docDescarga PDF - Red Seguridad
download 
Demanda Transcripción
Descarga PDF - Red Seguridad
ddos sobre la mesa Acción, reacción y concienciación contra las amenazas devastadoras En un mundo hiperconectado las organizaciones no se pueden permitir el lujo de ver interrumpidos sus servicios. Las amenazas avanzadas persistentes (APT) y los ataques de denegación de servicio (DDoS) tienen allanado el camino si no encuentran a su paso medidas tecnológicas preventivas y una rápida capacidad de reacción. De izquierda a derecha, Isaac Forés, de Dell SonicWall; Mercedes Oriol, de RED SEGURIDAD; Eduardo Cunha, de Reale Seguros; Santiago Balboa, de MRW; Jesús María Díaz, de C-IED COE; Javier Santos, de Ono; Gaëlle Perrin, de Dell SonicWall; Miguel Ángel Rodríguez, del Ministerio de Industria, Energía y Turismo; y Ángel Gallego, de RED SEGURIDAD. Tx: Ángel Gallego. Ft: MGA. DE INHABILITAR UNA PÁGINA web a sustraer todos los datos confidenciales de una organización solo hay un paso. El método para conseguirlo continúa siendo tan clásico como difícil de combatir: un Distributed Denial of Service (DDoS), motivado principalmente por cuestiones ideológicas (hacktivismo) o por intereses económicos. Las consecuencias de un DDoS pueden ser muy graves para una entidad, no solo por la paralización de su servicio en la Red, sino también por la repercusión que estos ataques de fuerza bruta tienen en su imagen pública. Más allá de estos obstáculos, otra tipología de ataque, las Advanced Persistent Threats (APT), tienen motivaciones similares a la denegación de servicio, con la diferencia de que a menudo pasan desapercibidas para las soluciones tradicionales y sus efectos pueden ser devastadores a más largo plazo. Dell SonicWall patrocinó un desayuno de trabajo, organizado por RED SEGURIDAD, con el propósito de dirimir las preocupantes y numerosas cues16 red seguridad tiones que rodean a DDoS y APT, dos de los peligros más serios a los que se enfrentan día a día los responsables de Seguridad de la Información. El Centro de Excelencia Contra Artefactos Improvisados (C-IED COE) -Organismo Militar Internacional que trabaja en apoyo a la OTAN y las ocho naciones que lo esponsorizan-, el Ministerio de Industria, Energía y Turismo (Minetur), MRW, Ono y Reale Seguros aceptaron gustosamente la invitación de este medio especializado para tratar de resolver dudas y compartir experiencias en torno a estos incómodos interrogantes. Antes de entrar de lleno en la arena del debate, el country manager para Iberia de Dell SonicWall, Isaac Forés, explicó a los asistentes la situación actual de su compañía (que fue comprada por Dell en el primer trimestre de 2012), donde el equipo íntegro de la antigua SonicWall es una pieza esencial en la estrategia de Seguridad de Dell, dentro de su división Software Group: "Esta adquisición es distinta de otras porque no se descalabra lo que había montado, se mantiene la estructura y septiembre 2012 Desayuno institucional con el patrocinio de: el leitmotiv de la empresa. Somos los mismos -de la firma adquirida no se ha ido nadie-, estamos incrementando en un 15 por ciento la plantilla y doblaremos a final de año el número de ingenieros", declaró Forés, que ve positiva esta operación, puesto que "aportando más recursos se puede tener tecnología más novedosa y hacer frente a las amenazas como APT y DDoS". Del mismo modo, la directora de RED SEGURIDAD, Mercedes Oriol Vico, moderadora habitual de estos encuentros, instó a los asistentes a presentar a su organización y comentar qué papel ocupa la Seguridad TIC en el organigrama de las mismas. En primer lugar, Miguel Ángel Rodríguez Ramos, jefe del Área Informática de la Subdirección General de Tecnologías de la Información y de las Comunicaciones del Ministerio de Industria, Energía y Turismo, puso de relieve la importancia de su institución, que engloba al sector más importante para el PIB nacional: el turismo. Además, la Secretaría de Estado de Telecomunicaciones y para la Sociedad especial ddos de la Información (SETSI), con importantes competencias en Seguridad y Protección de las Infraestructuras Críticas (PIC), también se encuadra en este ramo ministerial. "Dentro de mi unidad, se lleva la prestación de servicios TIC del ministerio y yo me encargo de Sistemas de la Información y del área de Seguridad. Debido a las restricciones presupuestarias, nos vemos obligados a consolidar funciones y puestos", aclaró. El citado ministerio, con un notable grado de compromiso, ha desarrollado un plan de adecuación para el Esquema Nacional de Seguridad (ENS). Precisamente, las APT copan buena parte de las preocupaciones de Miguel Ángel Rodríguez, sobre todo por la escasez de herramientas tecnológicas que permiten defenderse de ellas de manera efectiva: "Vamos por detrás y el lado de los 'malos' nos está superando. Aunque existiese una solución, no nos la podríamos permitir, debido a la restricción presupuestaria", matizó el portavoz. Además, como tendremos ocasión de ver más adelante, este ministerio ha sido objeto de DDoS como fruto del descontento de algunos ciudadanos, que canalizan virtualmente sus protestas sociales, tal y como refirió el propio Rodríguez. Jesús María Díaz Moreno, CIS Head & Infosec Officer del Centro de Excelencia Contra