Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
es el único
Centro de
Entrenamiento
autorizado en
México?
Por lo que ahora puedes:
1.- Tomar el Seminario Oficial CISSP de (ISC)2 del 10 al 14 de
agosto de 2015, en Scitum a un precio de US$1,900.00 más
IVA (precio regular en E.E.U.U.: $2,599.00).
2.- Presentar el examen de certificación con costo de US$599.00 a
través de uno de los centros autorizados.
Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al
correo electrónico: capacitacion-isc2@scitum.com.mx
4 » Editorial
4 2015: ¿Cuándo acabará la crisis?
Héctor Acevedo Juárez
Dirección General
Ulises Castillo Hernández
6 » Conexiones
Editor en jefe TIPS 6 Seguridad en maestro de usuarios
Héctor Acevedo Juárez de SAP ERP
Pedro Hernández Farías
Consejo Editorial 14 En el ciberespacio, lo gratis no
Ulises Castillo Hernández siempre es gratis
Priscila Balcázar Hernández Imelda Flores
Héctor Acevedo Juárez 20 La continuidad de negocio en
Elia Fernández Torres las PyME, un reto de interés para
todos
Germán Vargas Pedroza
Colaboradores TIPS 26 Consejos básicos sobre clasificación
Héctor Acevedo Juárez de información - Parte 2
Ricardo Alí Barrera Arteaga Fabián Descalzo
María José de la Calle
Fabián Descalzo
Imelda Flores Monterrosas
Pedro Hernández Farías
10 » Opinión
10 "Wearables” y la protección de
Andre Pitkowski datos personales
Marcos A. Polanco Velasco María José de la Calle
Germán Vargas Pedroza 16 Personas + procesos + tecnología
= seguridad
Marketing y Producción Andre Pitkowski
Correctora de estilo
Adriana Gómez López 8 » CiberSeguridad
8 Tendencias de amenazas en
Diseño ciberseguridad
Silverio Ortega Reyes Ricardo Alí Barrera Arteaga
22 Ciclo de vida de los ataques
avanzados
Marcos A. Polanco
Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 6, número 2, 2015 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado
por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827.
Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520
int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum,
revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de
la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados
por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e
ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus
respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.
Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx
2015 3
Cambiando de tema, y como
podrán ver, estamos estrenando
diseño en la versión impresa y en la
revista virtual. Quiero agradecer a los
involucrados en ello pues me parece
que ahora tenemos una Magazcitum
más acorde con las últimas
tendencias al respecto. Esperamos
que sea de su agrado.
acabará la crisis?
»»Los cinco países con más visitas
(de un total de 110):
»» México 25,338
»» Colombia 14,652
Aunque los Estados Unidos de América siguen recuperándose lentamente, Como siempre, muchas gracias por
Europa sigue con su mezcla de noticias buenas y malas, con la crisis Griega su atenta lectura.
causando estragos en las bolsas y monedas de prácticamente todo el mundo.
Atentamente
Así pues, nuevamente estamos ante un año que será difícil para la industria de
TI y pareciera que el “movimiento a la nube” podría ser uno de los factores que Héctor Acevedo Juárez
permitan un poco de crecimiento, ya veremos. Editor en jefe
4
¡Ya estas enterado del beneficio de realizar el Security
Check Up a tus instalaciones de red!
Beneficios Clave:
Seguridad en
maestro de
usuarios de SAP
ERP
Pedro Hernández Farías
CGEIT y CRISC
pdhernandezf@gmail.com
@pdhernandezf
En el ERP de SAP, el maestro de usuarios es tan crítico que requiere
resguardarlo y monitorearlo en forma continua, tanto en los ambientes de
desarrollo como de producción.
1. Baja de usuarios.
a. Como ya se dijo, no eliminar la cuenta de un usuario que deja de
pertenecer a la entidad.
b. Se debe bloquear al usuario inmediatamente.
c. Hay que desvincular inmediatamente la totalidad de los roles, perfiles y
autorizaciones de la cuenta de usuario que deja la entidad.
d. Clasificar a estos usuarios en un grupo especial y representativo, a fin de
mantenerlos monitoreados de forma sencilla.
