hacia una seguridad - telmexdownloads.telmex.com/pdf/magazcitum_abril_18.pdf · criptomonedas, no...
TRANSCRIPT
Integración deriesgos de TI
y riesgosoperacionales
Detección deamenazas avanzadasmediante Machine Learning
Hacia unaseguridad
(¿inseguridad?)de ‘nivel 3’
EJEMPLAR GRATUITOAÑO 9, NÚMERO 1
www.magazcitum.com.mxEscanea este códigocon tu teléfono móvil
o smartphone
Una mala decisión hoy, es un problema mañana¿Tu red es realmente segura?
2018 3
24no. Contenido
Magazcitum, revista periódica de Scitum S.A. de C.V. Año 9, número 1, 2018. Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.Para cualquier asunto relacionado con esta publicación, favor de dirigirse a [email protected]
AÑO 9, NÚMERO 1, 2018
» Editorial
» Conexiones
» Opinión
» CiberSeguridad
Héctor Acevedo Juárez
¿Por qué un CISO se debe preocupar por el interés del cibercrimen en las criptomonedas?
Redes sociales ¿Seguras?
El CISO en tiempos de la ciberseguridad
Detección de amenazas avanzadas mediante Machine Learning
¿Todo cambia para seguir igual?
Hacia una seguridad (¿inseguridad?) de ‘nivel 3’
¿Por qué falla la seguridad de la información?
Integración de riesgos de TI y riesgos operacionales. Cuando la operación de nuestro negocio depende de cómo gestionamos la tecnología
Criptomonedas y minería Web
Imelda Flores Monterrosas
David Bernal Michelena
Manolo Palao
Karla Isabel Rivera Rangel
Marcos A. Polanco
Carlos Moreno Vázquez
Fabián Descalzo
Rafael Mendoza Rodríguez
Dirección GeneralUlises Castillo Hernández
Editor en jefeHéctor Acevedo Juárez
Consejo EditorialUlises Castillo HernándezPriscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres
ColaboradoresDavid Bernal MichelenaFabián DescalzoRafael Mendoza RodríguezImelda Flores MonterrosasCarlos Moreno VázquezManolo PalaoMarcos A. PolancoKarla Isabel Rivera Rangel
Marketing y ProducciónSofía Méndez Aguilar
Correctora de estiloAdriana Gómez López
DiseñoSilverio Ortega Reyes
4
66
20
28
8
4
14
10
16
24
10
28
Una mala decisión hoy, es un problema mañana¿Tu red es realmente segura?
4
Revisando la editorial de inicio de año de 2016 y 2017, veo que hablaba de los siguientes temas como tendencia:
1. IoT (Internet of Things) y seguridad en aplicaciones móviles.
2. El rol de la geopolítica, los estados nacionales como atacantes y la ciber disuasión.
3. Seguridad en la nube.
4. Cibercrimen, especialmente lo relacionado con Ransomware.
5. Vulnerabilidades en Open Source.
Y en una breve investigación de once reportes sobre tendencias para 2018, me encuentro con que las más mencionadas son estas:
1. Ransomware.
2. Protección de datos.
3. Machine learning e inteligencia artificial.
4. IoT (Internet of Things) y seguridad en aplicaciones móviles.
5. Ciberguerra.
¿Todo cambia para seguir igual?
CISSP, CISA, CGEIT, ITIL y [email protected]
Héctor Acevedo
Es claro entonces que nuestras preocupaciones siguen siendo básicamente las mismas y que en realidad el verdadero cambio es el uso de las tecnologías emergentes para crear malware más avanzado e inteligente que permita al crimen organizado, y a los estados nacionales, lograr sus objetivos.
Así pues, desde nuestra trinchera nos toca trabajar en la concientización y en el aprovechamiento de las mismas nuevas tecnologías para mantener a salvo la seguridad de la información.
Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes.
Como siempre, muchas gracias por su atenta lectura.
Atentamente
Héctor Acevedo JuárezEditor en jefe
LOS ATAQUES CIBERNÉTICOS DE 5A GENERACIÓN ESTÁN AQUÍ Y LA MAYORÍA DE LOS NEGOCIOS ESTÁN DETRÁS
U n n u e v o m o d e l o p a r a e v a l u a r y p l a n i f i c a r l a s e g u r i d a d checkpoint.com
Gen_V_Spanish_Ad_27Mar2018.indd 1 3/27/2018 12:11:21 PM
LOS ATAQUES CIBERNÉTICOS DE 5A GENERACIÓN ESTÁN AQUÍ Y LA MAYORÍA DE LOS NEGOCIOS ESTÁN DETRÁS
U n n u e v o m o d e l o p a r a e v a l u a r y p l a n i f i c a r l a s e g u r i d a d checkpoint.com
Gen_V_Spanish_Ad_27Mar2018.indd 1 3/27/2018 12:11:21 PM
6
¿Por qué un CISO se debe preocupar por el interés del cibercrimen en las criptomonedas?Imelda Flores MonterrosasCISSP, ITIL, CCNA Security, Cisco IPS y Optenet administrator [email protected] El año 2017 puede ser considerado un punto de inflexión para las criptomonedas, no sólo el Bitcoin alcanzó un precio histórico de más de 20 mil dólares, sino el mundo volteó a ver a las monedas digitales como algo que se puede convertir en una alternativa para el pago de bienes y servicios, hecho reforzado por grandes conglomerados a nivel mundial como Microsoft, que ya acepta el pago en Bitcoins para productos como Xbox.
Aunque el concepto de criptomoneda llegó a las masas recientemente, recordemos que para el cibercrimen ha sido una excelente alternativa para el cobro de ciberextorsiones desde hace ya varios años. Lo que ha cambiado es que, en lugar de exigir el pago en Bitcoins, los atacantes ya aceptan Monero, criptomoneda que es popular por conservar el anonimato de las transacciones, y recientemente empezaron a pedir Ethereum, como sucede con el ransomware “planetary”.
Más allá de que en el caso de sufrir una infección de ransomware una organización tenga que pagar lo demandado por el atacante para recuperar los datos, ¿por qué a un CISO le debería preocupar la evolución de las criptomonedas? La respuesta se encuentra en la motivación primaria del cibercrimen, que es obtener un beneficio económico, que puede darse de varias maneras:
» Infección de equipos para minado. SCILabs ha observado como tendencia hacia finales de 2017 y principios de 2018 la disminución de ransomware, sin embargo, ha aumentado radicalmente la detección de malware que instala mecanismos de minado en los equipos de la organización, cuidando que el uso del CPU no exceda cierto límite para evitar llamar la atención de los administradores. El vector de infección es parecido al del malware tradicional, sin embargo, predomina el uso de anuncios que al dar un clic insertan un código de Javascript que habilita el minado en el equipo. También se encuentran los Exploit Kits, que descargan el mecanismo de minado a los equipos infectados, y en muchos de los casos se siguen observando movimientos laterales para buscar granjas de servidores con alta capacidad de procesamiento; incluso existen versiones de malware que integran las mismas técnicas de dispersión empleadas por WannaCry para poder distribuirse de manera desapercibida.
2018 7
Además de lo anterior, se ha observado que no es suficiente con prepararse para hacerle frente al cibercrimen, ahora los CISO también deben preocuparse por auditar a sus propios desarrolladores ya que existen casos en los que ellos mismos son quienes colocan el software de minado dentro de los equipos con mayor capacidad de procesamiento; un ejemplo de esto sucedió en Rusia donde el equipo de desarrollo colocó un software de minado en una supercomputadora dedicada al programa nuclear.
Casos ha habido muchos, y al no considerarse el software de minado un malware, difícilmente una solución de seguridad tradicional detectará que un equipo está siendo usado para este fin de manera desapercibida. Por ello es importante contar con un equipo de personas que monitoreen de manera permanente la seguridad de los equipos de la organización, y que sean capaces de analizar alertas basadas en comportamiento para determinar si los equipos están siendo utilizados para generar criptomonedas a costa de los recursos de la compañía.