Artefactos Improvisados (C-IED COE), tomó la palabra para clarificar y dar a conocer a los presentes los orígenes de esta institución: "La Organización del Tratado del Atlántico Norte (OTAN) constató que había naciones de la Alianza interesadas en ofrecer conocimientos expertos en materias específicas, como tecnología o seguridad, lo que dio pie a crear centros de excelencia, donde grupos de naciones ofrecen servicios expertos diferenciados a la institución". ¿Qué se entiende por artefacto improvisado? "Cualquier artilugio fabricado de forma artesanal que incorpora materiales destructivos, letales, nocivos, pirotécnicos e incendiarios, y diseñado básicamente para destruir o incapacitar", según la definición de Díaz Moreno. "Por la experiencia que tenía España, desgraciadamente, en su lucha contra ETA, se ofreció este servicio a la OTAN en 2007 y en 2010 ocho países (España, Holanda, Rumanía, Francia, Portugal, Hungría, Alemania y Estados Unidos) firmaron el acuerdo y se puso en marcha el centro de excelencia en tiempo récord -señaló-. Nuestro objetivo es luchar contra este tipo de artefactos, pero tenemos que facilitar acceso a la información las 24 horas del día a nuestros efectivos, que están trabajando por todo el mundo. Por este motivo, nuestro planteamiento era evitar cualquier tipo de ataque que pudiera tirarnos abajo la red y las herramientas que utiliza el centro para realizar su trabajo". Reale Seguros nació en España como fruto de diferentes fusiones y adquisiciones de otras ase- especial Desayuno institucional con el patrocinio de: sobre la mesa Dell SonicWall, un referente visionario DELL SONICWALL PROPORCIONA soluciones de seguridad de red inteligente y protección de datos que permiten a los clientes y partners securizar, controlar y escalar de forma dinámica su red global. Utilizando un input de millones de puntos compartidos en su red Global Response Intelligent Defense (GRID), el Centro de Amenazas de SonicWall proporciona comunicación, feedback y análisis continuo acerca de la naturaleza y comportamiento cambiante de los peligros. El SonicWall Research Labs procesa esta información de forma continua y proporciona proactivamente contramedidas y actualizaciones dinámicas frente a estas acometidas. Su tecnología de inspección de paquetes libre de re-ensamblaje y la arquitectura paralela multicore aseguran un análisis y escaneo multi amenza a velocidad de cable y proporciona una estructura técnica que permite a la solución escalar para despliegues en redes de gran ancho de banda. Las soluciones de seguridad de red y protección de datos de Dell SonicWall, dirigidas a entornos que van desde las pymes a grandes organizaciones, están desplegadas en entornos de grandes campus y distribuidas en los segmentos de grandes empresas, gobiernos, puntos de venta, comercio retail y salud, así como proveedores de servicios. Dell SonicWall ofrece una completa línea de soluciones líderes de seguridad de red y protección de datos, incluyendo soluciones de firewall, acceso remoto seguro SSL VPN (Secure Sockets Layer Virtual Private Network), antispam e email security, así como recuperación y backup de datos, además de informes y gestión centralizada y soporte técnico 24x7 para entornos que van desde la pequeña y mediana empresa hasta las grandes corporaciones. La compañía ha obtenido numerosos reconocimientos por parte de las firmas analistas y laboratorios independientes más relevantes del mercado. Gartner posicionó a SonicWall como "visionario" para SSL VPN en su reconocido "Cuadrante Mágico 2011" y, más recientemente, durante este 2012, la consultora posicionó a la firma en su "Cuadrante de Líderes en Unified Threat Management (UTM)". Además, la tecnología de firewalls de próxima generación de la compañía ha obtenido también el reconocimiento de laboratorios como NSS Labs o ICSA Labs. Fundada en 1991, SonicWall fue adquirida por Dell en el primer trimestre de 2012. La multinacional dirigida por Michael Dell se encuentra en una fase de transformación similar a la que han atravesado otros gigantes de las Tecnologías de la Información como IBM, HP u Oracle. Tradicionalmente, la compañía norteamericana había sido conocida como un solvente fabricante de PC y servidores, que se ha visto obligado a reinventarse en un proveedor de soluciones globales, que es lo que el mercado está demandando. Sus costes operativos eran muy altos al compararse con IBM y HP, por ejemplo, y la entrada de jugadores como Acer o Fujitsu -con costes mucho más bajos- aceleró la transformación. A partir de ahí, Michael Dell dio paso a un acto de fe, una nueva estrategia para la compañía. Comenzó a hacer adquisiciones para transformar la empresa en un proveedor global de tecnología, incluyendo -como no puede ser de otro modo- la Seguridad. De ahí, que se hiciese con SonicWall, que se ha erigido como el vértice de su porfolio de soluciones de Seguridad. red seguridad septiembre 2012 17 ddos sobre la mesa guradoras de menor tamaño, por parte de la matriz italiana. Resulta muy curioso que para una aseguradora la Seguridad de la Información no importase demasiado hasta el año 2009: "Fuimos de las primeras compañías multadas por la Agencia Española de Protección de Datos (AEPD) y, a partir de entonces, es cuando