2. Privilegios de usuarios.
a. Restringir y monitorear los privilegios para la creación, modificación y
eliminación de usuarios en el sistema.
b. Restringir y monitorear los privilegios para la creación de roles, perfiles,
autorizaciones y su asignación a un User Id.
c. Segregar los privilegios para creación de usuarios, roles, perfiles y
autorizaciones.
d. Monitorear continuamente el maestro de usuarios.
e. Usar cuentas de usuario que sean representativas de quien las usará y
evitar el uso de cuentas genérica en aquellos que ejecutan transacciones
de creación, modificación, actualización o eliminación. Eventualmente se
podría usar cuentas genéricas restringidas con privilegios de
visualización, pero con el debido resguardo de la confidencialidad de la
información.
f. Monitorear de manera continua la integridad en la creación de datos
maestros de usuarios.
3. Normatividad.
a. Crear y difundir políticas y procedimientos para regular lo arriba
mencionado.
b. Establecer mecanismos para la aplicación, revisión y actualización
permanente de las políticas y procedimientos.
2015 7
Una de las principales tendencias en
ciberseguridad es estar preparado,
ya que “la preparación lo es todo”. Si
usted lo está y cuenta con una
estrategia adecuada que mezcle
tecnología de vanguardia, procesos
operables y personal especializado,
manejar un ciberincidente no será
fácil, pero tampoco tendrá por qué
ser un dolor de cabeza que termine
por volarnos los sesos.
Tendencias de
amenazas en
ciberseguridad
Ricardo Alí Barrera Arteaga
SANS GCIH e ITIL 1. Los cibercriminales se
estarán enfocando con
rbarrera@scitum.com.mx mayor persistencia en los
registros médicos de los
pacientes en los hospitales.
No importa qué tan grande sea su compañía o cuál sea el giro del negocio al
que pertenezca, tarde o temprano se enfrentará a un ciberincidente.
Se ha detectado que los registros
médicos de un paciente contienen
De acuerdo con la Agencia de Seguridad Nacional de Estados Unidos, por suficiente información de identidad
cada compañía que está enterada de que está siendo hackeada, existen otras personal (PII, por sus siglas en
100 que desconocen que sus sistemas han sido comprometidos1. inglés) tales como nombre,
dirección postal, número de
Empresas de todos los tamaños y tipos tendrán ciberincidentes. Esto no es un seguridad social e incluso enlaces a
mal augurio, pero es importante tenerlo en cuenta, ya que de vez en vez se información financiera, como para
escucha decir: “durante dos años no hemos tenido ningún incidente de hacer que dichos registros sean
seguridad, por lo tanto no tengo nada de qué preocuparme”. La realidad es valiosos para un cibercriminal, lo que
que esta postura es muy riesgosa ya que algunas de estas empresas que no propiciará una multitud de ataques
están suficientemente preparadas no vivirán para contarlo. de fraude de identidad
8
2. El Internet de las cosas, un 4. Innovando las técnicas de Crime as a Service (CaaS).
nuevo vector de amenazas.
Las amenazas serán más innovadoras y sofisticadas para evadir los nuevos
Para empezar, entiéndase que el mecanismos de seguridad de las organizaciones. Los ataques dirigidos ya no
término “Internet de las cosas” (IoT, por serán asociados solo con países como Rusia, China o Estados Unidos. Ya se
sus siglas en inglés) se refiere a la han visto ataques provenientes de Vietnam, India, Reino Unido, Indonesia y
interconexión digital, por medio de Malasia, por citar algunos.
Internet, de los objetos cotidianos como
refrigeradores, termostatos, relojes En los siguientes años, los agentes de amenazas y las motivaciones de
inteligentes, sistemas de vigilancia en el ataques seguirán creciendo y variando. Por ejemplo, se hará uso masivo de
hogar y productos de domótica. algoritmos de generación de dominios polimórficos (DGA, por sus siglas en
inglés) con la finalidad de preservar la persistencia de agentes de amenazas
Según la consultora de gestión y relacionados, botnets y sitios maliciosos. Otro ejemplo es el hecho de que,
tecnología Accenture, para el final de aunque la mayor parte de los ataques dirigidos son iniciados por técnicas
2015 al menos 13% de los como spear phising y tácticas de watering hole, con el aumento de servicios
consumidores poseerá un dispositivo de en la nube se ha observado que las instrucciones de comando y control
estos y en los próximos cinco años el usadas para dar órdenes a equipos previamente infectados serán
porcentaje se elevará a 69%2. hospedadas en sitios legítimos tales como Google Docs.