» Infección de servidores con alta capacidad de procesamiento. Dado que la capacidad de minado de un equipo depende de sus características de procesamiento, muchos atacantes están a la caza de dispositivos de alto desempeño para utilizarlos en el minado de criptomonedas. Uno de los casos más conocidos es el de Tesla, en el que los atacantes implantaron software de minado en sus servidores colocados en una nube pública de Amazon. En su momento los atacantes buscaban bases de datos expuestas para lanzarles ransomware y posteriormente cobrar un rescate, sin embargo, ahora invierten sus esfuerzos en localizar equipos dedicados a Elastic Search, procesamiento de bases de datos, o cualquier otra función que prometa que el servidor tendrá alta capacidad de procesamiento.
» Transacciones mediante sistemas interbancarios. Es ya de dominio público que equipos de hackers como “Lazarus Group”, patrocinado aparentemente por Corea del Norte, han estado detrás de muchos ataques a la red del SWIFT. Uno de los ataques más sonados es el caso del banco de Bangladés en el que por un error humano no se concretó un robo de mil millones de dólares y solo se transfirieron 85. Como este caso, existen muchas otras organizaciones víctima; en general se cree que otros atacantes están usando el mismo vector de ataque con la diferencia de que en algunos casos se enfocan no sólo en SWIFT, sino también en otros sistemas de pagos interbancarios tipo “RTGS”, dado que cuando son descubiertos y las organizaciones buscan recuperar parte o el monto total de la transacción fraudulenta, los atacantes empiezan a mover los fondos a criptomonedas, mismas que no son rastreables. Adicionalmente, se han observado vectores mediante los que los atacantes lanzan ataques masivos de ransomware para distraer a la organización, mientras penetran hasta los equipos de interés y realizan los movimientos interbancarios que constituyen el ataque principal.
» Ingeniería social para transferencias relacionadas con compra de criptomonedas. En el pasado SCILabs había identificado un tipo de fraude en el cual los atacantes comprometen a una organización que es proveedor y recibe pagos por sus bienes o servicios, para posteriormente apropiarse de la cuenta de correo de la persona que se encarga de realizar la cobranza, con ello envía mensajes a sus clientes diciendo que la cuenta para realizar los pagos ha cambiado, siendo ahora la del atacante. En los casos observados, la disputa entre los clientes y la organización comprometida pueden llevar días, por lo que para el momento en que se dan cuenta de que se trata de un fraude, los atacantes ya han movido los fondos a cuentas en el extranjero. La variante observada de manera reciente consiste en que en la cuenta que envía el atacante para recibir el pago de los clientes es en realidad una cuenta asociada a la compra de criptomonedas, por lo que el dinero es movido rápidamente y ya no puede ser rastreado.
8
Detección de amenazas avanzadas mediante Machine LearningDavid Bernal MichelenaGCFE, GCFA y ACE [email protected] Día con día las actividades humanas dependen cada vez más de los sistemas informáticos que ofrecen capacidades, eficiencia y conectividad sin precedentes. Hace algunos años nadie hubiera pensado que aparatos de nuestra vida cotidiana como autos y televisiones estuvieran conectados a Internet y ahora es una realidad con el Internet de las Cosas (IoT).
Por otra parte, las ventajas de los sistemas automáticos se aprovechan incluso en las infraestructuras críticas para distribuir, por ejemplo, la energía eléctrica, hidrocarburos o manejar presas hidroeléctricas. Esto otorga mayores alcances, pero a la vez incrementa la superficie de ataque que intrusos informáticos pueden explotar para fines no autorizados. Con actores cada vez más sofisticados, es fundamental enriquecer las defensas tradicionales con mecanismos que tengan el alcance de detectar ataques avanzados, capaces de evadir los mecanismos de seguridad típicos.
Las herramientas de seguridad tradicionales hacen un buen trabajo al identificar y detener amenazas conocidas, los atacantes poco sofisticados o malware conocido difícilmente pueden superar herramientas tradicionales bien operadas, diseñadas y actualizadas. Pero, ¿qué pasa cuando nos enfrentamos con amenazas más sofisticadas, con atacantes que diseñan ciberarmas que nunca han sido vistas y con tácticas innovadoras? Cuando esto ocurre, necesitamos herramientas con la capacidad para detectar ataques nunca antes vistos, con otros enfoques más allá de firmas o patrones conocidos.
2018 9
La técnica más utilizada por las herramientas de seguridad tradicionales es detectar patrones maliciosos conocidos. En este caso, nos preguntamos, ¿mi herramienta de seguridad tradicional me hubiera protegido si el atacante la hubiera usado por primera vez en mi red? La respuesta es que probablemente no.
Independientemente de que los ataques sean avanzados, deben generar una anomalía en la red, por ello uno de los métodos más útiles para detectar amenazas avanzadas es Machine Learning, la cual se derivó de la inteligencia artificial y permite implementar un modelo que aprende de un sistema, sin que haya sido explícitamente programado para hacerlo. De esta forma, un sistema de este tipo, en primer lugar, aprenderá de la red que queremos proteger durante un cierto tiempo y a partir de ese aprendizaje afinará sus modelos de protección.
Así pues, durante la operación, el sistema analizará los eventos y los clasificará con base en lo aprendido. Si uno o varios de los modelos lo clasifican como malicioso, entonces enviará una alerta al equipo de seguridad para que investiguen el evento y, de confirmarse la brecha de seguridad, respondan al incidente apropiadamente, remedien las vulnerabilidades y mitiguen la amenaza.
Considerando que una brecha de seguridad tarda en promedio 200 días en identificarse, el contar con una herramienta de este tipo es sumamente útil para detectar anomalías con malware avanzado que es capaz de evadir las herramientas tradicionales de seguridad.
10
la seguridad de la
Carlos Moreno Vá[email protected]
Hoy en día cada vez se habla más de fraudes informáticos, hackeo de activos, malware, ransomware, etcétera. Y las organizaciones gastan millones en tecnología para contrarrestar los efectos del impacto negativo que causan.
Así como la inseguridad se ha incrementado en nuestro país, cada vez es mayor la probabilidad de que un amigo o familiar cercano haya sido víctima de la delincuencia; lo mismo está aconteciendo con la “inseguridad informática”: con más frecuencia escuchamos a personas allegadas que han sido víctimas de bandas de hackers, que en su gran mayoría buscan un beneficio económico. La mala noticia, desafortunadamente, es que la tendencia parece que va en aumento.
A pesar de lo que gastan las empresas e instituciones ¿Por qué las siguen hackeando? ¿Qué es lo que está fallando? Es claro que no existe la seguridad absoluta, sin embargo, lo que he visto en la práctica que considero está fallando son tres cosas: gestión, luego gestión y por último, ¡más gestión!
¿Por qué falla
información?
10
Recordemos que la seguridad de la información la componen tres elementos primordiales: tecnología, procesos y personas. Entre estos debe existir un balance razonable para mantener un sistema de gestión de seguridad de la información robusto y confiable; la tecnología no se maneja por sí sola, requiere de procesos para aprovechar al máximo las funcionalidades de protección, y que al mismo tiempo se regule la operación y se dé cumplimiento a regulaciones y normatividad asociadas al uso de la tecnología. Todo lo anterior, al final, debe ser operado por gente capacitada que gestiona y monitorea las diferentes alarmas e indicadores que prevengan o identifiquen un ataque en progreso. Es precisamente este último componente, la gente, el eslabón más débil que a veces falla y que ocasiona no poder detectar y prevenir los ataques informáticos.
De nada sirve contar con procesos operativos bien documentados y lo último en tecnología en materia de seguridad de la información, si la gente encargada de operarla simplemente no lo hace en forma eficiente ¿De qué sirve saber la actividad sospechosa detectada por los sistemas de monitoreo, si la gente encargada de interpretar y tomar acciones con base en esa información no lo hace oportuna y adecuadamente? ¿Cuántas veces una alarma importante se ignora por el simple hecho de que la persona encargada de gestionarla la considera irrelevante, ya sea por ser muy común y que nunca ha pasado nada con dicha alarma, porque el responsable simplemente la interpreta de modo erróneo o porque fue recibida en domingo a media noche?
