c·o·n·e·x·i·o·n·e·s

Escanea este código
con tu teléfono móvil
o smartphone
www.magazcitum.com.mx
9
contenido
AÑO 3, NÚMERO 3, 2012
Dirección General
Ulises Castillo Hernández
Editor en jefe
Héctor Acevedo Juárez
4
» editorial
4 Editorial
Héctor Acevedo Juárez
Editores
Gerardo Fernández Miranda
David Gutiérrez Jiménez
Consejo Editorial
Ulises Castillo Hernández
Priscila Balcázar Hernández
Héctor Acevedo Juárez
Gerardo Fernández Miranda
Elia Fernández Torres
Colaboradores
6
Héctor Acevedo Juárez
Omar Alcalá Ruiz
Ulises Castillo Hernández
David Gutiérrez Jiménez
Gastón Olguín Ortega
Marcos Polanco Velasco
Ricardo Javier Ramírez Díaz
Eduardo Patricio Sánchez Díaz
Esteban San Román Canseco
» opinión
6
Denegación de servicio ¿Qué aprendimos?
Omar Alcalá Ruiz
10 Buffer overflow (segunda parte)
Gastón Olguín Ortega
14 El arte de incorporar la seguridad a los
controles de acceso (segunda parte)
Esteban San Román Canseco
32 Cobit 5
Ricardo Javier Ramírez Díaz
Marketing y Producción
Karla Trejo Cerrillo
Correctora de estilo
Adriana Gómez López
Diseño
Silverio Ortega Reyes
Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 3, número
3, 2012. Editor responsable: Héctor Acevedo Juárez. Número de
Certificado de Reserva otorgado por el Instituto de Derechos de Autor:
04-2010-071512010500-102. Número de certificado de Licitud de
Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de
la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc,
delegación Cuauhtémoc, México DF 06500. Impreso en : Rouge & 21
S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres
México DF. Distribuida por Editorial Mexicana de Impresos y Revistas
S.A. de C.V: Oaxaca 86-402 Col. Roma México DF. Magazcitum, revista
especializada en temas de seguridad de la información para los
profesionales del medio. Circula de manera controlada y gratuita
entre los profesionales de la seguridad de la información. Tiene
un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el
contenido propietario de Magazcitum son derechos reservados por
Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial
por cualquier medio, sin la autorización por escrito de Scitum S.A. de
C.V. Fotografías e ilustraciones son propiedad de Photos.com, bajo
licencia, salvo donde esté indicado. Marcas registradas, logotipos y
servicios mencionados son propiedad de sus respectivos dueños.
La opinión de los columnistas, colaboradores y articulistas, no
necesariamente refleja el punto de vista de los editores.
Para cualquier asunto relacionado con esta publicación, favor de
dirigirse a [email protected]
18
» misión: crítica
18 La seguridad y nuestros elefantes
(primera parte)
Ulises Castillo Hernández
24
» conexiones
24 Desde la trinchera
Protección de dispositivos móviles
Marcos Polanco Velasco
26 Departamento de defensa
PCI DSS: siguen apareciendo grietas
David Gutiérrez Jiménez
28 En el pensar de...
Ciberarmas
Eduardo Patricio Sánchez Díaz
2012
3
editorial
Segundo semestre de 2012:
pronóstico reservado
Héctor Acevedo Juárez
CISSP, CISA, CGEIT, ITIL y MCSE
[email protected]
Tal como esperábamos, los analistas mantienen el pronóstico de que
el cierre de 2012 no será fácil. Edgar Fierro, presidente de IDC México,
comentó hace poco que el crecimiento del mercado de TI en nuestro país
será solo del 9.5%, en comparación con un 16% del año pasado. Para
nadie fue una sorpresa cuando dijo que “esto es debido a que hubo un factor
fundamental que es el sector público, que llegó a pesar 20 por ciento del gasto total
de TI y, como sabemos, los proyectos de buen tamaño que hacen que la industria crezca
no suceden muchas veces ni en el primer ni en el último año de gobierno, generalmente, suceden en los cuatro
años del medio".
Sin embargo, las cosas no son del todo malas para el sector de TI, que sigue creciendo a tasas bastante mayores
que el resto de la economía y tiene un panorama menos complicado que otras industrias. En palabras del mismo Fierro,
"vemos el crecimiento sostenido de 2011 hasta 2015, de las tres categorías en las que dividimos la industria de TI
(hardware, software y servicios), las tres tienen un crecimiento anual compuesto en ese periodo por arriba de 8 por ciento".
En el ámbito de la seguridad también hay oportunidades: aunque los presupuestos de esta área son de los primeros
en recortarse, el vendaval podría sentirse menos puesto que cada día es más importante proteger la seguridad de la
información contra las amenazas, que crecen constantemente y cada día se difunden más en los medios de comunicación
masiva. En línea con ello, en Magazcitum seguirán encontrando una mezcla de artículos que van desde cuestiones de
marcos de referencia, protección de dispositivos móviles hasta el tema de moda: denegación de servicios. Esperamos
sean de su agrado.
Antes de despedir esta editorial, y cambiando de tema, quisiera compartir con ustedes algunas estadísticas interesantes
de nuestro sitio web, que se mantiene vivo gracias a la preferencia de nuestros lectores:
»»
»»
»»
»»
»»
Período de análisis: del 1 de enero de 2010 al 31 de agosto de 2012.
42,178 visitas.
80,423 páginas vistas.
24% de los visitantes regresan.
Los 10 países con más visitantes:
oMéxico.
oColombia.
oEspaña.
oPerú.
oEcuador.
oArgentina.
oChile.
oVenezuela.
o Costa Rica.
o Estados Unidos.
»»
Nos han visitado de 75 países.
Nuevamente agradezco sus visitas y comentarios en el sitio Web de la
revista (www.magazcitum.com.mx), siempre es un placer saber
qué opinan de los temas tratados por nuestros colaboradores.
Como siempre, muchas gracias por su atenta lectura.
Héctor Acevedo Juárez
4
Ilustraciones: Silverio Ortega Reyes
2012
5
opinión
Denegación de servicio
¿Qué aprendimos?
Omar Alcalá Ruiz
CISSP, ISO-27001 y CCNA
[email protected]
Estos últimos tres meses realmente estuvieron ajetreados a causa de un
proyecto que tuvo un final feliz: por primera vez desde que se publican
los datos, las páginas Web del IFE siempre estuvieron disponibles durante
las elecciones.
Definitivamente no fue sencillo, hubo mucha gente involucrada y costó días de mal dormir, medio comer, estrés y sufrir
con las lluvias, pero valió la pena el esfuerzo. Sin compartir detalles, puedo mencionar que sí se recibieron ataques de
autores desconocidos (por lo general no se sabe quien perpetra este tipo de ataques), algunos de una magnitud que
superó nuestras expectativas de acuerdo con las tendencias dictadas para Latinoamérica, en términos de volumen o
persistencia.
Me gustaría compartir con el lector algunas de las lecciones y experiencias vividas en esta jornada:
»» Primero que nada, es importante conocer qué se quiere cuidar cuando de protección contra denegación de
servicio (DoS/DDoS) se trata. No puedes cuidar lo que no conoces y, en este servicio en particular, resulta
determinante conocer lo que se está protegiendo para evitar ser parte involuntaria del ataque al tirar tráfico
válido.
»» Hay que entender la arquitectura en la que se implementará la solución de protección. Un mal diseño
de la protección puede no ser eficaz a la hora de brindar protección; se requiere comprender bien las
interacciones de la gente y los equipos de red, aplicaciones y gestión (balanceadores, modeladores,
etcétera).
»» Es muy difícil determinar qué información
es veraz y qué información no lo es. La
desinformación está a la orden del
día, lo que nos mantuvo alerta
para siempre poder reaccionar
y estar en un formato “cero
errores”.
6
Ilustración: Silverio Ortega Reyes
»» La protección contra ataques DoS/DDoS ofrece retos muy interesantes en cuanto a la gestión
y reacción ante algún incidente. Hay ataques que pueden durar dos minutos y cesar, por lo
que la protección debe ser inmediata y contundente.
»» Es muy complicado determinar cuando un tráfico válido sí lo es, de aquí la importancia
de conocer los alcances, capacidades y activos que se están protegiendo. El análisis de
lo que sucede en el entorno es vital y debe ser exacto para evitar cualquiera de estos dos
escenarios:
oQue parte del tráfico indeseado pase, impactando negativamente al servicio (ataque
DoS/DDoS consumado).
oQue se tire tráfico legítimo, impactando negativamente al servicio (ataque DoS/DDoS
consumado por la propia mitigación).
»» Si una organización no cuenta con protección para contener ataques de denegación de
servicio, no tendrá capacidad de reacción cuando suceda un ataque que siempre está latente
ya que proviene del salvaje Internet (comúnmente llamado en inglés “traffic in the wild”).
»» Considero que uno de los mayores retos es replantear los niveles de servicio. La
indisponibilidad ante cualquier evento es binaria: estás disponible o no lo estás. Ante una
indisponibilidad, determinar si es producto de un ataque o un tema de capacidad incrementa
la complejidad de la gestión y provisión del servicio, por lo que los SLA (Service Level
Agreement) deben ser muy bien estudiados.
