No.

1 6 / enero-febrero 201 3 ISSN: 1 251 478, 1 251 477

Imagen y reputacin

16

Presencia virtual en construccin

CERTS Reputacin lnea Politicas seguridad Riesgo reputacional WAF Mando tecnlogico

Contenido
Centro de respuesta a incidentes informticos Para qu?

< 04 >

Reputacin en lnea Normatividad en las organizaciones: Polticas de seguridad de la informacin. Parte I Lo que el rumor se llev, crnicas del riesgo reputacional

< 11 > < 15 > < 20 >

Firewall de Aplicacin Web (WAF) Parte I

< 25 >

Zarpamos en tecnologa

< 29 >

Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de Informacin y Comunicacin. Subdireccin de Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R. , revista especializada en temas de seguridad del UNAM-CERT. Se autoriza la reproduccin total o parcial de este artculo con fines de difusin y divulgacin de los conocimientos aqu expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.

Editorial
Imagen y reputacin Presencia virtual en construccin
Imagina las fases del proceso de construccin de un edificio, desde el diseo, la planeacin, el listado de todos los requerimientos, el largo proceso de cimentacin y finalmente, la obra terminada. Es un trabajo arduo, aunque trae consigo firmeza, estabilidad y proteccin. De esta misma forma queremos que imagines el proceso de edificacin de tu imagen en lnea, como un gran proyecto de diseo e implementacin. El proceso es largo, a veces complicado y requiere echar mano de muchos elementos, no solo materiales, sino humanos y de esfuerzo mismo. Incluso cuando est terminado, nuestra gran obra requiere de constante cuidado y mantenimiento. Aunque afanosas, estas atenciones diarias nos mantienen en el entorno de la tranquilidad. El laborioso camino de la construccin y cuidado de nuestra reputacin digital es un esfuerzo constante y, debido a esto, buscamos ofrecerte con esta edicin, esas herramientas, materiales y mano de obra que necesitas todos los das para la gran tarea de pulir tu presencia virtual. Esta entrega, particularmente especial para nosotros, cuenta con la participacin de grandes expertos reconocidos anivel internacional, lanzamos nuestra edicin conmemorativa de 4 aos de arduo trabajo con personalidades como Eduardo Carozo y Jess Torrecillas, tambin contamos con la colaboracin muy especial de Ral Ortega, pilar entraable en la historia de esta revista. Esperamos que este nmero sea realmente til para ti y que con su lectura, logres sumar un ladrillo ms al constante proceso de construccin de tu imagen virtual. Con toda sinceridad te decimos Muchas gracias! y te esperamos como siempre, en nuestras prximas ediciones. L.C.S Jazmn Lpez Snchez Editora Subdireccin de Seguridad de la Informacin
.Seguridad Cultura de prevencin TI M.R. / Nmero 1 6 / Enero - Febrero 201 3 / ISSN No. 1 251 478, 1 251 477 / Revista Bimestral, Registro de Marca 1 29829

DIRECCIN GENERAL DE CMPUTO Y DE TECNOLOGAS DE INFORMACIN Y COMUNICACIN

DIRECTOR GENERAL Dr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS INSTITUCIONALES Act. Jos Fabin Romo Zamudio

SUBDIRECTOR DE SEGURIDAD DE LA INFORMACIN/ UNAM-CERT Ing. Rubn Aquino Luna DIRECCIN EDITORIAL L.A. Clica Martnez Aponte EDITORA L.C.S. Jazmn Lpez Snchez ARTE Y DISEO L.D.C.V. Abraham vila Gonzlez DESARROLLO WEB Ing. Jess Mauricio Andrade Guzmn Ing. Angie Aguilar Domnguez REVISIN DE CONTENIDO Manuel Ignacio Quintero Martnez Jonnathan Banfi Vzquez Jos Roberto Snchez Soledad Mauricio Andrade Guzmn Rubn Aquino Luna Miguel ngel Mendoza Lpez Pablo Lorenzana Gutirrez Andrea Mndez Roldn Gustavo Villafn Enrquez Clica Martnez Aponte COLABORADORES EN ESTE NMERO Jess Nazareno Torrecillas Rodrguez Eduardo Carozo Blumsztein Oscar Ral Ortega Pacheco Sayonara Sarah Daz Mendez Miguel ngel Mendoza Lpez Pablo Antonio Lorenzana Gutirrez

Centro de respuesta a incidentes informticos Para qu?

Eduardo Carozo Blumsztein

Es sorprendente ver cmo la tecnologa de la informacin se incorpora cada vez ms a nuestras vidas, inclusive atravesando la ltima frontera. Algunas de las prestaciones de dispositivos, aplicaciones y sistemas de mayor desarrollo en la actualidad ingresan al interior de nuestro cuerpo con singular xito: sondas, marcapasos, microelectrnica aplicada para la asistencia a personas con discapacidades auditivas o visuales, localizacin permanente de personas... Ese mismo nivel de interaccin se observa en las organizaciones, donde ha aumentado radicalmente la facilidad de acceso a las redes con mltiples dispositivos que, adems, son multifuncionales. Un telfono que puede convertirse en Access Point Wi-Fi es algo absolutamente comn en nuestros das, as como conexiones USB utilizadas para mltiples

dispositivos, etc. Lo nico que falta, es inventar discos duros que se parezcan a adornos en los dientes, porque creo que todo lo dems est inventado! (en los lentes, con formas de juguetes, etc.). Si bien parece divertido, a la hora de asegurar la informacin, toda esta situacin genera grandes dificultades y desafos. En la medida que los servicios de TI y los dispositivos se hacen ms baratos, cercanos, difundidos y omnipresentes, la carencia o mal funcionamiento de alguno de ellos provoca impactos ms altos y masivos. Por ejemplo, los sistemas de prepago de celulares involucran a millones de personas y son lo suficientemente complejos como para tener interrupciones o demoras de forma peridica, siendo en general compleja la recuperacin de los servicios.
UNAMCERT

04

Cunto demora una comunidad de clientes de prepago en saber que el sistema est cado y (en algunas compaas) puede hablar sin lmite? Es cuestin de segundos o minutos Cunto dinero e imagen pierde la compaa?, bastante. Lo peor es que estas prdidas van en rpido ascensodebidoalamasificacin delosservicios. As podemos enumerar mltiples servicios que hoy son indispensables, como la banca en lnea, el voto electrnico, la venta de servicios y productos online, adems de otros con los que

interrupcin en un procesodeTI seestvolviendo cada vez ms complejo. Existen miles de sistemas operativos, miles de protocolos y miles de formas de configurar las redes e intercambiar datos, adems de millones de aplicaciones interactuando. Entonces, esto termina en infinidad de asuntos que atender a la hora de disear un nuevo proceso; y otras tantas causas de problemas a la hora de resolver un incidente.

Para dar este tipo de servicios, la complejidad de los equipamientos, redes y administradores de sistemas ha aumentado exponencialmente, por lo que diagnosticar la causa de una

UNAMCERT

convivimos a diario y que, bajo un incidente, podran sufrir una interrupcin inesperada. Este hecho impacta en forma cada vez ms relevante las finanzas o reputacin de las organizaciones involucradas.

La complejidad existente detrs de un servicio provoca en ocasiones, que frente a una alarma de incidente, distintos operadores de los diversos sistemas que lo soportan comiencen a promover cambios en aras de recuperar el servicio. Lejos de mejorar la situacin, la vuelven irreversible, por lo que se ha constatado que es necesario coordinar las acciones de respuesta frente a un incidente de cualquiertipo paralograrunaefectiva resolucin del problema.

