estrategia de protección se define en función de la propia estrategia de TI de cada organización: no hay recetas infalibles, es un traje a la medida de las necesidades de cada quién.

¿Está Usted seguro de que está eligiendo al Mejor?

Protecting the Data That Drives Business

Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales

SecureSphere Web Application Firewall de Imperva, la solución

líder del mercado:

» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios

» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales

» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas

» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades

» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial

» Cumple totalmente los requisitos 6.6 de PCI DSS

SecureSphere Web Application Firewall

ThreatRadar

Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520

Informes: cynthia.ortega@imperva.com Tel: 55 8000 2370 © Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

C

M

Y

CM

MY

CY

CMY

K

IMPERVA - SCITUM.pdf 1 1/28/14 10:55 AM

20

Recientemente, en un evento de un fabricante de soluciones de TI, hablaban del portafolio de soluciones para la adopción de BYOD (bring

your own device), tocando temas como el desarrollo de aplicaciones y control de cómputo móvil. En una de las presentaciones sobre herramientas

MDM (mobile device management) y MAM (mobile application management) me llamó la atención una leyenda que decía: “Gestionar = Seguridad”.

opinión

CISSP, GCFA, GCIH, CISA, ISO27001, ITIL, CSE y PMPjayala@scitum.com.mx

Julio Ayala Nuñez

Es preocupante que los fabricantes de herramientas continúen vendiendo tecnología como sinónimo de seguridad, ¿es acaso que el mercado no ha madurado? Tenemos que entender que la gestión de nuestras tecnologías, procesos y activos solo es un control más y que forma parte de la seguridad de la información, pero no son todo.

Desde la perspectiva de negocio, hablar de BYOD no es solo hablar de teléfonos o tablets, también es hablar de cualquier dispositivo de cómputo que tenga acceso a los datos y recursos de la empresa. Por ejemplo, los empleados que prefieren utilizar su propio equipo portátil con herramientas de software, no definidas por la organización, que le permiten hacer más cosas en menos tiempo.

Con BYOD, como en cualquier asunto de seguridad, primero tenemos que comprender cuál es nuestro verdadero problema o cuáles son las verdaderas oportunidades que debemos potencializar, antes de pensar en adquirir alguna herramienta que nos lleve a la tierra prometida.

Primero, hay que entender que no necesitamos ninguna herramienta para “habilitar” BYOD, esta realidad tiene mucho tiempo entre nosotros y fue “habilitada” por los usuarios, a veces sin nuestro permiso o incluso sin nuestro conocimiento.

Antes de pensar en cuál es la nueva tecnología que resolverá los problemas que se identifican, se requiere conocer cuáles son las necesidades del negocio de acuerdo a los objetivos y estrategias empresariales, y así definir la conveniencia del uso de recursos de cómputo móvil.

BYOD: gestión no es igual a seguridad

20

21Enero - Marzo 2014

Un error común que las empresas pueden

cometer es suponer que su manual de políticas, en particular la política de uso de dispositivos móviles, será

suficiente para administrar la introducción del BYOD, sobre todo si la política fue elaborada pensando en los

dispositivos propiedad de la organización. Son prioritarias políticas con mayor granularidad, no será suficiente cifrar la información o forzar un borrado completo de los equipos después de 10 intentos de acceso fallidos, ahora es recomendable hacernos preguntas como las siguientes: ¿qué debemos permitir en los dispositivos que no son de nuestra propiedad?, ¿para qué es necesario?, ¿qué tenemos que denegar?, ¿hasta dónde existe autoridad para hacer modificaciones en esos dispositivos?, y lo más importante, sobre los dispositivos que no son de la empresa, ¿el dueño qué nos permitirá hacer?

La recomendación para la implementación de cualquier herramienta de gestión o control, primero es definir el proceso de operación de acuerdo al modelo de negocio de la empresa, y solo hasta que ya se haya definido cuál es el proceso, los activos y el modelo que se debe proteger, es cuando se puede comenzar a buscar las herramientas tecnológicas que ayudarán a sustentar la estrategia de seguridad y el negocio de la empresa.