pensaron en contratar a un responsable de Seguridad", comentó Eduardo Cunha, Chief Information Security Officer (CISO) de la firma. Tras estos primeros tres años en su función, el portavoz dejó patente la necesidad urgente que había en su organización de ponerse al día en cuestiones como la concienciación, la protección de servicios web e infraestructura TIC. Por su parte, Santiago Balboa Cano, responsable de Seguridad del Área de Tecnologías de la Información de MRW, se sintió plenamente identificado con la situación expuesta por su colega de Reale Seguros, ya que hasta 2009 la Seguridad no se trató al nivel que merecía en esta empresa de transporte urgente. "Vimos todo lo que quedaba por hacer en una organización compleja, donde trabajamos con franquicias. Estábamos interconectados con todas, pero no teníamos el control sobre cada una ellas, aunque les prestamos soporte". Hoy, desde su responsabilidad, tra- Miguel Ángel Rodríguez Jefe del Área Informática de la SG de TIC del MINETUR "Nuestro ministerio ha sufrido DDoS, pero no tuvieron impacto porque ya teníamos un NGFW que nos ayudó mucho" 18 red seguridad bajan por la centralización del control. Balboa incidió en la necesidad de protegerse frente a una modalidad de ataque como DDoS, de la que ninguna empresa está exenta: "La forma de reivindicación ahora es tumbar un servidor más que manifestarse en la Puerta del Sol". DDoS como delito Un ataque de denegación de servicio o una APT están tipificados como delito tras la reforma del Código Penal en 2010, cuestión que la moderadora aprovechó para averiguar si los presentes estaban de acuerdo con este tratamiento. Isaac Forés subrayó las principales diferencias entre un DDoS y una APT, ya que, a pesar de que ambas son puntuales y dirigidas, las amenazas persistentes tienen un mayor radio de acción y sus consecuencias se pueden prolongar en el tiempo. Este profesional entiende que el hecho de que millones de usuarios interactúen en las redes sociales provoca que se difundan multitud de APT: "Estamos viendo muchas amenazas persistentes que van dirigidas a entidades energéticas, por ejemplo. Ahora hay más funciones informatizadas y vía web que antes se hacían manualmente, como por ejemplo la apertura y cierre de compuertas en una central. En algunas ciudades, el alumbrado de la ciudad también se gestiona así y podría estar afectado o ser objetivo de una APT, que se puede comercializar como un servicio por cinco dólares la hora". Desde Dell SonicWall aprecian que los usuarios y sus números de tarjeta de crédito también son objeto de estos ataques persistentes que no pueden ser combatidos con las tecnologías tradicionales. "Tratamos que los Next Generation Firewall (NGFW) ofrezcan protección a este tipo de necesidades", ratificó Forés. Mercedes Oriol se interesó por el impacto de estas amenazas en instituciones públicas como el Ministerio de Industria. En este sentido, su portavoz expuso que la naturaleza del servicio público no ha cambiado, aunque sí la forma de llevarlo a cabo: "Hemos pasado del «vuelva usted mañana» al «pase sin llamar» con la sede electrónica, y es todo más complejo". Abundando en esta cuestión, Rodríguez citó la declaración del IRPF como ejemplo de un servicio online que ha tenido éxito y que, por ese simple hecho, lo convierte automáticamente en objeto de DDoS. A diferencia de los conocidos ataques experimentados por el Ministerio de septiembre 2012 Desayuno institucional con el patrocinio de: Isaac Forés Country Manager para Iberia de DELL SONICWALL "Las empresas valoran poder prever. Cuando llega el proveedor, el mal ya está hecho; con más metodología, sería distinto" Cultura o la Sociedad General de Autores y Editores (SGAE), Industria, Energía y Turismo no se caracteriza por tener una relación masiva con toda la población, como ocurre con la Agencia Tributaria. "Cuando hemos sufrido -en contadas ocasiones- un DDoS, no ha supuesto una preocupación seria, porque no tenemos un impacto económico grave ni nos enfrentamos a exigencias de disponibilidad tan altas como otras organizaciones, que ofrecen servicios masivos". Para Miguel Ángel Rodríguez, las redes sociales deberían estar monitorizadas para saber qué va a pasar, aunque la mayoría de las organizaciones no están preparadas para el cambio: "En la empresa debería haber responsable de Seguridad y en muchas no lo hay". En cambio, lo que sí es un verdadero foco de preocupación para esta entidad son las APT, que pueden estar latentes indefinidamente en los sistemas sin despertar ninguna sospecha. "Algunas llevan presentes cinco años y no te das cuenta", comenta este ingeniero. Por la relación directa que mantiene este ministerio con los proveedores de energía y electricidad, Rodríguez mostró su inquietud por el impacto que estas nuevas amenazas significan para las Infraestructuras Críticas. La directora de RED SEGURIDAD inquirió a Dell SonicWall sobre su expe- especial ddos sobre la mesa riencia con estas dañinas las APT y los DDoS, pero esta vez como usuario y "sufridor" y no como proveedor tecnológico. Manifestó Isaac Forés: "Somos conscientes de que podemos ser foco de atención para un ataque de este estilo, por lo que intentamos maximizar nuestros sistemas de seguridad para tener más visibilidad, no