05

Existen diferentes tipologas de centros de respuesta que permiten adaptar y mejorar el desempeo de dichos grupos, segn se encuentre alojado en una universidad, empresa, gobierno u organizacin internacional. Dichas tipologas estn fuertemente vinculadas con la misin de laorganizacin (sobre todo en trminos As las cosas, el proceso de seguridad de la de autoridad y funciones), adems de la informacin debe ser atendido y entendido por dispersin geogrfica de la misma. los directivos, sobre todo si la organizacin es usuaria intensa de las tecnologas de la Vinculacin entre un SGSI y un CSIRT informacin. Un SGSI es un Sistema de Gestin de Seguridad de la Informacin y un CSIRT, como lo hemos Qu es un Centro de Respuesta dicho, es un Centro de Respuesta a Incidentes a Incidentes Informticos? de Seguridad Informtica, segn sus siglas en ingls. Un Centro de Respuesta a Incidentes de Seguridad Computacionales (CSIRT) es un Uno de los principales problemas que un buen equipo de tcnicos especialmente entrenados desempeo en la respuesta a incidentes desafa, para resolver y gestionar incidentes informticos es la existencia de una adecuada cultura de de alto impacto. Dicho entrenamiento provee prevencin y cuidado de los activos de capacidades al mencionado equipo para informacin difundida entre los integrantes de la gestionar crisis, coordinar acciones, estar organizacin. preparado para prevenir y detectar los ataques cibernticos ms comunes, as como para Para ello, dichos activos deben estar conocer profundamente las debilidades de correctamente identificados, las personas que sistemas, infraestructuras y personas de su manejan dicha informacin deben estar organizacin. El objetivo es dar una efectiva y rpida respuesta a los incidentes que puedan ocurrir. Por otro lado, la mayor parte de los usuarios de TI tienen un alto grado de desconocimiento del tipo de incidentes de seguridad ms comunes, por lo que adoptan conductas inadecuadas en el uso de los dispositivos o servicios, colaborando frecuentemente con el xito de los ataques. Dicho equipo es muy parecido a una brigada de bomberos, ellosdeben entrenaren formacontinua para poder controlar rpidamente los incidentes ms comunes. Cuanto ms rpidamente mitiguen al incidente, menos impacto sufrir la organizacin. Es frecuente encontrarse con sistemas que facturan ms de cincuenta mil dlares por hora. Contar o no con una respuesta acertada provoca bajar la discontinuidad de la operacin en el orden de 1 0 horas promedio por incidente, por lo que la velocidad de la respuesta de recuperacin se vuelve crucial. Un CSIRT bien diseado se encarga de proteger las infraestructuras crticas de la organizacin y vela por la continuidad de los servicios principales de la misma.

UNAMCERT

06

suficientemente sensibilizadas y capacitadas Una visin directiva de la implantacin sobre los riesgos inherentes a manipular los activos y, en general, debe haberun buen manejo (beneficios y esfuerzos) (preventivo) de los sistemas, infraestructura y Disponer de un centro de respuesta brinda a los dispositivos en torno a dicha informacin. directivos de una organizacin los siguientes Es frecuente encontrarse en las organizaciones beneficios: con funcionarios indiferentes respecto a la seguridad informticaque promueven conductas -Un punto de contacto focal reconocido y inadecuadas, por ejemplo, con respecto a los confiable dentro de la organizacin para la privilegios de sus cuentas de usuario Todos quieren ser administradores! En la mayora de denuncia y gestin de los incidentes. los casos sin siquiera conocer los riesgos -Promover la utilizacin de la infraestructura informtica bajo buenas y mejores prcticas. asociados a dicha condicin. Por otra parte, es necesario que est claramente definida la poltica de seguridad de la informacin para poder discernir qu es un incidente de seguridad y qu no lo es. En ciertos ambientes, un port-scanning no es un incidente y en otros es un incidente gravsimo, eso debe ser claramente establecido por la poltica de seguridad de lainformacin ynormas asociadas. En resumen, tener un SGSI definido da el marco normativo necesario para una accin efectiva del CSIRT, promueve una cultura de seguridad, sensibiliza y alerta a los funcionarios de la organizacin acerca de qu es un incidente de seguridad. Antes de implementar el CSIRT, se recomienda desarrollar o fortalecer el programa de seguridad de la informacin de la organizacin. Tener un SGSI sin disponer de un CSIRT que responda a los incidentes es ineficiente y frustrante, es similar a tener leyes de conducta ciudadana sin que existan policas o bomberos para desestimular, desactivar, mitigar o reprimir los incidentes. El sistema detecta la existencia del incidente, pero la organizacin no podr dar una respuesta coordinada y efectiva. Por otra parte, la gestin del conocimiento es totalmente inefectiva, puesto que en cada incidente se deber crear nueva experiencia porque no existe ningn sitio en la organizacin que acumule y gestione el conocimiento propio o ajeno en la resolucin de los incidentes previos, lo que provoca demoras y falta de asertividad en la recuperacin.
-Disponer de un equipo especializado y asesor para la proteccin de los nuevos desarrollos, basado en tecnologas no conocidas. -Brindar informacin en tiempo real a toda la organizacin sobre vulnerabilidades, asociar y promover sus respectivas recomendaciones en forma ms asertiva, adems de mejorar significativamente su mitigacin y/o control. -Proveer servicios de publicacin de informacin difundiendo la cultura de seguridad informtica. -Conocer,participarycompartirlasexperiencias de equipos similares estableciendo y haciendo propias las mejores estrategias para el manejo efectivo de incidentes de seguridad informtica en la organizacin. -Administrar puntos de contacto con otros CSIRT para promover alertas tempranas de ataques que estn siendo exitosos en otros entornos u organizaciones. -Poseer un equipo de personal especializado en constante proceso de actualizacin con la intencin de brindar servicios de soporte informtico.

Respecto a los esfuerzos necesarios, un CSIRT habitualmente se compone de pocos funcionarios bien entrenados (una estimacin reciente establece un funcionario CSIRT en cada ochocientos puestos en organizaciones medias), con presupuestos anuales en general menores a los diez mil dlares por funcionario, excluyendo

UNAMCERT

07

salarios. Con el costo evitado, la inversin inicial se recupera en menos de un ao y los costes operativos son cubiertos al tercer incidente resuelto en forma efectiva en dicho ao. Un esfuerzo importante que debe considerarse es el apoyo a este equipo desde la direccin de la organizacin, promoviendo y cuidando que no sea excluido por sus pares de los equipos tcnicos. Ocasionalmente y debido a problemas de insercin derivados de la falta de comunicacin, los tcnicos del CSIRT son visualizados por el resto de los gestores de TI como un grupo de lite que oficia de auditor, juzgando el accionar de los dems con altos privilegios en la organizacin. Promover esta imagen es un error, indirectamente promueve que los operadores del sistema de informacin que estn siendo objeto de un ataque o que tienen un problema operativo serio, intenten ocultar el incidente por temor a los informes o represalias que puedan ocurrir si el incidente se hace pblico en la organizacin, en vez de recurrir a la ayuda de su centro de respuesta. La direccin y los integrantes del centro de respuesta, en consecuencia, deberan promover activamente una funcin de auxilio y apoyo a los dems actores tcnicos de la organizacin (al igual que un cuerpo de bomberos) y ponerse al servicio de su comunidad minimizando conductas competitivas o agresivas de los interlocutores. La frase que sigue pertenece a un amigo director de una gran organizacin, consultado respecto del funcionamiento de su CSIRT, considero que puede constituir un excelente cierre para este artculo.