2012
7
»» Muchas herramientas “dicen” ser capaces de contener o prevenir ataques de denegación de
servicio, pero la realidad es que hoy solo conozco una que realiza esta función de manera integral.
Y no digo que las otras herramientas no sirvan. Simplemente es segregar que unas herramientas cubren
disponibilidad, otras se enfocan a la confidencialidad o la integridad pero solo una desde la nube puede
prevenir que el enlace a Internet sea saturado.
»» No importa cuánto se invierta en tecnologías especializadas, sin un equipo de trabajo capacitado,
responsable y comprometido, proyectos como estos no salen adelante. La mejor de las recompensas es
cuando volteas hacia atrás y piensas en todo lo que se planeó para setenta y dos horas intensas.
Ahora que el reto ha pasado no hemos bajado la guardia ni la bajaremos. Al contrario, lo que sigue es fortalecernos con el
conocimiento adquirido para poder replicar este caso de éxito, conscientes de que esta protección puede efectivamente
ser replicada (y que ya ha sido probado) en otros frentes.
8
Poderosamente
Simple
Seguridad de la
Información y la
Gestión de Eventos
NetIQ® Sentinel™ 7
• Búsqueda dinámica y reportes con un solo clic
• Enriquecimiento de identidades y eventos
• Creador gráfico de reglas de correlación
• Detección de anomalías avanzada
• Empaquetado de dispositivos virtuales
Para obtener más información sobre Soluciones de Gestión de la
Seguridad de NetIQ, visite www.netiq.com.
NetIQ, el logo NetIQ y Sentinel son nombres o marcas registradas de NetIQ Corporation, en los Estados Unidos.
Todas las otras marcas, nombres comerciales o nombres de compañías son propiedad de sus respectivos dueños.
© 2012 NetIQ Corporation y sus afiliados. Todos los derechos reservados.
opinión
Buffer overflow
(segunda parte)
Gastón Olguín Ortega
[email protected]
Antes de continuar con esta serie, quisiera comenzar
con una nota del editor y mía en cuanto a fe de erratas.
En el artículo anterior recibí varios comentarios que
nos obligaron a revisar el contenido, y efectivamente,
encontramos algunos errores que, afortunadamente y gracias a
su aportación, tenemos oportunidad de corregir. Los errores tanto
de conceptos como de redacción pueden resultar en algunas ideas
malinterpretadas.
A partir de esto es necesario hacer la siguiente aclaración: en el artículo anterior usamos de manera laxa
“desbordamiento de pila” como traducción a buffer overflow y hay una razón para ello, no hay una palabra en
español que sea traducción literal de buffer, ya que buffer (en computación) es dejar un espacio apartado en memoria
para el almacenamiento de datos, el cual frecuentemente se encuentra dentro de una pila (stack) de memoria. No
obstante que los buffers están dentro de pilas de memoria, es erróneo decir que realizamos un “desbordamiento de
pila” cuando nos referimos a un buffer overflow. Hecha la aclaración y fe de erratas, no me queda más que decir que
me siento realmente apenado por la situación y pido una disculpa sobre todo a aquellos que pensaron hallar una
excelente guía en el entendimiento y aprendizaje sobre el desbordamiento de buffer, y un sincero agradecimiento a
las personas que me hicieron las observaciones.
Memoria alta, memoria baja
La memoria de una computadora necesita un identificador con el cual, valga la redundancia, identificar un puesto en
la memoria, a este identificador se le conoce como dirección de memoria, que es simplemente un número que va de
0 al 4,294,967,295, o lo que es lo mismo un número de 32 bits. Lo más usual es que este número sea expresado en
hexadecimal por lo que su representación en este tipo de numeración seria 0x0000000 al 0xFFFFFFFF. Cuando se dice
memoria alta se refiere a la memoria que tiene un número de dirección de memoria alto, el ejemplo por excelencia es
0xFFFFFFFF; por otro lado, cuando se dice memoria baja es obviamente lo contrario, la memoria con un número de
dirección bajo, 0x0000000 por ejemplo. Es decir, a partir de un punto de la memoria, el que sea, la memoria que tenga
un número de dirección de memoria menor será memoria baja, y la que tenga un número de
dirección de memoria mayor será memoria alta1.
La memoria
Usualmente intentar hacerse una imagen o idea de la memoria puede resultar un
tanto confuso debido a que en ocasiones alguien trata de ejemplificarla en una
imagen con un rectángulo vertical en donde las direcciones de memoria
alta están en la parte superior del rectángulo, pero luego alguien más
viene y pone las direcciones de memoria alta en la parte inferior del
rectángulo, o representa la memoria de manera horizontal poniendo las
direcciones de memoria baja del lado izquierdo u otras veces del lado
derecho, en fin, un verdadero relajo. En lo personal me gusta pensar
en la memoria como un gran edificio porque así puedo hacer la
comparación de las direcciones de memoria con la numeración
de los pisos, donde la numeración es ascendente, así los
pisos de abajo son los de direcciones bajas y los pisos
más altos serán, obviamente, los de direcciones altas.
10
La manera en cómo se gestiona la memoria (o pisos del edificio) depende del sistema operativo, por ejemplo, en
Windows la sección de memoria del Heap crece hacia memoria baja, mientras que en Linux la sección Heap
crece hacia memoria alta. Podríamos decir que el dueño del edificio es el sistema operativo y por lo tanto
ocupará los pisos más altos, o lo que es lo mismo las direcciones altas. Los pisos restantes son
para los inquilinos transitorios, o sea, los procesos que realizará la computadora. Cada vez que
se crea un proceso, el sistema operativo le otorga un espacio del edificio donde pondrá las
instrucciones del proceso así como datos que sean requeridos, el espacio que pertenece
al proceso lo dividirá en cinco segmentos donde cada uno cumple una función específica.
Un proceso en partes
Una vez que el sistema operativo otorga un pedazo de memoria al proceso, lo
siguiente será cargar ese proceso en la memoria, la cual dividirá en cinco partes:
La primera se denomina “.text”2 (o también conocido como segmento de
código); en esta parte se encuentra el código del programa, o
si se prefiere ver de esta manera, las instrucciones de
ejecución del proceso.
Si el código cuenta con variables globales que
han sido inicializadas desde el momento en que
el programa fue escrito (que en mi experiencia
es lo más seguro), una vez que se convierte en
un proceso, estas serán puestas en el segmento
“.data”2. Por ejemplo, si en el código existe una
variable global como “int a = 1” esta será puesta
en el segmento “.data”.
Sin embargo puede ser que existan variables globales
que hayan sido inicializadas como cero (p.ej. “int
a = 0”) o que no hayan sido inicializadas en el
código del programa y que por lo tanto obtendrán
algún valor en cualquier momento después de que el
programa haya sido ejecutado, o lo que es lo mismo,
“en tiempo de ejecución”. Estas variables estarán en
el segmento conocido como “.bss”2.
Una vez que se crearon los tres segmentos anteriores,
es el turno de los segmentos Heap y Stack. Empezaré
por el segmento Heap2 ya que en memoria se posiciona
después del segmento “.bss” (en un sistema Linux).
La verdad es que no es difícil: el segmento heap es
una estructura de datos donde se almacenarán las
variables que son consideradas dinámicas. Cada
vez que se escribe en este segmento se empezará a
tomar memoria con dirección alta y se irá escribiendo
hacia direcciones de memoria baja.
Finalmente el segmento Stack2 es creado: una estructura
de datos donde estarán las variables que son locales
(las variables que pertenecen a una función). Como ya
hemos visto, utiliza el concepto de LIFO (último en entrar,
primero en salir) y no importa si las variables han sido
inicializadas o no ya que como son variables locales
estas se encontrarán en el segmento Stack, donde
también estarán los argumentos de la función y datos
de control que ayudarán a continuar con el flujo del
programa. Cada vez que se introducen datos estos se
irán metiendo en direcciones de memoria alta hacia
direcciones de memoria baja.
2012
11
De esta segmentación hay todavía un par de cosas que comentar: que es posicionada en direcciones de memoria baja, es
decir, en la zona de la memoria que es designada para los procesos; y que entre el segmento Heap y Stack hay un hueco
de memoria para los datos que serán puestos ahí.
Un diagrama de esta segmentación en sistemas operativos Linux sería el siguiente:
Argumentos
Stack (los datos serán escritos hacia memoria baja)
Espacio vacío
Heap (los datos serán escritos hacia memoria alta)
.bss
.data
.text
Memoria alta (0xFFFFFFFF)
Memoria baja (0x0000000)
PUSH y POP
Existen dos instrucciones que se utilizan para trabajar en el Stack, una es Push que es la forma de agregar elementos al
Stack, y la otra es Pop, que es la forma de quitar o sacar elementos del Stack.
Para entender cómo es que operan tanto Push como Pop debemos retomar a SP (Stack Pointer) y tener muy presente que
siempre apunta a la dirección de memoria que pertenece a la cima o tope del Stack.
En la siguiente entrega uniremos en un ejemplo de desbordamiento de buffer todos estos conceptos que hemos visto y lo
iremos analizando paso a paso.
12
1
Jonathan Corbet, Greg KroahHartman, Alessandro Rubini,
"Memory Management in
Linux" en Linux Device Drivers,
3rd Ed., O´Reilly, 2005.
