Ads 468x60px

28 de enero de 2013

No es lo que parece

Muchas veces pensamos que las grandes organizaciones, aquellas que facturan millones de euros anualmente, aquellas que tienen miles de empleados y todos los recursos que puedas imaginar, que tienen las máximas certificaciones en calidad y que controlan todos los procesos de negocio al detalle para satisfacer a inversores y clientes, solemos pensar que estas empresas tendrán un presupuesto jugoso donde directores de TI puedan hacer maravillas y donde podrán comprar las mejores máquinas y contratar los mejores servicios, cada día me encuentro más casos donde esto no tiene nada que ver con la realidad.

Parecen muy buenas empresas, tienen mucha publicidad y dan buena imagen, pero luego te enteras cómo tienen montado sus sistemas de información y te echas a temblar, ya que tienen muchas fallas internas, tantos fallos que permiten que un atacante remoto situado a miles de kilómetros pueda acceder a sus sistemas y robar información confidencial, contraseñas o incluso parar la producción de los sistemas de forma remota, provocando nerviosismo, pérdidas millonarias y pérdida de reputación en las organizaciones. Algunos ejemplos de estos casos es el fallo de seguridad en PSN de Sony, el robo de contraseñas a la NASA, el FBI e Interpol, o las transferencias bancarias del Concello de Cerdedo, todos estos organismos no han sido capaces de ver que parte de su negocio también se sustenta sobre una infraestructura TIC y que por tanto deben “mimar” a sus sistemas de información, así que deberían tenerlos en cuenta a la hora de elaborar sus presupuestos para dedicarle más que una pequeña parte a las TIC.

Afortunadamente cada día estoy inmerso en nuevos proyectos, y muchas veces no puedo creer cómo una determinada empresa, un banco o un organismo público puede obviar la protección de sus sistemas y datos sin importarles nada, es decir, me encuentro con empresas y bancos donde su reputación y la base de su negocio se encuentra en los sistemas, y estos no se encuentran redundados o no cumplen unas medidas de seguridad y disponibilidad básicas, haciendo que los técnicos y directores de TI se vayan todos los días para casa nerviosos sin la confianza de si al día siguiente se encontrarán todo tal y como lo dejaron el día anterior, ya que ellos mismos conocen las vulnerabilidades y fallos de seguridad a los que está expuesto su infraestructura de TI, pero como siempre, no hay presupuesto para tomar las medidas adecuadas para subsanarlos.

Estos problemas creo que se deben a que nosotros, los que estamos en la parte TIC, no somos capaces de hacer ver a la dirección de la importancia que tiene la seguridad y la disponibilidad de los sistemas de información. Así que aquí está la labor y el valor de los directores de TI, deben dejar la parte técnica y luchar y formarse para tratar con la dirección, de esta manera podrán exponer a la dirección los problemas reales de no disponer de una infraestructura adecuada que garantice la disponibilidad de los servicios y mantenga los datos de los clientes de manera confiable.

21 de enero de 2013

ENS vs ISO 27001


En la anterior entrada vimos de forma resumida cada uno de los módulos y medidas de seguridad de los que está compuesto el Esquema Nacional de Seguridad, a la hora de implantar el ENS en una Administración Pública es importante previamente tener claro los conceptos de categoría, niveles y dimensiones:
  • Dimensiones de Seguridad: Para conocer el impacto de un incidente que afecte a la seguridad de la información o de los sistemas, y así poder fijar la categoría del sistema, se debe tener en cuenta las dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad)
  • Niveles: Cada dimensión de seguridad se asignará a los niveles Bajo, Medio o Alto dependiendo de las consecuencias del incidente de seguridad.
  • Categoría: El sistema de información tendrá el nivel más alto de entre todas las dimensiones de seguridad que pertenezcan al mismo sistema de información.
A continuación se expondrá un breve resumen de la relación que existe entre el ENS y la ISO 27001, de tal manera que podemos ver claramente la asociación que hay entre cada uno de los controles de la ISO y el ENS.