muchachos de la divisin informtica haba sido vctima de un ataque que comprometi nuestros servicios en lnea. Para esa persona, el soporte del CSIRT fue fundamental porque demostr que l no fue culpable de nada, sino que fue atacado y que nada poda hacer, ms que avisar. Gracias a su aviso y a una respuesta adecuada, salvamos un par de millones y pudimos detectar a los responsables del ataque y su mvil de actuacin. l no tuvo consecuencias en su carrera funcional, en definitiva evitamos un montn de costos humanos y materiales, el incidente no se ha vuelto a repetir.
www.cert.org www.proyectoamparo.net El trmino port-scanning, en espaol escner de puertos, se emplea para designar la accin de analizar, por medio de un programa, el estado de los puertos de una mquina conectada a travs de una red de comunicaciones. Detecta si un puerto est abierto, cerrado o protegido por un cortafuegos o firewall. Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y posibles vulnerabilidades de seguridad segn los puertos abiertos. Tambin puede llegar a detectar el sistema operativo que est ejecutando la mquina segn los puertos que tiene abiertos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero tambin es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la mquina o la red. Existen varios programas escaneadores de puertos por la red. Uno de los ms conocidos es Nmap, disponible tanto para Linux como Windows.
1

Tener un centro de respuesta es una excelente solucin para entender las TI de mi organizacin, obteniendo respuestas de un tercer actor independiente, capaz y objetivo. Recuerdo cuando uno de los

UNAMCERT

08

Reputacin en lnea
Ing. Oscar Ral Ortega Pacheco

En Internet creamos una imagen sobre quines somos y cmo nos ven los dems. Esta imagen o personalidad se conforma a partir de la informacin que publicamos en foros, blogs, redes sociales, videos o en los enlaces que compartimos. Adems, otras personas pueden contribuir a la construccin de nuestra imagen a travs de los comentarios que generan en nuestras pginas o por medio de las imgenes que ellos publican.

En el mbito personal, la situacin es distinta. De acuerdo a un estudio relacionado con la reputacin en lnea, publicado por Background Check en 201 2, el 79% de los reclutadores buscan informacin en Internet sobre candidatos para conocer sus intereses y actitudes. De ellos, el 86% ha informado a los candidatos que fueron rechazados por la informacin existente en lnea. Por su parte, siete de cada diez usuarios de Internet afirman haber consultado datos sobre un tercero en la red.

Esto representa un gran reto para las empresas, pues cientos, miles y hasta millones de usuarios pueden hablar de manera positiva o negativa acerca de sus productos o servicios, ocasionando cambios en cmo se percibe su marca. Por ello, las organizaciones han desarrollado estrategias para manejar su reputacin y as poder dirigir las conversaciones que se refieren a ellos dentro de Internet.

En general, los usuarios no se preocupan de los efectos que tienen sus distintas publicaciones en la web, pues muchas fotografas que normalmente no mostraran a compaeros de trabajo se publican sin ningn tipo de proteccin, tambin es comn encontrar datos personales como direcciones, telfonos o nmeros de tarjetas de crdito. Algunas de las consecuencias de publicar informacin en la web podran afectar

UNAMCERT

11

nuestra seguridad personal o patrimonial, pero Los resultados pueden mejorar mientras ms tambin nuestra identidad y reputacin puede especficos sean tus criterios de bsqueda. Es importante que t y tu familia configuren los daarse. servicios de redes sociales para recibir Es muy importante que los usuarios tomemos en notificaciones en el momento en que alguien cuentaque en Internetcreamosunaimagen sobre realice alguna referencia en comentarios y fotos etiquetadas. Tambin puedesconsideraralgunos quines somos y cmo nos ven los dems. Proteger nuestra identidad en lnea requiere del servicios en Internet que analizan y te mantienen desarrollo de acciones continuas que permitan informado sobre referencias a tu nombre o identificar y resolver la pregunta Qu pueden imgenes en sitios de redes sociales y portales saber los dems sobre m a partir de Internet? en lnea. De esta forma podemos desarrollar las siguientes 3. Evala tu reputacin en lnea acciones:

1. Establece tu propia reputacin

2. Identifica qu informacin se publica en Cuando buscan candidatos, algunos reclutadores toman decisiones en funcin de las Internet sobre ti
personas o empresas con quienes mantienes Esta accin puedes llevarla a cabo colocando tu contacto en Internet. Considera a contactos nombre en los diferentes buscadores de Internet. profesionalesytuadscripcinagruposdeamigos.

UNAMCERT

Analiza qu dice en su conjunto toda esta informacin obtenida sobre ti. Puedes hacer uso Toma control acerca de la informacin que se de preguntas como La informacin refleja lo que menciona sobre ti, seguramente tus amigos y quiero que otras personas sepan de m?, hace contactos podran publicar fotografas o falta esta informacin o debera eliminarla? comentarios y etiquetarlos, es mejor que ests al tanto y que decidas qu informacin se publica 4. Analiza tus vnculos con otras y cul se rechaza.

organizaciones o personas

12

5. Publica informacin con regularidad

Mantener un sitio web, blog o perfil en Internet sin actualizar afecta la percepcin que tienen las personas sobre ti, por ello procura actualizar con regularidad, adems esto ayudar a mantenerte en los primeros resultados de los motores de bsqueda.

7. Trata a los dems como te gustara que te trataran a ti

Enviar mensajes negativos a otras personas tambin puede impactar tu reputacin, no solo por malos comentarios, tambin mantener discusiones en lnea podra afectarte al mostrar comportamientos o actitudes conflictivas.

6. Piensa antes de publicar

Antes de publicar cualquier tipo de informacin, analiza si te sentirs a gusto con el comentario hoy o por ejemplo, en los prximos 1 0 aos. Procura evaluar las consecuencias que podra tener cada comentario e imagen si fuera vista por un familiar, amigo, compaero de trabajo, un reclutador o un profesional en los temas que abordas.

8. Asegura tus cuentas

Utilizarcontraseas seguras ydesarrollarbuenas prcticas sobre el manejo de tus cuentas previene que usuarios malintencionados accedan fcilmente a ellas para publicar informacin en tu nombre.

9. Configura opciones de seguridad y privacidad

Busca en los distintos servicios en Internet estas opciones y decide qu imgenes y comentarios deben estar disponibles para las personas que deseas, y no para todos los usuarios de la red.

10. Asesora a tus contactos sobre su reputacin

La imagen que reflejan tus amigos y contactos podra afectarte indirectamente, algunas personas podran asociar sus hbitos, costumbres e ideologas con las tuyas. Por ello, ayuda a tus amigos a que mantengan una buena reputacin para que en conjunto, puedan lograr mejores oportunidades.

11. Reporta abusos

Algunosdelosusuariosqueseconectan aInternet solamente buscan ofender a otras personas, si detectas a algn usuario que lleve a cabo estas prcticas, elimina sus comentarios y busca las opciones de denuncia existentes en las redes sociales y correo electrnico para que sean sancionados.