2018 11
la seguridad de lainformación?
11
Todas las alarmas deben ser tomadas como una amenaza potencial, sin importar su nivel de riesgo debe analizarse y determinar qué tan peligrosa es, para decidir las acciones correctivas que permitan mitigar o prevenir el riesgo, y sobre todo minimizar el impacto asociado.
Algunas personas consideran que invertir en tecnología de punta es suficiente para estar protegidos, sin embargo, esto es una falsa percepción, se necesitan además políticas y procedimientos, gente que opere y monitoree la información que genera la tecnología, y sobre todo que sepa qué acciones correctivas debe llevar a cabo para mantener protegida la información.
En mi experiencia como consultor he visto clientes que ni siquiera monitorean la disponibilidad de los servidores críticos de sus empresas, otros que no cuentan con el inventario de servidores y mucho menos conocen qué aplicaciones residen en ellos. No saben qué información respaldan y con qué frecuencia. Ni siquiera saben cómo mantener la continuidad de sus procesos críticos ante alguna contingencia, a pesar de que cuenten con un DRP (Disaster Recovery Plan, plan de recuperación en desastres) bien documentado.
Lo que he visto en la práctica es que los consultores se olvidan de cotizar en sus servicios, o al menos de comunicar, el tema de la gestión de la seguridad. Se olvidan de recomendar la adjudicación de roles claramente definidos, relacionados con la gestión, que aseguren que se tomarán acciones ante vulnerabilidades o alarmas reportadas por la tecnología de seguridad de la información que tratan de vender.
Solo hablan de las maravillas funcionales de su solución tecnológica, pero no subrayan que para aprovechar dichas funcionalidades se requiere un gran esfuerzo de gestión operativa, con recursos humanos asignados de tiempo completo que en la mayor parte de los casos se tienen que contratar porque no se cuenta con ellos. Muchas veces asignar estas responsabilidades a personas que además desempeñan otras funciones no basta, se requiere gente de tiempo completo.
Un par de ejemplos: cuando trabajé para una compañía del sector alimentos, el proveedor del ERP (Enterprise Resource Planning) “regaló” la licencia de un módulo de GRC (Governance Risk and Compliance) como incentivo en la renovación de la licencia principal que costó varios millones de dólares. Lo que nunca dijeron es que para implementar dicho módulo se requerían varios meses de consultoría externa para definir las políticas, procedimientos y gente necesarios para la implementación del GRC, además del involucramiento y compromiso de las áreas de negocio. Al final, jamás se implementó y el supuesto “regalo” resultó ser un desperdicio.
Otro de mis clientes me comentaba que el responsable de la solución de monitoreo de correo electrónico reportaba el escaneo de 14 millones de correos al mes, pero, ¿eso está bien o está mal? Es claro que la información que reporta la solución debe contextualizarse y diseñarse para lo importante, que es prevenir o detectar ataques oportunamente.
Lo que no hay que perder de vista al adquirir las soluciones maravillosas de seguridad de la información es que en la mayor parte de los casos se requiere un costoso aparato que gestione dichas aplicaciones.
2018
12
Mientras no se mantenga un adecuado nivel de gestión de la seguridad, seguirá habiendo ataques exitosos y los responsables de mantener la seguridad de la información en las organizaciones seguirán reaccionando y “apagando fuegos” en lugar de prevenir y detectar a tiempo dichos ataques, y, sobre todo, evitando impactos adversos de tipo financiero y daño a la imagen de las organizaciones.
Mientras los proveedores continúen vendiendo soluciones aisladas sin el respectivo balance de procesos y gestión, seguirá habiendo directivos en las empresas que se pregunten lo de siempre ¿Por qué nos hackearon si invertimos una millonada en seguridad? En el peor de los casos despedirán al director de TI o al CISO y todos en la organización seguirán viendo la seguridad de la información como una realidad inalcanzable.
Mi principal recomendación para asegurar que una aplicación de seguridad funcionará como se requiere y dará los beneficios esperados, es que soliciten al proveedor que les permita visitar a uno de sus clientes reales para ver en vivo y a todo color la operación de la aplicación, los laboratorios en las instalaciones del proveedor no son suficientes y están sumamente controlados. Cuestionen lo siguiente al cliente visitado:
» ¿Cuánto costó la implementación y cuánto tiempo involucró?
» ¿Cuántas personas requieren para operarlo en el día a día?
» ¿Es cierto que todas las funcionalidades prometidas están operando efectivamente?
» ¿Cuánta capacitación fue requerida para operar la herramienta en cuestión?
» ¿Cuáles son los principales problemas que enfrentan día a día con la solución?
» ¿Realmente se han obtenido los beneficios esperados?
Lo anterior le permitirá tomar una decisión mejor informada antes de adquirir una solución que no se convierta, a la larga, en una fuente de costos que no genera el beneficio para el cual fue adquirido.
Muchos podrán decir que lo que comento no es nada nuevo, sin embargo y a pesar de tanta inversión y concientización en las empresas en materia de seguridad de la información, la realidad que he vivido en mi experiencia como consultor, tristemente, es lo que escribo en este artículo.
En resumen, la seguridad de la información efectiva es la que mantiene un balance razonable entre los tres elementos: tecnología, procesos y gente.
C
M
Y
CM
MY
CY
CMY
K
14
Hacia una seguridad (¿inseguridad?) de ‘nivel 3’Manolo [email protected] Una reciente lectura de un artículo1, cuyo contenido completo —más allá de las referencias que haré a continuación— recomiendo a todos los lectores, me ha llevado a las reflexiones que comparto en estas líneas.
El artículo describe que, hace ya tres años, Google decidió, en su programa de desarrollo de un automóvil autónomo —sin necesidad de intervención humana continua— suprimir la posible intervención humana en casos de emergencia.
El artículo describe bien cómo aquellos empleados de Google, que recibieron vehículos autónomos, en fase experimental:
» Por un lado, mostraron sobre confianza en el robot y se afirma que durante los viajes incurrieron en comportamientos que no deberían corresponder a un pasajero sensato atento a supervisar el vehículo. Comportamientos como asomar el cuerpo por la ventanilla, pasarse al asiento de atrás o iniciar un “faje” (estimulación sexual, smooching) con quien tuvieran a su alcance2,
» y por otro, se comprobó que sus tiempos de respuesta eficaces ante una emergencia que requiriera su intervención eran muy superiores a la breve ventana de oportunidad que el evento exigía. Dicho con un ejemplo, investigaciones de la Universidad de Stanford han probado que el tripulante ocupado con un juego digital o atendiendo su móvil requeriría más de 5 segundos en tomar el control del vehículo3. No se han publicado estudios de cuánto le llevaría ocupado en otros ‘juegos’.
Los expertos pronostican que aún pasarán entre 5 y 10 años hasta que los automóviles tengan la suficiente inteligencia (artificial) para conducir con autonomía, sin supervisión humana en momentos críticos.
«Pero hasta entonces, lo que se entiende como manejo autónomo será un delicado ballet entre el humano y la máquina: podrá requerirse a los humanos que tomen el volante en cuanto la computadora avise que no puede decidir qué hacer».
La industria automovilística ha establecido 5 niveles de ‘madurez’ del control entre hombre y máquina: desde el Nivel 0 (manejo totalmente manual) al Nivel 5 (vehículo totalmente autónomo). El nivel 3 es un enfoque en el que la inteligencia artificial puede solicitar a los humanos que se hagan cargo en una emergencia.