El mercado tecnológico seguirá evolucionando junto con el cómputo móvil, y conceptos como el BYOD se ajustarán a esta evolución: por ejemplo, la nueva corriente COPE (corporate owned, personally enable). Con COPE se trata de recomponer el camino tortuoso que supone el BYOD y le regresa cierto sentido de control a las áreas de TI de las empresas sobre los dispositivos que se pueden conectar a la red. La idea es cerrar la puerta a las brechas de seguridad que traía BYOD, aunque por ahora parece que no es posible y lo único que permite es que la empresa tenga cierto sentido de control al decidir qué políticas aplica a los dispositivos, sin tener la limitante de que estos no son propiedad de la empresa. Como es costumbre, los riesgos por el uso de dispositivos móviles en la organización persisten, COPE solo disminuye la probabilidad de algunos de ellos.

No importa como lo llamemos, BYOD o COPE, ni de qué tipo sean las herramientas, MDM o MAM, cuando de cómputo móvil se trata, las herramientas de gestión no serán suficientes y los controles básicos siempre serán los más eficientes para mantener la seguridad de la información: procesos de negocio definidos, disciplina en la administración de riesgos, y políticas y procedimientos establecidos de acuerdo a las necesidades de la empresa.

21Enero - Marzo 2014

22

Democratización de la tecnología y

la información

opinión

CISA, CISM, CGEIT, CRISC,CobiT Foundation Certificate e ISO27001 LA

cvillamizar@globalsuite.es / cvillami@telecom.com.co

Mi anterior colaboración “Jugando a crear cultura de seguridad de la información – De

la teoría a la práctica” iniciaba con la oración “La gran mayoría de las personas desconoce

los temas de seguridad de la información y su alcance”. Dicha frase sí que es válida en el tema

que abordaré en este nuevo artículo que tiene que ver con la democratización de la tecnología, y por ende

de la información, en la sociedad actual.

Factores como el aumento de la población, la tenencia y acceso a dispositivos móviles, la computación en la nube y las redes sociales han traído como consecuencia nuevos retos para las organizaciones y para nuestra vida, especialmente en los menores de 30 años, ya que por ejemplo una fotografía o un mensaje de propagación viral puede afectar positiva o negativamente la imagen o reputación de una causa, persona, entidad e inclusive, por qué no, de un Estado.

Se estima que actualmente 6 de cada 10 empleados, entre 18 y 35 años, utilizan su dispositivo móvil personal (teléfono inteligente, pocket PC o tableta) en su entorno laboral. La cada vez más creciente moda o necesidad de usar equipos móviles propios en el trabajo (lo que se conoce como BYOD, bring your own device), traspasando el perímetro organizacional, ya sea para revisar correos, ejecutar aplicaciones corporativas o almacenar documentos de ofimática, ha incorporado nuevos riesgos no considerados anteriormente en las empresas, entre los cuales se pueden mencionar:

» Interceptación de información. » Propagación de malware. » Corrupción de dispositivos o pérdida de datos. » Exposición de datos sensibles. » Dependencia de empleados trabajando en dispositivos móviles que los hace improductivos en caso de daño, pérdida o robo de los mismos, aunado a la falta de copias de respaldo de información.

» Intrusión en la red de la empresa.

Carlos Villamizar R.

Hoy en día también debemos reconocer que la presencia de las empresas en las redes sociales (Youtube, Facebook, Twitter, etcétera) es necesaria para potencializar el logro de sus objetivos de negocios. Y es en las redes sociales donde encontramos noticias y desarrollo de campañas tanto positivas como negativas, que podrían afectar a las empresas (p. ej.: #odioaempresa1).

23Enero - Marzo 2014

Por tanto, frente a estos nuevos desafíos, los directivos deben ser conscientes de los riesgos que están por llegar, o ya han llegado sin que ellos lo noten, y, sobre todo, requieren saber qué hacer para prevenir eventos no deseados (riesgos) que afecten, por ejemplo, la privacidad de los datos o confidencialidad de la información.

Es por ello que en sus prácticas de gobierno de seguridad de la información hay que introducir el liderazgo, estructuras de relaciones y procesos organizacionales encaminados a proteger la información no sólo de las amenazas tradicionales sino de toda la nueva serie que resulta del advenimiento de estas nuevas tendencias.