Una imagen positiva permite a las personas obtener grandes oportunidades en su desarrollo personal y profesional, es una actividad que se lleva a cabo en nuestra vida cotidiana, pero que debe extenderse a las actividades en lnea. 13

UNAMCERT

El uso de las tecnologas de informacin y comunicacin requiere responsabilidad yrespeto en cada una de las actividades que llevemos a cabo. Esto involucra mantenerse informado sobre las distintas tecnologas, sus ventajas y posibles riesgos para que, como usuarios migrantes o nativos digitales, podamos tomar decisiones basadas en el conocimiento obtenido del uso de la tecnologa, construyendo una nueva ciudadana digital que permita a las personas interactuar en ambientes seguros y confiables.
1 http://blogs.eset-la.com/laboratorio/2012/08/13/google-

reputacion-linea-usuario/

UNAMCERT

14

Normatividad en las organizaciones: Polticas de seguridad de la informacinParte I

Ing. Pablo Antonio Lorenzana Gutirrez, Ing. Miguel ngel Mendoza Lpez Coautores: Ing. Sandra Atonal Jimnez, Ing. Rubn Aquino Luna

En la actualidad, las organizaciones hacen uso de tecnologas de la informacin para su operacin diaria. El logro de sus objetivos se debe en gran medida a su utilizacin. Sin embargo, existen riesgos inherentes a ellas, es decir, la posibilidad de que una debilidad sea aprovechada por una amenaza y sus consecuencias: divulgacin, modificacin, prdida o interrupcin de informacin sensible. Las herramientas y medios tcnicos por s mismos ya no garantizan un adecuado nivel de seguridad con relacin al manejo de la informacin. En este contexto, las polticas de seguridad surgen como una herramienta para ayudar en el proceso de concientizacin de los

miembros de una organizacin, sobre la importancia y sensibilidad de la informacin, adems de ofrecer un marco normativo para el uso adecuado de la infraestructura de TI. De acuerdo con la encuesta The State of Network Security 201 2, realizada a ms de 1 80 profesionales de seguridad de la informacin y TI, la mayora de los incidentes de seguridad de la informacin que se producen en las organizaciones son ocasionados por los propios empleados, ya sea por descuido, desconocimiento o intencionalmente, debido a que no existen mecanismos de control que regulen su conducta. En otras palabras, no existen polticas de seguridad de la

UNAMCERT

informacin. Si noexisteunapoltica, el empleado objetivo y las caractersticas que debe poseer un no dispone de normas, desconoce los lmites y documento como este. responsabilidades asociadas a las actividades que desempea. En el mbito de la seguridad de la informacin, una poltica es un documento que describe los El desarrollo de polticas de seguridad puede requisitos o reglas especficas que deben verse como una labor complicada debido al cumplirse en una organizacin. Presenta una bloqueo creativo del responsable durante la declaracin formal, breve y de alto nivel, que redaccin y generacin de su contenido, abarca las creencias generales de la generalmente suelen ser vctimas del sndrome organizacin, metas, objetivos y procedimientos de la hoja en blanco. Para evitar esto, es aceptables paraun readeterminada. Entre otras recomendable responder las siguientes caractersticas: interrogantes:
Requiere cumplimiento (obligatorio). El incumplimiento deriva en una accin disciplinaria. Se enfoca en los resultados deseados y no en los medios de ejecucin. Deben ser concisas y fciles de entender. Deben mantener un balance entre la proteccin y la productividad.

Las polticas de seguridad de la informacin proveen un marco para que las mejores prcticas puedan serseguidasporlosempleados, permiten minimizar riesgos y responder a eventos indeseados e inesperados. Tambin ayudan al personal de la organizacin a asegurar sus activos, definir la postura de la organizacin hacialaproteccin delainformacin frente a accesos no autorizados, modificacin, divulgacin o destruccin. De manera especfica, las polticas permiten:
Proteger activos (personas, informacin, infraestructura y sistemas). Definir reglas para la conducta esperada del personal y usuarios. Definir roles y responsabilidades del personal. Definir y autorizar sanciones en caso de una violacin. Mitigar riesgos. Ayudar en el cumplimiento de leyes, regulaciones y contratos. Crear conciencia entre el personal sobre la importancia y proteccin de los activos, principalmente de la informacin.

La respuesta a cada una de estas preguntas resulta complicada si no se cuenta con los elementos bsicos para la elaboracin de las polticas. Un elemento esencial es conocer el

UNAMCERT

Quin debe ser la persona responsable de crear las polticas? En qu estndar o mejor prctica deben tener base? Cules son los mbitos de aplicacin? Qu estructura debe tener el documento? Cmo redactar los enunciados? Existen o deben crearse otros documentos que complementen a las polticas? Cmo deben difundirse entre los empleados?

16

Los beneficios que ofrecen las polticas pueden ser fcilmente descartados si no se definen de manera previa las personas a las cuales estn dirigidas (audiencia), lo que determina el sentido de los enunciados escritos. Se pueden tener diversos intereses dentro de la organizacin, por lo que la audiencia de las polticas puede ser dividida en categoras. Todos los usuarios (lectores) se incluyen en al menos una categora, por ejemplo:
Personal administrativo (recursos humanos, contabilidad, etc.). Personal tcnico (programadores, administradores de sistemas, administradores de red, etc.). Usuarios finales.

Polticas tcnicas
Son ms detalladas que la poltica rectora y definen los elementos necesarios para asegurar los activos. En trminos de nivel de detalle, una polticatcnicaestablece el qu (amayordetalle), quin, cundo y dnde. Describe lo que se debe hacer, pero no la manera de llevarlo a cabo, esto est reservado para las guas y procedimientos. Los temas que pueden ser considerados son:

Sistemas operativos Aplicaciones Red Administracin Planes de negocio Dispositivos de seguridad Dispositivos perifricos Dispositivos mviles La audiencia determinar lo que se debe incluir Criptografa en cada poltica. Por ejemplo, no siempre se Seguridad fsica incluir una descripcin del porqu cierta accin es necesaria en una poltica. Si el lector es Guas y procedimientos responsable de configurar un sistema, es posible que no requiera una explicacin del enunciado Proporcionan los pasos a seguir para llevar a de la poltica. Un miembro del personal cabo los enunciados de las polticas tcnicas. administrativo conoce los principios y el contexto Son documentos adjuntos y estn escritos en un detrs de esas acciones en un lenguaje no siguiente nivel de granularidad, ya que describen tcnico, por lo que tampoco requiere de la cmo se deben hacer las cosas. Generalmente, explicacin. Sin embargo, si el lectoresun usuario estn redactados en un lenguaje tcnico final, sera til incorporar una descripcin del avanzado debido a que est dirigido a personal porqu un control de seguridad es necesario, operativo. Por ejemplo, se pueden incluir guas esto contribuye en el entendimiento y de hardening de sistemas operativos. cumplimiento de la poltica. Por otro lado, el desarrollo de polticas requiere La estructura jerrquica tambin juega un rol de la participacin de miembros de la importante para el cumplimiento. Es organizacin directamente relacionados con los recomendable contar con una poltica rectora de procesos esenciales de la misma, por lo que es carcter gerencial, soportada por otro grupo de importante contar con un comit o equipo que se polticasdecarctertcnico, delascualespueden encargardeautorizarcambiosyactualizaciones derivar guas y/o procedimientos. de los documentos relacionados (polticas, procedimientos, guas y formatos).

Poltica rectora

Es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la informacin, establece la importancia de los activos, el qu y porqu una organizacin planea protegerlos. Debe ser enriquecida con otras polticas dependientes, guas y procedimientos.

El comit puede estar integrado por personal clave en la operacin de la organizacin, que tenga el conocimiento y dominio de los procesos operativos. Por ejemplo, los jefes de departamento, dueos o custodios de activos, etc. Dentrodesusresponsabilidadescon relacin a las polticas, se debe agregar:

UNAMCERT

17

 Escritura
La redaccin debe emplear un lenguaje conciso y fcil de comprender, los responsables definen el sentido de la poltica, evitando el uso de negaciones directas en los enunciados. Por ejemplo, "El usuario debe bloquear su equipo al ausentarse de su lugarde trabajo", esunapoltica que indica lo que est permitido, o "Se prohbe que el usuario deje un equipo desatendido sin bloquear la sesin", es una poltica que indica lo que est prohibido. Ambas redacciones son aceptables siguiendo un enfoque permisivo o prohibitivo respectivamente, pero "El usuario no debe dejar su equipo desatendido sin bloquear la sesin" es una redaccin de carcter negativo que debe evitarse.