2015 9
“Wearables”
y la protección
de datos
personales
María José de la Calle
iTTi, Instituto de Tendencias en Tecnología e
Innovación (España)
mjdelacalle@ittrendsinstitute.org
2015 11
Las vulnerabilidades de dichos dispositivos entrañan riesgos significativos para
nuestra privacidad y, dado que los tenemos con nosotros casi
permanentemente, pueden crear un sentimiento de estar siempre vigilados.
Poco a poco...
Notas y referencias.
Para acceder a los links a los que se hace referencia escanee el código QR con la aplicación para
smartphone de su preferencia.
1
Véase (video en YouTube) 2
A Radia Perlman se la conoce como
"la madre de Internet" por su
desarrollo en 1985 del STP
(spanning tree protocol) y a lo largo
de su carrera ha desarrollado más
https://www.youtube.com/watch?v=zDyQ5TleDYg de 100 patentes, muchas de ellas
dedicadas a la seguridad en
Internet.
http://solutionists.ieee.org/radia-perlman/
3
María José de la Calle. 4
Véase
Magazcitum, Oct-2014
http://www.magazcitum.com.mx/?p=2697 http://www.agpd.es/portalwebAGPD/internacional/Europa/
grupo_29_europeo/index-ides-idphp.php
5
Véase (incluídos las siguientes citas).
6
"Organisations which place privacy and data protection at the forefront of product
development will be well placed to ensure that their goods and services respect the
principles of privacy by design and are equipped with the privacy friendly defaults
expected by EU citizens."
7
"Personal data should be collected and processed fairly and lawfully. The fairness
principle specifically requires that personal data should never be collected and
processed without the individual being actually aware of it. This requirement is all the
more important in relation to the IoT as sensors are actually designed to be non-
obtrusive, i.e. as invisible as possible."
https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1
12
¿Cuándo acabarán las noticias en
primera plana sobre ataques a
empresas o gobiernos? Todo parece
indicar que no pronto, porque
recordemos que cuando alguien te
quiere hackear, te va a hackear, y de
ahí que es importante enfocarse en
dos frentes: por una parte tener
infraestructura que permita detectar
una intrusión en el menor tiempo
posible, y por otro lado tener un
programa de prevención que
contemple tecnología, procesos y
gente.
En el
ciberespacio,
lo gratis no Precisamente quiero hablar de la
gente como el eslabón más débil, en
parte porque la naturaleza del ser
siempre es
humano es consumir aquello que es
gratis, y es justamente esa
vulnerabilidad la que es explotada.
Imelda Flores
hemos detectado que cuando los
usuarios bajan algún crack para
2015 15
El control sobre la tecnología crea eficiencia y ahorra tiempo
Los seres humanos son mucho más inteligentes que las computadoras, pero los
ordenadores son mucho mejores para realizar tareas repetitivas y que consumen
mucho tiempo. Por lo tanto, las tareas de supervisión, garantía de desempeño,
respuestas, métricas e informes sobre los controles de seguridad de la
información son los principales candidatos para la automatización, pero sólo
después de que todos los empleados han sido capacitados y se han especificado
Personas
y detallado los procesos. Si la gente y los elementos del proceso son
descuidados, todo el trabajo se pierde inevitablemente.
+ procesos
+ tecnología
= seguridad
Ahora bien, podemos considerar siete zonas de riesgo en el área de la
tecnología:
Andre Pitkowski
almacenamiento y cifre los datos de estos dispositivos.