solo de lo conocido, sino también de lo desconocido. Debemos ser capaces de identificar patrones y adelantarnos a algo que va a suceder. Nuestra preocupación es Santiago Balboa Responsable de Seguridad del Área de TI en MRW "La monitorización es un problema porque tenemos servicios externalizados y no nos garantizan las alarmas que solicitamos" intentar prever las cosas a partir de un conjunto de soluciones. Desde dentro de nuestra organización, tratamos que todos los sistemas que utilizamos tengan garantías de seguridad y estén conectados entre sí". La disponibilidad 24x7 del correo electrónico o de herramientas como Customer Relationship Management (CRM), esencial para el contacto con los clientes, se torna vital para Dell SonicWall como usuario de tecnología. Asimismo: "la utilización correcta de los dispositivos y el cumplimiento de políticas evita que la organización sea un coladero para estos ataques. Para conseguirlo, nuestra organización combina NGFW, seguridad para el acceso a la red corporativa de smartphones o 20 red seguridad tablets (Bring your own device -BYOD-), protección frente a nuevas amenazas, botnets, etc. Lo verdaderamente complejo es ponerlo en marcha". A este cometido contribuye sin lugar a dudas una visión integral de la Seguridad, que facilita la resolución de problemas, según argumentó una convencida Mercedes Oriol: "Desde la creación del Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC), se ha reforzado la lucha frente a estas amenazas". Jesús María Díaz, de C-IED COE, se mostró muy preocupado por la ‘invisibilidad’ que demuestran algunas familias de APT: "Quizá los militares estamos un poco obsesionados con la seguridad, pero es que hablamos de vidas humanas y si se meten dentro de nuestros sistemas, estamos perdidos". La imposibilidad de prestar un servicio no es una opción, según razonó Díaz. "Si nos quedamos sin uno, tenemos que dar rápido una alternativa. Por esto existen las palomas mensajeras y se sigue utilizando el código Morse en muchos países. A veces los hackers están tan avanzados que no se acuerdan de cómo atacar lo básico, que puede parecer obsoleto, pero te saca del apuro. Hay que ser reactivos, tener un sistema de respaldo y ser rápidos en dar una respuesta". "La situación económica que atravesamos -continuó Díaz- afecta negativamente al despliegue de redes seguras por su elevado coste. No obstante, no hay que olvidar que la información crítica debería separarse de la red pública y pasar información de ésta a la primera únicamente cuando sea necesario". "Lo anormal o raro nos lleva a apagar el sistema en cuestión antes de que nos siga haciendo daño. Disponemos de técnicos que se conocen la red como la palma de su mano, conociendo cómo reacciona en cada situación, gracias al uso de consolas, porque si no es imposible dar respuesta", dijo este experto en defensa de las tecnologías que ofrecen visibilidad. BYOD, puerta de entrada Las tecnologías aterrizan en la cotidianeidad del usuario mucho antes que las buenas prácticas o las normativas, una circunstancia que viene a dificultar aún más poner freno a las amenazas. En este sentido, el portavoz del Minetur se refirió a la clasificación de la información en un entorno militar (abierta o clasificada), así como a los principios de preven- septiembre 2012 Desayuno institucional con el patrocinio de: ción, acción, reacción y recuperación como algo muy interiorizado por este gremio profesional. Precisamente, por esta razón, Rodríguez ve muy difícil que tendencias como la de emplear el dispositivo personal para trabajar (BYOD) sean adoptadas por organismos no civiles. Sin embargo, piensa que: "en organizaciones más abiertas, hay que hacer frente a ello porque te atropella… y tratamos de ofrecer visibilidad y garantizar la Seguridad con procedimientos como un firewall de nueva generación". Jesús Mª Díaz CIS Head & INFOSEC del C-IED COE "Hablamos de vidas humanas y si se meten en nuestros sistemas, estamos perdidos; hay que ofrecer alternativas" La moderadora pulsó la opinión de Reale Seguros para conocer la visión de una entidad con ánimo de lucro, que si bien sus bienes no son vidas humanas, es el dinero y la información su activo a proteger. Eduardo Cunha destacó que la expansión de la consumerización viene impulsada desde las capas más altas de la compañía: "Son los directores los que llegan con su iPad y no entienden que no les des acceso a la red corporativa, entre otras cosas porque las aplicaciones no están preparadas para acceder desde una tablet, ya que son antiguas. Entonces, quieren desarrollar aplicaciones específicas y cuando ven el precio ya deja de interesarles". En una firma con una trayectoria poco dilatada en Seguridad TIC, hasta hace especial ddos sobre la mesa Todos los participantes reconocieron ser objetivo de amenazas como DDoS o APT. Sin embargo, la disparidad de opiniones y criterios en cuanto a prioridades, métodos de protección y defensa enriqueció el debate y fomentó la amplitud de miras en Seguridad. poco un DDoS no se incluía en su lista de prioridades, atendiendo a Cunha. "En una ocasión, cuando una consultora nos hizo saber que una aseguradora de 1.000 empleados como la nuestra podía estar en listas de DDoS, cortamos tráfico del extranjero y no pasó