Aprobar nuevas polticas, iniciativas y actividades. Crear, revisar, aprobar y difundir. Sancionar violaciones. Realizar reuniones peridicas para la revisin, adecuacin y cumplimiento. Establecer roles y responsabilidades para asegurar que las actividades se realizan en tiempo y forma.

El desarrollo de las polticas inicia con la priorizacin de los temas que deben abordarse, la identificacin del personal al cual van dirigidas y los activos a proteger. Para ello, se pueden realizar las siguientes actividades:
Seleccionar las reas que utilicen informacin que deba ser protegida por alguna ley (nacional, estatal o local). Identificar informacin utilizada para la toma de decisiones crticas dentro de la organizacin. Identificar informacin crtica para la continuidad de las operaciones. Definir la sensibilidad de la informacin. Especificar un esquema de clasificacin de informacin.

Revisin
Permite definir el contenido de las polticas de acuerdo a los intereses de la organizacin, el sentido de la redaccin y la funcionalidad de lo descrito en los enunciados, sin afectar las operaciones cotidianas, es decir, mantener un equilibrioentrelafuncionalidad ylaoperatividad.

La identificacin de incumplimientos, inconsistencias y la retroalimentacin de las partes involucradas permite realizar adecuaciones en los documentos. El ciclo se conforma de cinco fases:

Una vez que hayan sido revisadas y se considere que el contenido es apropiado, las polticas deben ser ratificadas por el comit para su publicacin. Se debe incluir la fecha de aprobacin.

UNAMCERT

Una vez que se han realizado las actividades anteriores, el equipo de desarrollo de polticas debe comenzar la redaccin de los documentos y seguir su ciclo de vida, el cual se basa en un proceso de mejora continua.

Aprobacin.

18

 Difusin
Unaactividad primordial consisteen daraconocer las polticas y su entrada en vigor, el crear las polticas y no difundirlas resulta un gran esfuerzo desperdiciado. Portal motivo, el comitdebeidear mecanismos para dar a conocerlas entre las audiencias, a travs de actividades como la creacin de carteles, trpticos, sesiones informativas y otras.

Los responsables de la creacin de polticas deben considerar las operaciones cotidianas, los hbitos y la cultura organizacional, para instar a las audiencias en su aceptacin y cumplimiento, basados en el principio de que las polticas no representan restricciones o cargas laborales, sino elementos que permiten proteger los activos al tiempo que madura la operacin. De esta manera las organizaciones podrn gozar del beneficio que ofrecen.

Actualizacin
La aplicacin de polticas es una actividad permanente y de mejora continua, por lo que pueden realizarse reajustes. La presencia recurrente de la violacin de una poltica, una sugerencia de las partes involucradas, el uso de nueva tecnologa o cambios en la estructura organizacional son algunas de las razones por las cuales se actualiza una poltica. Con los puntos antes descritos, se pretende dar respuesta a algunas de las interrogantes plasmadasen esteartculo, en lasegundaentrega se abordar la estructura de los documentos y su alineacin a una mejor prctica o estndar.

International Organization for Standardization. ISO/IEC 27001:2005. SANS Institute. Information Security Policy - A Development Guide for Large and Small Companies. SANS Institute. Security Policy Roadmap - Process for Creating Security Policies. SANS Institute. A Short Primer for Developing Security Policies. The State of Network Security 2012. AlgoSec Survey Insights.

UNAMCERT

19

Lo que el rumor se llev, crnicas del riesgo reputacional

Ing. Jeffrey Steve Borbn Sanabria

Entindase riesgo como el potencial de que una amenaza especfica explote las vulnerabilidades de un activo o grupo de activos para ocasionar prdida y/o dao de los mismos[1 ]. Lo anterior ilustra al riesgo como aquel personaje molesto con el cual se debe aprender a convivir aunque se desee mantener lo ms alejado posible. Conocemos la existencia de riesgos de diferentes aspectos, tales como riesgos financieros, legales o de cumplimiento, operativos, tecnolgicos y por supuesto, los de seguridad de la informacin. Sin embargo, la existencia de un riesgo denominado reputacional o de imagen, plantea la necesidad de entendimiento de otro factorno tomado en cuenta en muchas ocasiones: cuando uno de los riesgos mencionados anteriormente se materializa. A lo largo de este artculo se analizar la forma en

que algunas empresas y organizaciones han manejado este riesgo orientado a fallos en seguridad de la informacin y algunos consejos para entender cmo gestionarlo adecuadamente.

Entendiendo el riesgo reputacional

El riesgo reputacional se comprende como la posibilidad de una opinin o comentarios, que pueden ser positivos o negativos, frente a las actividades, prcticas o situaciones desarrolladas por una compaa y que puede generar un impacto negativo, vindose reflejado en la reduccin de clientes, servicios o cada de ingresos. El anlisis y control de este tipo de riesgo se lleva a cabo comnmente en instituciones del sector
20

UNAMCERT

establecidas entre las filiales de la compaa, se identific fuga de informacin relacionada con cuentas de acceso, correos electrnicos y tarjetas de crdito de ms de 30 millones de usuarios en todo el mundo. De acuerdo con anlisis realizados por matemticos de la revista Forbes[4], el costo de los ataques signific a la empresa Sony aproximadamente 24 billones de dlares. Adems de todos los costos en pos de mantener a sus clientes y evitar que optaran por cancelar sus cuentas y dejar de usar productos de la compaa, todo esto a partir de numerosos regalos a travs de la misma red a sus usuarios, disculpas pblicas y mltiples estrategias de mercadeo que hicieron del 201 1 un ao menos tormentoso de lo que ya era para la firma de videojuegos. financiero, dado que una afectacin de la imagen o reputacin puede verse reflejada directamente en el valor de las acciones o en la desconfianza de inversionistas, quienes podran no encontrar en la organizacin la sensacin de seguridad suficiente, lo que llevara a afectaciones en las decisiones de no inversin. Es posible analizar este tipo de riesgo tambin como un riesgo consecuencia de otros. El riesgo reputacional aparece usualmente como consecuencia de una explotacin de vulnerabilidades o fallos que evidencian riesgos en seguridad de la informacin y por ende generan de inmediato desconfianza en usuarios y clientes, entre otros. Para contextualizar mejor estaidea, es necesario presentarvarios ejemplos de empresas que se han enfrentado al riesgo reputacional asociado a la materializacin de riesgos de seguridad de la informacin o de base tecnolgica.