»»Gestión de identidad y gestión de acceso: hay que definir
los roles de los diferentes usuarios en el lugar de trabajo, »»Dispositivos: utilice protección para estaciones de trabajo, portátiles y
pitkowski@me.com
desde auxiliares administrativos hasta el director general, dispositivos móviles como PDA y teléfonos inteligentes. Normalmente, estos
y especificar los privilegios de acceso físico y lógico para dispositivos son, por desconocimiento o negligencia, los primeros en ser
todos los empleados. Una vez que se establecen estas infectados para introducir piezas de código malicioso en el entorno
Puede parecer obvio el deseo de cualquier empresa para desarrollar su marco normas, se requiere garantizar que todas las personas corporativo. Existen tecnologías de antivirus, antispam, cifrado de disco,
de gestión de riesgos, sin embargo, como dice Galvao Bueno, cronista deportivo tienen acceso adecuado, de acuerdo con sus funciones. gestión de configuración, firewall, IPS y autenticación para proteger a estos
y de la Fórmula 1, lo planeado es una cosa y lo que pasa es otra. Completar este eslabones más débiles en el trabajo actual.
»»Organización de la seguridad de la información: la idea es
proceso con éxito requiere una gran cantidad de tareas detalladas y complejas. »»Infraestructura: hay que reducir la superficie de ataque. Muchas de las
hacer a todos responsables de la seguridad de la
Si bien la necesidad de confidencialidad, integridad y disponibilidad está vulnerabilidades documentadas están relacionadas con las aplicaciones
información. Los CISO exitosos entienden que la empresa
determinada por las áreas de negocio, también hay que considerar a las basadas en la Web, por lo que deben emplearse herramientas para analizar
debe tener en cuenta mucho más que simplemente
personas, procesos y tecnología para lograrlo. código e instalar firewalls específicos para servidores Web.
atacar los problemas de seguridad informática. También
se debe administrar los riesgos inherentes a la protección
»»Contenido: se debe pensar en la protección del intercambio de información
de la información corporativa en todas sus formas.
comercial. El CISO debe garantizar que toda la información sensible está
¡Sin la gente no lo va a lograr! »»Formación y sensibilización: desarrollar la imagen y el cifrada y que se vigila y filtra todo el tráfico entrante y saliente (Web, correo
plan de mercadotecnia para la seguridad de la electrónico, mensajes instantáneos, etc.) de acuerdo a las políticas
Para las organizaciones y sus CISO (chief information security officers), los información. Los empleados que no trabajan corporativas para seguridad de la información.
empleados son los activos más importantes y tienen una gran responsabilidad en directamente con la seguridad de datos no suelen tener
lo que respecta a la gestión de riesgos de TI. Lo ideal sería que trabajaran en
»»Cifrado de datos: solo cifrar no ofrece una protección adecuada. Es necesario
una idea clara de lo que es la gestión de riesgos. Es una
desarrollar y poner en práctica una estrategia corporativa con criterios
conjunto para desarrollar una cultura de seguridad de la información, función del CISO mantenerlos informados e interesados
estrictos para autorizar el acceso, de tal manera que se mantengan los datos
contemplando una estructura con tres pilares:: en el tema de la seguridad de la información.
protegidos contra el acceso no autorizado.
16 2015 17
Procesos es el pegamento que une a las personas con la
tecnología
»»Gestión de riesgos: significa reducir, transferir o aceptar los riesgos. Hay que
empezar por identificar, evaluar y mitigar los riesgos relacionados con la
seguridad de la información, y luego crear procesos para priorizar, controlar
y vigilar los riesgos. Tener una gestión de riesgos formal asegura que la
gerencia de la empresa es consciente de cuáles son los riesgos críticos y por
ello puede tomar las medidas adecuadas para manejarlos.
»»Estructura y política de cumplimiento: proporcionar a los usuarios normas y
directrices concretas sobre el tema. La creación de las políticas de seguridad
es solo el primer paso pues tienen que ser convertidas en normas,
procedimientos y directrices técnicas para su implementación.
»»Gestión de activos de información: muchas compañías tienen dificultades
para mantener sus activos de información. Para hacer frente a este problema
hay que especificar quién es el dueño de la información, clasificar los
activos, gestionarlos a través de su ciclo de vida y garantizar la adecuada
retención y destrucción, tanto de los activos que manejan la información
como de la información misma.