nada, porque no afectaba a nuestro core de negocio, no vimos nada llamativo; sin embargo, fue una buena forma de prever". Para este CISO supone cierto alivio que esta tipología de ataque esté contemplada en el Código Penal desde 2010, lo cual supone un apoyo que puede ayudar a mitigarlos. "La policía se mueve también, incluso han ido a preguntarnos por determinadas actuaciones -continuó-. Tenemos monitorizados los web services y respondemos sobre los problemas de carga de tráfico en nuestras máquinas". Según una reflexión compartida por Mercedes Oriol, el sentimiento de muchos profesionales que se dedican a la Seguridad es que gestionar BYOD supone para ellos un verdadero quebradero de cabeza, en vista de los problemas de seguridad que acarrean los dispositivos móviles en los entornos de trabajo. Los invitados a este encuentro coincidieron en señalar la dificultad que entraña hacerse entender por un alto cargo que demanda por encima de todo conectarse con su dispositivo móvil a cualquier aplicación. La cultura del pánico es en estos casos uno de los pocos asideros que tiene el CISO para agarrarse. "Siempre se les puede asustar diciéndoles que se arriesgan a que un hacker averigüe los datos del negocio, las webs que visita o su número de tarjeta. A veces el miedo es un buen aliado", apuntó Jesús María Díaz. especial En esta línea, Santiago Balboa, de MRW, puso de relieve otro conflicto sobradamente conocido: Seguridad TIC versus Marketing. Éste último departamento siempre es más flexible ante las peticiones de los clientes y es a Seguridad a quien corresponde poner límites. Por otra parte, Balboa considera que, en este mundo amenazado, la profesionalización del cibercrimen -que ofrece tarifas de botnets y herramientas para conseguir objetivos muy concretosdebería conocerse a nivel más general. El profesional de MRW también tuvo palabras críticas para algunos proveedores de servicios que ponen cortapisas a las medidas de seguridad: "Para nosotros la monitorización sigue siendo un problema porque estamos externalizando servicios (algunos de ellos en modo cloud) a un data center, y no nos pueden ofrecer algunas alarmas y tampoco nos dejan implementar soluciones de seguridad de terceros". Para cerrar esta intervención, Balboa puntualizó que ni siquiera las alternativas con tecnología antigua -tal y como sugería Díaz- constituyen una solución fiable cien por cien: "Tienes todo securizado y pueden aprovechar un módem viejo para entrar en tu empresa. También se comenta que algunos gobiernos almacenan vulnerabilidades zero day por si les resultase útil tirar de ellas en un momento oportuno". "No quisiera estar en vuestra piel", bromeó Mercedes Oriol ante el panorama tan desolador que se estaba dibujando: "¿Qué soluciones hay frente a estos peligros, cada vez mayores?": Javier Santos, gerente de Seguridad Corporativa de Ono, que se incorporó más tarde al debate, comentó a Desayuno institucional con el patrocinio de: sus compañeros de mesa cómo encaja su área en el organigrama del operador: "Estamos enmarcados dentro de la Secretaría General, independientes de las áreas de negocio. Dentro de Seguridad Corporativa llevamos seguridad física y lógica, así como las materias específicas de los operadores". El directivo precisó que las competencias de su área se diferencian de las de un CISO al uso: "No somos área de administración y operación, sino de control y monitorización. Nosotros también nos dedicamos a la definición de políticas, cumplimiento de normativas y monitorización de tráfico, por eso es un área tan sensible a ataques DDoS y APT". En cuanto a vulnerabilidades técnicas y exploits, Santos avanzó que es una "guerra" donde afortunadamente no están solos, ya que trabajan en estrecha colaboración con sus proveedores tecnológicos. "Lo que más me preocupa son los ataques de ingeniería social -puntualizó-. Como empresa muy tecnológica, tenemos a unos empleados con un expertise que los convierte en potenciales hackers". Respondiendo a la pregunta de la moderadora, el directivo de Ono se expresó en estos términos: "Me gustaría cerrar más cosas de las que el negocio me permite". Santos comentó que la heterogeneidad de su cartera de clientes impide fijar políticas de navegación (acceso a portales de juego o pornografía) para ejercer control. A diferencia de lo comentado por el portavoz de Reale Seguros, que pudo cortar el tráfico internacional ante una incidencia sospechosa, en el negocio del operador no es posible. "Debemos tener esa puerta abierta porque nuestros clientes se red seguridad septiembre 2012 21 ddos sobre la mesa dedican a todo tipo de actividades y no podemos cerrarles el tráfico", aclaró. Como dejan patente las diferentes declaraciones de los participantes en el debate, transmitir a la Alta Dirección la importancia de la Seguridad supone un enorme esfuerzo. Para abrir una nueva cuestión, la periodista convino que quizá las altas esferas no perciban este aspecto como una parte más del negocio. Concienciación y acción-reacción Para Jesús María Díaz, de C-IED COE, la única forma de combatir el peligro es la educación. En su opinión, "el usuario debería estar mentalizado y conocer la importancia de la Seguridad desde Gaëlle Perrin Directora de Marketing de Grandes Cuentas para