Entidades certificadoras
Ambas compaas pertenecen al mercado de seguridad delainformacin, ofreciendoservicios de firmado de certificados digitales y cumpliendo un rol como entidades certificadoras dentro de losesquemasdeInfraestructuradeLlavePblica (PKI). DigiNotar sufri un ataque en julio de 201 1 , en el cual un atacante logr comprometer la infraestructura de la Entidad Certificadora (CA) para generar cientos de certificados digitales falsos de diferentes dominios de alto perfil, tales como Google, Yahoo, MozillayWordpress, entre muchos otros. En este proceso, luego de varias investigaciones realizadas por parte del gobierno alemn y, de haber tomado control de la compaa en el mes de septiembre del mismo ao, se determin que toda la infraestructura haba sido comprometida en el ataque. Esto dio lugar a la materializacin del riesgo reputacional en torno a la responsabilidad de la compaa en este fallo de seguridad y a la desconfianza de todos sus clientes, lo que llev a DigiNotar a declararseen bancarrotaycerrarsuspuertas[2]. Un segundo caso similar, pero con un final diferente, se registr con la empresa Comodo, la cual logr identificar a tiempo el acceso no autorizado por parte de un reseller a su

La compaa de videojuegos...
Comoprimerejemplo, debemosvolverunosaos atrs y recordar la ola de ataques que enfrent la firma Sony y sus filiales a lo largo del mundo durante el ao 201 1 . En dichos ataques, que fueron logrados debido a las relaciones de confianza e infraestructuras similares

UNAMCERT

21

plataforma para la realizacin del firmado de 9 certificados digitales de 7 dominios diferentes. En el mismo ataque lograron comprometer la Autoridad de Registro (RA), parte de la Infraestructura de Llave Pblica (PKI) de la compaa. Comodo logr identificar el fallo y solucionarlo 9 das posteriores a la intrusin, registrada el 1 5 de marzo de 201 1 [3]. En la actualidad, la compaa an funciona normalmente. Sin embargo, por ms que fue

de juicio la seriedad del proceso de votaciones y, por supuesto, los resultados del mismo. Esto a su vez, signific una afectacin al 1 00% de la imagen del ente estatal encargado de las funciones electorales, adems de plantear dudas en la transparencia de los procesos, hecho que puede llegar a generar problemas graves al interior de un Estado.

controlada la situacin, en el mercado de seguridad de la informacin (luego del fallo) ha perdido mucho terreno.

Como siempre, hay que estar preparados, incluso para lo peor

Analizados los anteriores casos, que esbozan algunas ideas desde diferentes mbitos de la sociedad, se puede identificar un patrn en comn: Laaparicin del riesgoreputacional como consecuencia de la materializacin de riesgos de seguridad de la informacin. En unos casos, el correcto manejo de la situacin posterior a la materializacin del riesgo e inicio del efecto bola de nieve de rumores y comentarios negativos, permiti salir adelante a las compaas implicadas. En otros casos, no se dio ese final feliz y, como ocurri con Diginotar, no hubo tratamiento o solucin a la situacin.

Procesos gubernamentales
En el ao 201 0, durante el proceso de elecciones legislativas llevadas a cabo en Colombia, se present un hecho bochornoso relacionado con un ataque contra la infraestructura de la Registradura Nacional y el Centro Nacional Electoral. Aunque a la fecha de redaccin del artculo el tema sigue sin resolverse[5], la ausencia de controles adecuados en un proceso de tal magnitud (que permiti la ejecucin de ataques y los fallos en el servicio), pone en tela

UNAMCERT

22

Sin embargo, se genera la duda fundamental: Se puede estar preparado para una situacin as? Aunque no es una respuesta sencilla, s se pueden implementar controles que ayuden a reducir el posible impacto, a continuacin un listado de recomendaciones:
Identificar cmo puede verse afectada la compaa a travs del dao a su reputacin, adems del impacto a nivel financiero, operativo y legal. El riesgo debe medirse, es por ello que una vez identificados y propuestos controles para su gestin, es imperativo establecer criterios de medicin, tales como indicadores o mtricas que permitan vislumbrar una escala, que a su vez, ofrezca criterios para definir si es necesario aplicar nuevos controles o estrategias ms agresivas para evitar la materializacin y, por ende, el impacto a las organizaciones. Recordando la premisa que plantea que aquel riesgo que no se mide, no se controla. Establecer, ya sea interno o tercerizado, un centro de respuesta a incidentes de seguridad de la informacin, planteando los posibles escenarios a los que se puede enfrentar la compaa, determinando actividades para el manejo de estas situaciones y definiendo el cmo se monitorearn estos posibles riesgos. Debido a que estas situaciones tambin afectan la continuidad del negocio, es recomendable tener definido un manual de crisis, en caso de materializacin de riesgos que puedan tener impacto sobre la imagen y reputacin de la compaa. Este documento define quin realizar y cmo se realizar la comunicacin con el exterior de la compaa, as como las medidas para lograr controlar la situacin y buscar que la organizacin pueda salir avante lo mejor librada posible.

Identificar los riesgos a los que se enfrenta la organizacin. Entender que la seguridad de la informacin no es un gasto, al contrario, es una inversin que busca evitar realizar gastos asociados a una fuga de informacin, a una intrusin, un ataque de denegacin de servicio, al sabotaje, entre muchas otras opciones, adems de tener controles adecuados para ello. Aprender de situaciones de este tipo, presentadas con otras empresas o compaas del sector. Esto ayuda a cambiar la mentalidad de que los controles y protecciones se aplican exclusivamente de forma correctiva y no preventiva, este cambio de mentalidad aporta valor al negocio.

Se ha identificado un comportamiento particular de algunas compaas que no publican reporte o informacin alguna cuando son atacadas y, como resultado, hay alteracin de la integridad de datos o se presenta fuga de informacin. El aoanterior, lafirmaVerisign[6] aceptque haba sido blanco de un ataque unos aos atrs, sin haber informado oportunamente. Es obvio en este punto que el silencio busca evitar que se genere este ruido, asociado a rumores y noticias sensacionalistas en tabloides o secciones desinformadoras de tecnologa. Sin embargo, es necesario informar oportunamente a los afectados en caso de presentarse un ataque con los alcances antes tratados. En estas situaciones, el silencio puede ser mucho ms nocivo de lo que se puede creer. Para terminar, es necesario hacerse algunas preguntas frente a este delicado tema:
Estamos realmente preparados para manejar el riesgo reputacional en nuestras organizaciones? Entienden las organizaciones y sus mandos administrativos las repercusiones del riesgo reputacional? Qu pueden hacer las compaas para lograr unniveldepreparacinymadurezparaenfrentar el riesgo reputacional?

UNAMCERT

23

1]InstitutodeGobiernodeTI.COBIT4.1.MarcodeTrabajo - Objetivos de control Directrices Generales Modelos de Madurez, 2007 [2] Anlisis del caso Diginotar http://www.computerworld.com/s/article/9233138/One_y ear_after_DigiNotar_breach_Fox_IT_details_extent_of_c ompromise [3] Reporte del incidente http://www.comodo.com/Comodo-Fraud-Incident-201103-23.html [4] http://kotaku.com/5796301/playstation-networkbreach-could-carry-a-24-billion-price-tag-in-some-crazyfantasy-world [5] http://www.lasillavacia.com/historia/los-cabossueltos-sobre-el-ataque-informatico-el-dia-deelecciones-24670 [6] http://www.reuters.com/article/2012/02/02/ushacking-verisign-idUSTRE8110Z820120202

UNAMCERT

24

Firewall de Aplicacin Web (WAF) Parte I

L.I. Sayonara Daz Sarah Mndez

Al desarrollar una aplicacin o sitio web, siempre lo hacemos con el fin de que se pueda acceder desde cualquier lugar y que toda persona que desee llegar a ella pueda hacerlo. Es ah cuando entramos en problemas, ya que no siempre existir gente que consulte nuestra aplicacin web haciendo buen uso, sino que tambin existirn personas que quieran daarla o afectar sus servicios. Por esta razn, debemos estar conscientes de que es muy importante no dejar de lado los aspectos de seguridad. Existen mecanismos de proteccin a considerar que son importantes al publicar una aplicacin web, es recomendable que no los dejes para despus, mejoractaantes de que los problemas vengan a tu aplicacin.

aplicaciones o para los dueos de las mismas. Entender las caractersticas de esta tecnologa, relativamente nueva, nos ayudar a tomar las medidas que ms se adapten a nuestra organizacin. Empezaremos por mencionar algunas de las caractersticas principales de los WAF, es muy importante tomarlas en cuenta antes de llegar al siguiente paso, la implementacin de un WAF por ti mismo.