2
Chris Anley, John Heasman,
Feliz "FX" Lindner, Gerardo
Richarte, "Before you begin"
en The shellcoder´s handbook:
discovering and exploiting security
holes, 2nd ed., Wiley Publishing,
Inc. Indianapolis, 2007, p. 5.
Reyes
opinión
Ilustración: Sil
verio Ortega
El arte de incorporar
la seguridad a los
controles de
acceso
(segunda parte)
Esteban San Román Canseco
CISSP, CISA, CEH, ITIL y CRISC
[email protected]
En el número anterior de Magazcitum presenté
el contexto de la compleja situación a la que nos
lleva la necesidad de acceso a múltiples sistemas y la administración de esos accesos.
También se abordaron los conceptos relacionados con los mecanismos de identificación,
autenticación, autorización y rendición de cuentas para controlar y llevar un recuento de la
actividad en los sistemas, y finalmente referí algunas de las tecnologías de apoyo como la
biometría, la federación de identidades y el acceso de una sola vez.
En esta segunda parte reseñaré otras tecnologías y estándares de apoyo para consolidar una infraestructura robusta de
control de acceso.
Administración de identidades y acceso.
Uno de los problemas más graves que enfrenta la industria sigue siendo el robo de identidad, esto se deriva en buena
parte --como expuse en el artículo anterior-- de la cantidad de claves de acceso que una misma persona llega a manejar y
de los hábitos que, en la mayoría de los casos, propician el éxito de esta actividad fraudulenta. La creciente necesidad de
proteger la información es uno de los motivadores de iniciativas como la Ley Federal de Protección de Datos Personales
en Posesión de Particulares (LFPDPPP). En Magazcitum puede encontrar un interesante artículo dedicado a este tema en
el siguiente enlace: http://www.magazcitum.com.mx/?p=1169
La tecnología de administración de identidades y acceso (IAM) busca asegurar que las personas (entidades) adecuadas
tengan acceso a los servicios (recursos) correctos. En el pasado esto solo se podía lograr implementando las políticas
de acceso sistema por sistema y, al añadir uno nuevo, se tenía que agregar toda la infraestructura de control de identidad
asociada con el mismo. La complejidad sobreviene cuando es necesario atender un problema de seguridad a lo largo de
esta infraestructura distribuida.
La respuesta a este paradigma radica en utilizar una misma solución para todas las aplicaciones. De acuerdo a la figura 1,
si se integran los datos de la porción izquierda y los sistemas/servicios de la porción derecha dentro de la infraestructura,
representada como una nube en el medio, todas las políticas y procedimientos se pueden aplicar a esta, simplificando de
manera sustancial la administración.
14
En una solución IAM, el manejo de identidades se realiza a través del aprovisionamiento de una cuenta de usuario o
la eliminación de esta, además de la sincronización de los sistemas donde existirá la misma. La gestión del acceso se
efectúa a través de la autenticación y la autorización.
Políticas y gobierno
Establecer identidad
Determinar políticas
Cuentas
Personas
Reflejar
y unir
RH
Sistemas
y servicios
Manejo de
identidad
Datos
Organizaciones
Finanzas
Autenticar
autorizar
proveer
federar
Grupos
Sistemas
de negocio
Servicios
en red
Privilegios
Aliados
federados
Invitados,
otros
Enriquecer identidad
Manejo de grupos
Aplicar políticas
Manejo de privilegios
Figura 1. Modelo de administración de identidades y acceso
Bóvedas de contraseñas
Existen herramientas que brindan apoyo para generar y almacenar contraseñas complejas en un repositorio central.
Con estas utilerías se pueden agilizar los accesos a cualquier sitio Web o a un programa de manera automática. Al
almacenar los nombres de usuario, las contraseñas respectivas y otra información de la cuenta de forma segura en su
propia computadora --dentro de un solo archivo protegido por un cifrado fuerte pero de fácil acceso y reforzados con una
contraseña maestra-- se promueve un mejor nivel de seguridad de la información.
Las funcionalidades adicionales que se pueden encontrar en estos programas incluyen la inicialización de accesos a sitios
Web o aplicativos, comandos de teclado para escribir de forma automática secuencias personalizadas de acceso, tiempo
de espera con bloqueo automático, la generación de contraseñas al azar, sincronización segura de accesos entre equipos,
tecnología anti-keylogger o versiones portátiles que se ejecutan desde una unidad USB, entre otras tantas características
que varían de un fabricante a otro.
Por ejemplo, el programa S10 Password Vault (http://www.s10soft.com/passwordvault.htm) está firmado digitalmente, es
compacto (menos de 1 MB), fácil de usar y gratuito para uso personal.
Al ser utilizado en un ambiente empresarial, los beneficios extra abarcan un control central sobre las opciones de
configuración, verificación configurable de la fortaleza de la contraseña maestra, plantilla personalizable para el archivo de
bóveda para los nuevos usuarios, y también un respaldo automático de las bóvedas de contraseñas de los empleados.
2012
15
OpenID
OpenID es una iniciativa creada por varias compañías para que en una sola cuenta de usuario se tenga posibilidad de
acceder a múltiples sitios Web, sin la necesidad de crear nuevas contraseñas.
El usuario permite la asociación de cierta información como el nombre o una dirección de correo con los sitios que visita,
de manera que la contraseña solamente la tendrá el proveedor de la identidad y este a su vez se encargará de confirmar
esa identidad en los sitios Web que visita el usuario. Algunas organizaciones que aceptan o emiten OpenID son Google,
Facebook, Yahoo!, Microsoft, AOL, MySpace, y Sun.
La secuencia de acceso para aprovechar este estándar es la siguiente:
a)Ingrese su OpenID en el sitio que soporte este estándar dentro de la interfaz que se tiene para tal propósito,
por ejemplo, juanperez.myopenid.com.
b)Después de mandar la forma en el sitio que está visitando, el navegador se redirecciona al sitio del proveedor
de OpenID.
c)Se proporcionan el nombre de usuario y contraseña al proveedor de OpenID; siendo con este el proceso de
autenticación.
d)Una vez confirmada su identidad, indique a su proveedor que quiere ingresar al sitio original utilizando esta
identidad.
e)En ese momento se le enviará de vuelta al sitio original.
Control de acceso en la nube
Sobre cómputo en la nube hemos escrito varios artículos que les sugerimos visiten: “Servicios de seguridad en la
nube” (http://www.magazcitum.com.mx/?p=1784), “La seguridad en la nube no es opcional” (http://www.magazcitum.
com.mx/?p=1069) y “Servicios de Seguridad Administrada ¿Son servicios en la nube por naturaleza?” (http://www.
magazcitum.com.mx/?p=1074)
Con la proliferación del cómputo en la nube, ha comenzado a tomar fuerza la identidad en la nube como servicio (IDaaS),
que se vuelve la piedra angular del manejo de identidades fuera de las aplicaciones que las utilizan. Este servicio se
concibe como un ofrecimiento de terceros, encargados de la identidad y las funciones de control de acceso, incluyendo
el acceso de una sola vez (SSO) y el ciclo de vida por el que pasa toda cuenta de usuario: creación, modificación y
eliminación, tal como se muestra en la siguiente figura:
Creación
Modificación
Eliminación
Figura 2. Ciclo de vida de una identidad
El término IDaaS es muy amplio y abarca los servicios a nivel SPI (software, plataforma e infraestructura) que aplica tanto
para nubes públicas como privadas.
Las soluciones híbridas son también posibles: las identidades pueden manejarse internamente dentro de una organización,
mientras que otros componentes como la autenticación se pueden exteriorizar a través de arquitectura basada en software
(SOA). Esto crea efectivamente una capa de plataforma como servicio (PaaS) para facilitar una solución de administración
de identidades y acceso basada en la nube.
16
Ilustración: Silverio
Ortega Reyes
«Con la proliferación del cómputo en
la nube, ha comenzado a tomar fuerza
la identidad en la nube como servicio
(IDaaS), que se vuelve la piedra angular
del manejo de identidades fuera de las
aplicaciones que las utilizan»
Conclusiones
La seguridad de la información está basada en gran
medida en una adecuada estrategia de control de
accesos. Si estos se hacen de manera eficiente, se puede
reducir drásticamente la posibilidad de un error que desemboque en
la materialización de un incidente dentro de la organización. En una buena
planeación, el administrador suele realizar una “matriz de control de acceso”,
identificando en las filas los “sujetos” que tendrán algún privilegio sobre los
“objetos” que se relacionan en las columnas y, en las intersecciones entre
renglón y columna, el tipo de permiso o acción (lectura, lectura/escritura,
ejecución, creación, borrado, autenticar, etcétera):
Objeto 1
Objeto 2
Objeto 3
……
Objeto “n”
Usuario 1
rw
----
rwx
R
Usuario 2
---
r
----
Rw
x
rw
rwx
X
……..
Usuario “n”
Figura 3. Matriz de control de acceso
Con base en esos permisos, el administrador puede definir con qué recurso hará cumplir el control de acceso. Dicho
control puede ser administrativo (p.ej. una política), técnico (p.ej. una regla implantada en un firewall) o físico (p.ej. un
control biométrico).