No me resisto a señalar que considerar el nivel 0 como ‘totalmente manual’ parece primar el acuciante interés actual en algoritmos que, por ejemplo, aborden la gestión de rutas y de tráfico, la interpretación de la señalización viaria y la gestión de situaciones de emergencia; con olvido de la enorme cantidad de inteligencia (automatismos —primero físicos, luego híbridos y digitales en muchos casos—) que los automóviles y otros vehículos han ido incorporando en un siglo. Piénsese, por poner solo tres ejemplos, en el cambio automático, el ABS o en cómo la palanca del indicador de giro vuelve a su posición de reposo tras el giro.
“Manual, manual” supondría casi ir “pedaleando” (si se me permite referir a todas las extremidades).
2018 15
Muchos expertos expresan dudas sobre si la tecnología llegará a operar fluidamente con un tripulante humano que puede estar consultando su correo o jugando con una aplicación.
Los avances de la inteligencia artificial (IA) han sido prodigiosos en la última década y naturalmente no todos los campos y problemas en que se aplica son de la misma complejidad: la IA es un “cajón de sastre” en el que desde su fundación (en Darmouth College, en 1956) han entrado (y salido) varias disciplinas.
Pero todo hace suponer que, entre las cuestiones aún vigentes objeto de intensa investigación las haya de una importancia “comparable” a la del automóvil autónomo. Por “comparable” no pretendo aquí aludir al orden de complejidad de los algoritmos ni a estrategias o tecnologías afines, sino simplemente a que tras ellas hubiese un volumen económico o un impacto social de importancia similar o al menos de gran importancia. Piénsese, por ejemplo, en sistemas de gestión de grandes emergencias naturales, en sistemas de estrategia militar o en procesos clínicos.
En todos esos casos, como en el del automóvil, cabe esperar (¿temer?) un relativamente largo proceso de transición en cuña —phase-in, phase-out— con una “seguridad (¿inseguridad?4) en el nivel 3”.
El tipo de seguridad del borracho de la anécdota que —en la plaza mayor del pueblo, con su farola en el centro, convertida durante las fiestas en plaza de toros, con la iglesia, el ayuntamiento, la farmacia y la panadería protegidas por carros y tablones— tras darle otro par de tientos a su bota de vino, y con su visión cada vez más confusa, se lanza al ruedo y, al asustarse, “por subirse a la farola que era, se subió a la que no era; y por cogerle el toro que no era, le cogió el que era”.
Cuando la lógica es demasiado fuzzy, mejor buscar otro enfoque.
En resumen, de lo hasta aquí expuesto:
1. Pasarán entre 5 y 10 años para que el automóvil autónomo esté en diversas fases de transición de su inteligencia artificial (IA) entre el nivel 0 y el nivel 5. Quizá ahora se está ya, experimentalmente, y probablemente durante un tiempo, en el nivel 3.
2. Los humanos, en vehículos (experimentales) del nivel 3, se comportan a veces como neandertales o como millennials, pero independientemente de su tribu, no parecen poder reaccionar en tiempo útil a la cesión de control solicitada por un nivel 3 en apuros.
En palabras del profesor del MIT, John Leonard, citado en el artículo, “Creo que el manejo autónomo a Nivel 3 es irresoluble”, “La noción de que un humano pueda ser un respaldo (backup) fiable es una falacia”. Los expertos están tanteando muy diversas ‘soluciones’, como:
» Una reducción/limitación drástica de la velocidad de crucero, p. ej. a 37 mph en el próximo A8 de lujo de Audi, con lo que el “retardo” en la intervención humana sería menos grave — véase Nota 3—.
» El desarrollo de dispositivos que atraigan y mantengan la atención del pasajero;
» o como he dicho de Google, suprimir la posible intervención humana en casos de emergencia. (¡Esperemos que, en este último caso, le dejen al menos uno de esos grandes tiradores rojos de emergencia (emergency pull off) como los que tenían los mainframes hace años!).
1Markoff, J. (June 7, 2017). “Robot Cars Can’t Count on Us in an Emergency”. New York Times.https://nyti.ms/2rTVglc [URL consultado el 20170610].
2El artículo citado no permite determinar si también el robot fue objeto de deseo. Con lo que a los diseñadores les queda aún por determinar ese grado de libertad.
3Esto supone, por ejemplo, que, si el vehículo circulaba a 75 km/h, recorrería sin control más de 100 metros. El artículo tampoco aclara si por ejemplo esa toma de control incluiría o no el frenado, si no lo hiciera, sino que al asumir el control se iniciara el frenado, eso requeriría aproximadamente otros 40-50 m.
4«El profesor colombiano Jeimy Cano en su libro de 2013 y en artículos más recientes se refiere a la “inseguridad de la información… como elemento práctico de gobierno corporativo”». Palao, M. (2015). “¿Ciberinseguridad o Desgobierno?” Perspectives iTTi. http://www.ittrendsinstitute.org/perspectives/tag/perspectives/Manolo%20Palao/2 [URL consultado el 20170612].
1 4
16
Fabián Descalzo [email protected] Rheinland / Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001, ITIL versión 3:2011 Certification for Information Management, ITIL versión 3:2011 Certification for Accredited Trainer, Foundation ISO/IEC 20000-1:2011, Internal Audit ISO/IEC 20000:2011
Cuando la operación de nuestro negocio depende de cómo gestionamos la tecnología
Por definición, riesgo operacional es la suma de fallas o errores en los procesos, de las personas que los ejecutan o de las tecnologías que los soportan, que pueden presentarse tanto desde un entorno externo como interno y estar ocasionadas por actividades intencionales, procedimientos inadecuados o defectuosos o por agentes contingentes como desastres naturales.
Entre estos escenarios pueden presentarse tanto amenazas, un potencial de riesgo, como vulnerabilidades, que son brechas que quedan como puertas abiertas esperando a ser explotadas en forma programada o fortuita. Lo que sí tienen en común es un escudo metodológico para mitigar los riesgos a la operación: LA GESTIÓN. Entonces, evitar pérdidas financieras e incumplimiento legal requiere establecer un entorno metodológico en nuestra operación, mediante la gestión relacionada con la seguridad física y lógica, normativa interna para alinear las TI con el cumplimiento, proyectos de TI, usuarios de la organización, y amenazas externas.
En la búsqueda de cómo resolver nuestra problemática sobre los riesgos operativos, observamos que existe una relación lógica entre la definición del alcance del riesgo operacional y los factores de producción determinados para el gobierno de la información (procesos–tecnologías–personas), lo cual afirma la necesidad de establecer procesos adecuados para el cumplimiento de los objetivos de negocio, operados por personal con las capacidades y conocimientos necesarios y acorde a sus funciones dentro de los servicios, y el soporte de recursos tecnológicos e infraestructura de servicios a la medida de las necesidades del negocio.
de TI y riesgos operacionalesIntegración de riesgos
Por ello, es natural el empleo de estándares relacionados con el gobierno de TI y gobierno corporativo (como ISO 20000 y 27001, ITIL, COBIT5, Normas NIST, etc.) para normalizar nuestros procesos y ayudar a ordenar todas las actividades asociadas a la continuidad operativa, así como a la seguridad de la información.
Minimizar el riesgo operativo requiere un conocimiento “relacionalista” de la organización. Pensar que los procesos internos y los servicios de TI están disociados entre sí o que no hay nada más allá de la organización que pueda afectarla, es acotarse a una sola dimensión de riesgos y perder la visión global y multidisciplinaria que se requiere para la subsistencia de la operación de nuestro negocio. Las necesidades de gobierno deben surgir a nivel corporativo, desde todas las áreas de la organización, y apoyarse piramidalmente teniendo en cuenta que no se pueden establecer directrices que no se sustenten inicialmente en procesos y procedimientos que vayan enmarcándola hacia un camino de madurez, que le permita establecer un gobierno adecuado a su entorno, a su industria y, principalmente, a su cultura. Este entendimiento nos brindará la objetividad necesaria para la adopción de los estándares adecuados.