EMEA de DELL SONICWALL "Este tipo de foros nos sirven para bajar al terreno y conocer vuestras inquietudes en Seguridad" el colegio, y esto evitaría que un directivo montase una pataleta cuando no le dejan utilizar su iPad en el trabajo". En esta misma dirección profundizó el portavoz del Ministerio de Industria: "No podemos olvidar que los aquí presentes nos dedicamos todos a esto, pero el ministro no lee la revista RED SEGURIDAD. Los medios que leen nuestros directivos son los económicos y ahí se habla de tecnología, principalmente de Apple y de cloud”. Tal y como refirió Jesús María Díaz, el ambiente militar hace más fácil determinadas prácticas, como reuniones periódicas 22 red seguridad de formación. Sin emabargo, un decepcionado Rodríguez reflexionó al contar: "En el ministerio montamos un blog interno sobre privacidad destinado a todos los usuarios, pero la audiencia es mínima y es triste ver que eso no interesa". Por su parte, Santiago Balboa, de MRW, señaló y destacó la iniciativa que habían puesto en marcha en su organización, cuando impartieron cursos sobre privacidad a los que podían asistir hijos de empleados: "Se escenificaba cómo era un ataque, y niños y mayores aprendieron de forma práctica e ilustrativa". El experto del C-IED COE hizo un paralelismo de las amenazas físicas con las del mundo virtual. "El peligro no está solamente en Afganistán; en cualquier universidad del mundo puede haber un cerebro inventando un nuevo explosivo. Por esta razón, una parte del centro lucha para analizar estas redes, que es donde se estudia lo que se hace y cómo se hace", argumentó. Una labor que los terroristas tienen bien aprendida es difundir su información, y frente a esto, Díaz reconoció que se ha avanzado mucho en las relaciones con Europol, Naciones Unidas, etc. Otro componente importante es la formación a partir de las "lecciones aprendidas", concluyó. Al hilo de estos comentarios, Mercedes Oriol indagó si la tecnología presente en el mercado alberga la solución a los problemas cotidianos con los clientes: "¿Qué sucede cuando una APT ya está dentro y no te has dado ni cuenta?". Como representante del proveedor tecnológico presente en la mesa, Isaac Forés respondió resignado: "Cuando llegamos nosotros, desafortunadamente, el mal ya está hecho. Si las cosas se hiciesen con metodología, sería distinto, pues una de nuestras ventajas es adaptarnos al medio". El directivo detalló con un ejemplo la evolución de la demanda y la flexibilidad de su compañía, que consiguió engrosar su cartera de clientes recientemente con la tercera operadora de comunicaciones 3G en Estados Unidos: "Solicitaban servicios que hasta ahora no nos pedía nadie, como conocer cuánto consume cada aplicativo, de donde provienen las amenazas, análisis de rendimiento, etc. Eso lo valoran mucho para poder prever". La directora de RED SEGURIDAD preguntó a Forés si existen diferencias notables entre la demanda de clientes extranjeros frente a las de los españoles. El portavoz aseveró que en la forma sí septiembre 2012 Desayuno institucional con el patrocinio de: Javier Santos Gerente de Seguridad Corporativa de ONO "Es cierto que hay que intentar adelantarse, pero a mí me resulta más fácil desplegar reacciones rápidas que prevenir" que se aprecian, aunque el fondo es el mismo: "Estar bien protegido es un objetivo común en todos los países. En Latinoamérica o en Europa del Este están implantando infraestructura y en otros Eduardo Cunha CISO de REALE SEGUROS "Cuando supimos que podíamos estar en listas de DDoS, cortamos tráfico del extranjero y no pasó nada, pero fue una buena forma de prever" especial ddos sobre la mesa países más maduros en TI la prioridad es optimizar, hacer más con menos". En este punto del debate, se volvió a dirigir la periodista a los invitados para guirar hacia el aspecto de la responsabilidad: "¿Quién es el responsable ante un ataque con graves consecuencias, como los que estamos viendo?, ¿se pueden solucionar?". Conectando esta pregunta con las redes profesionales del cibercrimen, Miguel Ángel Rodríguez, del Minetur, se mostró turbado: "En algunos casos trabajan mejor que la industria legal de la ingeniería de software. Las organizaciones más atrasadas en Seguridad y los usuarios sin concienciación conforman un cóctel explosivo". Para el experto, el quid de la cuestión es la deficiencia cortar el tráfico entre dos usuarios P2P; se podría hacer, pero es delito". Desde Ono prestan servicio de tráfico limpio a los clientes que lo demandan, pero no están autorizados para hacer "tabla rasa". En opinión de Santos, la capacidad de controlar el tráfico les permitiría incluso una mayor ventaja competitiva para su negocio, pero la realidad legal impide ofrecer un Internet securizado desde el origen. Las soluciones tampoco son sencillas para quienes lo solicitan, debido a la falta de madurez de la tecnología y nunca faltan problemas, según razonó el director de Seguridad de Ono. Sin embargo, y difiriendo de algunas ideas expuestas, se mostró partidario de las soluciones reactivas, más que de las que tratan de prevenir Reale Seguros y MRW, las firmas menos maduras en Seguridad TIC, colmaron de ideas y proyectos su carta de peticiones para los directores de negocio. colaborativa entre