Como en cualquier ámbito de la vida, todo comienza por la planeación. Dicho lo anterior se puede inferir que si de origen
el diseño de la seguridad contempla las posibles combinaciones de acceso a los recursos, el control será mucho más
efectivo y las eventuales afectaciones (de imagen, competitivas, financieras, etcétera) más controladas.
2012
17
misión:crítica
La
seguridad
y
nu
(primera parte)
Ulises Castillo Hernández
MSIA, CISSP, CISM, CISA
[email protected]
Chanchis, la encargada de seguridad informática de Acme, está cansada de los pocos frutos del
programa de concientización en seguridad que ha implementado en la empresa. Durante los últimos
dos años ha hecho diversos esfuerzos: pláticas, cursos, trípticos, pósters, juntas con gerentes y
empleados, actualización constante de las políticas de seguridad, y otras tareas más, pero poco ha
mejorado la conciencia en seguridad. Por otro lado, tampoco con los altos ejecutivos le ha ido muy
bien, ya que pocas veces se muestran interesados en saber qué está pasando con la seguridad de la
información de la empresa, incluyendo la información de clientes y proveedores.
Con ese sentimiento de frustración llega a tomarse un café con su amigo Cuco quién, por mera casualidad, acaba de leer
un libro muy interesante sobre cómo lograr cambios difíciles, tanto en el trabajo como en la vida personal: “Switch: How
to Change Things When Change Is Hard” (“Switch: cómo cambiar las cosas cuando el cambio es difícil”, de los hermanos
Dan y Chip Heath).
Conforme va escuchando las amargas experiencias de Chanchis, Cuco se va acordando de varias historias del libro
que pudieran servir para resolver su problema. Hagamos un recuento de las principales ideas que Cuco compartió con
Chanchis, preguntándonos si nos servirían para mejorar la conciencia de seguridad de usuarios y ejecutivos y, de pasada,
justifiquemos el título de este breve artículo.
Los autores del libro toman prestada una analogía de otro libro para explicar, de manera muy simple, la diferencia entre
la parte racional de nuestra mente, generalmente llamada el cerebro racional, y la parte emocional, también denominada
cerebro emocional.
El cerebro emocional es como un elefante al que queremos dirigir: es caprichoso, le gusta hacer lo que le plazca y tiene
mucha fuerza física. El cerebro racional, en cambio, es el jinete que va montado sobre el elefante: QUIERE dirigir al
elefante, pero solo lo logra a veces, cuando ambos están SINCRONIZADOS.
Aunque hoy en día es mucho más conocido el hecho de que tenemos una parte emocional y otra racional, es común que
lo olvidemos. Por ejemplo ¿Tiene usted un amigo que fuma o come mucho? ¿Se ha preguntado por qué sigue haciéndolo
a pesar de que “eso” le hace daño? ¿Es que su amigo no está actualizado respecto a los riesgos de comer o fumar en
exceso? Lo más seguro es que su amigo sí esté al tanto de todos los riesgos pero casi todo los mensajes que recibe van
dirigidos a su jinete (el cerebro racional), no a su elefantito (el cerebro emocional). En otras palabras, probablemente él sí
quiere dejar de comer o fumar, pero cuando se encuentra con la tentación no tiene los elementos (técnicas) para evitar
caer en ella.
Nota: Esta no es disculpa para los pecadores, pero las técnicas que aquí veremos pueden ayudar casi en cualquier
situación.
¿Ya cachó el título del artículo? ¡Sí! De lo que hablaremos, entre otras cosas, es de cómo comunicarnos con nuestros
cerebros emocionales, nuestros elefantes, para que encaminen sus pasos hacia donde queremos. En este caso, hacia
una organización con usuarios y ejecutivos más conscientes y preocupados por la seguridad informática.
18
La metodología que los hermanos Heath exponen consta
de tres pasos muy fáciles. Bueno, fáciles de enunciar:
1.Da instrucciones u OBJETIVOS CLAROS
al jinete.
2.MOTIVA al elefante.
3.PAVIMENTA el camino por el que quieres que se
vaya el elefante (y el jinete que lleva arriba, claro).
La figura siguiente ilustra los tres pasos.
misión:crítica
uestros elefantes
En este primer artículo cubriremos las técnicas de los dos primeros y en el siguiente número revisaremos las técnicas
para “pavimentar” el camino y daremos algunas conclusiones.
Técnicas dirigidas al jinete
a. Seguir los puntos brillantes
Esta técnica se basa en que cuando tenemos un reto o problema, nos fijemos en aquellos elementos (personas,
casos, proyectos, etcétera) que sí están funcionando bien, los estudiemos y nos preguntemos ¿Qué están haciendo
estos elementos para lograr el éxito? La idea es encontrar los mecanismos, ideas, técnicas o prácticas que utilizan,
para posteriormente “clonarlos” y repetirlos en el resto del sistema.
Ejemplo 1: En una empresa existe una alta rotación de empleados, pero al sacar las estadísticas por área se observa
que en dos áreas en particular la rotación es muy baja. ¿Qué está pasando en estas áreas para que ahí tengamos
rotaciones tan bajas? ¿Qué están haciendo sus gerentes? ¿Cómo se relacionan con su personal? ¿Cómo los
motivan? ¿Qué piensa o siente este personal? Etcétera. Debemos estudiar estos “puntos brillantes” y repetirlos en
las demás áreas.
Ejemplo 2: Un empleado de la Organización Mundial para la Alimentación fue comisionado a Vietnam para mejorar las
condiciones alimenticias de la población. Al encontrarse que prácticamente no tenía acceso a fondos económicos y
tenía poco tiempo para demostrar el éxito de su misión, se le ocurrió enfocarse en algunas comunidades marginadas
y realizar reuniones con las madres de familia. Ahí les preguntaba cosas como: “¿Conocen en su comunidad alguna
madre cuyos hijos, a pesar de tener las mismas condiciones económicas que las demás, estén MEJOR NUTRIDOS?”
Y estudiando esos “puntos brillantes” (aquellas madres que bajo las mismas condiciones financieras --muy pobres,
por cierto-- lograban nutrir mejor a sus hijos), detectó 3 o 4 acciones críticas, mejores prácticas, que diseminó en
todas las comunidades a través de talleres muy simples con las mamás. A los pocos meses se pudieron constatar
mejoras notables en nutrición en muchas familias.
2012
19
misión:crítica
Después de contarle estos dos ejemplos, Cuco le preguntó a Chanchis: “¿Hay alguna área o persona de tu empresa
en donde sí se preocupen por la seguridad? ¿Sabes qué tiene diferente esa área o persona?” De la misma forma
podemos extrapolar esas preguntas hacia otras empresas, regiones del país o –incluso- países: ¿Hay programas de
concientización que sí cambien radicalmente el comportamiento y motivación de los empleados?, ¿qué están haciendo
diferente en estas organizaciones o países?
b. Apuntar al destino
El cambio es más fácil si sabemos a dónde vamos y por qué queremos llegar ahí, en otras palabras, ¿por qué es valioso
ese destino? Ejemplo: hace varios años, las compañías de exploración petrolera perdían mucho dinero en excavar
“agujeros secos”, o sea excavar sin poder instalar un pozo. Una de ellas decidió retar el paradigma tradicional de que
siempre existiría un cierto porcentaje de agujeros secos y se puso como lema “No más agujeros secos”. A partir de ahí,
la empresa modificó muchos procesos (pero, sobre todo, mentalidades) y logró con éxito bajar el índice casi a cero,
ahorrando muchos millones de dólares.
Aquí Cuco le propuso a Chanchis: --¿Sería
viable que en tu empresa establecieras
objetivos muy concretos como “no más
infecciones de virus” o “cumplimiento
total de cierta regulación”?
Técnicas para motivar al elefante
a. Encuentre el sentimiento
Conocer “algo” no es suficiente para
causar el cambio, de la misma forma
que nuestro amigo que fuma o come
en exceso: él sabe que lo daña pero
eso no implica una transformación en
el comportamiento. Hacer que la gente
SIENTA algo puede ser el disparador
del cambio. Los hermanos Heath nos
proponen que para lograr grandes
cambios el orden no es ANALIZARPENSAR-CAMBIAR (visión del jinete),
sino más bien: VER-SENTIR-CAMBIAR
(visión del elefante).
Por ejemplo, un ejecutivo de una fábrica
quería demostrar los costos asociados a
no tener homologadas y centralizadas las
compras de productos, pero todos parecían
estar muy apegados a la forma tradicional de
comprar en forma regional. Para ilustrar su punto, recogió
muestras de más de cincuenta tipos de guantes de trabajo
que se compraban, en vez de unificar las compras con un solo
proveedor de un solo modelo de guantes, puso los precios de cada
uno y los dejó encima de la mesa de juntas de la alta directiva. ¿Qué
SINTIERON los ejecutivos al ver la variedad tan amplia de guantes
y de precios ante sus ojos? Lo que sintieron fue una sorpresa
desagradable por lo ilógico y costoso del proceso actual. A partir de
ahí fueron mucho más abiertos al cambio.