16
2018 17
Fabián Descalzo [email protected] Rheinland / Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001, ITIL versión 3:2011 Certification for Information Management, ITIL versión 3:2011 Certification for Accredited Trainer, Foundation ISO/IEC 20000-1:2011, Internal Audit ISO/IEC 20000:2011
Cuando la operación de nuestro negocio depende de cómo gestionamos la tecnología
17
de TI y riesgos operacionalesIntegración de riesgos
¿Cómo determino objetivamente cuál es el marco metodológico adecuado? Inicialmente debe conocerse “el negocio” mediante las definiciones de sus procesos y de su marco legal y regulatorio. Esto aporta conocer cuáles son los límites del entorno de la industria y define los primeros parámetros de alto nivel o necesidades primarias de cumplimiento. Como sabemos, las leyes o regulaciones nos señalan lo que se debe cumplir, pero no como implementar el cumplimiento, por lo que es muy importante basarnos en el conocimiento inicial para verificar internamente en la organización cuál es su “adherencia” al cumplimiento y cómo incide la cultura de las personas en su participación en los procesos. Esto ayudará en la elección del estándar adecuado para la organización y determinará cuál es la forma más correcta de abordar su implementación.
Una vez seleccionado el estándar e identificados los puntos de necesidad de cumplimiento, podremos definir los planes de implementación o remediación necesarios, que deben alcanzar tanto a procesos, como a personas y tecnología. El resultado final nos debe aportar lo que llamamos “línea base de cumplimiento”, con definiciones funcionales y técnicas que se verán representadas en nuestro marco normativo.
Como se citó anteriormente, debemos tener una visión global y multidisciplinaria, por lo que cada área de la organización deberá participar en forma completa y desde sus funciones, tanto en actividades consultivas como operativas, según corresponda, y de acuerdo a sus alcances funcionales relacionados con el gobierno, riesgo y cumplimiento. Uno de los mejores ejemplos para visualizar esta interacción es la de reconocer en un proyecto de negocio cuáles son los diferentes hitos relacionados con la necesidad que tiene la organización en el inter-relacionamiento de sus áreas para la obtención de sus objetivos.
Imaginemos que un área de negocio de nuestra organización está desarrollando un nuevo servicio, el cual requiere del uso de la tecnología. Como indicamos, ya contamos con una línea base de cumplimiento que abarca tanto procesos funcionales como tecnológicos, y esta base de cumplimiento requiere que el análisis de los riesgos asociados a este proyecto sea realizado en conjunto entre el área de negocios y las áreas tecnológicas, con el soporte consultivo de áreas legales y de riesgo, porque este análisis no solo debe estar enfocado a los riesgos sobre las ganancias del negocio, sino también a las pérdidas económicas por la falta de previsión en la operación, continuidad y cumplimiento que requiera tanto el servicio de negocio como el servicio de TI.
2018
Directrices
Gobierno corporativo
Gobierno de TI
Estándares
Procesos yprocedimientos
DesempeñoMetas del negocio
ConformidadSOX, LOPD, etc.
Tablero decontrol COSO
ISO 38500 - COBIT
ISO 22301 ISO 27000 ISO 20000
Continuidadde negocio
Guías deseguridad ITIL
18
Esto nos lleva a conformar un equipo de trabajo para cada proyecto dentro del cual sumemos el conocimiento y las experiencias de las personas en la construcción de este servicio de negocio apoyado en la tecnología, teniendo en cuenta que el representante del negocio debe liderar el proyecto (como dueño del proceso, de datos y riesgos que es) apoyado por las áreas de cumplimiento y legales, y contando con los servicios de soporte y operación de tecnología y seguridad de la información.
Compliance Seguridad de lainformación
Líderes deproyecto
AdmSO
AdmBBDO Operación
Capacitación ydefiniciones decumplimiento
Conocedores del funcionamientoaplicativo para responder a los
requerimientos del negocio
Servicioconsultivo
y desoportetécnico
Acompañamientoy operación derelevamiento
y remediación
Tecnología
Equipos de trabajo
Jefes de aplicación olíderes funcionales
de sistemas
Lidera lasactividades
Gobierno y control
Aplic
ación
Infraestructura
Gestión dedatos
Control
3ras parrtesOperación Recursoshumanos Cumplimiento
Leyes yregulaciones
Marconormativo
Seguridad eincidentesRiesgos
Identificación Definición Tratamiento
Borradoseguro
Recuperacióny resguardo
Tratamientodatos sensiblesClasificación
Datacenter
Operación
Continuidadoperativa
Entornofísico
Cuentasoperativas
Cuentasespeciales
Mantenimiento
Configuraciónsegura
Software debase
(SO y BBDD)
Hardware
Networking
Hardware dedefensa ymonitoreo
Usuarios
Incidentes
Gestión
Operación
Control deaccesos
Integridad
Control deaccesos
Desarrolloseguro
Gestión deservicios decertificación
Incidentes
TestingOWASP
Mantenimiento
Tratamiento yresguardo de
fuentes
Operación
Para comprender los alcances que debemos tener en cuenta al iniciar el diseño de proceso o servicio de TI y seguridad de la información para dar soporte a los procesos de negocio nuevos o existentes, desarrollé el siguiente mapa en el que identifiqué los diferentes componentes que construyen los recursos necesarios para la operación de la tecnología, y sobre los cuales deben identificarse aquellos riesgos asociados y objetivos que tenga nuestra organización, basados principalmente en los resultados de la gestión de incidentes, gestión de riesgos y en el análisis del entorno geográfico, físico y operativo en el que se suceden los servicios de TI.
2018 19
Abarca tanto aspectos técnicos como lo relacionado con los ambientes de aplicación e infraestructura, así como al gobierno y control sobre la tecnología, que son componentes clave y a los cuales es necesario asignarles una gestión adecuada a la cultura interna y madurez del negocio, y a su entorno e industria, para minimizar las probabilidades de impacto negativo a la operación y proteger la información de la organización.
Pensando en riesgos operacionales, no podemos dejar de lado la participación de terceros en los procesos de negocio o de servicios tecnológicos, ya que es habitual la subcontratación para potenciar los procesos o servicios valiéndonos de la experiencia y conocimientos de un socio de negocio o un proveedor. Ahora bien, si no nos proponemos una adecuada gestión sobre esas terceras partes, aumentan los riesgos en la contratación, por ejemplo, legales por incumplimientos contractuales con nuestros clientes, sobre los recursos humanos, o relacionados con la tecnología en cuanto a sus vulnerabilidades y amenazas propias de cada plataforma.
La gestión y aplicación de la tecnología y las crisis externas a la organización son los principales focos de amenazas que conforman los riesgos de TI que encabezan la lista, que asociados ponen en grave peligro la operación si no los evaluamos en forma correcta identificando su mapeo relacional con los procesos de negocio y su entorno operativo. Basados en este análisis, se podrá obtener para cada uno el plan de mitigación adecuado a la operación real, estando así seguros y óptimos respecto de las necesidades operativas de la compañía.
Hay cuatro dominios en los cuales deben agruparse las principales actividades de mitigación de estos riesgos de TI:
» El gobierno de la tecnología, que debe ser compartido con nuestro proveedor de servicios
» La gestión de riesgos sobre los servicios, tanto internos como externos, y en el caso de terceros, reclamando y auditando a nuestro proveedor en su gestión implementada
» La educación y actualización para la mejora del conocimiento y capacidades, no solo relacionadas con la infraestructura técnica sino también en los procesos de servicio de TI, tanto de los contratados como de los internos, sobre los cuales el proveedor también debe capacitarse
» El cumplimiento, sobre la base de ser conscientes de que puede delegarse la operación a un tercero, pero no es recomendable delegar la responsabilidad en el cumplimiento, por lo que deben establecerse los controles y auditorías necesarias para verificar este cumplimiento por parte de nuestro proveedor
Esto determina que, tanto los riesgos asociados al proceso de negocios y a los servicios de TI, como las necesidades de continuidad operativa de los mismos, debe reflexionarse desde su diseño. Conocer el modelo de negocio y diseñar los servicios de TI en torno a sus necesidades, basados en una gestión implementada como resultado de la adopción de estándares metodológicos, va a brindar la oportunidad de construir servicios de TI que estén alineados a los procesos de negocio, y por ende a los objetivos de la organización dando una respuesta efectiva al plan de negocio.