»»Continuidad del negocio y recuperación de desastres: la idea es reducir
sustancialmente el impacto de los desastres y las interrupciones de negocio
(o en algunos casos incluso evitarlos). El CISO necesita desarrollar un
conjunto de procesos para mantener, entrenar al personal y administrar los
riesgos del negocio, asegurando que los sistemas son redundantes y de alta
disponibilidad, creando el personal necesario para ello cuando sea
necesario.
»»Gestión de amenazas e incidentes: una vez más, los procesos bien
establecidos son esenciales para asegurar que todas las amenazas se
investigan, planifican y responden en el tiempo apropiado. Muchos CISO
permanecen enfocados en amenazas a la infraestructura, a pesar de que la
mayoría de las amenazas provienen de las vulnerabilidades que existen en Enfoque desde arriba (top-
las aplicaciones e incluso en la gente. down)
»»Seguridad física y ambiental: no importa cuán sofisticados sean los sistemas La seguridad es un asunto
tecnológicos de seguridad, si no se controla el acceso a la empresa, su
complicado y encontrar una forma
negocio nunca estará a salvo. Pensando en el futuro, algunas organizaciones
sencilla de gestionar y reportar los
están analizando la convergencia de la seguridad física y la lógica, creando
riesgos es la única manera de un
procesos conjuntos integrales para compartir información y mejorar la
CISO para hacer su trabajo y
eficiencia global de la seguridad. Los equipos y las instalaciones físicas
convencer a los directivos de que
requieren mantenimiento regular y los controles ambientales apropiados,
dicho trabajo es eficaz, produciendo
tales como calefacción, aire acondicionado, etc., para mantener la
resultados positivos para el negocio.
continuidad de las operaciones.
Al trabajar de manera integral con las
»»Gestión de operaciones y desarrollo de sistemas: no deje que la seguridad personas, la tecnología y los
llegue a un punto en el que los problemas se tienen que explicar más que procesos, se podrá establecer una
prevenir. Si el compromiso con la seguridad está presente desde el primer estructura que efectivamente
día en el desarrollo de sistemas, seguramente habrá ahorros de tiempo, monitoree, mida, controle e informe
recursos y dinero. Un ciclo de desarrollo seguro de software incluye la sobre los riesgos de la seguridad de
revisión periódica de la arquitectura, garantía de calidad, control de acceso la información, que al final lleve a
para el desarrollo y ciclos bien documentados de aprobación y puesta en que se cumplan las políticas de
producción. seguridad.
18
Presentamos
M200 y M300
No comprometa su Seguridad
Proteja su empresa con nuestros
nuevos modelos Firebox M200 y M300
La continuidad
la producción y comercialización de
los bienes y servicios ofrecidos.
de negocio en
Las PyME tienen una participación
importante en las economías
nacionales, en especial para
Latinoamérica: entre 80% y 92% de
reto de interés
para todos
Germán Vargas Pedroza
vargas.german@hotmail.com
Muchas pequeñas y medianas compañías tienen un enfoque pasivo frente a los
temas de continuidad y recuperación de negocios. Sus esfuerzos en temas de
riesgos no suelen contemplar escenarios de desastres e incidentes mayores
que representen una afectación significativa para su negocio, para los sistemas
que lo soportan y para su información. Los conceptos de resiliencia no han
permeado la conciencia ni forman parte de su conocimiento; en consecuencia
no se consideran en sus planes estratégicos y mucho menos se tienen en
cuenta en sus ejercicios de definición de presupuesto.
20
80% de los puestos de trabajo que
se crean en el mundo se deben a
ellas e incluso en los países
desarrollados representa entre 30%
(EE.UU.) y 70% (Italia), por lo que
resulta de suma relevancia el
impacto social que podría tener no
contar con programas y planes de
continuidad de negocio para
eventos de desastre mayor.