O el caso de una ejecutiva encargada de diseño en Target, una cadena
de tiendas que históricamente había estado orientada solo a precios y
a ver cifras, costos y utilidades. A nadie parecía interesarle el diseño,
aunque el nuevo lineamiento dictado por el CEO era “Quiero que
Target ofrezca diseño a precios accesibles”. Lo que empezó a
hacer esta ejecutiva fue exponer a los ejecutivos diversas “cosas”
de múltiples colores, para que SINTIERAN lo que era estar a la
vanguardia en diseño. Poco a poco se fueron convenciendo de
que su modelo de trabajo, tan basado en números, sí podría ser
compatible con el diseño pues –bien manejado- podría producir
mejores ventas y clientes más contentos.
20
misión:crítica
En el caso de nuestras organizaciones, ¿qué podríamos mostrar a los ejecutivos para que SINTIERAN que necesitamos
una mejor estrategia en seguridad, y asignar entonces mayor presupuesto a estos proyectos?
Nota: Si lo analiza, los resultados de una prueba de penetración, bien manejados, pueden producir
este resultado de SENTIR la falta de seguridad y servir como disparador de acciones para mitigar esa
situación.
b. Comprimir el cambio
Esta técnica se basa en que nuestra mente no perciba el cambio como un camino LAAAAARGO, sino como una serie
de pequeños cambios fáciles de lograr.
Por ejemplo, una técnica para que los deudores “compulsivos” organicen sus finanzas
se basa en hacer en Excel una lista de todas las deudas generadas y ponerla en orden
ascendente. Primero vienen las deudas más pequeñas y después las mayores.
Contrario a lo que aconsejarían muchos financieros (pagar primero la deuda
que genera más intereses) la técnica dice: “paga en el orden en que están en la
lista”, es decir, primero la deuda más chica ¿Por qué? Dado que las personas
que tienen muchas deudas no son muy organizadas, se trata de modificar sus
hábitos mentales y para ello es IMPORTANTE QUE SIENTAN que van
avanzando en el camino; en ese sentido, conforme tachan de su lista las
deudas pagadas, se sienten mejor y tienen más ánimo para seguir.
Otro ejemplo: un hombre joven tiene que limpiar su
departamento de soltero, pero el solo pensarlo hace
que se congele, pues percibe la tarea como larga y
tediosa. Una técnica consiste en elegir un área no
muy grande, digamos el baño, y ponerse un tiempo
límite para limpiarlo, supongamos ocho minutos.
Mientras su mente está ocupada limpiando el
baño e intentando hacerlo en ese tiempo,
se va generando una energía para que
terminando de hacerlo se merezca dos
reconocimientos: uno por limpiarlo
y otro por haberlo hecho en tiempo.
Con ese nuevo ritmo y energía puede
seguir limpiando cuarto por cuarto,
estableciendo –para cada cuarto- un
tiempo límite.
¿Cómo podría utilizar esta técnica en su entorno? Por ejemplo, a veces los responsables de seguridad le presentan
a la alta dirección planes estratégicos muy completos, pero que involucran resultados a mediano plazo y mucha
inversión ¿Por qué no cambiar la técnica y presentar planes, con resultados muy visibles e inversiones más modestas,
para los siguientes tres meses?
2012
21
c. Crecer a la gente
En esta técnica los hermanos Heath nos proponen dos formas de modificar
la ACTITUD (mindset) de la gente.
En la primera forma, movemos la identidad de la gente. Por ejemplo,
en un experimento para determinar la mentalidad de la gente para “ser
buenos ciudadanos”, a varias personas de un vecindario se le pedía
autorización para poner un anuncio espectacular en su jardín delantero.
El anuncio era un mensaje para manejar con precaución, pero la verdad
es que hacía que el jardín no luciera y para ello se les mostraba una foto
de ejemplo. A los vecinos se les dividió en dos grupos: con el primero no
se hizo ningún esfuerzo previo, de manera que cuando veían el anuncio y
percibían lo feo que luciría su jardín, solo una minoría de 19% aceptaba.
Sin embargo, en el segundo grupo se trabajó un par de semanas antes para
mejorar su identidad como “buenos ciudadanos”.
Este fortalecimiento de identidad era tan sencillo como ofrecerles una
calcomanía para pegar en su puerta principal, sobre seguridad al
manejar. En este grupo, para sorpresa de los investigadores, el índice
de aprobación subió al doble.
En palabras de los autores:
«… la ciencia del estudio del billboard nos
dice algo muy importante. Nos muestra
que la gente está receptiva a desarrollar
nuevas identidades y que esas identidades crecen
desde inicios pequeños. Una vez que empiezas a verte
a ti mismo como un “ciudadano preocupado”, querrás
actuar como tal. Esas son noticias tremendamente buenas para
alguien que dirige un esfuerzo de cambio. Significa, por ejemplo, que
si usted puede mostrar a la gente por qué vale la pena cuidar el medio ambiente, no
tomará años que ellos se vean a sí mismos como “ambientalistas”. Tomó solo pocos
días para que los vecinos del ejemplo se percibieran a sí mismos como “ciudadanos
preocupados” »
Con base en el concepto de “identidad”, ¿se le ocurre alguna forma de modificar o ampliar su plan de concientización y
sus conversaciones con la alta dirección? Daré algunas ideas adicionales en la segunda parte del artículo.
La otra forma para crecer a la gente es modificar sus paradigmas, en este caso particular los paradigmas asociados con el
“sí se puede” (por cierto, nuestros deportistas y atletas requerirían usar más seguido esta técnica). Dado que esta técnica
merece una exposición un poco más detallada, la dejaremos para la próxima entrega. Nos vemos en la segunda parte y
ojalá que pudieran empezar a usar algunas de estas técnicas y pudieran compartirlas con nosotros. Enhorabuena.
Continuará…
22
c · o · n ·e·x ·i·o·n·e·s
Desde la
trinchera Protección de dispositivos móviles
Marcos Polanco Velasco
CISSP, CISM y CISA
[email protected]
La importancia de los dispositivos móviles (smartphones y tablets) para
los negocios radica principalmente en que permite tener acceso a las
aplicaciones, procesos de negocio y bases de datos corporativas desde
cualquier lugar y en cualquier momento.
Por otro lado, las capacidades de los dispositivos móviles y sus
aplicaciones son cada vez mayores, lo cual hace que las organizaciones
se sientan cada vez más atraídas a desplegar soluciones basadas en
ambientes móviles con la intención de agilizar sus procesos de negocio.
La forma de abordar esta nueva tendencia varía de organización
a organización, algunas han optado por dotar a sus empleados de
dispositivos móviles y otras han decidido no hacerlo,
sin embargo, una constante es que los empleados
cuentan con sus propios dispositivos, que
normalmente utilizan en sus labores diarias y los
conectan a la infraestructura corporativa, con
o sin conocimiento de la empresa.
Un aparato de estos sin datos no es muy
útil, por lo que es indispensable que se
incorpore información corporativa para
sacarle provecho, lo que lleva a que se
tenga una mezcla de datos personales
y datos de la organización. Es muy difícil
saber a ciencia cierta el propósito de cada
quien para contar con equipo móvil, y tanto
uno de uso personal puede emplearse para
fines laborales (por lo que contendrá datos que
deberían ser protegidos), como un dispositivo
empresarial puede utilizarse para fines personales
(con contenido irrelevante para el negocio y uso
improductivo de los recursos de la organización).
Es por ello que unos de los retos más importantes -en lo que se refiere
a la gestión de la seguridad de los dispositivos móviles- es tener la
capacidad de distinguir la información personal de la corporativa y
aplicar los controles de seguridad apropiados según el tipo de datos que
se ingresen, así como aplicar los controles en función de la ubicación
geográfica del dispositivo (por ejemplo: en la oficina, fuera de la oficina,
en una oficina remota, etcétera).
24
La estrategia sugerida para las organizaciones es no solo administrar y controlar los dispositivos (mobile device
management o administración de dispositivos móviles) utilizando soluciones con funcionalidades como cifrado, protección
vía contraseñas, borrado remoto (remote wiping), localización geográfica de los dispositivos, etcétera, sino ir más allá para
controlar los datos que entran y salen de ellos, así como sus aplicaciones, distinguiendo los contextos de uso -corporativo
y personal- para implementar los controles apropiados (mobile data management o administración de datos móviles).
Finalmente, hay que contemplar en la estrategia criterios específicos
para cada fase del ciclo de vida de los dispositivos móviles
(aprovisionamiento, activación, gestión, desactivación
y desecho) considerando tres capas en
cada uno de ellos: el dispositivo, las
aplicaciones y los datos.
«Es muy difícil
saber a ciencia cierta el
propósito de cada quien para
contar con equipo móvil, y tanto uno
de uso personal puede emplearse para fines
laborales (por lo que contendrá datos que
deberían ser protegidos), como un dispositivo
empresarial puede utilizarse para fines
personales»
2012 25
c · o · n ·e·x ·i·o·n·e·s
Departamento
de Defensa
David Gutiérrez Jiménez
CISSP y CISA.
