lunes, 31 de marzo de 2014

Gobierno de la Seguridad de la Información

El marco de Gobierno de la Seguridad de la Información es el sistema mediante el cual se dirigen y controlan las actividades de seguridad de la información de la organización.

La Gobernanza de la seguridad busca alinear los objetivos y estrategias para la seguridad de la información con los objetivos y estrategias del negocio
… teniendo en cuenta la legislación vigente, regulaciones y contratos
… mediante la guía e implementación de una aproximación basada en riesgos
… soportada por un sistema de control interno.

Los principios que establece la norma ISO 27014 establecen una buena base para la implementación de los procesos de gobierno de la seguridad de la información:

1. Establecer responsabilidad con respecto a la seguridad de la información en toda la organización. En este sentido:
  • ¿La seguridad de la información se gestiona a un nivel de la organización que permita la toma de decisiones?
  • ¿Las actividades asociadas a la seguridad lógica y física se realizan de forma coordinada?.
  • ¿La responsabilidad y rendición de cuentas con respecto a la seguridad se establece a través del ciclo completo de las actividades de la organización incluidos terceros?.

2. Adoptar una aproximación basada en el riesgo. En este sentido:
  • ¿Las decisiones se toman en función del riesgo?.
  • El nivel aceptable de seguridad ¿se basa en el apetito al riesgo de la organización?, ¿se incluye en él la posible pérdida de ventaja competitiva, riesgos de cumplimiento y responsabilidad, interrupciones operativas, pérdida financiera y daño a la reputación?.
  • ¿Se asignan los recursos apropiados para implementar la gestión de riesgos en la organización?.

3. Establecer la dirección de las decisiones de inversión en seguridad de la información. En este sentido:
  • ¿La estrategia de inversiones en seguridad de la información se establece en función de los resultados de negocio alcanzados?.
  • ¿Las inversiones en seguridad se integran con los procesos generales existentes para las inversiones y gastos de la organización?.

4. Asegurar conformidad con los requerimientos internos y externos. En este sentido:
  • ¿Se garantiza que las políticas y prácticas son conformes con la regulación y legislación existente, con los compromisos y contratos de la organización y con otros requerimientos internos o externos?.
  • ¿Se realizan auditorías de seguridad independientes?.

5. Fomentar un entorno positivo respecto de la seguridad. En este sentido:
  • A la hora de implementar la gobernanza de la seguridad, ¿se tiene en cuenta el comportamiento humano, incluyendo la evolución de las necesidades de las partes interesadas?
  • ¿Se exige, promueve y apoya la coordinación de las actividades de las partes interesadas para alcanzar una dirección coherente de la seguridad (educación, formación y programas de concienciación)?.

6. Revisar el rendimiento en relación a los resultados de negocio. En este sentido:
  • ¿La aproximación tomada para proteger la información es adecuada al propósito de apoyar la organización proporcionando niveles acordados de seguridad de la información?.
  • ¿Se mantiene la seguridad en los niveles requeridos para alcanzar los requerimientos actuales y futuros del negocio?.
  • ¿Se evalúa la seguridad en relación a su impacto en el negocio y no sólo en base a la eficacia y eficiencia de los controles?.

El modelo para la implementación del gobierno de la seguridad de la información, según la norma ISO 27014 es el siguiente:




jueves, 20 de marzo de 2014

IT shadow (I) : BYOD – Seis Prácticas de seguridad


Ya sea que su organización tenga una Política Bring Your Own Device (BYOD) establecida o no, no es menos cierto que los usuarios (empleados, estudiantes)  ya están trayendo sus propios dispositivos bien sea a la oficina o instalaciones de trabajo. Mientras que los teléfonos inteligentes y las tabletas son los sospechosos de siempre, la " consumerización " de TI se extiende a ordenadores portátiles personales e incluso los ordenadores de casa.

Las empresas que se resistían a esta tendencia se están dando cuenta de que hay muchos beneficios al dejar que los empleados  utilicen sus propios ordenadores portátiles y dispositivos de mano, incluido el reducido costo y aumento de la productividad de los usuarios.

Retos de seguridad relacionados a programas BYOD:

  • ¿Puede TI gestionar y dar soporte eficazmente a dispositivos de propiedad auto- configurados por los empleados y contratistas?
  • ¿Cómo se proporcionará a estos empleados y contratistas acceso seguro a las redes corporativas, aplicaciones y datos utilizando los “endpoints”?
  • ¿Cómo proteger los datos corporativos y aplicaciones de malware y acceso no autorizado a través de los “endpoints”?
  • ¿Se puede aislar con eficacia las aplicaciones y los datos personales y de la empresa en el mismo dispositivo? 