Además de cumplir con las etapas lógicas y preestablecidas por cualquier normativa asociada a la gestión de proyectos, seguridad de la información o gestión de los servicios de TI, es recomendable que cada vez que decida iniciar un proyecto identifique una fase de capacitación para el entendimiento de la operación, integre el equipo de trabajo documentando e informándoles sobre sus alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de negocio y, fundamentalmente, las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática).
En el inicio de este camino, lo que primero debería establecerse es un conjunto de actividades tendentes a proteger y controlar los principales componentes de los servicios de TI para el negocio. Este blindaje podría obtenerse mediante actividades iniciales asociadas a terceras partes, seguridad física, seguridad de la información, controles sobre la operación de la tecnología, proyectos de TI y planes de respuesta para asegurar la continuidad ante incidentes. Respecto de los riesgos a identificar y su posterior gestión, si bien no hay una metodología única (ISO/IEC 27005, ISO/IEC 31000 y 31010), una de las más claras en su implementación y recomendable es MAGERIT, que, a través de sus tres libros y sus métricas e indicadores, ofrece una guía para una gestión prudente con medidas de seguridad que sustentan la confianza de los usuarios de los servicios.
A las cuatro etapas conocidas para la gestión de riesgos, recomiendo sumar una quinta asociada a la comunicación interna y externa sobre la metodología implementada, sus resultados, los mecanismos de mitigación definidos, y la asociación de la gestión de riesgos con la definición de los objetivos de control y los diferentes controles que deben ser implementados para satisfacer los requerimientos identificados mediante la evaluación de riesgos, así como la concientización sobre las amenazas de los riesgos identificados y la capacitación por área de interés (dirección-técnica-gerencias-usuarios) sobre los mecanismos de mitigación, sean estos funcionales o técnicos.
Para finalizar, y como conclusión, hay que recordar que las necesidades del negocio son cada vez más exigentes, y de igual forma las tecnologías son cada vez más complejas, por lo que brindar soluciones que aporten mayor velocidad de respuesta a la organización tiene sus “costos” asociados... y sus riesgos.
El negocio necesita de la tecnología, pero la tecnología sin gestión es un riesgo directo a la operación del negocio… y a sus objetivos.
Gobierno y control
Aplic
ación
Infraestructura
Gestión dedatos
Control
3ras parrtesOperación Recursoshumanos Cumplimiento
Leyes yregulaciones
Marconormativo
Seguridad eincidentesRiesgos
Identificación Definición Tratamiento
Borradoseguro
Recuperacióny resguardo
Tratamientodatos sensiblesClasificación
Datacenter
Operación
Continuidadoperativa
Entornofísico
Cuentasoperativas
Cuentasespeciales
Mantenimiento
Configuraciónsegura
Software debase
(SO y BBDD)
Hardware
Networking
Hardware dedefensa ymonitoreo
Usuarios
Incidentes
Gestión
Operación
Control deaccesos
Integridad
Control deaccesos
Desarrolloseguro
Gestión deservicios decertificación
Incidentes
TestingOWASP
Mantenimiento
Tratamiento yresguardo de
fuentes
Operación
20
Redes sociales ¿Seguras?
Karla Isabel Rivera RangelITIL, CCNA Security, CCNA R&S, Cisco Advanced Security Architecture [email protected]
En la actualidad, el Internet es uno de los medios de comunicación más importantes, y las redes sociales son un elemento relevante pues a través de ellas se pueden realizar diversas actividades, tales como compartir fotografías, videos, publicaciones, enviar mensajes o ver notas destacadas; básicamente mantenerse al día de lo que están realizando nuestros conocidos. Y a todo ello, ¿nos hemos preguntado qué tan seguras son?, ¿cuál es el riesgo que se tiene al utilizarlas?, ¿cómo nos podemos proteger?
Las respuestas no siempre se conocen, y no se requiere un conocimiento amplio para saberlas.
El punto esencial a considerar es que cada día que pasa nos hacemos más vulnerables y nuestra seguridad está mayormente comprometida, derivado de no brindar especial atención a ciertos factores.
A finales de 2016 un informe realizado por Symantec reveló que 689 millones de personas han sido afectadas por el cibercrimen a nivel global. Por su parte, IDC, una firma mundial de inteligencia de mercado, en su infografía Una nueva estrategia de seguridad para un nuevo escenario de negocios, indicó que en los últimos años los ciberataques van en aumento, y que América Latina es la zona con mayor actividad en el mundo, y tan solo en México se han perpetrado 16 millones de ataques.
Otro dato relevante sobre el uso de Internet en México en 2016 es que más de 90% del total de los internautas entran a redes sociales; Facebook es la más utilizada. Ante este panorama, es claro que hay que buscar un uso seguro. Quizá muchas veces solo se trate de criterio, de saber qué sí y qué no está bien publicar o compartir en estos medios, lo cierto es que cada día existen ataques más sofisticados que pueden llegar a comprometer nuestra información, nuestra intimidad y nuestra seguridad; tanto, que los daños en algunos casos son irreversibles.
20
2018 21
Por lo antes mencionado, se deben establecer medidas de protección mínimas, que son necesarias en todos los dispositivos que se conecten a una red o que tengan alguna cuenta de acceso en una o varias redes sociales. Lo principal es que deben contar con un sistema de seguridad implementado.
A continuación, comparto algunas recomendaciones para minimizar los riesgos al ingresar a las redes sociales:
1. Desactivar la localización de las aplicaciones.Compartir la ubicación de donde nos encontramos a cada momento, nos hace muy vulnerables. De preferencia si asisten a algún evento o se encuentran en un lugar específico y lo quieren compartir con sus contactos, lo ideal es que lo notifiquen de manera posterior a su visita a dicho lugar.
2. No publicar fotografías de menores, y mucho menos de dónde asisten a la escuela o los lugares que frecuentan. Este tipo de información no debe manejarse como pública, por la seguridad de los menores y de ustedes mismos.
3. Configurar el perfil con nivel de privado y con restricciones. Se puede activar la notificación de autorización para publicaciones realizadas por contactos en las cuales se ha sido etiquetado, y así uno mismo decide si desea que se haga público o no.
4. No dar información de bienes adquiridos o información del lugar de trabajo. Publicar este tipo de información brinda detalles de nuestra economía.
5. No descargar o ingresar a aplicaciones o enlaces desconocidos. Puede llevar a la descarga de software malicioso (malware) o de robo de información.
6. No permitir que los menores generen cuentas en las redes sociales. En la mayor parte de los casos no se tiene el criterio para diferenciar lo bueno de lo malo, y hoy en día existen grupos de personas que generan cuentas con perfiles falsos, con la finalidad de manipular a menores y pueden atentar contra su integridad.
7. Utilizar contraseñas robustas y no compartirlas.
8. Cuidar lo que se publica sobre uno mismo y sobre los demás.
212018
22
Otras recomendaciones generales y no menos importantes que deben considerarse cuando naveguen en Internet son las siguientes:
1. Utilizar alguna solución de seguridad informática que incluya al menos las funciones de filtrado de contenido, antimalware y antiphishing, tanto en sus dispositivos móviles, como en las redes internas.
2. No dejar las contraseñas, por omisión, en ningún dispositivo o programa.
3. No utilizar redes públicas WiFi sin protección. En las redes que no están protegidas por una contraseña la transmisión de datos se realiza de manera transparente e insegura y puede ser interceptada por terceros, quienes pueden utilizar de manera malintencionada esa información. Si se van a usar, es altamente recomendable utilizar una solución de VPN que cifre los datos.
4. Apagar la cámara Web y el micrófono si no los utilizarán. Incluso es conveniente colocar algún tipo de protección física en ambos dispositivos.
5. Realizar compras y transferencias en redes seguras y sitios que usen https.
El proporcionar datos personales, cuentas bancarias o contraseñas en redes sin protección brinda fácil acceso a nuestra información y nos expone de más.