[email protected]
PCI DSS:
siguen apareciendo grietas
PCI (Payment Card Industry) lleva ya varios años
en práctica desde la versión 1.0 liberada en
diciembre de 2004, múltiples organizaciones
han obtenido su certificado de cumplimiento
y operan gracias a ello. Sin embargo, parece
ser que progresivamente va decayendo el
nivel de confianza que debería suponer
el cumplimiento con el estándar. Los
incidentes de seguridad en donde se
involucra la sustracción de información
confidencial sobre tarjetas bancarias
en empresas que cumplen con PCI no
han sucedido frecuentemente, pero se han
presentado aún después de ajustes al estándar
y, a pesar de darse a conocer casos como el de
Heartland en 2009 (una empresa procesadora de pagos
con tarjeta que sufrió una fuga de información relacionada con
cerca de 130 millones de tarjetas), que le costó a la mencionada
compañía 140 millones de dólares1; o el de TJX, compañía de ventas
al menudeo que experimentó el robo de datos de entre 40 y 100 millones
de tarjetas en 2005, con un costo estimado de 250 millones de dólares2.
Recientemente se suscitó el caso de Global Payments, una de las
más grandes compañías que procesan pagos con tarjetas bancarias.
Se calcula que se comprometieron los datos de alrededor de 1.5
millones de usuarios3 debido un incidente de seguridad que derivó
en la infiltración de personas no autorizadas
en los sistemas de la empresa. Como
resultado de este incidente, a Global
Payments lo revocaron como
proveedor de servicio
en cumplimiento de
PCI DSS ¿Acaso
Global Payments
no
escarmentó
a partir de los
escándalos
de
años anteriores?
26
Tiendo a pensar que aquí pasa
igual que en otros ámbitos y que los
detalles, huecos y grietas se encuentran
en la implementación y verificación del
estándar. PCI DSS no es intrínsecamente
malo o deficiente, pero al parecer las compañías
sujetas a esta normativa con frecuencia están mal
aconsejadas al concretar en controles el espíritu del estándar, y esto se
agrava ante lo relajadas que pueden ser las verificaciones de cumplimiento.
Recordemos que para pequeños establecimientos inclusive es válido como
verificación responder un cuestionario de autoanálisis o QSA4 y un escaneo de red trimestral realizado por un ejecutor
autorizado, no más.
Es necesario tomar en cuenta y entender que PCI DSS no es la panacea de la seguridad y tampoco pretende serlo. Así
como las leyes no suprimen el crimen por sí mismas, no es posible esperar que este estándar acabe con el hurto de
datos bancarios, sin embargo es un punto de referencia que al menos permite desarrollar un programa de seguridad de
información. De hecho es un muy buen comienzo para empresas que no tienen un programa formal aún, no obstante,
todas estas situaciones e incidentes deben considerarse muy seriamente para desarrollar la evolución eficaz de PCI DSS.
http://www.computerworld.com/s/article/9176507/Heartland_breach_expenses_pegged_at_140M_so_far
http://www.computerworld.com/s/article/9057758/One_year_later_Five_takeaways_from_the_TJX_breach
3
http://www.forbes.com/sites/greatspeculations/2012/04/03/global-payments-data-breach-exposes-card-payments-vulnerability
4
https://www.pcisecuritystandards.org/merchants/self_assessment_form.php
1
2
2012 27
c · o · n ·e·x ·i·o·n·e·s
En el pensar
de... Ciberarmas
Eduardo P. Sánchez Díaz
CISSP, CISM, GCIH, GWAPT,
CEH y CHFI
[email protected]
Cuando se habla de ciberguerra algunas personas siguen pensando en alguna obra de postcyberpunk1; ojalá fuera así,
sin embargo, más que una ficción esto ya es una realidad. Si la ciberguerra existe, ¿entonces las ciberarmas también?
Últimamente se ha hablado de ciberarmas y hay tres de ellas que vale la pena revisar, cada una diseñada, aparentemente,
con un propósito en particular y un inicio común:
Stuxnet
a)Nombre: Stuxnet
b)Alias: W32/Stuxnet-B, Rkit/Stuxnet.A, W32.Temphid, Backdoor/Win32.
Stuxnet, Trojan-Dropper:W32/Stuxnet, RootKit.Win32.
c)Objetivo: sabotear los sistemas SCADA (Supervisor Control and
Data Acquisition) iraníes de la marca Siemens.
d)Métodos de propagación:
• Vulnerabilidades tipo día cero a nivel sistema operativo
Windows y sistema SCADA.
• Dispositivos USB.
e)Posible origen: Estados Unidos2 e Israel3.
f)Fecha de detección: junio, 2010.
g)Fecha de posible inicio de operaciones: marzo o
abril, 2010.
h)Características especiales:
• Stuxnet es el primer código malicioso (malware)
destinado para atacar infraestructura de control
SCADA.
• Desarrollado
en
diversos
lenguajes
de
programación como C y C++, lo cual es inusual en
el desarrollo de malware.
• Capacidad de realizar un ataque de hombre en
medio (MiM) para evitar que un sistema de control se
reinicie, aun en un funcionamiento anómalo4.
• Uso de un controlador (driver) firmado digitalmente por
dos compañías diferentes: JMicron y Realtek, lo cual le
permite instalarse como un rootkit a nivel kernel (kernellmode rootkit)5
Duqu
a)Nombre: Duqu.
b)Alias: W32.Duqu.
c)Objetivo: obtener información de sistemas de control SCADA.
d)Métodos de propagación: vulnerabilidades tipo día cero a nivel sistema operativo Windows y paquetería de
Office.
28
e)Posible origen: Estados Unidos.
f)Fecha de detección: 1º de septiembre de 2011.
g)Fecha de posible inicio de operaciones: se
sospecha que al menos un año antes de su
detección.
h)Características especiales:
•La estructura de Duqu ha hecho pensar
que es una plataforma de ataque para
cualquier tipo de sistema, lo cual lleva
a la posibilidad de realizar ataques
físicos, sistemas con acceso a equipos físicos
y no solo lógicos, desde ella.
• Se identificó en un caso de infección el uso
de un certificado digital válido, firmado por la
empresa C-Media6.
• Es configurado para ejecutarse por 36 días, después automáticamente se
remueve.
• Dentro del malware existe una sección de código en la cual no se podía
identificar el lenguaje de programación, lo que hizo pensar que fue desarrollado en un nuevo marco de
trabajo (framework) diseñado especialmente para esto; sin embargo, tiempo después se identificó que fue
desarrollado en Objective C y compilado en Microsoft Visual Studio 20087.
Flame
a)Nombre: Flame.
b)Alias: sKyWiper.
c)Objetivo: programa de espionaje que puede capturar tráfico de red, actividad del teclado, llamadas de Skype
y descarga de datos vía Bluetooth de los equipos infectados.
d)Métodos de propagación:
• Vía dispositivos USB.
• Actualización de seguridad falsa.
• Exploit de vulnerabilidades conocidas.
e)Posible origen: Estados Unidos8.
f)Fecha de detección: 28 de mayo de 2011.
g)Fecha de posible inicio de operaciones: alrededor del año 20079.
h)Características especiales:
•Se detectó en diversos países como
Irán, Sudán, Siria, Líbano, Arabia
Saudita y Egipto.
•Utiliza cinco métodos de cifrado para guardar la
información que obtiene.
•Utiliza dos vulnerabilidades que Stuxnet usa para contaminar
otros sistemas.
• Fue desarrollado para falsificar un certificado de Microsoft, el
cual hizo pasar como una licencia válida de Microsoft Terminal
Services en sistemas Windows 7 y 2008. Incluso empleó una
nueva técnica de colisiones en el algoritmo MD510, con lo cual
parecía ser un programa original de Microsoft.
•Algunos investigadores han encontrado que podría haber una relación
entre los creadores de Stuxnet y Flame11.
2012 29
c · o · n ·e·x ·i·o·n·e·s
Aún después de ver algunas de las características de
estos códigos maliciosos, podríamos simplemente
cerrar los ojos y dejar de ver lo que sucede. Hoy lo
que parece ser una realidad es que no solo grupos
de aficionados, piratas informáticos o bandas
criminales están desarrollando ciberarmas,
por ello los gobiernos nacionales no
pueden ni deben menospreciar los
alcances del ciberespacio.
Incluso la manera en que hoy se aborda este tema sigue siendo controversial;
un ejemplo es cuando Richar Bejtlich12 dijo que no estaba de acuerdo y que los argumentos, que expongo más adelante,
manejados por Chris Soghonian y Mikko Hypponen eran los más tontos que había escuchado. Durante el Personal
Democracy Forum 201213 Cris comentó lo siguiente “Debido a que comprometió el canal de actualizaciones de Microsoft,
el gusano Flame ha dañado la confianza en las actualizaciones automáticas y eso es algo malo porque ellas han hecho
mucho por la seguridad de los consumidores”. Mikko, durante una entrevista para el International Business Times14,
comentó que estaba planeando escribir una carta a Barack Obama pidiéndole que su gobierno detuviera el programa de
cibersabotaje.
Una de las cuestiones interesantes a resaltar es que hoy en día han aparecido estos códigos que literalmente pueden ser
considerados armas; estos se aprovechan incluso de vulnerabilidades del tipo día cero (0day, zero day), el cual representa
un mercado muy lucrativo, y se cree que el gobierno de los Estados Unidos es el comprador número uno de ellos.
Este tema tiene varias aristas y a medida que se observa desde puntos diferentes los aspectos relacionados con la ética
comienzan a aparecer, algunos análisis incluso plantean que la ciberguerra no es más que invenciones de algunas pocas
personas, sin embargo me gustaría citar a la ENISA15 (European Network and Information Security Agency) respecto a las
botnets: “Son redes de computadoras silenciosamente secuestradas por organizaciones criminales. Estas son ciberarmas
criminales usadas para ataques serios que amenazan la economía europea y la privacidad de los ciudadanos.”