En las evaluaciones con base en »»Contemplar fuentes duales o múltiples (asegurar por lo menos un segundo
modelos de madurez en continuidad nivel de proveedores diferentes).
de negocio, como los que se realizan »»Evaluar los programas de BCM de los proveedores.
con el BCMM (Business Continuity
Madurity Model), con frecuencia se »»Incluir penalizaciones y sanciones contractuales.
identifica la necesidad de mejorar en »»Contar con inventario de repuestos de equipos y materiales críticos.
la incorporación de los proveedores
a los programas de continuidad. »»Uso de proveedores sustitutos.
Afortunadamente la nueva Norma »»Identificación y autorización de proveedores alternos.
ISO-22301 contempla la
participación de todas las partes
»»Además, contemplar la disponibilidad y ubicación de los proveedores
alternos, valorar su capacidad en el tiempo de entrega del bien o servicio, y
interesadas en términos de las
la interdependencia con otros proveedores.
dependencias entre negocios,
análisis de riesgos y comunicación, e
incluso enfatiza la importancia de Si revisamos diversas estadísticas, por ejemplo las recopiladas por Symantec o
conducir evaluaciones de la las de algunas cámaras de comercio latinoamericanas, cerca de 80% de las
capacidad de los proveedores para PyME fracasa antes de los cinco años, y uno de los motivos se encuentra en la
lograr la continuidad del negocio. falta de planificación para responder ante desastres o incidentes mayores, lo
que debiera orientar a las firmas de consultoría y a los profesionales en gestión
El tema también es tratado y tiene de continuidad de negocios a abarcar este tema para concienciar y promover
una relevancia importante en los la conveniencia de contar con programas y planes, así como los beneficios de
lineamientos del BCI (Business una adecuada preparación en continuidad de negocios.
Continuity Institute), tanto es así que
se trata de manera especial lo En conclusión: se requiere trabajar en la generación de conciencia y cultura
relacionado con la continuidad en la organizacional sobre la importancia de la gestión de la continuidad de negocio
cadena de suministros (supply chain) como un factor de supervivencia y como una inversión, con un retorno (ROI)
y se da valor a considerar eventos tangible en términos de supervivencia, reputación y valor de imagen de la
generados por interrupciones de los empresa y no como un costo. Si se reflexiona acerca de que en los últimos
proveedores, con el objetivo de estar años se ha presentado con frecuencia la ocurrencia de desastres, disturbios
preparados y gestionarlos, al punto sociales y ataques terroristas, no solo las compañías mismas, sino aun los
de que sean incluidos dentro de los gobiernos debieran incentivar y promover la implementación de programas
propios programas de BCM de continuidad para las pequeñas y medianas empresas, promoviendo la
(Business Continuity Management). resiliencia de este tipo de organizaciones y mitigando posibles impactos
económicos y sociales, incluso de orden nacional.
2015 21
1. Preparación.
de los ataques
organización objetivo, por ejemplo:
obtener información de los dominios
utilizados, direcciones de correo
electrónico, información de la
2. Obtención de acceso.
Estas ciberarmas buscan explotar Uno de los objetivos primordiales en esta fase es conseguir contraseñas con el
vulnerabilidades en el sistema de la mayor nivel de privilegios (a esto se le denomina escalamiento de privilegios)
víctima y evadir los sistemas de que le permitan realizar diferentes tipos de acciones con la intención de
seguridad que tenga, produciéndose cumplir con sus objetivos.
así la intrusión inicial. Al activarse el
código del intruso se crean accesos Durante esta fase es común que el código malicioso utilizado sea actualizado y
remotos ocultos (backdoors), a través que se generen nuevos payload de tal forma que la probabilidad de ser
de las herramientas tipo RAT, que le detectado sea menor.
permiten utilizar el sistema
comprometido para ejecutar sus
siguientes pasos.
4. Ejecución de acciones.
El control remoto se ejecuta por
medio del establecimiento de un Finalmente, a través del reconocimiento interno y movimientos laterales, el
canal de comunicación entre el atacante llega a los activos tecnológicos que contienen lo que busca, y al
equipo infectado y la infraestructura contar con los privilegios necesarios podrán seleccionar, recolectar y cifrar la
del atacante, a la cual se le conoce información e iniciar la extracción de la misma (exfiltration).
como “comando y control” (C&C).