ConclusiónAl ser parte de una red social se da la autorización para que se pueda acceder a nuestra información, se desconoce en dónde se encuentra almacenada y quién tendrá acceso a ella, y lo principal es que una vez publicada, ahí permanecerá. Por lo tanto, debemos ser conscientes de que al formar parte de una red social es necesario configurar adecuadamente las opciones de seguridad, no aceptar solicitudes de amistad de desconocidos y, sobre todo, cuidar lo que se publica, a la luz de las recomendaciones previamente mencionadas.
Scitum comprende la seguridad inalámbrica, y por eso
No todas las redes inalámbricas
se crean de la misma manera.
Comuníquese con nosotros hoy para realizar una
[email protected] Teléfono: 1 206 521 1418
www.watchguard.com/es
Lo Difícil Es que Sean Seguras.
© 2016 WatchGuard Technologies, Inc. Todos los derechos reservados. WGCE66888_092716
Scitum comprende la seguridad inalámbrica, y por eso
No todas las redes inalámbricas
se crean de la misma manera.
Comuníquese con nosotros hoy para realizar una
[email protected] Teléfono: 1 206 521 1418
www.watchguard.com/es
Lo Difícil Es que Sean Seguras.
© 2016 WatchGuard Technologies, Inc. Todos los derechos reservados. WGCE66888_092716
24
Criptomonedas
y minería WebRafael Mendoza RodríguezCCNA R&[email protected]
La minería
Todos los gobiernos del mundo utilizan un sistema monetario similar en el cual se imprime dinero que sirve para comprar bienes y servicios. En el mundo de las criptomonedas el dinero no se crea, sino que “se genera” mediante un proceso conocido como “minería”. Los mineros obtienen como recompensa una pequeña parte de una criptomoneda cada cierto tiempo, una vez que resuelven una serie de problemas matemáticos que requieren poder de cómputo intensivo.
Ahora bien, al igual que todo lo relacionado con TI, la minería de criptodivisas evoluciona constantemente. Por ello, por ejemplo, la red de Bitcoin ajusta automáticamente la dificultad de los problemas matemáticos, dependiendo de la velocidad con la que estos estén siendo resueltos.
En los primeros días, los mineros resolvían los problemas con los procesadores de sus computadoras, pero después descubrieron que las tarjetas gráficas, utilizadas para los videojuegos, eran mejores para resolver ese tipo de problemas matemáticos, por lo que empezaron a hacer minería con dichas tarjetas. Después nació el hardware especializado en minería, con tecnología ASIC (circuitos integrados para aplicaciones específicas), los cuales contenían chips especiales, que volvían más veloz el minado. No obstante lo anterior, el minado sigue siendo un proceso intensivo de cómputo que requiere mucho tiempo, energía y poder de cálculo para que resulte un proceso rentable.
24
La primera moneda virtual desarrollada y operativa de manera oficial fue el Bitcoin, en el año 2009. Desde aquel año comenzó lo que hoy en día es uno de los mayores temas de interés, así como de los más populares: las criptomonedas y la minería. Durante 2017 el Bitcoin fue famoso debido a que su valor superó los 20 mil dólares a mediados de diciembre, lo cual implicó ganancias significativas para las personas que compraron esta criptodivisa cuando su valor rondaba los 1,500 dólares, sin embargo, al inicio de 2018 su precio se desplomó para quedar en cerca de 12 mil, con un aumento de 1,900% durante 2017, el crecimiento más alto en su historia, pero con una caída este año de casi 50% respecto a su récord, también marcó el mayor descenso en la historia de su cotización.
En los últimos años han surgido multitud de monedas digitales alternativas a Bitcoin, cada una de ellas con una peculiaridad, y lo que hace unos años parecía una moda pasajera hoy ha llegado lejos, al grado de que ya es posible pagar con Bitcoin en múltiples establecimientos físicos y virtuales alrededor del mundo, incluida la Ciudad de México. También se pueden encontrar cajeros automáticos que permiten intercambiar dinero físico por divisas virtuales e incluso existen tarjetas de débito para que pagues con tus Bitcoin en donde desees.
2018 25
Criptomonedas
y minería Web
En parte debido a lo anterior, el año pasado comenzaron a ser comunes noticias alrededor del mundo en las cuales se informaba que diferentes portales Web realizaban minería de criptomonedas mediante la utilización del poder de cómputo de los usuarios que los visitaban, sin aviso ni autorización previa de los usuarios y, a veces, ni del dueño legítimo del sitio Web.
Esta nueva forma de minería ya no utilizaría el procesamiento de las tarjetas gráficas, sino que, a través de un script realizado en el lenguaje de programación JAVA y cargado en el código del sitio Web de las instituciones u organizaciones, utilizaría el procesador físico de los equipos de los visitantes para minar una criptomoneda.
Empresas y organismos como Movistar en España, la Secretaría de Educación Pública de México, The Pirat Bay (sitio cuya función es ser un motor de búsqueda y rastreo de archivos BitTorrent) o franquicias de Starbucks, han sido protagonistas de esta nueva forma de minado, la cual es provista por la empresa CoinHive.
¿Cómo funciona CoinHive?
Coinhive proporciona a los propietarios y operadores de sitios Web un código JavaScript que pueden insertar en su sitio. Este código utiliza de forma encubierta la capacidad de procesamiento de la computadora de quien visita el sitio Web para extraer la criptomoneda Monero.
252018
Este minero permite una situación de “ganar-ganar”, ya que Coinhive se queda con una parte de la cantidad extraída (aproximadamente 30% de la utilidad) y el propietario del sitio Web obtiene el resto. En la mayoría de los casos, los internautas no se dan cuenta de que el procesador de su dispositivo está siendo usado sin su consentimiento.
Aunque Coinhive es una compañía legítima, su método de operación es dudoso ya que a menudo se presta al abuso por parte de actores malintencionados, ya que Monero es una de las criptodivisas favoritas entre los ciberdelincuentes pues permite ocultar los remitentes, destinatarios y montos de sus transacciones.
Actualmente Coinhive ofrece cinco opciones para integrar el script de minería en los sitios Web:
1. Simple UI: interfaz gráfica para el usuario que permite visualizar y personalizar, mediante código HTML, un IFrame para detallar la velocidad de minado, así como los cálculos matemáticos realizados por el procesador del usuario.
2. JavaScript Miner: script que permite insertar un minero de Monero directamente en el código HTML de tu sitio Web. El minero en sí no cuenta con una interfaz gráfica, por lo que Coinhive indica que es responsabilidad del dueño del sitio informar a los usuarios sobre el minado realizado con sus equipos y proporcionar estadísticas sobre los resultados.
26
3. Captcha: este método utiliza un widget que es personalizado para ser agregado mediante un formulario en HTML dentro del sitio Web. El captcha de Coinhive funciona como un captcha convencional, con la excepción de que utiliza poder de cómputo para el minado.
4. HTTP APPI: La API (interfaz de programación de aplicaciones) de Coinhive es un aplicativo o programa para páginas Web que ayuda a los administradores de Coinhive a conocer la cantidad de minería realizada, mediante la cual se obtiene la recompensa o ganancia. Otra función que proporciona la API de Coinhive es la creación de “usuarios” para múltiples “sitios Web”; esto permite a los administradores observar en una gráfica cuál “sitio” o “usuario” genera mayor utilidad del minado.
5. WordPress Pluggin: complemento de WordPress que permite agregar el minero de Coinhive dentro de una plantilla, con el objetivo de ser introducida por los creadores o diseñadores de sitios Web sin mayor dificultad.
¿Cómo bloquear mineros ocultos?
Si sospecha que el procesador de su computadora está funcionando un poco más de lo normal, busque en las ventanas de su navegador Web y si encuentra algún sitio sospechoso, allí puede que su computadora se encuentre minando de forma remota a través de su explorador. Para detener el proceso solo debe cerrar su explorador.