23Enero - Marzo 2014

24 X: 45.69

Y: 102.51X: 45.69

Y: 102.51

C

M

Y

CM

MY

CY

CMY

K

Hay que pensar en controles, enmarcados bajo el reconocido esquema de defensa en profundidad (defense in depth), en los cuales los sistemas de seguridad contienen diferentes capas, cada una independiente de la anterior funcional y conceptualmente, que contribuyan a identificar de manera oportuna un ataque o minimizar el impacto sobre las organizaciones. Señalo algunos ejemplos a continuación:

» Establecimiento y aplicación consistente de políticas y procedimientos claros y concisos frente al uso de dispositivos móviles por parte de empleados.

» Gestión de dispositivos móviles (mobile device management, MDM) que permita aprovisionamiento, configuración y monitoreo de dispositivos móviles a gran escala.

» Opciones de seguridad como servicio (security as a service, SaaS) para defensa ante los riesgos de seguridad. » Uso de certificados de seguridad y cifrado de tráfico con SSL (secure sockets layer). » Cifrado de discos. » Virtualización de escritorio. » Mecanismos de eliminación segura y remota de datos. » Aseguramiento de dispositivos. » Mantenerse informado y al día de los cambios en los mercados y la tecnología. » Crear conciencia en el personal sobre sus responsabilidades, riesgos y controles.

Alguna idea para cerrar como por ejemplo: por lo aquí planteado lo invito, amable lector, a seguir conociendo más acerca de seguridad de la información para tomar mejores decisiones al respecto.

X: 45.69

Y: 102.51X: 45.69

Y: 102.51

C

M

Y

CM

MY

CY

CMY

K

26

28

mpalao@ittrendsinstitute.org

Manolo Palao

Sometidos a la presión terminológica de los EE.UU. ‘troyanos’ es como ahora mal llamamos a los “caballos de Troya”, de

la misma forma que hoy decimos “químicos” (y no ‘productos químicos’) al gas sarín y similares, como a esos viejos y respetables señores de la barba y la bata blancas.

opinión

Troyanos materiales o la seguridad de

las cosas

Los caballos de Troya han sido físicos–materiales– desde hace 44 siglos1, cuando las leyendas recogidas en La Odisea de Homero y en La Eneida de Virgilio sitúan al original, hueco y de madera.

Vivimos en un mundo crecientemente interconectado e interdependiente, caracterizado por la interconexión de las cosas2: el "Internet de las cosas [things]". Con el surgir de la informática, en los últimos 40 o 50 años los troyanos se han sublimado, y de físicos y de madera han pasado a lógicos, al software y a la nube. De algún modo hemos aceptado su presencia lógica pero no física, y nos hemos acostumbrado/resignado a su vida expansiva, a los riesgos que suponen, a los antivirus, etcétera. Troyanos sólo lógicos, hemos tenido en los últimos 40 o 50 años; ¡pero sólo hasta ahora! Resulta que los troyanos físicos vienen de regreso (aunque no de madera, sí de silicio)3. En mi opinión, la diferencia fundamental entre los unos y los otros –desde un punto de vista de seguridad- es que mientras los lógicos dependen de una probabilidad de infección (0 ≤ p ≤1), el parque de productos o componentes con un troyano físico tiene la infección con toda certeza (p=1).

29Enero - Marzo 2014

Si un producto posee un subcomponente que contiene un troyano, también lo tendrán todos sus hermanos de lote o de serie de fabricación, y todos los ensamblajes y sistemas ulteriores que contengan dicho producto o componente4. Esto plantea -a gobiernos, empresas, científicos y profesionales- un reto enorme y probablemente muy subestimado5, porque el alcance del riesgo rebasa -en órdenes de magnitud- a las hasta ahora consideradas “infraestructuras críticas” (como señala la nota 4), para potencialmente alcanzar la totalidad de nuestro actual modelo de vida: automóviles, fotografías, teléfonos, sistemas de tráfico, iluminación, distribución de electricidad, agua, gas, sensores, equipos médicos y de meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, comercio y ocio en la red, y un muy largo etcétera. Abordar a tiempo y con eficacia esta problemática exigirá esfuerzos titánicos en concienciación, divulgación, tratados, leyes, marcos y normas, que requerirán grandes inversiones que se traduzcan en una adecuada gestión, control de calidad, evaluaciones y auditorías que certifiquen procesos, productos y productores. Además será necesario que dichas evaluaciones se realicen con competencia e independencia extremas ¿Será esto posible? No parece que estemos aún en esa senda, por lo que la seguridad de las cosas está en entredicho y, por ende, la seguridad de las personas y de su modelo de vida, que es lo que al final debe importar. Por ello son loables algunas iniciativas prometedoras que intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario y tratamiento tradicionales6.

