Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 12 de febrero de 2008

CÓMO GESTIONAR LA SEGURIDAD INFORMÁTICA EN UNA EMPRESA
A. Sciessere, de BMC Software, explica los elementos que debe tener en cuenta una organización para resguardar sus datos y sistemas informáticos.


Como gestionar la seguridad informática en una empresa Guardar
A. Sciessere, de BMC Software, explica los elementos que debe tener en cuenta una organización para resguardar sus datos y sistemas informáticos

Cuando se habla de seguridad en entornos informáticos, la gente tiende a pensar automáticamente en dos tipos de soluciones: Cortafuegos (Firewalls) y antivirus. Si hablamos con algún experto en seguridad informática seguramente nos hablará de troyanos, “malware”, “spyware”, detección de intrusos, limpieza “antispam”, phishing, etc.

Los “firewalls” recuerdan mucho a las murallas medievales, lo malo es que las puertas (los puertos) no pueden estar cerradas cuando ataca el enemigo, primero porque no vale con poner un vigía a vigilar la inminencia de un ataque y segundo porque el negocio debe estar disponible 24 horas al día 365 días al año.

Pero, incluso suponiendo que los firewalls sean infalibles, deberíamos hacernos algunas de estas preguntas: ¿Es suficiente con proteger el perímetro? ¿El enemigo está siempre fuera? ¿Cuales son los activos que tenemos proteger? ¿Quién tiene acceso para poder manipular dichos activos? ¿Es la información un activo en mi empresa? ¿Puedo asegurar que mis empleados pueden acceder a la información que necesitan para realizar su trabajo pero solamente a la que necesitan? ¿Puedo asegurar que cuando un empleado abandona mi compañía, pierde toda oportunidad de acceder a datos de la misma?.

Volviendo al símil de la muralla, hace no demasiado tiempo, simplemente con no dejar pasar a un ex empleado a los edificios de la compañía, ya teníamos asegurado que no podría acceder a información confidencial. Hoy, gracias a las redes virtuales privadas (VPN) y otras tecnologías, muchos empleados podemos acceder a los sistemas internos de nuestra compañía desde cualquier punto del planeta con nuestro portátil o desde un caber café, por lo que se hace absolutamente necesario el borrado de todas las cuentas de usuario y permisos que tenía un ex empleado.
Continuando con las preguntas, hemos hablado de personas y de información. ¿Debemos cumplir alguna legislación al respecto? ¿Nos afecta la LOPD? ¿y Sabarnes-Oxley (SOX o Sarbox)? ¿Existen estándares que nos ayuden a proteger la información? ¿Qué dice al respecto la ISO17799 o la ISO 27.000? ¿Existen en mi compañía normas específicas relativas al uso de la información? ¿Sé si se están cumpliendo? ¿Se cuando alguien está intentando acceder a información confidencial sin tener derecho; o incluso teniéndolo pero desde ubicaciones distintas de las habituales o en horarios sospechosos?

Existen muchas mas preguntas que podemos hacernos, podemos analizar estadísticamente cuantos delitos se producen por personas externas a la organización, cuantos por empleados o ex-empleados y cuántos por personas externas con datos proporcionados por empleados o ex-empleados. Pero si pasamos de un análisis cuantitativo a uno cualitativo, no es difícil darse cuenta que con datos de empleados o ex-empleados el daño causado puede ser mucho mayor y no me resisto a poner en negrita una frase que vi un día en una presentación: Los ataques externos pueden causar problemas; los atraques internos pueden destruir tu negocio.

Para dar respuesta a las preguntas formuladas con anterioridad y mitigar los riesgos descritos existe la gestión de identidades, una disciplina ligada en sus comienzos a la seguridad informática, pero con entidad suficiente como para ser independiente y relacionada además con otras disciplinas existentes como la gestión de procesos de negocio o la gestión de cambios.

La gestión de identidades, denominada también gestión de accesos en ITIL v.3 trata de dar respuesta a cuatro sencillas preguntas:

* ¿Quienes son mis usuarios?
* ¿A qué tienen acceso?
* ¿Quién les dio este acceso?
* ¿Qué hacen con dicho acceso?