Política de Seguridad
  • Marco Organizativo
Aspectos Organizativos de la Seguridad de la Organización
  • Marco Organizativo
  • Medidas de Protección → Gestión del Personal
Gestión de Activos
  • Marco Operacional → Planificación
  • Marco Operacional → Explotación
Seguridad Ligada a los Recursos Humanos
  • Medidas de Protección → Gestión del Personal
Seguridad Física y Ambiental
  • Medidas de Protección → Protección de los Equipos
  • Medidas de Protección → Protección de las Instalaciones e Infraestructuras
Gestión de Comunicaciones y Operaciones
  • Marco Operacional → Monitorización del Sistema
  • Marco Operacional → Servicios Externos
  • Medidas de Protección → Protección de las Comunicaciones
  • Medidas de Protección → Protección de los Soportes de Información
Control de Acceso
  • Marco Operacional → Control de Acceso
Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
  • Marco Operacional → Explotación
  • Marco Operacional → Planificación
  • Medidas de Protección → Protección de las Aplicaciones Informáticas
  • Medidas de Protección → Protección de los Servicios
Gestión de Incidentes en la Seguridad de la Información
  • Marco Operacional → Explotación
Gestión de la Continuidad del Negocio
  • Marco Operacional → Continuidad del Servicio
  • Medidas de Protección → Protección de la Información
Cumplimiento
  • Medidas de Protección → Protección de la Información
Mediante esta relación de controles y medidas, los responsables de seguridad de empresas privadas certificadas en ISO 27001 podrán relacionar y entender los requisitos que deben cumplir las Administraciones Públicas para alcanzar el nivel de seguridad exigible en el ENS, y así como proveedores de servicios a Administraciones Públicas podrán tomar las medidas adecuadas para ayudarlas a ejecutar y comprender el ENS.

14 de enero de 2013

Esquema Nacional de Seguridad


   

El Esquema Nacional de Seguridad (ENS) es un conjunto de normas y medidas que deberán cumplir las Administraciones Públicas, antes del 30 de Enero del 2014, para proveer servicios a los ciudadanos a través de medios electrónicos. Por tanto detrás de todos estos servicios estarán todos los datos de todos nosotros, los ciudadanos, y que las Administraciones Públicas tienen la obligación de preservar la confidencialidad, integridad y disponibilidad de nuestros datos. Así surgió el ENS que está compuesto por tres módulos y 75 medidas de seguridad que presentamos de forma resumida a continuación:

MARCO ORGANIZATIVO
Son 4 medidas de seguridad relacionadas con la organización global de la seguridad, entre ellas está la definición y aprobación de la política de seguridad; los procedimientos de seguridad que se deben cumplir en los trabajos diarios del personal de la organización; y los procedimientos a seguir para la entrada/salida del personal, de la información o de los soportes.

MARCO OPERACIONAL
Está compuesto por 31 medidas de seguridad para proteger la operación del sistema en su conjunto.
  • PLANIFICACIÓN
Se realizará el análisis de riesgos desde donde se podrá ver los riesgos a los que está expuesta la organización; se analizará y definirá la arquitectura de seguridad; documentándose los sistemas y conociendo sus líneas de defensa; se define el procedimiento a seguir para la adquisición de nuevos componentes para asegurar que los nuevos componentes cumplan las medidas de seguridad; se realiza la gestión de la capacidad para conocer las necesidades de las aplicaciones en producción.
  • CONTROL DE ACCESO
Está compuesto por 7 medidas de seguridad que identifica el acceso y la acción llevada a cabo por cada entidad, usuario o proceso sobre un recurso del sistema. Siempre hay que mantener el equilibrio entre la comodidad y la protección de la información, garantizando que nadie accederá a recursos sin autorización previa.
  • EXPLOTACIÓN
Está compuesto por 11 medidas de seguridad donde es realmente importante la parte de inventariado y evaluación de activos, además hay que tener en cuenta el mantenimiento, tanto físico como lógico de los sistemas, y la gestión de cambios e incidencias. Por último hay que tener un registro de la actividad de los usuarios y de las incidencias, además de proteger los registros y las contraseñas de manera adecuada.
  • SERVICIOS EXTERNOS
Son 3 medidas de seguridad que se encargan de medir y analizar que los acuerdos de niveles de servicios son cumplidos por los proveedores de servicios, para el caso que no se cumpla un SLA se tengan alternativas que garanticen la seguridad de la información.
  • CONTINUIDAD DEL SERVICIO
Son 3 medidas de seguridad donde se realiza un análisis de impacto para conocer los servicios críticos y los requisitos de disponibilidad de cada servicio, posteriormente se realizará el plan de continuidad garantizando la disponibilidad de los servicios, y por último se realizarán pruebas periódicas para comprobar que los planes de continuidad están perfectamente definidos y ejecutados.
  • MONITORIZACIÓN DEL SISTEMA
Son 2 medidas de seguridad que hacen referencia a la detección de intrusiones y la medición de la eficacia de las herramientas de detección.