Consideraciones
Descripción
Empleados
Interés en BYOD
Porcentaje de empleados interesados en adoptar BYOD
Porcentaje de empleados que utilizan dispositivos personales para trabajar hoy por hoy
Expectativas
Identificar las expectativas alrededor del BYOD (dispositivos o plataformas específicas)
Derechos actuales
Usuarios que tienen derecho actualmente a los dispositivos propiedad de las empresas. ¿Por qué?
¿Cuáles son los costos (hardware, software, servicios, etc)?
Procesos

Gestión de dispositivos
Procesos implementados para la gestión de dispositivos (backup, gestión de software/aplicaciones)
Gestión de dispositivos perdidos o robados (bloqueo/borrado remoto)
Tecnología
Seguridad
¿Cuáles son las políticas y prácticas actuales de seguridad en la actualidad?  (gestión centralizada de datos locales, cifrado y  copia de seguridad)
¿En qué medida las prácticas de seguridad existentes pueden limitar las oportunidades BYOD?
Herramientas
¿Qué herramientas / soluciones se utilizan hoy en día para la gestión de dispositivos?
¿Cuáles son los costos? (hardware, software, servicios, apoyo)?


Riesgos del BYOD

Que los usuarios consulten el correo electrónico y el calendario desde su propio teléfono o tableta es una cosa, pero trabajar con aplicaciones críticas de negocio es otra.
Con los dispositivos personales, la fuga de datos (data leakage) es una preocupación importante. Muchos de estos dispositivos almacenan datos en la nube, donde los datos se pueden duplicar fácilmente entre las aplicaciones y otros dispositivos.

Además, debido a sus características de tamaño y forma, los teléfonos inteligentes y las tabletas pueden ser fácilmente perdidos o robados o colocados en lugares no custodiados apropiadamente,  creando la oportunidad a usuarios malintencionados.

Dispositivos personales no administrados accediendo a aplicaciones empresariales introducen el riesgo añadido de “endpoints” de no confianza en la red interna. Para minimizar el riesgo de infección por malware o la fuga de datos, las empresas deben establecer políticas sobre quién tiene permiso de acceso a qué datos y aplicaciones corporativas a través de la red.

Tabla resumen de riesgos

Tipo de riesgo
Riesgo
Internos
Los empleados pueden estar insatisfechos por la limitada selección de dispositivos compatibles.
Las organizaciones pueden estar expuestas a problemas de responsabilidad derivados de uso de los dispositivos o las implicaciones que plantean los reembolsos (ayudas para la compra de dispositivos) proporcionados a los empleados.
Costos incrementales por dar soporte a demasiados dispositivos con procesos de soporte ineficientes.
Uso no adecuados de los dispositivos por parte de los empleados pueden originar riesgos de seguridad adicionales.

 Externos
Los competidores pueden tener ventajas de productividad si su programa BYOD no está definido y ejecutado adecuadamente.
La organización puede estar expuesta a riesgos regulatorios que resultan de las violaciones de datos personales, pérdida de información, etc.
Mal manejo de la información personal puede convertirse rápidamente en conocimiento público e impactar en la reputación.
El aumento del nivel de diversidad y complejidad de los dispositivos puede impactar en las capacidades técnicas para la gestión de estos dispositivos.

Seis prácticas de seguridad

1. Establecer políticas y expectativas claras

  • Su política debe cubrir por lo menos los siguientes aspectos:
  • Opciones del dispositivo
  • Participación
  • Condiciones de uso
  • Cancelación
  • E-discovery/Forensics
  • Soporte

2. Crear un espacio de trabajo separado seguro
Los beneficios de la contenerización para entornos BYOD / PC son:
  • Cumplimiento de las políticas.
  • Borrado remoto de datos.
  • Separación de datos y aplicaciones personales y de trabajo.
  • Cifrado de datos.
  • Gestión de contenedores vs gestión de múltiples dispositivos.
  • Única consola para gestionar las políticas en función del perfil del usuario.

3. Proteger la red
  • Segmentar y asegurar la red para que coincida con la estrategia BYOD / PC.
  • Los empleados que usan dispositivos personales sólo deben tener acceso a la red de invitados.
  • Sólo deben aceptarse conexiones desde aplicaciones que se ejecutan en los espacios de trabajo seguros.

4. Hacer cumplir las políticas de contraseñas 
  • Utilizar el enfoque de espacios seguros, para hacer cumplir las políticas de acceso específicas del espacio.
  • Utilizar  autenticación de dos factores.
  • Establecer políticas de contraseñas no demasiado complejas.