organizaciones públicas y privadas y, en la busca de una hipotética solución, quiso averiguar más, dirigiendo su reflexión a Javier Santos, de Ono: "Los proveedores de servicios de Internet tienen que dar el paso y no sé si están haciendo algo u ofrecen soluciones de mínimos a todo el mundo porque no les queda otra opción". Recogió el guante Santos, que se explicó ayudándose de un símil: "Nosotros somos como los que ponen las carreteras, pero no tenemos autoridad para escanear el autobús o la moto que circula por ellas. Hay capacidades técnicas para controlar el tráfico, pero no puedo inmiscuirme". El directivo reconoció que esa sería la aproximación más fácil, ofrecer tráfico limpio generalizado a través de su infraestructura, pero atendiendo a cuestiones legales, el operador no puede hacerlo. "Recibimos denuncias por temas de descargas y propiedad intelectual -explicó-, pero incluso con la aprobación de la Ley Sinde no se puede 24 red seguridad el mal antes de que ocurra: "Es cierto que hay que intentar adelantarse, pero a mí me resulta más fácil desplegar reacciones rápidas que prevenir. Una vez identificado el problema, como aparecen cosas nuevas constantemente, prefiero responder cuando ya conozco esa amenaza". Regresando a la pregunta de Mercedes Oriol sobre las responsabilidades en este tipo de delitos, Jesús María Díaz defendió el cumplimiento de normativas, que en el ámbito militar son más sencillas de implementar: "Nuestros empleados firman un certificado de utilización de la Red que les convierte en responsables ante las leyes españolas e internacionales en caso de que provoquen una fuga de información o un fallo de seguridad". De cara a las consecuencias de cometer un delito, Jesús María Díaz desveló que, bajo su punto de vista, existen incongruencias entre el sistema jurídico para la vida real y para la vida virtual. El militar entiende que no se facilita la investigación para controlar a los 'malos': septiembre 2012 Desayuno institucional con el patrocinio de: "Ante una causa justificada y partiendo de que la libertad y privacidad es lo máximo, nos deberían a dejar utilizar nuestras herramientas cuando existen indicios de delito, y sentimos que no es así". Para Javier Santos, de Ono, se podrían establecer controles mínimos, pero de nada sirve monitorizar si no se tiene capacidad para reaccionar después. Respecto a la colaboración entre ISP en materia de Seguridad, la moderadora preguntó a Santos si existen iniciativas comunes para ofrecer un servicio más seguro. "No, porque hay una parte del negocio que va en contra. No podemos negar que generar tráfico del tipo que sea es una fuente de ingresos para el operador, quien pone la carretera para todo tipo de usuarios -afirmó-. Es complicado, aunque si la amenaza existe, sí hay que tomar medidas, como sucede por ejemplo en IC, pero porque está regulado… Siempre choca seguridad y modelo de negocio porque las cosas gratis no se pueden dar, como sucede con el tráfico limpio". En respuesta a la defensa de un planteamiento reactivo ante amenazas, Isaac Forés, de Dell SonicWall, recomendó entrar en contacto al menos con las tecnologías preventivas: "Es cierto que tienen un coste, pero el retorno de la inversión (ROI, por sus siglas en inglés) y la productividad es mucho mayor que si se hubiese sido reactivo durante mucho tiempo con todos los problemas que se hubiesen sucedido". Haciendo un repaso de su problemática actual, el portavoz de MRW comentó que estaría muy interesado en un servicio de tráfico limpio, pero más aún en que los directores de negocio tuviesen la oportunidad de ver cómo funciona. Forés le respondió: "La mitad de nuestro trabajo en Marketing es precisamente eso, mostrar lo que existe en cuanto a amenazas (con cifras, estudios, demostraciones...) para que lo veáis funcionar y que podáis ir 'arriba' y explicarlo". Además, el portavoz del fabricante animó a Balboa y a Cunha apoyándose en unos datos de Gartner que revelan que tan solo entre un 11 y un 13 por ciento de los firewalls actuales son de nueva generación y hasta finales de 2014 no habrá un 35 por ciento de cortafuegos de esta categoría: "Es la realidad, no sois los únicos". En este sentido, el portavoz de Dell SonicWall recordó que su solución NGFW ha recibido un reconocimiento triple por parte de las tres firmas que realizan análisis independientes, por ser la solución más efectiva, más rápida y con un coste más razonable. especial ddos A Santiago Balboa seguía rondándole en la cabeza el amplio abanico que existe para combatir una amenaza y que es difícil escoger entre tecnologías reactivas o preventivas. Javier Santos, de Ono, tuvo a bien aclarar que él no defendía sustituir prevención por reacción, sino que le parece mejor ésta última para comprender las amenazas. Jesús María Díaz añadió: "Una vez que ha entrado en tu sistema, combátela, y no la dejes salir, porque se llevará tu información", añadió. Conocerse para gestionar una crisis Los contertulios coincidieron en destacar la dificultad que entraña conocer los activos de la organización y protegerlos. Abundando en esta cuestión, Javier Santos, de Ono, expuso que el operador está invirtiendo en prevención de pérdida de datos (DLP, por sus siglas en inglés): "Doy por hecho que me van a atacar, pero