MEDIDAS DE PROTECCIÓN
Son 40 medidas de seguridad que se centran en la protección de los activos.
  • INSTALACIONES E INFRAESTRUCTURAS
Son 8 medidas de seguridad encargadas de proteger los activos, separando y controlando los accesos, identificando a las personas, acondicionando los locales, tomando medidas de protección de incendios e inundaciones y registrando la entrada y salida de soportes.
  • GESTIÓN DEL PERSONAL
Está compuesto por 5 medidas donde el principal objetivo es la concienciación en materia de seguridad al personal, además se les recodará de manera periódica sus deberes y obligaciones, siempre garantizando que haya personas alternativas que puedan desarrollar las mismas actividades con las mismas garantías.
  • PROTECCIÓN DE LOS EQUIPOS
Son 4 medidas de seguridad donde hay que tener la mesa despejada, es decir, nada de información confidencial o contraseñas encima de la mesa que pueda estar al alcance de cualquiera, además hay que bloquear los equipos de forma automática tras un periodo de inactividad, y siempre proteger la información que salga de las instalaciones mediante mecanismos de cifrado, por último no olvidar tener medios alternativos que nos permitan continuar con la labor diaria ante un fallo del equipo habitual.
  • PROTECCIÓN DE LAS COMUNICACIONES
Está compuesto por 5 medidas de seguridad donde se debe utilizar sistemas de cortafuegos y VPN redundantes, para securizar el tráfico de entrada/salida, además de las conexiones provenientes de la red pública Internet, siempre hay que proteger la autenticidad y la integridad de la comunicación además de segmentar, asegurar, mantener y monitorizar las redes.
  • PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
Son 5 medidas orientadas a la protección de los soportes, para ello es necesario etiquetar los soportes con una nomenclatura que se entienda o que pueda ser consultada en un repositorio, imprescindible el cifrado de la información de los soportes que salgan de la sede de la organización, además de ser necesario tener una traza de quién tiene el soporte y por quién a pasado, por último es importante tener definido un procedimiento de borrado y destrucción de soportes.
  • PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
Son 2 medidas de seguridad cuyo objetivo es realizar las pruebas necesarias sobre las aplicaciones antes de pasarlas al entorno de producción, para ello es imprescindible realizar el desarrollo sobre un entorno de pre-producción, además de realizar las pruebas oportunas con datos ficticios antes de pasar la aplicación al entorno de explotación.
  • PROTECCIÓN DE LA INFORMACIÓN
Son 7 medidas para proteger la información, donde hay que cumplir la LOPD para los datos de carácter personal, además de clasificar y cifrar la información. Para garantizar el no repudio se utilizará la firma electrónica y los sellos de tiempo, también es importante realizar una limpieza de todos los documentos públicos, para retirar toda la información innecesaria, por último es importante realizar copias de seguridad de la información, tanto de aplicaciones, sistemas operativos, datos de configuración, servicios, claves, etc.
  • PROTECCIÓN DE LOS SERVICIOS
Son 4 medidas de seguridad cuyo objetivo principal es proteger el correo electrónico, los servicios y las aplicaciones web, para ello será necesario realizar análisis de spam, virus, XSS, etc. Además hay que tomar las medidas adecuadas para protegerse ante ataques de DoS, y redundar aquellos servicios que puedan comprometer la reputación y la actividad diaria de la organización.