5. Direccionar los mandatos de cumplimiento y gestión de riesgos
  • Minimizar los riesgos de negocio asociados a la instalación de aplicaciones y datos corporativos en los dispositivos que no son propiedad de la compañía.
  • Implementar funcionalidades de eliminar los datos corporativos en un ordenador o un dispositivo que se pierde o es robado, o cuando un empleado o contratista deja el negocio.
  • Implementar acuerdos BYOD firmados por los empleados, proveedores, etc.
  • Mantener los datos empresariales y aplicaciones claramente segregados en el dispositivo personal.

6. Comenzar con un grupo piloto
  • Iniciar la iniciativa de BYOD / PC, con un grupo limitado dentro de la empresa.  
  • Trabajar con un grupo reducido permite identificar diversos aspectos de tipo legal, de aplicación, seguridad y de usuario que puedan surgir.
  • Considerar el grupo de  o proveedores como marco de prueba donde puede " exigir " la práctica BYOD / PC.
  • Una vez que se haya ejecutado el piloto y resuelto cualquier problema, se debe iniciar el despliegue de las políticas BYOD / PC a otros grupos.

jueves, 6 de marzo de 2014

De la Continuidad Tecnológica a la Continuidad de Negocio

Es indudable que en los últimos años ha crecido la preocupación en las organizaciones por garantizar la continuidad de las operaciones críticas del negocio.   Esta tendencia  puede ser debida a diversos factores, como las numerosas normas o estándares que abordan esta problemática (ISO 27000, la BS 25999 o la ISO 22301…),  los marcos metodológicos que aúnan buenas prácticas en la materia (COBIT, ITIL®…), organizaciones sin ánimo de lucro que tratan y fomentan la temática (ISACA, Business Continuity Institute…) o los numerosos antecedentes de eventos no deseados  que han provocado impactos muy importantes  en organizaciones muy conocidas. Todos recordareis el incidente del WindSord, el ataque sufrido por la plataforma PlayStationNetwork de Sony, el atentado a las Torres Gemelas, la reciente caída del servicio WhatsApp…

El problema que se encuentran muchas organizaciones que quieren proteger sus operaciones críticas es, dentro de la complejidad que tiene cada negocio, cómo comenzar a aplicar buenas prácticas en materia de continuidad de negocio.  Lo recomendable en una situación de este tipo es comerse el elefante en pequeños trozos que permitan ir expandiendo el foco. Y justo en este momento nos acordamos de las tecnologías de la información y comunicaciones (en adelante TIC).  Hay que tener en cuenta que gran parte de la operativa de las compañías está soportada por TICs y que  la tendencia tecnológica al alza en la que vive el mundo actual ha hecho que haya aumentado la dependencia que el negocio tiene de ellas.

Nuestra experiencia nos dice que el departamento de TI es un excelente punto de partida para, partiendo de un plan de contingencia de TI (identificar procesos críticos, sistemas TI clave, tiempos de recuperación mínimos, puntos de recuperación objetivos, existencia de procesos manuales alternativos, definición de estrategias de recuperación, establecimiento de Roles y Responsabilidades y del Plan de Recuperación frente a Desastres…) extender el concepto de continuidad hacia los niveles superiores de la organización, dando un paso clave de madurez en una compañía… “de la continuidad tecnológica a la continuidad de negocio”.





Para dar este paso es muy importante que el CIO asuma tanto el liderazgo como  el reto de transmitir a la Alta Dirección que “su” hoja de ruta simplifica las cosas, porque ya hay una estructura de roles y responsabilidades (Cultura de Comités, Equipos de Recuperación, Responsable de Continuidad…), ya se habla de riesgos, de cómo mitigarlos, de procesos críticos, de estrategias de recuperación, de planes de recuperación asociados…. y que si la organización aprovecha esa inercia obtenida a partir del plan de contingencia será más fácil impulsar y elevar el concepto de “continuidad”. En ese momento el CIO trasladará la “pelota” al techo de la Alta Dirección, que comenzará a pensar en términos de continuidad, identificando necesidades y fomentando la toma de decisiones.  Si se consigue captar el interés de la Alta Dirección  se percibirá la necesidad. A veces esto se consigue de manera curiosa, recuerdo una reunión en la que los miembros del Comité de Dirección no entendían la diferencia entre una incidencia normal y otra que diera lugar a la activación del plan de continuidad. El conocimiento que el CIO había obtenido le permitió  explicarles que necesitaban el Análisis de Impacto en el Negocio (BIA) porque introducía un elemento fundamental, la variable temporal. Esta variable era lo que convertía una incidencia de un tipo en una de otro.
  