WAF
Para poder entender el funcionamiento y la implementacin deun WAF, debemostenerclaro qu es un firewall. Es un dispositivo o software que es instalado y configurado en alguna red para filtrar toda la entrada y salida de paquetes. Los firewalls viven en la capa de red y se basan en los permisos o privilegios que se tengan asignados, para poder acceder a lo que los firewall de red estn protegiendo.

Un Firewall de Aplicacin Web (WAF), al igual que un firewall convencional, se encarga de proteger tu red. Pero un WAF ir ms all y te ayudar a proteger tus aplicaciones web de ataques que, normalmente, son un dolor de cabeza para los administradores de las Agrandes rasgos, un WAF podra definirse como

UNAMCERT

25

un dispositivo, plugin del servidor o un conjunto de reglas que filtran y analizan el trfico web (entre tu servidor web y tu red externa), es decir, los datos que recibimos por parte del usuario y la respuesta que nuestro servidor web arrojar al usuario. Prcticamente se encuentra de intermediario entre tu aplicacin y el servidor web que la tiene alojada.

Hemos hablado de que los WAF funcionan con reglas, pero qu son las reglas y cmo funcionan? Las reglas son patrones normalmente escritos como expresiones regulares que se encargan de hacer el filtrado de la informacin que pasar o no pasar a travs de nuestra red. Una vez que se tienen activadas las reglas, toda la informacin que pasa a travs de nuestro servidor es parseada por estas reglas para que pueda tener acceso. Si en algn momento, la informacin que est siendo analizada por nuestras reglas encuentra alguna anomala, se bloquea la peticin.

Sin embargo, no ofrecen ninguna clase de proteccin contra los ataques especializados en explotar vulnerabilidades web. Son muy utilizados en las organizaciones para limitar el acceso de red a sus empleados o para proteger los equipos de ser atacados por virus o software malicioso, entre otros. As garantizamos que toda la comunicacin existente viaja segura entre la [1 ]Las 5 fases de procesamiento de las reglas: red local y la red externa (Internet) conforme a las normas de seguridad que han sido definidas 1. Cabecera de la solicitud en la instalacin. 2. Cuerpo de la solicitud Los WAF aplican un conjunto de reglas al trfico HTTP para detectar y bloquear peticiones de tipo CrossSite Scripting (XSS), SQL Injection (SQLi), Remote y Local File Inclusion (LFI), etc.
3. Encabezados de la respuesta 4. Cuerpo de la respuesta 5. Inicio de sesin

Muchos de los WAF trabajan comprobando firmas de ataques web conocidos, pero su misin principal es el funcionamiento de ataques como manipulacin de parmetros, cabeceras de las peticiones, cookies, XML, Javascript, etc., es decir, se adentran ms a los paquetes, teniendo VARIABLES OPERADOR [ACCIONES] en cuenta el comportamiento del usuario y manteniendo las sesiones de los mismos. Son Esta regla har lo siguiente: tan potentes que se encargan de proteger todo tipo de aplicaciones web alojadas en cualquier 1. Desplegar la coleccin de variables de la servidor, no importando tampoco, el lenguaje de seccin VARIABLES. programacin en el que hayan sido desarrolladas, adems actan antes de que las 2. Aplicar el operador como se especifica en la seccin OPERADOR alasvariablesdesplegadas. intrusiones lleguen a la aplicacin.
3. Una regla se dispara una vez que se iguala con todas las variables. 4. Al empatar, se ejecutan las acciones por regla o bien se realizan las acciones por defecto.

Precisamente, estas fases son los puntos clave de partida de la peticin que se va a procesar mediante las reglas. Sintaxis de las reglas: SecRegla

Bsicamente, esa es la estructura que manejan las reglas dentro de un WAF, las cuales son un punto culminante paraque el WAFhagael trabajo de bloquearodejarpasarlaspeticionesentrantes a tu aplicacin web. Existen otros mecanismos de defensa, tales

UNAMCERT

26

como los sistemas de deteccin de intrusos o los sistemas de prevencin de intrusos, los cuales no pueden ser excluidos del reforzamiento de seguridad en las aplicaciones, ms bien, deberan manejarse como herramientas complementarias. Los sistemas de prevencin de intrusos son mecanismos fsicos o lgicos para la deteccin de trfico malicioso con base en firmas o anomalas. La principal diferencia con los sistemas de deteccin de intrusos es que los sistemas de prevencin son dispositivos activos que tienen la caracterstica de actuar bajo demanda, segn las alertas detectadas. A esto se le conoce como inline y significa que, a partir

prevencin y deteccin de intrusos (anteriormente mencionados) estn basados en firmas conocidas, sin entenderel funcionamiento de la aplicacin y, por lo tanto, no son capaces de reconocer tendencias, como un nmero determinado de eventos concretos, altas tasas de falsos positivos (se da cuando un evento se detecta por error como malware o ataque y dicho evento resulta ser legtimo e inofensivo) o simplemente, analizar cmo va navegando el usuario para conectarse a la pgina web en cuestin. Otro aspecto interesante a considerar sobre los WAF es que no necesitamos modificar nuestra aplicacin web en lo ms mnimo, puesto que

de que un evento es detectado, el sistema puede aplicar automticamente una medida de mitigacin. Los sistemas de prevencin de intrusos tienen capacidades de firewall. Por estas caractersticas, a este tipo de dispositivos tambin se les conoce como sistemas de deteccin y prevencin de intrusos. [2] A diferencia de un WAF, los sistemas de

las configuraciones se hacen directamente en el servidor web que aloja a la aplicacin. Dentro de los WAF existen los llamados parches virtuales, que trabajan en la capa de aplicacin y se encargan de analizar las operaciones e interceptar el trfico de red. Tienen un impacto muy importante ya que, cuando llegan a existir problemas o fallos dentro de una aplicacin desarrollada por terceros (el cdigo fuente real de la aplicacin de la que estamos haciendo uso
UNAMCERT

27

an NO ha sido modificado para arreglar ciertos fallos que presenta) entran en accin los parches virtuales, haciendo que explotar la vulnerabilidad descubierta no se realice con xito. Por ejemplo, considera que tienes montado un sitio web en algn gestor de contenidos (dgase un WordPress, Drupal, Joomla o cualquier otro) y se descubre un ataque Da Cero. Ese tipo de ataques se realizan contra una aplicacin web o un sistema con el objetivo de realizar intrusiones o ejecutar cdigo malicioso debido a que se dan a conocer las vulnerabilidades existentes en un sistema, en un producto, servicio o alguna aplicacin. Por lo general, en ese momento dichas vulnerabilidades son desconocidas por los proveedores de servicio, pero puedes estar tranquilo, el WAF se encargar de actualizar automticamente los parches necesarios sin que el administrador se encargue de este punto. [3]

paso, sencillasyfcilesde seguir, paraque logres implementar un WAF con xito. Es bien sabido que hoy en da es primordial no perder de vista la seguridad sobre nuestras aplicaciones web, si podemos echar mano de implementaciones como estas, mucho mejor.