También es descrita habitualmente como las 4 Aes:

* Autenticación.
* Autorización.
* Auditoría.
* Administración.

Como cualquier otra disciplina, teniendo en cuenta el nivel de madurez de la empresa dónde se va a implantar, el tipo de usuarios y lo que realmente “aprieta el zapato” al responsable de su despliegue, existen diversos caminos para llegar a tener cubiertas las necesidades básicas en cuanto a la Gestión de Identidades. Así podemos tener:

* Gestión y aprovisionamiento de usuarios, que nos permitirá la automatización de los procesos de creación borrado y modificación de usuarios, mediante la utilización de un interfaz único para todos los sistemas de información, la utilización de perfiles para la definición rápida de derechos de acceso y la modificación de los mismos en caso de un cambio de departamento, por ejemplo. También podríamos implementar administración delegada, autoservicio y un workflow de peticiones y aprobaciones para conseguir una automatización máxima de los procesos sin comprometer la seguridad, re-certificaciones periódicas de los usuarios, etc.
* Gestión de contraseñas, para facilitar el cambio de las mismas por parte del usuario final, de una forma sencilla, que nos permita además fortalecer la política tanto en número y tipo de caracteres, como en el tiempo máximo en el que deba cambiarse, como tamaño del histórico de contraseñas no reutilizables, etc.
* Gestión de accesos, dónde pueden incluirse los Single Sign On (SSO), tanto de propósito general como Web, la protección de recursos Web e incluso la Federación de Identidades.
* Auditoria y cumplimiento de políticas y regulaciones, que nos permitirá saber si se están cumpliendo o no las políticas definidas por la compañía como por ejemplo la separación de tareas, la forma de asignación de permisos, la caducidad de empleados temporales, etc. a la vez que observamos dónde, cuándo y cómo acceden los empleados a las distintas fuentes de información de la empresa.

Cambiando de tercio, una breve reflexión sobre los antivirus. Es sabido que un antivirus sin actualizar no sirve para nada. Pero no todo el mundo es consciente de la necesidad de tener actualizados los ordenadores empresariales con los últimos parches de seguridad existentes. Habitualmente los virus explotan las vulnerabilidades de los sistemas operativos. Muchas veces estas vulnerabilidades son conocidas, publicadas y corregidas mediante un parche de seguridad, antes incluso de que exista un virus que las ataque, el problema de que a pesar de todo muchos virus consigan su objetivo destructor, es la lentitud de las compañías en “parchear” sus redes internas de ordenadores ya que no disponen de herramientas de gestión de parches o utilizan herramientas poco adecuadas y con las que además es imposible saber de forma certera cuál es el nivel de parches de seguridad que tienen los ordenadores y qué porcentaje de ellos están al nivel adecuado.

La situación se complica además por el hecho de que es necesario probar que las aplicaciones de uso corporativo en las que se sustenta el negocio de la compañía, no van a ser afectadas por la instalación de un determinado parche o una determinada versión de un componente de software.

Como resumen mi recomendación para las compañías en general y para los responsables de seguridad en particular sería dedicar algo de tiempo a evaluar sus necesidades de gestión de identidades y gestión de parches de s.

Agustín Sciessere es Seales Team Leader of Latin America South, Andeab & Caribbean de BMC Software.

Fuente: http://www.infobaeprofesional.com

Ver más

PROYECTOS DE LEY ANTISPAM
El correo electrónico “basura” es un suceso con intensa presencia en las sociedades contemporáneas, cada vez más arraigadas a la tecnología informática. En nuestro país, existe una regulación sobre la temática y un fallo del 2006 en el que se condenó a dos personas por invasión a la esfera de la intimidad y comercialización de información sobre terceros. En el fallo, el magistrado considero que el spam era “ilegal”.