Discutir sobre lo bueno y lo malo de una ciberguerra o ciberarmas es más un ejercicio filosófico y difícilmente se llegará a
un consenso general, pero es importante evitar cerrar los ojos y solo dejar que los acontecimientos fluyan, es necesario
estar conscientes de nuestra realidad y nuestras limitaciones porque esto nos permitirá estar mejor preparados.
Postcyberpunk, Wikipedia, http://en.wikipedia.org/wiki/Postcyberpunk#Postcyberpunk
Zetter Kim, Report: Obama Ordered Stuxnet to Continue After Bug Caused It to Spread Wildly, Wired ,Estados Unidos, 1 junio 2012
3
Sanger David, Obama Order Sped Up Wave of Cyberattacks Against Iran, The New York Times, Estados Unidos, 1 junio 2012
4
Steven Cherry ,Sons of Stuxnet, IEEE Spectrum, 14 diciembre 2011, http://spectrum.ieee.org/podcast/telecom/security/sons-of-stuxnet
5
Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. "Stuxnet Under the Microscope", 24 September 2010, ESET
6
ZetterKim, Son of Stuxnet Found in the Wild on Systems in Europe, 18 de octubre 2011, Wired,
http://www.wired.com/threatlevel/2011/10/son-of-stuxnet-in-the-wild/
7
Soumenkov Igo, The mystery of Duqu Framework solved, http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved
8
Nakashima Ellen, Miller Greg, Tate Julio, U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say, 19 junio
2012, Washinton Post,Estados Unidos,
http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/
gJQA6xBPoV_story.html
9
Sterling Bruce, Flame a cyberweapon that makes Stuxnet look cheap, 28 de mayo 2012, Wired,
http://www.wired.com/beyond_the_beyond/2012/05/flame-a-cyberweapon-that-makes-stuxnet-look-cheap
10
Stevens Marc, TECHNICAL BACKGROUND OF THE FLAME COLLISION ATTACK, CWI, 7 de junio 2012,
http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware
11
Aleks, Back to Stuxnet: the missing link, http://www.securelist.com/en/blog?weblogid=208193568
12
Bejtlich Richard, Flame hypocrisy, http://taosecurity.blogspot.mx/2012/06/flame-hypocrisy.html
13
Soghoian Chris, Lessons from the Bin Laden Raid and Cyberwar, http://www.youtube.com/watch?v=pJu0qEha2I0
14
Gilbert David, US Government Behind Flame Virus According to Expert,
http://www.ibtimes.co.uk/articles/352232/20120614/flame-government-obama-cyber-espionage.htm
15
ENISA, Policy Statement on Botnets, ENISA, 11 Mayo 2011, http://www.enisa.europa.eu/media/news-items/policy-statement-on-botnets
1
2
30
C
M
Y
CM
MY
CY
CMY
K
¿Sabías que
es el único
Centro de Entrenamiento
autorizado en México?
Por lo que ahora puedes:
1.- Tomar el Seminario Oficial de CISSP de (ISC)2 del 12 al 16 de
noviembre del 2012, en Scitum a un precio de $1,650.00 Dlls. mas
IVA.
2.- Presentar el examen de certificación con costo de $599.00 Dlls. a
través de uno de los centros autorizados.
La sede del seminario es:
Torre Telmex, Oficinas de Scitum, Cd. de México.
Av. Insurgentes Sur No. 3500, colonia Peña Pobre, C.P. 14060,
delegación Tlalpan.
Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo
electrónico: [email protected]
La fecha límite de inscripciones es el 24 de octubre de 2012.
opinión
Cobit 5
Ricardo Javier Ramírez Díaz
[email protected]
El 10 de abril de 2012 la Information Systems Audit and
Control Asociation (ISACA) publicó Cobit 5, que integra Val
IT, Risk IT, BMIS (Business Model for Information Security)
e ITA (IT Assurance Framework), también desarrollados
y publicados por ISACA, además de considerar para sus
procesos otros estándares internacionales, mejores prácticas y
marcos de referencia como COSO, ISO-9000, ISO-31000, ISO-38500, ITIL, TOGAF y
la familia ISO-27000, entre otros. En este artículo explicaré en qué consisten las principales
diferencias y su nuevo modelo de procesos.
Esta nueva versión de Cobit fue desarrollada para ayudar a organizaciones de todos los tamaños y de cualquier sector
a obtener el valor óptimo de las tecnologías de información, tratando de satisfacer las necesidades de los interesados
internos y externos mediante la creación de valor para la empresa a través de TI (tecnologías de información), con un
enfoque de gestión holística de extremo a extremo, cumpliendo de mejor manera con leyes, regulaciones, políticas, y
basándose en buenas prácticas internacionales.
Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de información, a diferencia de su antecesor,
enfocado principalmente al gobierno de TI. A continuación listo las áreas que presentan los cambios principales, para
posteriormente explicar en qué consiste cada uno:
1.Cinco principios.
2.Dominio “Evaluar, dirigir y monitorear”.
3.Modelo de referencia de procesos.
4.Modelo de madurez de procesos.
32
1. Los cinco principios
Cobit 5 está basado en cinco principios:
•
Satisfacer
las
interesados.
necesidades
de
los
•Cubrir la empresa de extremo a
extremo.
• Aplicar un solo marco integrado.
• Habilitar un enfoque holístico.
•
Separar
gobierno
administración.
de
Principio 1 (abarcar las necesidades de los interesados): los
indicadores clave de metas y de proceso, (KGI y KPI, por sus siglas en inglés), que finalmente traducen las necesidades
de los interesados, internos y externos, se transformaron en una estrategia empresarial llamada “cascada de metas”, que
comienza con las metas de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en lo que Cobit
llama “habilitadores”, y finalmente se alcanzan al desarrollar las actividades de las metas.
Este esquema de cascada de metas, basado en mapeos y tablas provistas por Cobit 5, proporciona una guía orientadora
para establecer un vínculo coherente y consistente que permita traducir las necesidades de todos los interesados del
negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI y a objetivos facilitadores.
Principio 2 (cubrir la empresa de extremo a extremo): considera todas las funciones y procesos dentro de la organización.
Cobit 5 no se centra solo en el gobierno de TI, pues ahora considera la información y las tecnologías relacionadas como
activos que deben ser tratados como cualquier otro.
¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en consideración los requerimientos para la
estrategia, táctica y operación; integrando de esta forma el gobierno empresarial de TI en el gobierno corporativo.
Principio 3 (aplicar un solo marco integrado): para cumplir con este principio, Cobit incorpora los estándares y marcos
más relevantes de la industria:
• COSO (Committee of Sponsoring Organizations of the Treadway Commission), que ha sido reconocido como
un marco apropiado y exhaustivo para el control interno.
• ISO/IEC 9000, estándar para el control de calidad en procesos
empresariales.
• ISO/IEC 31000, estándar de administración de riesgos, principios y
directrices, la cual tiene como objetivo ayudar a las organizaciones
de todo tipo y tamaño a gestionar los riesgos empresariales con
efectividad.
• ISO-38500, estándar para el gobierno corporativo de TI.
• ITIL, mejores prácticas para servicios de TI con un enfoque de
procesos de TI.
• The Open Group Architecture Framework (TOGAF), que proporciona
un enfoque para el diseño, planificación, implementación y gobierno
de una arquitectura empresarial de información.
• La familia ISO-27000, enfocada en el tema de seguridad informática
con el establecimiento de un sistema de gestión de seguridad de
la información (SGSI) y los controles asociados.
2012
33
La idea de contar con todo lo anterior es que las empresas utilicen Cobit como un marco integrador de gobierno y
administración de TI.
Principio 4 (habilitar un enfoque holístico): en esta nueva versión se introducen los habilitadores, que son factores mínimos
a cumplir para que el gobierno y la administración empresarial de TI funcionen de manera correcta al ayudar a optimizar
la información, la inversión en tecnología y su uso para el beneficio de todos los interesados. Se habla de un enfoque
holístico porque los habilitadores introducidos caen en siete categorías diferentes:
2. Procesos
3. Estructuras
Organizacionales
4. Cultura, Ética y
Comportamiento
1. Principios, Políticas y Marcos de trabajo
5. Información
6. Servicios,
Infraestructura y
Aplicaciones
7. Personas,
Habilidades y
Competencias
Recursos
Fuente: COBIT® 5, figura 12. © 2012 ISACA® Todos los derechos reservados
1.Principios, políticas y marcos. Son las pautas a seguir para traducir el comportamiento deseado en una guía
práctica para la gestión del día a día.
2.Procesos. Describen de forma estructurada y organizada un conjunto de actividades para lograr ciertos
objetivos y producir un conjunto de salidas en la búsqueda de las metas de TI.
3.Estructuras organizacionales. Son las entidades clave de toma de decisiones en una organización.
4.Cultura, ética y comportamiento. Tanto de los individuos como de la organización (cuestión a menudo
subestimada como factor de éxito en las actividades de gobierno y gestión, principalmente en lo
correspondiente a trabajo en equipo, transferencia de conocimiento, valores, etcétera).