[1]http://www.modsecurity.org/documentation/ModSecu rity2_Rule_Language.pdf [2]http://revista.seguridad.unam.mx/numero10/evoluci%C3%B3n-de-los-sistemas-dedetecci%C3%B3n-prevenci%C3%B3n-yan%C3%A1lisis-de-incidentes [3]https://www.owasp.org/index.php/Virtual_Patching_B est_Practices

La gran mayora de los WAF existentes son capaces de implementar estas actualizaciones de forma automtica, ofreciendo proteccin en un tiempo aceptable, hasta que el proveedor de servicios ponga a disposicin de los usuarios un parche disponible. Ahora que ya conoces qu son los WAF de manera general, queremos mostrarte cmo es que lleva a cabo su funcionamiento y llevarte paso a paso a la implementacin de un WAF por tu propia cuenta. En la segunda entrega de esta publicacin podrs indagar ms sobre estas especificaciones. Tambin preparamos para ti un anexo en donde encontrars las guas de Instalacin y Configuracin de un WAF paso por

UNAMCERT

28

Zarpamos en tecnologa
Ing. Jess Nazareno Torrecillas

El puente de mando tecnolgico

Estimados lectores: Una singladura ms dentro de mi etapa profesional comienza a zarpar en estos momentos. El UNAM-CERT me ha invitado a ser su contramaestre de divulgacin tecnolgica en asuntos de seguridad de la informacin y temas relacionados con las nuevas tecnologas. Desde estas lneas, deseo servir como punto de referencia a la hora de abordar los proyectos que en materiade Seguridad de laInformacin tengan en mente llevar a cabo. Si bien, en muchas publicaciones a nivel internacional, escriben muchos y muy buenos expertos en cualquier materia afn, quiero que mi contribucin sea crtica, independiente y diferente; noorientadaarecomendarfabricantes, sino tecnologas que ayuden da a da a los profesionales de seguridad de la informacin.

Si ustedes tienen dudas, recomendaciones, sugerencias o crticas, les ruego me las hagan llegar para que entre todos mejoremos el nivel tecnolgico y podamos llegar a la finalizacin exitosa de proyectos. Gracias a todos por seguirme. Ing. Jess Torrecillas (D.S.E.) Director de Seguridad de Empresa Universidad Pontificia de Comillas.

Limpiando la cubierta
Para que una nave navegue y llegue a buen puerto tras una travesa, lo primero que hay que hacer antes de zarpar, es poner en orden los aparejos, la arboladura, la jarcia, dar el adecuado mantenimientoalasmquinasylimpiarlacubierta de todo aquello que obstaculice el paso a la marinera y que impida la buena ejecucin de las maniobras durante el recorrido.
UNAMCERT

29

Los obstculos a los que se enfrenta una persona que desea hacer su carrera como experto en seguridad de la informacin, aunque haymuchos ms, los resumo en los siguientes:

Obsolescencia de las tecnologas

Cada pocos meses (incluso cada pocas semanas) las tecnologas evolucionan, se abandonan, se absorben. Nuevos productos, nuevas tendencias, nuevas reglas de juego aparecen en el mercado de las tecnologas de la informacin. Esto hace que sea necesario que los profesionales estn en un permanente estado de estrs tecnolgico ante la avalancha de informacin que aparece diariamente. Es sabido que, cuando uno ya est familiarizado con un producto, llega a la conclusin de que ya es obsoleto, lo que genera un cierto grado de frustracin profesional.

Tecnologas innovadoras fugaces

Ante un mercado tan agresivo y pujante, muchas compaas de tecnologa sacan y sacan productos que muchas veces nacen muertos antes de ver su consolidacin en el mercado, pues otros fabricantes se adelantaron a las ideas y fueron ms agresivos a la hora de plantear la estrategia de comercializacin.

Cada uno de ustedes, mis queridos lectores, son a su entender, expertos en las tecnologas ms diversas. Pero en temas de Seguridad de la Informacin, el camino es bastante arduo y lleno de muchos obstculos que impiden, en mayor o menor medida, tener un conocimiento amplio de estas tecnologas y una visin objetiva de lo que se debe hacer y de lo que no debemos. Antes de abordar un proyecto complejo, como el de securizar una compaa, hay que limpiar nuestra mente de obstculos y reconocer humildemente que el camino ser muy rido y duro; para lo cual, es necesario empezar desde el nivel ms bajo del proyecto, pero dentro de un entorno no viciado.

Innumerables certificaciones como experto en seguridad de la informacin

El nicho de la formacin es una lnea de negocio que se podra definir como la nueva gallina de los huevos de oro de los fabricantes de software yhardware. Lasempresasseriasnecesitan gente certificada para hacer frente a las normativas como SABOX, ISOs, etc A su vez, esto hace que empresas muy nuevas tengan legiones de certificadores y expertos certificados, cuyas tarjetas de visita parecen escritas en arameo por la cantidad de siglas que tienen, algunas de ellas antagnicas. Sugiero leer mi artculo publicado hace algunos aos y que titul:
CISSP, CCENT, CISA, CCIE, CCNA, LPT, GIAC, SSCP Quin da ms?, o cmo ser un experto en seguridad informtica y no morir en el intento.

UNAMCERT

30

Falta de planificacin estratgica de las compleja da mucho juego a que haya un gran nmero de oportunistas que se crean expertos compaas en seguridad de la informacin por estudiarse un manual y, que por su verborrea Una parte importante del personal de TI en las y labia agresiva, convenzan a la alta direccin de empresas, en especial las personas que tienen que adquieran tecnologas que luego no van a el poder de decisin en las mismas, duermen resolver los problemas inherentes al da a da de tranquilos pensando que, teniendo un buen (por ejemplo) hacktivismo, ciberterrorismo, antivirus, un firewall y un IPS, estn protegidos espionaje electrnico, prdida de informacin estratgica corporativa, etc. de por vida. En 2004, Bruce Schneider escribi en su libro Secrets & lies. Digital Security in a networked world (John Wiley & Sons Inc.): Si usted piensa que la tecnologa puede resolver sus problemas de seguridad, entonces usted no entiende los problemas de seguridad y tampoco entiende la tecnologa. Desconocimiento de la alta direccin de la empresa sobre qu es seguridad de la informacin Posiblemente, ms del 90% de los expertos certificados y no certificados informticos en

Tener un departamento de seguridad de la informacin lleno de expertos, no garantiza que no ocurran eventos y que la informacin estratgica no se escape por agujeros o brechas de seguridad. La triste realidad es que, en la mayora de las empresas en Mxico, se sigue considerando a los expertos en seguridad de la informacin pistoleros que ahora usan ratones y teclados. Esta pobre percepcin de una profesin muy

cualquiera de las decenas de certificaciones como experto, no saben vender a la alta direccin la funcin de seguridad de la informacin. Estos expertos en seguridad de la informacin, cuando se enfrascan en discusiones dialcticas con los que tienen el poderen las organizaciones, acaban frustrados porque no han logrado evangelizar a la alta direccin sobre la problemtica actual. Por tanto, la alta direccin no aprueba inversiones estratgicas en estos
UNAMCERT

31

conceptos, al no saber para qu los de TI necesitan nuevas tecnologas peridicamente. El siguiente comentario lo escuch a un junior que intentaba vender a la alta direccin un proyecto de seguridad de la informacin. Obvio, la alta direccin lo escuch con complacencia y nunca asign recursos a alguien que hablaba tan rarito:

"Con el know-how que tenemos, hagamos un tag con los miembros de IT para asignar al team el deployment, segn consta en el abstract. De esta forma y atendiendo a mi main-set analizar el rollmap, con el fin de optimizar el workshop para conseguir un roll out efectivo del software para ello tenemos que elegir a un consultant con las capabilities ptimas y de esta forma conseguir un head count preciso a las necesidades."
A la alta direccin hay que hablarle en el lenguaje que ellos entienden: inversin, retorno de inversin, impacto en el negocio, prevencin de parada de operacin, ejemplos de otras empresas del mismo nivel que tuvieron prdidas por no haber hecho un plan director de seguridad de la informacin, etc. Hasta la prxima travesa, Ing. Jess Torrecillas.

UNAMCERT

32

Revista .Seguridad Cultura de prevencin para TI No.1 6 / enero-febrero 201 3 ISSN: 1 251 478, 1 251 477

UNAMCERT