La extracción de la información puede realizarse por mecanismos tradicionales
En este momento se ha creado el como un FTP por lo que aquí el malware ya no juega un papel primario ni se
primer punto de presencia y control requiere forzosamente hacer uso de la comunicación con la infraestructura de
dentro de la red objetivo. comando y control.
2015 23
5. Eliminación de rastros.
Una vez logrados sus objetivos, el intruso pretenderá eliminar todos los rastros e indicios que pudieran revelar sus
acciones, tácticas, técnicas y procedimientos.
En la siguiente gráfica se aprecia una representación general del ciclo de vida y de las principales acciones que ocurren
en cada una de las fases.
Creación de Comunicación
backdoors activa C&C
Inicio de
comunicaciones
C&C
Conclusiones
Es primordial entender el ciclo de vida de un ataque avanzado ya que esto nos permitirá establecer estrategias integrales
que sean más efectivas al considerar controles y actividades para cada una de las fases.
Si bien el malware es un componente muy importante, no es lo único. En ciertas fases hay que buscar otro tipo de
indicadores de intrusión. Así mismo, hay que entender mejor las tácticas, técnicas y procedimientos de los atacantes para
buscar las contramedidas más adecuadas (aquellas que maximizan la relación entre el costo y la reducción de riesgos).
Entre más temprano en el ciclo de vida detectemos y mitiguemos un ataque será mejor, por lo que crear las capacidades
internas para ello se vuelve una estrategia fundamental.
Fuentes:
• White Paper: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaings and Intrusion Kill Chains, de Lockheed Martin
Corporation.
• Reporte: APT1, Exposing One of China’s Cyber Espionage Units, de Mandiant.
• White Paper: Lyfecycle of an Advanced Persistent Threat, Counter Threat Unit research, de Dell SecureWorks.
• Artículo: The Cyber Exploitation Life Cycle, Infosec Institute
24
ANTE LOS NUEVOS DESAFÍOS
EVOLUCIONA
TU SEGURI DAD
SER VICIOS DE
CIBERSEGURIDAD
· DIAGNÓSTICO Y PROTECCIÓN CONTRA
AMENAZAS AVANZADAS
· ANÁLISIS FORENSES AVANZADOS
· RESPUESTA A CIBERINCIDENTES
· CIBERINTELIGENCIA
· GESTIÓN CONTINUA DE CIBERRIESGOS
BASADA EN INTELIGENCIA
M AY O R E S I N F O R M E S A L T E L É F O N O : 9 1 5 0 . 7 4 0 0 E x t . 1 8 0 9 y 1 7 3 1
Y AL CORREO ELECTRÓNICO: ventas@scitum.com.mx
3. Los dueños y autores deben
considerar el impacto y
probabilidad de divulgación al
clasificar la información. El
impacto es evaluado en términos
de pérdida o ganancia potencial,
riesgo de daño a personas, daño
a la reputación de la organización
y a la participación de mercado,
entre otros factores.
Consejos
6. Para agregar información a un
documento o colección nueva, se
requiere que quien la agrega,
básicos sobre
evalúe su sensibilidad y garantice
su clasificación correcta.
clasificación de
información
Parte 2
Fabián Descalzo
Director certificado en Seguridad de
la Información (Universidad CAECE),
ITIL v3-2011 y auditor ISO 20000
fabiandescalzo@yahoo.com.ar
¿Quién decide la clasificación correcta?
Es importante entender que si creamos una carpeta para que la vean los
demás, en papel o electrónica, que contenga tanto el material A como el
material B, entonces habremos creado una fuente de información combinada.
La persona que agrega información necesitará confirmar que la carpeta
resultante esté catalogada de manera adecuada.
Gracias a todos, y espero que hayan sido de utilidad estos consejos que hemos
compartido.