Ya se que es una entrada un poco larga, pero tenía ganas de hacer un post como este para quedar anotado un resumen del ENS que luego me ayude de manera rápida a recordar la estructura y las medidas de seguridad del Esquema Nacional de Seguridad. Además, para el que quiera profundizar en el ENS les dejo un enlace al CCN-CERT y un mapa conceptual del ENS.



7 de enero de 2013

Los Reyes Magos


Cada vez aparecen más dispositivos electrónicos en la carta a los reyes magos, no solamente los más pequeños quieren nuevos portátiles, webcam y cámaras de fotos, sino también las personas adultas cada vez optan por comprar y regalar smartphone, tablet, impresoras o lápiz de memoria. Vivir en un mundo rodeado de tanta tecnología que nos facilita la vida diaria y nos mantiene conectados hace que muchos de nosotros no podamos estar más de 24 horas sin utilizar uno de estos dispositivos, y según varios estudios cada vez hay más personas adictas a estos aparatos demostrándose que las personas presentaban síntomas de depresión y ansiedad si no utilizaban durante 24 horas estos dispositivos.

Trasladando los reyes magos a las organizaciones, muchas veces se hacen regalos a los directivos o empleados sin analizar ni consultar si estos regalos son permitidos o cumplen con la política de la empresa, y más daño hacen aún si se regalan y no se avisa al departamento de TI para realizar el inventario de los nuevos equipos. Aquí es donde llega el problema y la duda de si el regalo pertenece a la empresa o es un regalo para el uso personal y no profesional. Todo esto hace que se acreciente el problema que venimos tratando durante el 2012 y crecerá exponencialmente en el 2013, el denominado Bring Your Own Device (BYOD) donde los empleados y directivos quieren utilizar sus equipos personales dentro de la propia empresa, lógicamente muchas veces saltándose las medidas de seguridad de la empresa y esto hace que sea tan complicado de controlar, pero que no debemos olvidar que también debemos tenerlos en cuenta y por tanto controlarlos.

Veamos un ejemplo sencillo de cómo violar la política de seguridad involuntariamente con el simple hecho de regalar un lápiz de memoria USB. Supongamos que la política de seguridad de la organización obliga a que toda la información en formato electrónico que salga de las oficinas deba ir adecuadamente cifrada para evitar su lectura en caso de pérdida o robo. Si para realizar la compra no se ha consultado con el departamento de TI, probablemente los lápices de memoria no incorporen ninguna medida de seguridad y por tanto se realice la compra obviando normas como FIPS 140-2 o incluso no se realice una partición con TrueCrypt para cifrar la información privada y confidencial. Además como es un regalo no se sabe cuántos dispositivos hay en la organización y por tanto no se realiza el inventariado. Así que queda al descubierto la organización a una posible fuga de información por parte de los empleados o como he comentado anteriormente, ante el robo o pérdida del lápiz de memoria con información sensible puede acarrear otros problemas de seguridad.

Para evitar la fuga de información mediante lápiz de memoria es muy común deshabilitar los puertos USB de los equipos mediante directivas de Active Directory, mientras que para controlar otros tipos de dispositivos como smartphone, tablets o portátiles es conveniente utilizar herramientas que controlen el BYOD, como por ejemplo aplicando políticas por tipo de dispositivos. Además, también sería interesante que los nuevos dispositivos móviles estén dados de alta en herramientas MDM (Mobile Device Management) para aplicarles la políticas de seguridad, y así los usuarios de estos dispositivos estén tranquilos sabiendo que la información contenida está a salvo ante cualquier robo o pérdida.

Así que nada más me queda recomendar que todo aquello que vaya a ser regalado con fines profesionales sea consultado previamente con el responsable de seguridad, para que éste proporcione las indicaciones de qué dispositivos cumplen la política de la empresa, y así posteriormente poder hacer el inventario y la gestión de estos nuevos dispositivos adecuadamente.
Related Posts Plugin for WordPress, Blogger...

Entradas populares