Los usuarios más técnicos pueden ejecutar el administrador de tareas en su computadora para asegurarse de que no haya remanentes ejecutando procesos del navegador y, de existir, terminarlos.
Dado que actualmente los navegadores no están bloqueando los mineros de criptomonedas, ni el software de antivirus integrado en el sistema operativo Windows puede realizar el bloqueo, es necesario recurrir a programas de antivirus que sí puedan bloquearlos, sin embargo, es necesario contactar a su proveedor de antivirus para validar si cuentan con protección para este tipo de comportamiento.
Alternativamente, se pueden utilizar extensiones de los navegadores Web, como “No Coin” o “minerBlock”, que bloquean automáticamente los mineros similares a Coinhive y se actualizan periódicamente con los nuevos scripts de minería que aparecen.
Referencias:- COINHIVE (2018). Recuperado de https://coinhive.com/documentation
- Del Castillo, Alberto. (2016). BBVA BANCOMER. Criptomonedas: ¿Para qué sirven las monedas virtuales? Recuperado de: https://www.bbva.com/es/criptomonedas-sirven-las-monedas-virtuales/
- Zuleika, Salgado. (Dic. 26, 2017). AHORA COINHIVE APROVECHA PROCESAMIENTO DE CPU PARA MINAR MONERO AÚN CON EL NAVEGADOR CERRADO. Recuperado de: https://www.criptonoticias.com/seguridad/ahora-coinhive-aprovecha-procesamiento-cpu-minar-monero-navegador-cerrado/
28
El CISO en tiempos de la ciberseguridadMarcos A. Polanco ITIL, CISSP, CISA y [email protected] ciberseguridad es uno de los retos más importantes que enfrentan hoy las organizaciones, y en la medida en que estas se sumergen en la transformación digital, será aún mayor su importancia. Pero, ¿qué papel juega el Chief Information Security Officer (CISO) en este proceso? En este breve artículo trataré de plasmar algunas ideas del papel que deberá jugar este líder dentro de la organización ante este panorama.
En resumen, el CISO es el responsable ante el Chief Executive Officer (CEO) o en su defecto ante el Chief Risk Officer (CRO) de la seguridad de la información de la organización, ya sea en formato digital o no; esto incluye muchas funciones tales como gobernanza de la ciberseguridad; gestión de riesgos y cumplimiento; desarrollo y gestión del programa de seguridad de la información; gestión de incidentes, etcétera.
Tradicionalmente su papel ha sido de tecnólogo, por lo que debe ser experto en los conceptos de seguridad, así como en las estrategias y productos para crear e implementar arquitecturas de protección; debe saber definir y difundir las políticas y estándares a los que la empresa se apegará; diseñar, implementar e innovar contramedidas; así como evaluar y seleccionar las tecnologías a utilizar, sólo por mencionar algunas.
Una de las principales tareas que tiene es la de lograr la alineación de la seguridad con el negocio, ya que esta es la única forma de alcanzar las capacidades de agilidad, adaptabilidad y resiliencia que la empresa requiere para enfrentar un entorno donde las amenazas cambian rápidamente, entendiendo por capacidad a la combinación de elementos como gente, procesos, tecnologías, políticas, prácticas y cultura que permiten que la ciberseguridad sea repetible, consistente, medible, demostrable y sensible, es decir, que responde oportuna y adecuadamente al negocio.
Por lo anterior, ahora el CISO debe evolucionar a ser un estratega para el negocio, claro, sin dejar de ser tecnólogo.
2018 29
En esta nueva faceta, debe asociarse con las cabezas de las unidades de negocio para concretar el alineamiento de la estrategia de seguridad de la información con la estrategia de la organización. Debe tener gran conocimiento y entendimiento del negocio, saber qué procesos y qué datos son los más relevantes; saber qué información soporta el crecimiento y desarrollo de la empresa; debe ser un socio de confianza que provee asesoría enfocada y centrada en cómo la gestión de riesgos ayuda al negocio; ayuda a priorizar las inversiones a la vez que transmite claramente el valor que estas dan al negocio al proteger los activos de la organización.
Asimismo, entiende las implicaciones de las nuevas amenazas para la organización e identifica los ciberriesgos asociados con las nuevas estrategias que el negocio quiera realizar. Entiende en dónde debe enfocarse la empresa para atender las ciberamenazas y crea un roadmap de iniciativas basadas en los riegos que permitan alinear la ciberseguridad al apetito de riesgo establecido por la alta dirección.
Por último, el CISO debe desarrollar y mantener “capital político” y tener buen manejo de relaciones con los ejecutivos para lograr “subirlos al barco”, concientizarlos, educarlos, comprometerlos y alinearlos.
Analizando el perfil ideal, podemos identificar que requiere las siguientes competencias:
» Pensamiento estratégico. Ve más allá para identificar oportunidades futuras y traducirlas en estrategias innovadoras. Entiende la organización y su cultura.
» Atracción del mejor talento. Atrae, desarrolla y retiene al mejor talento en la organización para cumplir con los requerimientos actuales y futuros.
» Visión de negocio. Entiende el negocio, sabe cómo se usa la información para la operación del día a día y cómo relacionar su actividad con los objetivos de negocio.
» Colaboración. Construye relaciones productivas y trabaja en conjunto con otras áreas/personas para lograr los objetivos comunes. Es visible y accesible para toda la organización para generar un buen "rapport" que ayude a que las personas se enganchen con el tema de seguridad.
» Comunicación. Desarrolla y transmite información en diversos formatos que transfiere un entendimiento claro de las necesidades únicas de cada audiencia y se comunica efectivamente con ellas.
» Logra balance entre prioridades que compiten. Anticipa y balancea las necesidades de sus múltiples stakeholders. Sabe balancear el corto plazo (problemas que se presentan día a día o incidentes/crisis que surgen) vs el largo plazo (la estrategia, la alineación, etc.).
» Cultiva la innovación. Crea formas nuevas y mejores para que la organización sea exitosa.
» Analítico. Profundiza en los problemas para generar una solución adecuada.
30
Los rasgos distintivos que debe tener son: » Aprendizaje ágil. Aprende activamente mediante la experimentación cuando enfrenta problemas nuevos, utilizando como fuentes de aprendizaje los éxitos y los fracasos. Aprende sobre las nuevas tecnologías, es capaz de aprender por medio del autoestudio.
» Manejo de la ambigüedad. Opera eficientemente aun cuando las cosas no son certeras o el camino a seguir no es claro.
» Orientación a la acción. Enfrenta las nuevas oportunidades y retos difíciles con un sentido de urgencia, alta energía y entusiasmo. Establece metas agresivas pero realistas.
» Flexibilidad. Ajusta su enfoque y comportamiento en tiempo real para enfrentar las exigencias cambiantes de las diferentes situaciones a las que se enfrenta.
Sus principales motivadores son: tener un rol de alta visibilidad y de gran responsabilidad; ser agente de cambio; ser el fiel de la balanza entre dirigir el cambio y gestionar los riesgos del negocio; tener un compromiso cercano con los altos líderes de la organización.
Como conclusión, podemos decir que el CISO debe: » Tomar un liderazgo estratégico en la organización.
» Entender los riesgos en función de su impacto a la ventaja competitiva del negocio, a sus metas de crecimiento y de expansión de ingresos, es decir, cómo la ciberseguridad ayuda a generar y preservar valor.
» Cambiar su mentalidad y lenguaje para mover la conversación de seguridad y cumplimiento (lado técnico) a riesgos y gestión (lado estratégico).
» Lograr y mantener visibilidad ante la alta dirección para transmitir de forma directa y clara la importancia de los temas de seguridad.
Fuentes:- The Cyber Risk Handbook, creating and measuring effective cybersecurity capabilities. Domenic Antonucci- Deloitte Review Issue 19. The new CISO, leading the strategic security organization. Taryn Aguas, Khalid Kark, and Monique François- Information Security Governance Simplified, from the Boardroom to the keyboard. Todd Fitzgerald