5.La información. Se refiere a toda la información producida y utilizada por la empresa. Es necesaria para
mantener funcionando la organización y, en el plano operativo, la información es el producto clave de la
propia empresa, por lo que habrá que implantar controles para su seguridad.
6.Servicios, infraestructura y aplicaciones. Incluyen la infraestructura, tecnología y aplicaciones que
proporcionan a la empresa servicios y procesamiento de la información.
7.Personas, habilidades y competencias. Son necesarios para completar con éxito todas las actividades. En
este sentido, Cobit incluye una matriz RACI para todos sus procesos, considerando de manera genérica una
base de perfiles de puestos bastante completa.
Principio 5 (separar gobierno de administración): Cobit 5 reconoce que estas dos disciplinas incluyen tipos de actividades
y estructuras organizacionales diferentes, que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta
directiva, mientras que la administración es responsabilidad de la alta administración, bajo el liderazgo del CEO. Por eso
se agregó un dominio particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la administración.
34
2. Dominio “Evaluar, dirigir y monitorear”
El pentagrama de gobierno de TI, que era un pilar en Cobit 4.1, se transformó en el nuevo dominio “Evaluar, dirigir y
monitorear”, que contiene cinco áreas de enfoque del gobierno de TI:
1.Alineación estratégica se convirtió en el proceso número uno de este nuevo dominio: “definir y mantener el
marco de gobierno”, mediante políticas y prácticas de evaluación y dirección de procesos.
2.Entrega de valor quedó como el proceso dos “Garantizar la entrega de beneficios”.
3.Administración de recursos evolucionó en el proceso cuatro (“Garantizar la optimización de los recursos”).
4.Administración de riesgos es ahora el proceso tres correspondiente a “Asegurar la optimización de los niveles
de riesgos”.
5.Medición del desempeño, finalmente, corresponde ahora al proceso cinco “Asegurar la transparencia para los
interesados”.
3. Modelo de referencia de procesos
El nuevo modelo de referencia se basa en cinco dominios, con uno enfocado, como ya lo he mencionado antes,
exclusivamente a la gobernabilidad. Los otros cuatro se enfocan a la administración y prácticamente son los mismos
de Cobit 4; sin embargo, cambia el número y contenido de sus procesos por lo que también cambia el número de los
objetivos de control de alto nivel, los cuales de ser treinta y cuatro ahora se convierten en treinta y siete. Y como dicen que
una imagen dice más que mil palabras, a continuación muestro el nuevo modelo:
EVALUAR, DIRIGIR Y MONITOREAR (DOMINIO DE GOBIERNO DE TI)
EDM1 -Definir y
Mantener el marco
de Gobierno
EDM2 - Garantizar
Entrega de beneficios
EDM3 - Garantizar
Optimización de los
Risgos
EDM4 - Garantizar
Optimización de los
Recursos
ALINEAR, PLANEAR y ORGANIZAR
APO1-Definir el
Marco de
Gestión de TI
APO08-Gestionar
Relaciones
APO2-Administrar
La Estrategia
APO3-Gestionar
Arquiectura de la
Empresa
APO4-Gestionar
Innovación
APO5-Gestionar
Portfolio
APO6-Gestionar
Presupuestos y
Costos
APO09-Gestionar
Acuerdos de
Servicio
APO10-Gestionar
Proveedores
APO11-Gestionar
Calidad
APO12-Gestionar
Riesgos
APO13-Gestionar
Seguridad
APO7-Gestionar
Recursos
Humanos
EDM3 - Garantizar
Transparencia
con los interesados
MONITOREAR,
EVALUAR y
VALORAR
MEA1-Monitorear y
Evaluar, Desempeño
y Conformidad
CONSTRUIR, ADQUIRIR e IMPLEMENTAR
BAI1-Gestionar
Programas y
Proyectos
BAI2-Definir
Requerimientos
BAI3-Identificar y
Construir
Soluciones
BAI8-Gestionar
el Conocimiento
BAI09-Gestionar
Activos
BAI10-Gestionar
Configuración
BAI4-Gestionar
Disponibilidad y
Capacidad
BAI5-Facilitar
el Cambio
Organizacional
BAI6-Gestionar
Cambios
BAI7-Gestionar la
Aceptación y
transición del cambio
ENTREGA, SERVICIO y SOPORTE
DSS1-Gestionar
Operaciones
DSS2-Gestionar
Solicitudes de Servicio
e Incidentes
DSS3-Gestionar
Problemas
DSS4-Gestionar
Continuidad
DSS5-Gestionar la DSS6-Gestionar
Seguridad de los
Controles de
Servicios
Procesos de Negocio
MEA2-Monitorear,
evaluar y valorar el
Sistema de Control Interno
MEA3-Monitorear y
Evaluar Cumplimiento con
Requerimientos Externos
Procesos para la Gestión de la Tecnología de Información Empresarial
Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados
2012
35
Los cinco dominios del modelo de referencia de procesos son los siguientes:
• Evaluar, dirigir y monitorear.
• Alinear, planear y organizar.
• Construir, adquirir e implementar.
• Entregar, servicio y soporte.
• Monitorear, evaluar y valorar.
Por cuestiones de espacio, dejaré para otra ocasión la
explicación de los cambios en cada uno de los cuatro
dominios que ya formaban parte de Cobit 4.
4. Modelo de madurez de procesos
Otra novedad muy importante es que ahora el modelo de madurez de los procesos se basa en el estándar ISO-15504,
proporcionando un nivel de evaluación más acorde a los procesos de TI y aumentando el nivel de exigencia respecto a lo
que debe cumplir cada proceso para ascender de nivel, dado que el estándar mencionado plantea que se deben cumplir
los nueve atributos definidos para cada proceso como requisito para acreditar dicho grado de madurez.
36
Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones ejecutadas
bajo el modelo de COBIT 4, dado que se distorsionarían los resultados por ser distintas las exigencias. En general,
aplicando el nuevo modelo de Cobit 5 que es más exigente, deberían esperarse resultados con un menor nivel de madurez.
Los niveles de madurez definidos en Cobit 5 son:
0.Proceso incompleto
1.Proceso desarrollado.
2.Proceso administrado.
2.1 Administración del desempeño.
2.2 Administración del producto del trabajo.
3.Proceso establecido
3.1 Definición del proceso.
3.2 Desarrollo del proceso.
«el proceso de migración hacia
Cobit 5 tiene cierta complejidad
para aquellas organizaciones
que
han
implementado
oportunamente Cobit 4»
4.Proceso predecible.
4.1 Administración del proceso.
4.2 Control del proceso.
5.Proceso optimizado.
5.1 Proceso de innovación.
5.2 Optimización del proceso.
2012
37
Conclusión
Según indica ISACA, Cobit 5 es la mayor evolución estratégica de Cobit y representa el único marco de trabajo
globalmente aceptado para el gobierno de TI que brinda a los interesados la guía más completa y actualizada para una
mejor administración.
Sin embargo, desde mi punto de vista, el proceso de migración hacia Cobit 5 tiene cierta complejidad para aquellas
organizaciones que han implementado oportunamente Cobit 4, debido principalmente a que los niveles de madurez en
esta nueva versión no corresponden a los anteriores. Por otra parte, aquellas instituciones que pretendan implantar Cobit
5 “desde cero” estarán planteando un proyecto complejo que deberán planear minuciosamente para tener éxito.
Ya sea para migrar o implantar Cobit 5 es recomendable establecer un proyecto basado en fases, estableciendo los
objetivos empresariales y utilizando los apéndices B, C y D, para mapearlos a los objetivos y procesos de TI. Las fases
deben responder a las preguntas ¿Dónde estamos ahora?, ¿dónde queremos estar?, ¿qué necesitamos hacer?, ¿cómo
logramos estar donde queremos?, y ¿cómo sabemos que ya lo logramos?, siendo fundamental establecer el nivel de
cumplimiento de métricas y un proceso de mejora continua.
38
Check Point 3D seguridad, combina políticas, personas y
aplicaciones de protección inmejorables.
POLÍTICAS
POLÍTICAS que apoyan las necesidades del usuario y
la transformación de la seguridad dentro del proceso del negocio.
PERSONAS
Seguridad que educa y compromete a las PERSONAS en la
definición de políticas, concientización y la solución de incidentes.
CUMPLIMIENTO
Visibilidad y control en todos los niveles de seguridad - red,
aplicaciones y datos-.
w w w. c h e c k p o i n t . c o m
¿PUEDES VER
EN TODAS PARTES
A LA VEZ?
TU PUEDES.
No se puede detener las amenazas si no las puede
detectar. Esto es por lo que HP Enterprise Security
ofrece soluciones probadas que ofrecen amplia
visibilidad en riesgos de seguridad. No hay mejor
manera de detectar de forma proactiva problemas
de seguridad y manejar conscientemente la
situación a través de sus aplicaciones, operación
e infraestructura. La Inteligencia de seguridad
de HP y la plataforma de gestión de riesgos
ofrece correlación integrada, protección de
aplicaciones y defensas de la red que pueden
dar seguridad moderna en entornos TI con
amenazas sofisticadas.
Para más información visite:
www.hpenterprisesecurity.com.
Protección avanzada contra
amenazas avanzadas.
Copyright © 2011 Hewlett-Packard Development Company, L.P.