Se llama spam o correo basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

En nuestro país (Argentina), no existe ninguna normativa específica relativa a esta materia. La única disposición pasible de ser aplicada es el artículo 27 de la Ley 25.326 de Protección de Datos Personales, pero que sólo brinda una frágil solución al conflicto. Esta norma establece que “en toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información”.

En los últimos años, han existido diversos proyectos y anteproyectos, pero hasta el presente ninguno ha prosperado.

En el año 2006, se formuló un proyecto de ley referente a la regulación y protección jurídica del correo electrónico, que estipulaba en su articulo 7, que se prohíbe que toda persona “transmita correo electrónico comercial, sea o no solicitado, con la intención de engañar, por el medio que fuere, a los receptores acerca de la identidad del emisor.”

Además establece la prohibición de transmitirlo a un destinatario que hubiere formulado el pedido para que no se le envíe dicho correo electrónico o no hubiera manifestado su voluntad para una recepción futura.

En materia judicial, también existieron novedades respecto a la regulación del spam. En el año 2003, la Justicia Civil y Comercial Federal dictó la primera medida cautelar en un caso de estas características. El magistrado interviniente dispuso que los demandados debían abstenerse de seguir enviando correos electrónicos a los actores mientras dure el litigio.

A su vez, estableció que no podían "transferir o ceder a terceros las direcciones de correo electrónico u otro dato personal vinculado a ellos, hasta tanto se resuelva el fondo de la cuestión".

En el año 2006, se resolvió el primer caso de spam en nuestro país, cuando el juez Roberto Toti consideró que los correos basura enviados por internet eran "ilegales".

La causa se había iniciado hace tres años, cuando los abogados Pablo Palazzi y Gustavo Tanús interpusieron una acción de hábeas data contra la firma “PubliCC Soluciones” ante el Juzgado Nacional en lo Civil y Comercial N° 3.

La acción es un tipo de amparo mediante el cual una persona puede exigir tomar conocimiento de los datos que obran en un registro o banco y de ser informada sobre la finalidad con la que fueron incluidos. También habilita la posibilidad de solicitar la supresión, rectificación, confidencialidad o actualización de los datos, en caso de falsedad, inexactitud, o tratamiento prohibido, según establece el artículo 33 de la ley 25.326.

En la demanda se adjuntaron copias de los mensajes recibidos que incluían direcciones en las que, supuestamente, se podía solicitar ser retirados del listado de destinatarios de los envíos de publicidad. Sin embargo, alegaron que los pedidos no fueron respondidos y los avisos con ofertas de soluciones informáticas continuaron llegando, infringiendo los derechos reconocidos por la ley de Protección de Datos.

En el fallo en cuestión, el magistrado condenó a dos personas por invasión a la esfera de la intimidad y comercialización de información sobre terceros, y les ordenó a retirar el nombre de los denunciantes de sus bases de datos.

El abogado del caso, Pablo Palazzi, especialista en derecho informático y privacidad, expreso “hay mucho trafico de mails. El paso previo es saber como consiguieron las direcciones, debido a que se las roban a proveedores de bases de datos o las recolectan on line con programas que reconocen los dominios.”

Agregó que “hay que respetar la libertad de expresión, pero no debe haber abuso. El e-mail es un dato personal, se puede tratar siempre que medie consentimiento.”

Por ultimo, respecto de las medidas que habría que adoptar para limitar este tipo de correo no deseado, el letrado manifestó que hay dos vías: “se puede prohibir judicialmente, o poner multas a los que incurren en esta práctica. Esta ultima medida afecta más a las empresas, debido a que no sólo los perjudica económicamente sino que repercute negativamente en su imagen.”

El spam es más de la mitad del correo electrónico que circula por la red. Su utilización, perjudica especialmente a los usuarios de Internet considerando que los filtros o programas para detenerlo no son 100% efectivos. Por lo cual, se vuelve imprescindible la promulgación de una ley que ejerza mayor control sobre esta problemática.

Archivos adjuntos:
Proyecto de ley anti spam S-1628/06
Ley 25.326. Protección de los Datos Personales

Fuente: http://www.diariojudicial.com/nota.asp?IDNoticia=34641

Ver más