«Esto plantea un reto enorme y probablemente muy subestimado, porque el alcance del riesgo rebasa a las hasta ahora consideradas 'infraestructuras críticas'»

30

Para acabar con una nota más ligera, no todo es malo en el tema de los troyanos materiales. Acabo de adquirir un excelente portátil con una relación calidad-precio muy atractiva, probable consecuencia del boicot a la empresa productora (razonable a mi juicio) de muchas agencias gubernamentales y grandes empresas. Pienso que la sensibilidad de la información que yo manejo, frente a supuestos intereses chinos, es muy baja. Aunque, claro, no se debe olvidar que la mejor definición de ‘sensible’ es la que dé, o piense y calle, el atacante.

Nota: deseo agradecer a mi compañera en iTTi, Mª José de la Calle, que me sugiriese el planteamiento de este artículo, aunque de su desarrollo, acertado o no, soy el único responsable.

1http://en.wikipedia.org/wiki/Trojan_War 2“Ubiquitous Computing is fundamentally characterized by the connection of things in the world with computation”. Mark Weiser and John Seely Brown: The Coming Age of Calm Technology. OCT 1996.

3Pierluigi Paganini An undetectable Hardware Trojan is reality http://securityaffairs.co/wordpress/17875/hacking/undetectable-hardware-trojan-reality.html?goback=%2Egde_1836487_member_275223250#%21

4Con algún mayor rigor técnico, en los ensamblajes y sistemas, sólo quedarían afectados aquellos que –por configuración HW o SW- dejaran activos los componentes con malware, no los que los dejaran inhibidos.

5"In recent years, hardware Trojans have drawn the attention of governments and industry as well as the scientific community. One of the main concerns is that integrated circuits, e.g., for military or critical- infrastructure applications, could be maliciously manipulated during the manufacturing process, ..." http://people.umass.edu/gbecker/BeckerChes13.pdf

6Por ejemplo, el recientemente creado Centro de Ciberseguridad Industrial (www.cci-es.org) que se centra (en español) en la seguridad de la información industrial, intenta ampliar el horizonte de la seguridad de la información, más allá de su escenario natural de desarrollo -el mundo corporativo-. O el proyecto CLDFP (Cyber Leader Development Framework) [actualmente –OCT 2013- en revisión] de CSFI http://www.csfi.us/, que se ha propuesto desarrollar un marco de competencias de los futuros ciberlíderes incluyendo temas de ciencias políticas, sociología, estrategia, y comunicación, entre otros.

SEGUR IDADPERIMETRALADMINISTRADA

SPA

Proteja el activomás importantede su empresa:

SU INFORMACIÓN

Es un servicio administrado por especialistas certificados en seguridad, que le brinda la mejor protección a su información.

Servicio que le ofrece:

·Consulta de indicadores de su seguridad y su servicio vía nuestro portal SPA.·Monitoreo y gestión 7x24 desde nuestro SOC (centro de operaciones de seguridad).·Implementación de un UTM con las funciones de firewall, IPS, filtrado de contenido, VPN.

Para mayor información, favor decontactar a su ejecutivo de cuenta

o llame al 01 800 835 6391y al 9150 7400 ext.1731

C

M

Y

CM

MY

CY

CMY

K

SPA_AD_MGZCTM_2014.pdf 1 2/11/14 4:13 PM

SEGUR IDADPERIMETRALADMINISTRADA

SPA

Proteja el activomás importantede su empresa:

SU INFORMACIÓN

Es un servicio administrado por especialistas certificados en seguridad, que le brinda la mejor protección a su información.

Servicio que le ofrece:

·Consulta de indicadores de su seguridad y su servicio vía nuestro portal SPA.·Monitoreo y gestión 7x24 desde nuestro SOC (centro de operaciones de seguridad).·Implementación de un UTM con las funciones de firewall, IPS, filtrado de contenido, VPN.

Para mayor información, favor decontactar a su ejecutivo de cuenta

o llame al 01 800 835 6391y al 9150 7400 ext.1731

C

M

Y

CM

MY

CY

CMY

K

SPA_AD_MGZCTM_2014.pdf 1 2/11/14 4:13 PM

C

M

Y

CM

MY

CY

CMY

K

RSA2013_white_final.pdf 1 1/28/14 10:28 AM