2015 27
De lo lógico
a lo físico
Dos dimensiones,
un mismo acceso
Fabián Descalzo
Director certificado en Seguridad de la Información (Universidad
CAECE), ITIL v3-2011 y auditor ISO 20000.
fabiandescalzo@yahoo.com.ar
Como sabemos, el entorno de los datos y los procesos que
los convierten en información no se limita solo a lo
relacionado con la tecnología. Contener y procesar
Como respuesta a esta necesidad y como custodios de
información requiere de nosotros el ejercicio de ampliar
los activos de información de nuestra organización, es
nuestra visión y proponernos un viaje imaginario entre el
que debemos pensar en un sistema de tratamiento y
mundo digital y el físico, ya que como ejecutivos de la
protección de información que consista en la aplicación
seguridad entendemos que todo proyecto u operación de TI
de medidas de prevención y contramedidas para
necesita para su gestión y la de seguridad de la información,
asegurar la gestión de los medios que la contengan y
un especial cuidado del aspecto físico.
los espacios físicos donde se almacene o procese.
28
No es necesario establecer niveles complejos de
protección, simplemente con determinar dos niveles en
los que pueda agruparse en un primer nivel los
ambientes en los que se trate información ligada a los
objetivos, la operación de la organización y los
compromisos con terceros; en un segundo nivel, los de
carácter general de la compañía, cuya pérdida no afecte
seriamente la operación normal de la organización. La
división es importante pues permitirá “proteger” nuestro
presupuesto al enfocarnos solo en aquellos espacios en
los que se requiera, de acuerdo al análisis y clasificación
de los activos de información y su entorno.
2015 29
Una forma de gestionar Las condiciones ambientales también pueden verse afectadas si no se
eficientemente el sistema de mantienen bajo control los riesgos asociados al comportamiento de las
seguridad física es contar con la personas dentro de las áreas restringidas, donde tendrá que ponerse especial
colaboración de cada gerencia énfasis en:
usuaria, a la cual se le puede asignar
la administración del control de
»»No ingresar ni almacenar materiales inflamables o peligrosos. En caso de
acceso de su propio sector del
que se requiera, no olvidar remover los desechos y cajas vacías al finalizar
edificio y que sea esta la que autorice
tareas de instalación, por ejemplo.
el acceso a ese sector a quien
corresponda. Continuando con las »»No permitir comidas, bebidas o fumar dentro de los centros de datos o
similitudes, ante una modificación en algunas áreas restringidas que así lo requieran.
la situación laboral del personal,
»»Prohibir el uso de cámaras fotográficas, cámaras de video o equipos móviles
debe preverse el cambio de
provistos con cámaras fotográficas. No permitir el bloqueo de pasillos,
permisos sobre la tarjeta de acceso,
elevadores o cualquier otro espacio público de paso y uso común.
así como requerir que todo el
personal interno o externo la exhiba »»Evitar el uso de aspiradoras, taladros o artefactos similares en las áreas de
como forma de identificación y almacenamiento de datos, para no contaminar con polvo los discos o
alentar a cuestionar la presencia de cualquier otro elemento mecánico que contenga o procese información.
desconocidos no escoltados y la no
exhibición de una identificación.
Para finalizar, y como parte fundamental del aseguramiento de la
confidencialidad de la información, también debe contemplarse en el plan de
Seguridad de la información también tratamiento de datos los lineamientos para la destrucción de información
representa factores ambientales, ya contenida en soportes impresos o magnéticos (CD, DVD, discos externos, etc.)
que la disponibilidad e integridad de que permita aplicar una forma de disposición final de la información adecuada
esa información depende de las basada en los siguientes pasos:
condiciones básicas de temperatura,
humedad, higiene y de las medidas
preventivas tales como sistemas »»Inventario – Enumere en un documento toda la información retenida por la
automáticos de detección/extinción situación, incluyendo datos operacionales sobre la misma.
de incendios. »»Análisis – Efectúe una revisión de todos los datos en cada grupo de
información particular, y prepare un cronograma preliminar de custodia.
»»Destrucción - Identifique y destruya cualquier tipo de información cuyo
periodo de custodia haya expirado, o cuando considere que ya no es
necesaria. Los métodos y herramientas utilizadas para este fin deben
asegurar que la información no pueda ser reconstruida.
»»Mantenimiento - Mantenga este programa, asegure su actualización y
supervise la correcta realización de la destrucción de información inactiva.
30