Esta hoja de ruta es la que aconsejamos seguir en clientes de muy diversos sectores y con problemáticas de muy diversos tipos. En próximas entradas explicaré cómo mantener el sistema de Gestión de Continuidad de Negocio a través de la implantación de una Oficina de Continuidad. 

lunes, 3 de marzo de 2014

Seguridad y privacidad en WhatsApp. Ejemplo práctico nº1

En los últimos días se está hablando constantemente de WhatsApp por varios motivos. Mientras el ciudadano de a pie debate entre comprar pastas Gallo o marca blanca, Mark Zuckerberg compra WhatsApp por 16 Billones de Dólares Americanos. Se dice rápido. Pero éste no es el único motivo: a los pocos días de su compra, la compañía líder de mensajería sufre un corte en el servicio que afecta a millones de usuarios durante horas.

A pesar de esto, en la comunidad de Seguridad de las TIC se lleva ya mucho tiempo mirando con ojo escéptico a esta aplicación. La ausencia de encriptación en las transmisiones de datos de las primeras versiones hizo que muchas empresas se empezaran a plantear si su uso a nivel corporativo podría suponer un problema de seguridad. Poco a poco WhatsApp fue actualizando y blindando sus API con el objetivo de arreglar estos agujeros de seguridad. Pero el aroma y olor a intranquilidad que desprende esta aplicación se ha propagado incluso al ciudadano de a pie, dando fuerza a otras alternativas de mensajería como Line y Telegram.

Hace unas semanas, tras una tarde de tertulia con Emilio Alonso y otros compañeros del gremio, decidí adentrarme en una prueba de concepto con el objetivo de ver hasta qué punto WhatsApp había mejorado sus puntos más débiles: la seguridad y la privacidad.

  • INCISO: Febrero del 2014 -> La WhatsAPI de la que a continuación se habla ha sido retirada por infringir, supuestamente, la DCMA americana. Desconozco hasta qué punto su uso a partir de este momento puede ser cuestionable o incluso ilegal. Por otro lado y como comentario personal alegaré que WhatsApp está basado en el protocolo XMPP, de código abierto y extensible, por tanto el hecho de bloquear una aplicación basada también en el mismo protocolo libre no se sostiene por ningún lado.

El proceso consiste en instalar en un ordenador el cliente de mensajería Pidgin junto con un plugin que permite la ejecución de los comandos de la WhatsAPI e interactuar con los servidores de WhatsApp. El envío/recibo de mensajes usando una API externa no es ninguna novedad, pero el hecho de integrar muchas de las funcionalidades de WhatsApp en una interfaz de un cliente de mensajería de escritorio facilita la interacción con la herramienta y abre nuevas posibilidades. Algunas de ellas bastante alejadas de la línea de la moralidad.


Después de añadir una cuenta de usuario de WhatsApp con la ayuda de WARP para manejar el proceso de autenticación con SMS que utiliza Whatsapp la primera vez que se instala en un dispositivo, podremos ver una ventana de contactos vacía. A partir de este momento es posible añadir contactos a nuestra lista pero, he aquí la primera disyuntiva: Si la aplicación para Smartphones se alimenta de la lista de contactos de tu dispositivo, ¿de qué manera podremos seleccionar usuarios con los que interactuar en la aplicación de escritorio? Pues tan sólo necesitamos un número de teléfono. Cualquiera.


Esto puede ser un problema de privacidad, ya que a continuación podremos ver el estado de la persona, el nombre que tenga asocioado en WhatsApp e inclusive su foto de perfil. Esta violación de privacidad ya sucede actualmente en la aplicación de Smartphones, pero al portarla a una computadora, las posibilidades de usar este sistema como recopilación de información o incluso como envío masivo de mensajes de spam con fines ilícitos o propagandísticos aumenta considerablemente.

No contento con haber estado buscando números al azar y haber gastado alguna que otra broma a compañeros y amigos suplantando identidades (puede llegar a ser muy adictivo hablar con Scarlett Johansson), decidí ver cómo se gestionaba el tema de los grupos, el envío de imágenes, audio, situación…

Por ejemplo, en el caso del envío de fotos, WhatsApp codifica las imágenes mediante una función de hasheo y las almacena en sus servidores. De esta manera, cuando algún usuario comparte una imagen (o archivo multimedia), se verifica que ésta no exista previamente en sus servidores. Posteriormente se permite, o no, la subida de la foto para a continuación transmitir el enlace de descarga al destinatario.

Como se puede ver en la imagen superior, el enlace generado es una URL a los servidores multimedia de Whatsapp cuya dirección está formada por una función hash. Por tanto, he aquí la pregunta para la próxima entrada en el blog: ¿Sería posible autogenerar esta función de hash con el objetivo de encontrar fotos al azar enviadas a sus servidores?