todo lo importante voy a tenerlo controlado". Mercedes Oriol se hizo eco de la clasificación de la información, una tarea que a pesar de su complejidad, realizan muy bien en los entornos militares. "La trazabilidad nos ayuda mucho a mantener los valores seguros aparte de clasificarlos -razonó Díaz-. Se puede controlar mejor la información siempre que se acoten accesos, teniendo claro qué es primordial y qué es lo que no importa tanto si se pierde". Eduardo Cunha, de Reale Seguros, evidenció que, en general, en las organizaciones civiles no es nada fácil: "El problema es que no sabemos qué tenemos. Vienen a hacer auditorías y desconocemos qué información albergamos en los discos duros y es imposible, hoy por hoy, establecer soluciones de DLP hasta que no sepamos cómo estamos. Nosotros esperamos conseguirlo dentro de seis meses". Sin embargo, por su parte, Javier Santos defendió tecnologías como Information Rights Management (IRM). Estas trabas no son exclusivas de las organizaciones privadas, pues Miguel Ángel Rodríguez, del Minetur, reconoció deficiencias en la calificación de los datos en toda la Administración: "¿Por dónde empezamos?, ¿quién me dice qué es confidencial y qué no?". El desconocimiento de su propio volumen de datos tiene lugar incluso en organizaciones de más de 5.000 empleados, según comentó Isaac Forés: "Este cliente quería poner acceso remoto seguro para trabajar fuera de la oficina, pero desconocía cuántos trabajadores lo iban a necesitar… Nos queda mucho por mejorar a todos". especial MRW, lógicamente, tampoco escapa a problemas cotidianos y confesó que la trazabilidad de la información supone para ellos un verdadero problema, debido a su estructura organizativa, por lo que están aplicando soluciones: "Las oficinas son franquicias, ahora un total de 500, pero los sistemas son heterogéneos y nunca se les ha requerido que cumplieran con unos mínimos. Queremos gestionar todo desde un único punto y prestar servicios desde ahí a todas las oficinas". Bloquear una amenaza y combatirla después de haber cortado los servicios y los accesos al exterior es una solución que no pueden permitirse todas las organizaciones. En el caso de C-IED COE es viable y es una práctica aceptada, incluso en el Ministerio de Industria, pero Ono o MRW no pueden interrumpir su servicio sin que impacte en el negocio. Aquí sí sobre la mesa áreas sin riesgo. "Existen herramientas que dibujan patrones y saben en qué lugar se encuentra la amenaza en cada momento, lo cual facilita vaticinar, aunque sea imposible preverlo todo. Una solución única no es suficiente", concluyó. Al no tratarse de una organización con interés comercial y en un ejercicio de voluntad colaborativa, Miguel Ángel Rodríguez, compartió detalles sobre ataques de denegación de servicio experimentados en el Ministerio de Industria, Energía y Turismo. El más importante tuvo lugar en noviembre de 2009. Según explicó el portavoz, una asociación de informáticos estaba en desacuerdo con la regulación de las competencias de las profesiones y avisaron a Delegación de Gobierno con día y hora de lo que iban a hacer. "Tomamos ciertas medidas para evitarlo y cambiamos de sitio los docu- Los contertulios suscribieron la necesidad de establecer más vías de colaboración entre organizacions públicas y privadas para contrarrestar estos ataques. que quedaron patentes las diferencias entre Administración Pública y el negocio privado. Así pues: ¿Cómo abordan la gestión de una crisis? En el caso de Ono, se siguen unos protocolos de actuación que pasan por dejar inactivo un rango de direcciones y pasar a otro nuevo donde se publica el servicio afectado, lo que Javier Santos definió como bypass. "En caso de que el problema fuese interno, la solución sería diferente, pero no tienes capacidad para dar solución a todo. Como no hay un manual de amenazas ni sirve atajar una para acabar con la siguiente, por eso defiendo la actuación reactiva". "Aunque la tendencia tecnológica y estratégica es ser preventivo, parece que lo reactivo es la visión más real", opinó Oriol. Según expuso Isaac Forés, en casos concretos como los de algunas entidades financieras, prefieren dejar incluso abiertas algunas parcelas del negocio para aprender de los ataques que reciben en ellas. Son, por supuesto, Desayuno institucional con el patrocinio de: mentos importantes para que no accedieran ellos -relató Rodríguez-. Salimos bastante airosos porque ellos mismos provocaron un DDoS en la página de su asociación porque sus asociados se conectaron todos a la vez y acabaron tirando su página antes que la nuestra". Otro ataque más reciente de hacktivismo se saldó gracias a la tecnología: "Convocaron un ataque para vulnerar los portales de banca y gobierno, empezando por la SGAE… Nuestro ministerio también estaba contemplado, pero no tuvo impacto porque ya teníamos un NGFW, que nos ayudó mucho", aclaró Rodríguez. El fructífero debate finalizó con las previsiones de los invitados sobre futuros proyectos. Podemos afirmar, sin ningún género de duda, que la migración a NGFW, adaptarse a IPv6, facilitar la adopción de BYOD y la valoración de ofertas de soluciones para el tráfico limpio les tendrá tremendamente ocupados durante los próximos meses. red seguridad septiembre 2012 25
